如何在Ubuntu上配置Apache2安全策略

以下是在Ubuntu上配置Apache2安全策略的关键步骤：

1. 更新系统与软件包

   sudo apt update && sudo apt upgrade  
   

2. 安装必要模块与工具
   • 启用SSL模块：sudo a2enmod ssl
   • 安装证书工具：sudo apt install certbot python3-certbot-apache
3. 配置SSL/TLS加密
   • 生成自签名证书（测试用）：

     sudo openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout /etc/apache2/ssl/apache.key -out /etc/apache2/ssl/apache.crt  
     

   • 编辑虚拟主机配置（如/etc/apache2/sites-available/default-ssl.conf）：

     <VirtualHost *:443>  
         SSLEngine on  
         SSLCertificateFile /etc/apache2/ssl/apache.crt  
         SSLCertificateKeyFile /etc/apache2/ssl/apache.key  
     </VirtualHost>  
     

   • 启用站点并重启：sudo a2ensite default-ssl && sudo systemctl restart apache2
4. 限制访问权限
   • 使用Require指令（推荐）：

     <Directory /var/www/html/restricted>  
         Require ip 192.168.1.1  
     </Directory>  
     

   • 或通过.htaccess文件设置密码认证：

     sudo htpasswd -c /etc/apache2/.htpasswd username  
     

5. 隐藏服务器信息
   • 修改/etc/apache2/apache2.conf：

     ServerSignature Off  
     ServerTokens Prod  
     

6. 防范攻击
   • 启用mod_evasive防御DoS攻击：

     sudo apt install libapache2-mod-evasive  
     

     编辑配置文件/etc/apache2/mods-available/evasive.conf设置阈值。
7. 配置防火墙
   • 允许HTTP/HTTPS流量：sudo ufw allow 'Apache Full'
8. 日志与监控
   • 确保日志路径正确（默认/var/log/apache2/），定期分析异常请求。

注意：生产环境中建议使用受信任CA签发的证书，避免使用自签名证书。配置后需重启Apache服务生效。
参考来源：[1,2,3,4,5,6,7,8,9,10,11]