一、更新系统与软件包
确保系统和Apache相关软件包为最新版本,修复已知安全漏洞。
sudo yum update -y更新所有软件包。sudo apt update && sudo apt upgrade -y更新系统及软件包。二、配置防火墙限制访问
使用防火墙仅允许可信端口(如HTTP 80、HTTPS 443)的流量,阻断非法访问。
sudo firewall-cmd --permanent --zone=public --add-service=http
sudo firewall-cmd --permanent --zone=public --add-service=https
sudo firewall-cmd --reload
sudo ufw allow 80/tcp # HTTP
sudo ufw allow 443/tcp # HTTPS
sudo ufw enable # 启用防火墙
三、禁用不必要的Apache模块
减少攻击面,移除不使用的模块(如userdir、autoindex、status等)。
apachectl -M(或httpd -M)。/etc/httpd/conf.modules.d/00-base.conf(CentOS)或/etc/apache2/mods-enabled/下的符号链接(Ubuntu),注释或删除不需要的模块行(如LoadModule userdir_module modules/mod_userdir.so),然后重启Apache。四、配置SSL/TLS加密(强制HTTPS)
使用SSL/TLS加密客户端与服务器通信,防止数据泄露。
sudo yum install mod_ssl -ysudo apt install mod_ssl -ysudo yum install certbot python3-certbot-apache -y # CentOS
sudo apt install certbot python3-certbot-apache -y # Ubuntu
sudo certbot --apache -d yourdomain.com -d www.yourdomain.com
/etc/apache2/sites-available/000-default.conf)中添加重定向规则:<VirtualHost *:80>
ServerName yourdomain.com
Redirect permanent / https://yourdomain.com/
</VirtualHost>
/etc/apache2/sites-available/default-ssl.conf),禁用不安全协议(SSLv2/3、TLSv1/1.1),设置强加密套件:SSLProtocol all -SSLv2 -SSLv3 -TLSv1 -TLSv1.1
SSLCipherSuite HIGH:!aNULL:!MD5:!RC4:!3DES
SSLHonorCipherOrder on
SSLCompression off
SSLSessionTickets off
五、设置安全HTTP头
通过HTTP头增强客户端安全性,防范XSS、Clickjacking等攻击。
在SSL虚拟主机配置中添加以下指令(需启用mod_headers模块):
<IfModule mod_headers.c>
Header always set X-Content-Type-Options "nosniff" # 防止MIME类型嗅探
Header always set X-Frame-Options "SAMEORIGIN" # 防止Clickjacking
Header always set X-XSS-Protection "1; mode=block" # 启用XSS防护
Header always set Strict-Transport-Security "max-age=63072000; includeSubDomains; preload" # 强制HTTPS(HSTS)
</IfModule>
六、配置访问控制
限制对敏感目录、文件的访问,仅允许授权用户或IP访问。
<Directory>指令限制特定IP访问(如后台目录):<Directory "/var/www/html/admin">
Require ip 192.168.1.100 # 仅允许该IP访问
# Require all denied # 拒绝所有其他IP
</Directory>
/etc/apache2/.htpasswd):sudo htpasswd -c /etc/apache2/.htpasswd username # 第一次创建需加-c,后续添加用户无需-c
<Directory "/var/www/html/protected">
AuthType Basic
AuthName "Restricted Area"
AuthUserFile /etc/apache2/.htpasswd
Require valid-user # 允许所有有效用户
# Require user admin # 仅允许特定用户
</Directory>
<Directory "/var/www/html">
Options -Indexes # 关闭目录列表
</Directory>
七、安装并配置ModSecurity(Web应用防火墙)
使用ModSecurity拦截SQL注入、XSS、恶意爬虫等攻击。
sudo yum install mod_security mod_security_crs -ysudo apt install libapache2-mod-security2/etc/httpd/conf.d/mod_security.conf(CentOS)或/etc/apache2/mods-enabled/security2.conf(Ubuntu),开启规则引擎:SecRuleEngine On # 开启规则引擎(On为拦截,DetectionOnly为仅检测)
SecRequestBodyAccess On # 允许检查请求体
SecResponseBodyAccess On # 允许检查响应体
SecAuditLog /var/log/httpd/modsec_audit.log # 审计日志路径
SecRule REQUEST_HEADERS:User-Agent "badbot" "id:1001,deny,status:403,msg:'Bad Bot Detected'"
八、调整文件与目录权限
遵循最小权限原则,限制Apache进程对文件系统的访问。
www-data或apache):sudo chown -R apache:apache /var/www/html # CentOS(用户为apache)
sudo chown -R www-data:www-data /var/www/html # Ubuntu(用户为www-data)
755(所有者可读写执行,其他用户可读执行),文件设置为644(所有者可读写,其他用户可读):sudo find /var/www/html -type d -exec chmod 755 {} \;
sudo find /var/www/html -type f -exec chmod 644 {} \;
九、禁用危险功能与隐藏敏感信息
<Directory "/var/www/html">
Options -FollowSymLinks # 禁止符号链接
# 或使用SymLinksIfOwnerMatch(仅允许所有者匹配的符号链接)
Options +SymLinksIfOwnerMatch
</Directory>
ServerSignature Off # 关闭错误页面中的服务器版本信息
ServerTokens Prod # 仅显示“Apache”(而非版本号)
十、定期更新与监控
/var/log/httpd/access_log或/var/log/apache2/access.log)和错误日志(/var/log/httpd/error_log或/var/log/apache2/error.log),识别异常访问(如大量404请求、暴力破解尝试)。/etc/httpd/或/etc/apache2/)和网站数据,防止配置丢失。