最新整理Linux Apache Web服务器安全设置技巧
Apache服务器配置及安全应用指南(20201126092809)
s>_•账号设置>以专门的用户帐号和组运行Apache。
>根据需要为Apache创建用户、组参考配置操作如果没有设置用户和组,则新建用户,并在Apache配置文件中指定⑴创建apache 组:groupadd apache (2)创建apache 用户并加入apache 组:useradd apache -g apache⑶将下面两行加入Apache配置文件httpd.conf中1. User apache2. Group apache>检查httpd.conf酉己置文件。
检查是否使用非专用账户(如root)运行apache >默认一般符合要求,Linux下默认apache或者nobody用户,Unix默认为daemon用户>>Apache的主目录对应于Apache Server配置文件httpd.conf的Server Root控制项中应为:1. ff Server Root /usr/local/apache^A判定条件A非超级用户不能修改该目录中的内容>检测操作>尝试修改,看是否能修改>一般为/etc/httpd目录,默认情况下属主为rootroot,其它用户不能修改文件,默认一般符合要求>严格设置配置文件和日志文件的权限,防止未授权访问。
>chmod 600 /etc/httpd/conf/httpd.conf"设置配置文件为属主可读写,其他用户无权限。
>使用命令〃chmod 644/var/log/httpd/tlog"设置日志文件为属主可读写,其他用户只读权限。
>>日志设置>设备应配置日志功能,对运行错误、用户访问等进行记录,记录内容包括时间,用户使用的IP地址等内容。
>编辑httpd.conf酉己置文件,设置日志记录文件、记录内容、记录格式。
其中,错误日志:1. Log Level notice # 日志的级别2. ErrorLog f.J logs/error_log #日志的保存位置(错误日志)3. 访问日志:4. Log Format %h %1 %u %t \N%r\J, %>s %b Ac cep t }i Ref erer} i\w V*%{User-Agent }iV JM5. combined5. Custom Log /.../logs/ ac c es s_l og combined (访|可日志〉>ErrorLog指令设置错误日志文件名和位置。
Apache安全配置方法
Apache安全配置⽅法令Apache占领Web服务器半壁江⼭的⼀个重要原因就是它可以提供⼀个安全的Web操作环境。
Apache团体为保证其安全性做了⼤量的⼯作。
想当年,在此产品被发现存在⼀个安全缺陷时,Apache的开发⼈员就尽快地搞出了⼀个补丁。
然⽽,即管Apache已经堪称安全的产品,如果你在构建你的服务器时没有采取⼀些安全预防措施,这种Web服务器仍易于受到很多攻击。
在本⽂中,笔者将为你提供10个技巧,借此你可以保护⾃⼰的Apache Web服务器免于受到许多攻击。
不过,必须谨记,你需要仔细地评估每⼀个技巧,以确保其适合于你的组织。
只安装所需要的Apache的⼀个最⼤的特点是其灵活性和⼤量的可选择安装模块,这在涉及到安全问题时可成为⼀个极⼤的弱点。
你安装的越多,也就为潜在的攻击者创造了越⼤的攻击⾯。
⼀个标准的Apache安装包含20多个模块,包括CGI特性,以及⼀些⾝份验证机制。
如果你不打算采⽤CGI,并且你只想采⽤静态的Web 站点,不需要⽤户⾝份验证,你可能就不需要这些模块所提供的任何服务,因此在安装Apache时请禁⽤这些模块。
如果你沿⽤了⼀个正在运⾏的Apache服务器,并且不想重新安装它,就应当仔细检查httpd.conf配置⽂件,查找以LoadModule开头的⾏。
请检查Apache的⽂档(也可以⽤Google、Yahoo等搜索),查找每个模块的⽬的信息,找出那些你并不需要的模块。
然后,重新启动 Apache。
暴露程度最⼩化Apache易于安装并且相当容易管理。
不幸的是,许多Apache的安装由于为完全的陌⽣者提供了关于⾃⼰服务器的太多"有帮助”的信息,例如 Apache的版本号和与操作系统相关的信息。
通过这种信息,⼀个潜在的攻击者就可以追踪特定的可以影响你的系统的破坏性漏洞,特别是你没有能够保持所有补丁的更新的话情况更为严重。
