Ubuntu Apache2安全设置要点

Ubuntu Apache2安全设置要点包括以下几个方面：

1. 更新系统和软件包：

   • 定期更新系统和软件包，以修复已知的安全漏洞。使用以下命令更新系统：

     sudo apt update
     sudo apt upgrade
     

   • 安装 unattended-upgrades 包，通过编辑 /etc/apt/apt.conf.d/50unattended-upgrades 文件来指定更新策略，确保只有Ubuntu和安全更新会被自动安装。

2. 配置防火墙：

   • 使用 ufw（Uncomplicated Firewall）来限制对系统的访问，只允许必要的端口和服务，如SSH和HTTP。

     sudo ufw allow ssh
     sudo ufw enable
     

   • 修改SSH默认端口，禁用root登录，只允许密钥认证，并设置SSH空闲超时退出时间。

3. 禁用或隐藏版本信息：

   • 避免在错误页面或响应头中显示Apache和PHP的版本信息，以防止攻击者利用版本信息进行针对性攻击。

     ServerTokens Prod
     ServerSignature Off
     

   • 在 php.ini 文件中隐藏PHP信息，将 expose_php 设置为 Off。

     expose_php = Off
     

4. 强化SSH安全性：

   • 生成SSH密钥对（如果还没有）：

     ssh-keygen -t rsa -b 4096 -C "your_email@example.com"
     

   • 将公钥复制到服务器的 authorized_keys 文件中：

     ssh-copy-id user@server_ip
     

   • 编辑 /etc/ssh/sshd_config 文件，禁用密码认证：

     PasswordAuthentication no
     

   • 重启SSH服务以使更改生效：

     sudo systemctl restart sshd
     

5. 文件和目录权限：

   • 确保配置文件和用户权限配置文件的权限设置正确，如 /etc/hosts.allow 和 /etc/hosts.deny，以及用户权限配置文件的权限，如 /etc/group 和 /etc/passwd。
   • 使用访问控制列表（ACL）来限制对文件和目录的访问。

6. 使用安全模块：

   • 启用 mod_security 和 mod_evasive 等Apache模块来防止攻击。

7. 日志和监控：

   • 启用并监控访问日志和错误日志。
   • 使用入侵检测系统（IDS）监控可疑活动。

8. 加密和认证：

   • 通过SSL/TLS加密所有传输数据，保护数据的安全性。
   • 使用强密码策略和认证机制保护敏感区域。

通过上述措施，可以显著提高Ubuntu系统上Apache2的安全性，减少潜在的风险和攻击面。