1. 系统与软件更新
定期更新CentOS系统和Apache2及其模块,修补已知安全漏洞。执行sudo yum update -y命令更新所有软件包,确保Apache运行最新稳定版本。
2. 防火墙配置
使用firewalld限制对Apache的访问,仅开放必要端口(HTTP 80、HTTPS 443)。执行以下命令配置:
sudo firewall-cmd --permanent --zone=public --add-service=http
sudo firewall-cmd --permanent --zone=public --add-service=https
sudo firewall-cmd --reload
此操作可阻止非法IP访问Apache服务。
3. SELinux设置
若SELinux处于Enforcing模式(默认),需配置策略允许Apache访问必要资源。常见命令:
sudo setsebool -P httpd_can_network_connect 1 # 允许Apache发起网络连接(如数据库访问)
sudo setsebool -P httpd_can_sendmail 1 # 允许Apache发送邮件
sudo chcon -Rt httpd_sys_content_t /var/www/html # 设置网站目录安全上下文
避免因SELinux策略过严导致Apache无法正常运行。
4. 禁用不必要模块
通过注释或删除/etc/httpd/conf/httpd.conf中不需要的模块加载指令,减少攻击面。常见需禁用的模块:
# LoadModule cgi_module modules/mod_cgi.so # 禁用CGI(若无需动态脚本)
# LoadModule status_module modules/mod_status.so # 禁用状态页面(避免信息泄露)
# LoadModule info_module modules/mod_info.so # 禁用信息模块(避免服务器详情暴露)
仅保留mod_rewrite(URL重写)、mod_ssl(HTTPS)、mod_security(安全防护)等必要模块。
5. 启用安全模块
安装并配置mod_security(Web应用防火墙)和mod_evasive(防DDoS/暴力破解):
sudo yum install mod_security mod_evasive -y
/etc/httpd/conf.d/security2.conf,启用规则引擎并设置审计日志:SecRuleEngine On
SecRequestBodyAccess On
SecResponseBodyAccess On
SecAuditLog /var/log/httpd/modsec_audit.log
/etc/httpd/conf.d/evasive.conf,配置防暴力破解阈值:<IfModule mod_evasive20.c>
DOSHashTableSize 3097
DOSPageCount 2 # 1秒内同一IP访问同一页面超过2次视为攻击
DOSSiteCount 50 # 1秒内同一IP访问整个站点超过50次视为攻击
DOSBlockingPeriod 10 # 攻击IP封锁10秒
</IfModule>
6. 配置SSL/TLS加密
使用mod_ssl模块启用HTTPS,保护数据传输安全。步骤如下:
mod_ssl:sudo yum install mod_ssl -ysudo openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout /etc/pki/tls/private/apache-selfsigned.key -out /etc/pki/tls/certs/apache-selfsigned.crt
/etc/httpd/conf.d/ssl.conf):<VirtualHost *:443>
ServerName yourdomain.com
DocumentRoot /var/www/html
SSLEngine on
SSLCertificateFile /etc/pki/tls/certs/apache-selfsigned.crt
SSLCertificateKeyFile /etc/pki/tls/private/apache-selfsigned.key
SSLProtocol all -SSLv2 -SSLv3 -TLSv1 -TLSv1.1 # 禁用旧版不安全协议
</VirtualHost>
/etc/httpd/conf.d/redirect.conf):<VirtualHost *:80>
ServerName yourdomain.com
Redirect permanent / https://yourdomain.com/
</VirtualHost>
7. 隐藏敏感信息
修改Apache主配置文件(/etc/httpd/conf/httpd.conf),隐藏版本号和服务器信息,减少被针对性攻击的风险:
ServerTokens Prod # 仅返回"Apache",不显示版本号
ServerSignature Off # 错误页不显示服务器版本和操作系统信息
此外,禁用目录列表(/etc/httpd/conf/httpd.conf):
<Directory "/var/www/html">
Options -Indexes # 禁止目录自动列出
AllowOverride None
Require all granted
</Directory>
避免攻击者通过目录列表获取敏感文件(如config.php、backup.sql)。
8. 访问控制与权限管理
.htaccess或主配置文件控制特定目录的访问权限。例如,保护/admin目录需输入密码:sudo htpasswd -cm /etc/httpd/conf/.htpasswd admin # 创建密码文件
/etc/httpd/conf.d/admin.conf:<Directory "/var/www/html/admin">
AuthType Basic
AuthName "Restricted Area"
AuthUserFile /etc/httpd/conf/.htpasswd
Require valid-user
</Directory>
apache)拥有过高权限:sudo chown -R apache:apache /var/www/html # 所有权归Apache用户
sudo chmod -R 755 /var/www/html # 目录权限755(所有者可读写执行,其他用户只读执行)
sudo find /var/www/html -type f -exec chmod 644 {} \; # 文件权限644(所有者可读写,其他用户只读)
9. 日志监控与审计
配置Apache日志记录,定期分析异常行为。默认日志路径:
/var/log/httpd/access_log(记录所有请求)/var/log/httpd/error_log(记录错误信息)/etc/httpd/conf/httpd.conf中确认日志配置:ErrorLog ${APACHE_LOG_DIR}/error.log
CustomLog ${APACHE_LOG_DIR}/access.log combined # 使用combined格式记录IP、时间、请求方法等详细信息
使用tail -f /var/log/httpd/error_log实时监控错误日志,或通过fail2ban等工具自动封禁恶意IP。
10. 强化用户与认证安全
apache)和网站管理员账户设置复杂密码(包含大小写字母、数字、特殊字符,长度≥10位)。/etc/ssh/sshd_config,修改以下配置:Port 2222 # 修改默认SSH端口(避免暴力破解)
PermitRootLogin no # 禁止root用户直接登录
PasswordAuthentication no # 禁用密码认证(仅允许密钥认证)
sudo systemctl restart sshd