如此⼀来,攻击者⽆需反复试验就可以确切地知道你在运⾏什么,从⽽可以调整其攻击⽅法。
LinuxApacheWeb服务器配置教程
LinuxApacheWeb服务器配置教程Linux阿帕奇网络服务器配置教程阿帕奇的主要特点根据著名的万维网服务器研究公司进行的一项调查,全世界50%以上的万维网服务器使用阿帕奇,排名世界第一。
阿帕奇的出生非常戏剧化。
当NCSA万维网服务器项目停止时,那些使用NCSA万维网服务器的人开始用他们的补丁来交换服务器,他们很快意识到有必要建立一个论坛来管理这些补丁。
就这样,阿帕奇集团诞生了,后来这个集团在NCSA的基础上建立了阿帕奇。
阿帕奇的主要特点是:。
可以在所有计算机平台上运行;。
支持最新的HTTP 1.1协议;简单而强大的基于文件的配置;。
支持通用网关接口CGI。
支持虚拟主机;。
支持HTTP认证;。
集成的Perl脚本编程语言;。
集成代理服务器;。
拥有可定制的服务器日志;。
支持服务器端包含命令。
支持安全套接字层。
用户会话过程的跟踪能力;支持FastCGI。
支持Java小服务程序。
安装Apache流程安装Apache接下来,我们将开始征服阿帕奇的漫长旅程。
我们将一步一步地学习使用Apache,从介绍到掌握,通过需求的一步一步的例子。
系统需求运行Apache不需要太多的计算资源。
它运行良好的Linux系统有6-10MB的硬盘空间和8 MB的内存。
然而,单独运行Apache可能不是您想要做的。
更有可能的是,您希望运行Apache来提供WWW服务,启动CGI流程,并充分利用WWW所能提供的所有惊人功能。
在这种情况下,您需要提供额外的磁盘空间和内存空间来反映负载要求。
换句话说,它不需要太多的系统资源来启动WWW服务,但是它需要更多的系统资源来为大量的客户提供服务。
获取软件你可以呆在错误日志命令用于指定错误日志文件名和路径。
命令格式:错误日志[日志文件名]示例:错误日志/var/srm.confSrm.conf是一个资源配置文件,它告诉服务器您想在WWW站点上提供什么资源,在哪里以及如何提供这些资源。
DocumentRoot命令指定主文档的地址。
web服务器安全设置
图解web服务器安全设置一、系统设置1、先关闭不需要的端口开启防火墙导入IPSEC策略在” 网络连接”里,把不需要的协议和服务都删掉,这里只安装了基本的Internet协议(TCP/IP),由于要控制带宽流量服务,额外安装了Qos数据包计划程序。
在高级tcp/ip设置里--"NetBIOS"设置"禁用tcp/IP上的NetBIOS(S)"。
在高级选项里,使用"Internet连接防火墙",这是windows 2003 自带的防火墙,在2000系统里没有的功能,虽然没什么功能,但可以屏蔽端口,这样已经基本达到了一个IPSec 的功能。
然后点击确定—>下一步安装。
(具体见本文附件1)2、系统补丁的更新点击开始菜单—>所有程序—>Windows Update按照提示进行补丁的安装。
3、备份系统用GHOST备份系统。
4、安装常用的软件例如:杀毒软件、解压缩软件等;安装完毕后,配置杀毒软件,扫描系统漏洞,安装之后用GHOST再次备份修改3389远程连接端口修改注册表.开始--运行--regedit依次展开HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/ TERMINAL SERVER/WDS/RDPWD/TDS/TCP右边键值中PortNumber 改为你想用的端口号.注意使用十进制(例10000 )HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/TERMINAL SERVER/ WINSTATIONS/RDP-TCP/右边键值中PortNumber 改为你想用的端口号.注意使用十进制(例10000 )注意:别忘了在WINDOWS2003自带的防火墙给+上10000端口修改完毕.重新启动服务器.设置生效.二、用户的安全设置1、禁用Guest账号在计算机管理的用户里面把Guest账号禁用。
Linux系统下Apache服务器设置与优化
Linux系统下Apache服务器设置与优化Apache服务器的设置文件位于/usr/local/apache/conf/目录下,传统上使用三个配置文件httpd.conf,access.conf和srm.conf,来配置Apache服务器的行为。
