centos apache安全防护怎么做

以下是CentOS下Apache的安全防护要点：

1. 系统与软件更新
   定期更新系统和Apache软件包，修复漏洞：

   sudo yum update -y  
   

2. 安装安全模块

   • mod_security：检测并阻止恶意请求（如SQL注入、XSS攻击）。

     sudo yum install mod_security -y  
     

     启用并配置规则：编辑/etc/httpd/conf.d/security2.conf，设置SecRuleEngine On。
   • mod_evasive：防御CC攻击，限制IP访问频率。

     sudo yum install mod_evasive -y  
     

     配置参数如DOSPageCount（单页请求限制）、DOSBlockingPeriod（封禁时长）。

3. 防火墙配置
   使用firewalld开放HTTP/HTTPS端口，限制非必要流量：

   sudo firewall-cmd --permanent --add-service=http  
   sudo firewall-cmd --permanent --add-service=https  
   sudo firewall-cmd --reload  
   

4. 隐藏敏感信息

   • 修改Apache配置隐藏版本号：在/etc/httpd/conf/httpd.conf中添加ServerTokens Prod。
   • 禁用目录列表：在虚拟主机或目录配置中设置Options -Indexes。

5. 权限与SELinux

   • 以专用用户（如apache）运行服务，限制文件权限：

     sudo chown -R apache:apache /var/www/html  
     sudo chmod -R 755 /var/www/html  
     

   • 若启用SELinux，确保允许Apache访问必要目录：

     sudo setsebool -P httpd_can_network_connect 1  
     sudo chcon -Rt httpd_sys_content_t /var/www/html  
     

6. SSL/TLS加密
   使用Let’s Encrypt免费证书启用HTTPS，保护数据传输：

   sudo yum install certbot python2-certbot-apache  
   sudo certbot --apache -d yourdomain.com  
   

7. 访问控制与日志监控

   • 通过.htaccess或主配置文件限制IP访问：

     <RequireAll>  
         Require ip 192.168.1.0/24  
     </RequireAll>  
     

   • 定期分析/var/log/httpd/access_log和error_log，发现异常访问。

8. 定期备份与测试
   备份配置文件和网站数据，定期模拟攻击测试防护有效性。

参考来源：