Consejos para configurar fácilmente la seguridad de Apache

Declaración: No hay garantía o absoluta sobre la seguridad. Estas sugerencias pueden hacer que su servidor sea más seguro, pero no asuma que su servidor está seguro después de seguir estas sugerencias.

Además, algunas de las sugerencias en estas sugerencias pueden degradar el rendimiento del servidor o causar problemas en su entorno. Recomiendo que cualquier cambio que realice para satisfacer sus necesidades sea totalmente de usted. En otras palabras, ese es tu riesgo.
En primer lugar, asegúrese de instalar los últimos parches
si la puerta está abierta, luego bloquear las ventanas no tendría sentido. De la misma manera, si no ha parchado, no es necesario continuar las siguientes operaciones.
En segundo lugar, ocultar los números de versión de Apache y otra información sensible
Por defecto, muestra el número de versión y la versión del sistema operativo Muchos instalación de Apache, o incluso servidor de pantalla Qué tipo de módulo de Apache está instalado en él. Esta información puede ser utilizada por piratas informáticos y los piratas informáticos pueden aprender que muchas de las configuraciones en el servidor que está configurando son las predeterminadas.

Hay dos declaraciones que debe agregar a su archivo httpd.conf:

ServerSignature Off

ServerTokens Prod

ServerSignature aparece en Apache La página resultante es como la parte inferior de una página 404, una lista de directorios, etc. El directorio ServerTokens se usa para determinar qué información llenará Apache en el encabezado del paquete de respuesta HTTP del servidor. Si establece ServerTokens en Prod, entonces el encabezado de respuesta HTTP se configurará en:

Servidor: Apache

Si realmente desea probar otras cosas, puede cambiar el código fuente para que no sea Apache. Otras cosas, o puede hacer esto con mod_security como se describe a continuación.
En tercer lugar, asegúrese de Apache con sus propias cuentas de usuario y grupos de gestión
algún proceso de instalación de Apache permite que el servidor se ejecute como usuario nobody, por lo tanto, se supone que Apache y se Todos los servidores de correo se ejecutan en la cuenta de nobody, por lo que un ataque iniciado por Apache puede atacar el servidor de correo al mismo tiempo y viceversa.

Apache de usuario

Apache de grupo

En cuarto lugar, asegúrese de que los archivos que se encuentran fuera del directorio raíz web no brindan servicios.

No permitimos que Apache accede a cualquier archivo fuera del directorio raíz web. Suponiendo que los archivos de su sitio web estén todos en un directorio (por ejemplo, /web), puede configurarlos de la siguiente manera:

Ordenar Denegar, Permitir

Denegar desde todas las Opciones de

Ninguna

AllowOverride None

Orden Permitir, Denegar

Permitir desde todas

Nota, porque configuramos Opitins None y AllowOverride None, esto apagará el servidor Todas las opciones y anular. Ahora debe establecer explícitamente cada directorio en Opción o Anular.
V. Cerrar el directorio que busca


Puede usar el comando Opción en la pestaña Directorio para implementar esta función. Establezca la opción en Ninguno o -Indexes.

Opciones - Índices

Seis, cerrar incluir


Esto también se puede lograr usando el comando Opción en la pestaña Directorio. Establezca la opción en Ninguno o -Incluye.
Opciones -Incluye //artículo de la aplicación de hardware y software de red www.45it.com
Siete, cerca de la ejecución del programa CGI
si no lo hace CGI, entonces por favor apágalo. En el catálogo opción etiqueta se establece en Ninguno o -ExecCGI puede:
Opciones -ExecCGI
Ocho, prohibido Apache sigue los enlaces simbólicos
Ibid. , la opción se establece en Ninguno o -FollowSymLinks: opciones
-FollowSymLinks
nueve, cerrado múltiples opciones
Si desea desactivar todas las opciones, muy simple

Opciones Ninguna

Si solo desea asociar algunas opciones independientes, puede hacerlo configurando las siguientes opciones:

Opciones -ExecCGI -FollowSymLinks -Indexes

Diez, soporte cercano para archivos .htaccess


Implementado en una etiqueta de directorio:

AllowOverride None

Si necesita volver a cargar, Luego, asegúrese de que estos archivos no puedan descargarse, o cambie el nombre del archivo a un archivo que no sea .htaccess. Por ejemplo, podemos cambiar al archivo .httpdoverride y bloquear todos los archivos que comienzan con .ht de esta manera:

AccessFileName .httpdoverride

Permiso de orden, denegar

Denegar desde Todos

Satisfacer todos

11, Ejecutar mod_security


Ejecutar mod_security es el autor de Apache Security, publicado por O'Reilly, Ivan Un módulo de Apache muy útil escrito por Ristic. Se puede usar para implementar las siguientes funciones:

· Filtrado simple

· Expresión general basada en el filtrado

· Verificación de codificación de URL

· Verificación de codificación de Unicode < BR>
· Auditoría

· Prevención de ataques de bytes nulos

· Carga el límite de almacenamiento

· Ocultación de identidad del servidor

· Compatibilidad con Chroot incorporada
· más de otras características
doce, apagar todos los módulos innecesarios
Apache a menudo instalan varios módulos, navegar por el módulo de Apache Documentación, para comprender qué se ha instalado cada módulo. En muchos casos, encontrará que no necesita activar esos módulos.

Encuentre el código que contiene LoadModule en httpd.conf. Para desactivar estos módulos, simplemente agregue un # antes de la línea de código. Para encontrar un módulo en ejecución, puede usar la siguiente declaración:

grep LoadModule httpd.conf

Los siguientes módulos generalmente están activados y no son útiles: mod_iml, mod_include, mod_info, mod_userdir, mod_status, Mod_cgi, mod_autoindex.
(e129)