httpd.conf提供了最基本的服务器配置,是对守护程序httpd如何运行的技术描述;srm.conf是服务器的资源映射文件,告诉服务器各种文件的MIME类型,以及如何支持这些文件;access.conf用于配置服务器的访问权限,控制不同用户和计算机的访问限制;这三个配置文件控制着服务器的各个方面的特性,因此为了正常运行服务器便需要设置好这三个文件。
除了这三个设置文件之外,Apache还使用mime.types文件用于标识不同文件对应的MIME 类型,magic文件设置不同MIME类型文件的一些特殊标识,使得Apache 服务器从文档后缀不能判断出文件的MIME 类型时,能通过文件内容中的这些特殊标记来判断文档的MIME类型。
[iaspec@www conf]$ pwd/usr/local/apache/conf[iaspec@www conf]$ lsaccess.conf httpd.conf.OLD magic.default srm.confaccess.conf.default httpd.conf.SAVE mime.types srm.conf.defaulthttpd.conf magic mime.types.default新版本的Apache将原来httpd.conf、srm.conf与access.conf中的所有配置参数均放在了一个配置文件httpd.conf中,只是为了与以前的版本兼容的原因(使用这三个设置文件的方式来源于NCSA-httpd),才使用三个配置文件。
而提供的access.conf和srm.conf文件中没有具体的设置。
Linux下的Web应用程序安全和防护方法
Linux下的Web应用程序安全和防护方法Web应用程序在当今互联网时代发挥着重要的作用,而基于Linux 操作系统的Web应用程序往往成为各种网络攻击的目标。
因此,确保Linux下的Web应用程序的安全是至关重要的。
本文将介绍一些保护Linux下Web应用程序的方法和技术。
一、基础系统安全正确配置和维护Linux操作系统是保护Web应用程序的第一步。
以下是一些基本的系统安全措施:1. 及时更新:保持操作系统、Web服务器和相关组件的最新版本,以获取最新的安全补丁和修复程序。
2. 用户权限管理:使用最小权限原则,只给予Web应用程序所需的最低权限。
禁用不必要的账户和服务,并将权限分配给合适的用户或组。
3. 强密码策略:要求用户使用强大的密码,并通过策略明确要求密码的复杂性和定期更换密码。
4. 防火墙设置:配置防火墙以限制对Web应用程序的访问,只允许来自必要来源的流量。
5. 日志和监控:开启系统日志和服务器日志,监控和分析所有发生的事件和异常情况。
及时响应并采取措施来应对潜在的攻击和入侵。
二、Web应用程序安全措施除了基础系统安全之外,下面是一些Web应用程序安全的具体措施:1. 输入验证和过滤:对于用户输入的数据,进行严格验证和过滤,防止跨站脚本攻击(XSS)、SQL注入等攻击。
2. 页面安全:确保网页中使用的每个标记和脚本都是可信的,并避免使用不安全的标记和脚本。
3. 访问控制:保护敏感数据和功能,使用身份验证和授权机制来限制访问权限。
4. 加密通信:使用SSL/TLS协议加密应用程序与用户之间的通信,确保数据传输的机密性和完整性。
5. 文件上传和下载安全:对上传的文件进行检查和验证,限制允许上传的文件类型和大小。
同时,限制用户通过应用程序下载非法或恶意文件。
6. 安全补丁和漏洞管理:及时应用已知的安全补丁,并进行漏洞扫描和管理,以阻止潜在的攻击。
7. 安全编码实践:遵循安全编码规范,避免常见的安全漏洞和错误。
web服务器安全配置
web服务器安全配置Web服务器安全配置简介Web服务器是托管和传输网站内容的核心组件。
为了确保网站的安全,正确的服务器安全配置是至关重要的。
本文将介绍一些重要的方法和步骤,以帮助您合理地配置和保护您的Web服务器。
1. 更新服务器软件和操作系统保持服务器软件和操作系统的最新版本非常重要。
这样可以确保您的服务器是基于最新安全补丁和修复程序运行的,以减少黑客和恶意软件的攻击风险。
2. 去除默认配置大多数Web服务器都有默认的配置文件和设置。
黑客经常利用这些默认配置的弱点,因此应该定制和修改这些配置。
将默认的管理员账户名称和密码更改为强密码,并禁用不必要的服务和插件。
3. 使用安全的传输协议为了保护Web服务器和用户之间的数据传输,应该始终使用安全的传输协议,如HTTPS。
HTTPS通过使用SSL/TLS加密协议来确保数据的机密性和完整性,防止数据在传输过程中被黑客窃取或篡改。
4. 创建强大的访问控制使用防火墙和访问控制列表(ACL)来限制对服务器的访问。
只允许必要的IP地址访问您的服务器,并阻止来自已知恶意IP地址的访问。
使用强大的密码策略来保护登录凭证,并定期更改密码。
5. 防御举措采取一些额外的防御措施,例如使用Web应用程序防火墙(WAF)来检测和阻止恶意的HTTP请求。
WAF可以识别和封锁潜在的攻击,如跨站点脚本攻击(XSS)和SQL注入攻击。
6. 安全审计和监控定期进行安全审计和监控是保持服务器安全的关键。
通过监控服务器访问日志和相关指标,可以及时发现潜在的安全问题。
使用入侵检测系统(IDS)和入侵防御系统(IPS)来检测和阻止未经授权的访问和活动。
7. 数据备份和恢复计划及时备份服务器上的所有数据,并设置定期的备份计划。
这样,在服务器遭受攻击或数据丢失时,可以及时恢复数据并最小化损失。
8. 网络分割将Web服务器与其他敏感数据和系统隔离开来,建立网络分割可以减少攻击面,确保一次攻击不会导致整个网络或系统的崩溃。
服务器管理LinuxApacheNginxDocker
服务器管理LinuxApacheNginxDocker服务器管理Linux Apache Nginx Docker服务器管理是现代互联网技术中非常重要的一环,它涉及到对于Linux操作系统的管理、Apache和Nginx等Web服务器的配置以及Docker容器的部署等内容。
本文将详细介绍各个方面的管理方法和技巧。
一、Linux服务器管理Linux服务器是互联网应用最常用的操作系统平台之一,具有稳定性高、灵活性强、安全性好等特点。
以下是一些管理Linux服务器的重要注意事项和常用命令。
1. 安全设置:保持服务器的安全性是至关重要的。
禁用root直接登录、设置强密码、定期更新系统并安装最新的安全补丁都是必要的措施。
2. 远程登录:通过SSH协议进行远程登录是一种常见的管理方式。
使用ssh命令可以连接到服务器,并进行文件传输、远程执行命令等操作。
3. 进程管理:通过ps命令可以查看正在运行的进程列表,通过kill 命令可以终止指定的进程。
使用top命令可以实时监控系统的资源使用情况。
4. 网络配置:通过ifconfig命令可以查看和配置网络接口信息,通过iptables命令可以配置防火墙规则,保持服务器的网络安全。
二、Apache服务器管理Apache是一款广泛使用的Web服务器软件,它支持多种操作系统和编程语言。
下面介绍一些管理Apache服务器的关键内容。
1. 配置文件:Apache的主要配置文件是httpd.conf,通过修改该文件可以设置监听端口、虚拟主机、目录权限等参数。
2. 虚拟主机:利用Apache的虚拟主机功能可以在一台服务器上托管多个域名。
通过配置虚拟主机可以实现域名的指向、SSL证书的安装等操作。
3. 日志管理:Apache会生成访问日志和错误日志,通过查看日志可以了解用户的访问情况和服务器的错误信息,并进行故障排查和性能优化。
4. 模块管理:Apache支持动态加载模块,通过编辑配置文件可以启用或禁用特定的模块,扩展服务器的功能。
web服务器安全设置
web服务器安全设置Web服务器攻击常利用Web服务器软件和配置中的漏洞,web 服务器安全也是我们现在很多人关注的一点,那么你知道web服务器安全设置吗?下面是店铺整理的一些关于web服务器安全设置的相关资料,供你参考。
web服务器安全设置一、IIS的相关设置删除默认建立的站点的虚拟目录,停止默认web站点,删除对应的文件目录c:inetpub,配置所有站点的公共设置,设置好相关的连接数限制,带宽设置以及性能设置等其他设置。
配置应用程序映射,删除所有不必要的应用程序扩展,只保留asp,php,cgi,pl,aspx应用程序扩展。
对于php和cgi,推荐使用isapi方式解析,用exe解析对安全和性能有所影响。
用户程序调试设置发送文本错误信息给客户。
对于数据库,尽量采用mdb后缀,不需要更改为asp,可在IIS 中设置一个mdb的扩展映射,将这个映射使用一个无关的dll文件如C:WINNTsystem32inetsrvssinc.dll来防止数据库被下载。
设置IIS的日志保存目录,调整日志记录信息。
设置为发送文本错误信息。
修改403错误页面,将其转向到其他页,可防止一些扫描器的探测。
另外为隐藏系统信息,防止telnet到80端口所泄露的系统版本信息可修改IIS的banner信息,可以使用winhex手工修改或者使用相关软件如banneredit修改。
对于用户站点所在的目录,在此说明一下,用户的FTP根目录下对应三个文件佳,wwwroot,database,logfiles,分别存放站点文件,数据库备份和该站点的日志。
如果一旦发生入侵事件可对该用户站点所在目录设置具体的权限,图片所在的目录只给予列目录的权限,程序所在目录如果不需要生成文件(如生成html的程序)不给予写入权限。
因为是虚拟主机平常对脚本安全没办法做到细致入微的地步。
方法用户从脚本提升权限:web服务器安全设置二、ASP的安全设置设置过权限和服务之后,防范asp木马还需要做以下工作,在cmd窗口运行以下命令:regsvr32/u C:\WINNT\System32\wshom.ocxdel C:\WINNT\System32\wshom.ocxregsvr32/u C:\WINNT\system32\shell32.dlldel C:\WINNT\system32\shell32.dll即可将WScript.Shell, Shell.application, work组件卸载,可有效防止asp木马通过wscript或shell.application执行命令以及使用木马查看一些系统敏感信息。
25个Linux服务器安全小技巧
大家都认为Linux 默认是安全的,我大体是认可的(这是个有争议的话题)。
Linux默认确实有内置的安全模型。
你需要打开它并且对其进行定制,这样才能得到更安全的系统。
Linux 更难管理,不过相应也更灵活,有更多的配置选项。
对于系统管理员而言,让产品的系统更安全,免于骇客和黑客的攻击,一直是一项挑战。
本文将介绍25个有用的技巧和窍门,帮助你让Linux系统更加安全。
希望下面的这些技巧和窍门可以帮助你加强你的系统的安全。
1. 物理系统的安全性配置BIOS,禁用从CD/DVD、外部设备、软驱启动。
下一步,启用BIOS密码,同时启用GRUB的密码保护,这样可以限制对系统的物理访问。
2. 磁盘分区使用不同的分区很重要,对于可能得灾难,这可以保证更高的数据安全性。
通过划分不同的分区,数据可以进行分组并隔离开来。
当意外发生时,只有出问题的分区的数据才会被破坏,其他分区的数据可以保留下来。
你最好有以下的分区,并且第三方程序最好安装在单独的文件系统/opt下。
//boot/usr/var/home/tmp/opt3. 最小包安装,最少漏洞你真的需要安装所有的服务么?建议不要安装无用的包,避免由这些包带来的漏洞。
这将最小化风险,因为一个服务的漏洞可能会危害到其他的服务。
找到并去除或者停止不用的服务,把系统漏洞减少到最小。
使用…chkconfig‟命令列出运行级别3的运行所有服务。
# /sbin/chkconfig --list |grep '3:on'当你发现一个不需要的服务在运行时,使用下面的命令停止这个服务。
# chkconfig serviceName off使用RPM包管理器,例如YUM或者apt-get 工具来列出所有安装的包,并且利用下的命令来卸载他们。
# yum -y remove package-name# sudo apt-get remove package-name4. 检查网络监听端口在网络命令…netstat‟的帮助下,你将能够看到所有开启的端口,以及相关的程序。
linux下配置管理Apache服务器
linux下配置管理Apache服务器分步阅读Apache是世界使用排名第一的Web服务器。
它可以运行在几乎所有广泛使用的计算机平上。
Apache源于NCSAhttpd服务器,经过多次修改,成为世界上最流行的Web服务器软件之一。
Apache的特点是简单、速度快、性能稳定,并可做代理服务器来使用。
本来它只用于小型Internet网络,后来逐步扩充到各种Unix系统中,尤其对Linux的支持相当完美。
Apache有多种产品,可以支持SSL技术,支持多个虚拟主机。
到目前为止Apache仍然是世界上用的最多的Web服务器,市场占有率达60%左右。
世界上很多著名的网站如:、Yahoo!、W3 Consortium。
因此掌握apache服务器非常重要。
软件环境1. 1运行环境:Oracle VM VirtualBox2. 2操作系统:RedHat Linux Enterprise 43. 3Apache版本号:Apache 2.0END安装Apache服务器并启动1. 1Apache的安装:超级用户(root)在图形界面下选择“应用程序”|“系统设置”|“添加/删除应用程序”命令,选择“万维网服务器”软件包组,在单击“更新”按钮就可以安装与Apache相关的软件包。
2. 2Apache的启动、关闭、重启启动命令:service httpd start关闭命令:service httpd stop重启命令:service httpd restartENDApache配置文件1. 1位置:/etc/httpd/conf/httpd.conf。
2. 2在httpd.conf将Apache的基本配置参数修改、将一些注释的语句取消注释,或将某些不需要的参数注释掉。
3. 3将包括index.html在内的相关网页文件复制到指定的Web站点根目下(var/www/html/index.html),在index.html中输入“nihao”或其他文本。
linux服务器的安全配置策略
linux服务器的安全配置策略
Linux服务器的安全配置策略是非常重要的,因为服务器是许多网络服务和工作负载的集中点,因此需要采取一系列措施来保护它。
以下是
一些基本的Linux服务器安全配置策略:
1. 更新和补丁管理:确保服务器及其软件包(如操作系统、Web服务器、数据库等)都是最新版本,并安装所有安全补丁。
2. 防火墙设置:设置防火墙规则以限制对服务器的访问。
这包括只允
许必要的网络接口和端口,并关闭不必要的服务。
3. 用户和组管理:限制对服务器的访问权限,只允许必要的用户和组
访问。
使用强密码策略,并定期更改密码。
4. 文件权限:确保文件和目录的权限设置正确,以防止未经授权的访问。
5. 远程访问控制:限制远程访问服务器的数量和类型,并使用安全的
远程访问协议(如SSH)。
6. 日志管理:记录所有活动和错误日志,以便于故障排除和安全审计。
7. 限制根访问:禁用root用户默认登录,并限制只有必要的情况下
才使用root权限。
8. 加密和备份:使用加密存储和备份策略来保护敏感数据。
定期备份
数据,并确保备份的安全存储。
9. 防病毒软件:安装并定期更新防病毒软件,以防止恶意软件攻击服
务器。
10. 安全审计和监控:实施安全审计和监控策略,以确保服务器始终
处于安全状态。
可以使用安全监控工具(如防火墙日志分析器)来监
视和分析服务器活动。
此外,还需要考虑定期进行安全审计和风险评估,以确保服务器始终
处于最佳安全状态。
总之,确保您的Linux服务器遵循上述最佳实践,以提高安全性并降低风险。
保证LinuxApacheWeb服务器安全的10个建议
保证LinuxApacheWeb服务器安全的10个建议如果你是⼀个系统管理员,你应该按照以下的10点建议来保证 web服务器的安全。
1、禁⽤不必要的模块如果你打算,你应该禁⽤以下的模块。
如果你运⾏./configure -help,你将会看到所有可⽤的你可以禁⽤/开启的模块。
userdir –⽤户特定⽤户的请求映射。
例如:带⽤户名的URL会转化成服务器的⼀个⽬录。
autoindex – 当没有默认⾸页(如index.html)时显⽰⽬录列表。
status –显⽰服务器统计env – 清除或修改环境变量setenvif –根据客户端请求头字段设置环境变量cgi –CGI脚本actions – 根据特定的媒体类型或请求⽅法,激活特定的CGI脚本negotiation –提供内容协商⽀持alias – 提供从⽂件系统的不同部分到⽂档树的映射和URL重定向include –实现服务端包含⽂档(SSI)处理filter –根据上下⽂实际情况对输出过滤器进⾏动态配置version –提供基于版本的配置段⽀持asis – 发送⾃⼰包含HTTP头内容的⽂件当你执⾏./configure按照下⾯禁⽤以上的所有模块。
1. ./configure \2. --enable-ssl \3. --enable-so \4. --disable-userdir \5. --disable-autoindex \6. --disable-status \7. --disable-env \8. --disable-setenvif \9. --disable-cgi \10. --disable-actions \11. --disable-negotiation \12. --disable-alias \13. --disable-include \14. --disable-filter \15. --disable-version \16. --disable-asis如果激活ssl且禁⽤mod_setenv,你将会得到以下错误。
Apache安全配置总结
十、关闭对.htaccess 文件的支持 关闭对 在一个目录标签中实现: allowoverride none 如果需要重载,则保证这些文件不能够被下载,或者把文件名改成非.htaccess 文件。比如, 我们可以改成.httpdoverride 文件,然后像下面这样阻止所有以.ht 打头的文件: accessfilename .httpdoverride order allow,deny deny from all satisfy all
十三、 十三、从 httpd.conf 中清除默认的注释 Apache 2.2.4 中默认的 httpd.conf 文件有 400 多行。在这 400 行中,只有一小部分是实际的 Apache 指令, 其余的仅是帮助用户如何恰当地在 httpd.conf 中放置指令的注释。 完全清除多 余的注释。文件变得更加容易阅读
一、确保你安装的是最新的补丁 如果门是敞开的话,在窗户上加锁就毫无意义。同样道理,如果你没有打补丁,继续下面的 操作就没有什么必要。
二、隐藏 apache 的版本号及其它敏感信息 默认情况下,很多 apache 安装时会显示版本号及操作系统版本,甚至会显示服务器上安装 的是什么样的 apache 模块。这些信息可以为黑客所用,并且黑客还可以从中得知你所配置 的服务器上的很多设置都是默认状态。 这里有两条语句,你需要添加到你的 httpd.conf 文件中: ServerSignature Off ServerTokens Prod ServerSignature 该参数设置 出现在 apache 所产生的像 404 页面、目录列表等页面的底部, 三个选项 On|Off|EMai 主要起开关作用,推荐设置为 Off。 推荐设置为 ServerTokens 该参数设置 http 头部返回的 apache 版本信息,安全起见,尽量少显示信息, : 推荐设置为 Off,可用的值和含义如下(显示的信息逐渐增加) Prod:仅软件名称,例如:apache Major:包括主版本号,例如:apache/2 Minor:包括次版本号,例如:apache/2.0 Min:仅 apache 的完整版本号,例如:apache/2.0.54 OS:包括操作系统类型,例如:apache/2.0.54(Unix) Full: 包括 apache 支持的模块及模块版本号, 例如:Apache/2.0.54 (Unix) OpenSSL/0.9.7g
如何安全设置ApacheWeb服务器
如何安全设置ApacheWeb服务器推荐文章网络信息安全技术热度:电脑安全防护知识热度:真的需要上万年?360密盘体验记热度:办公电脑安全保护热度:企业网络基本搭建及网络管理热度:Apache是世界使用排名第一的Web服务器软件。
它可以运行在几乎所有广泛使用的计算机平台上,由于其跨平台和安全性被广泛使用,是最流行的Web服务器端软件之一。
但即使是这种服务器软件,也常常有攻击者会通过某些手段使服务器拒绝对http应答,这使Apache对系统资源(cup时间与内存)需求巨增,最终造成系统变慢甚至完全瘫痪,下面是店铺整理的一些关于Apache Web服务器安全设置注意事项供你参考。
HTTP拒绝服务攻击攻击者通过某些手段使服务器拒绝对http应答,这使Apache对系统资源(cup时间与内存)需求巨增,最终造成系统变慢甚至完全瘫痪,Apache服务器最大的缺点是,它的普遍性使它成为众矢之的,Apache服务器无时无刻不受到DoS攻击威胁,主要有下边几种1.数据包洪水攻击一种中断服务器或本地网络的方法是数据包洪水攻击,它通常使用internet控制报文协议(ICMP,属于网络层协议)包或是udp包,在最简单的形式下,这些攻击都是使服务器或网络负载过重,这意味这攻击者的网络速度必须比目标主机网络速度要快,使用udp包的优势是不会有任何包返回到黑客的计算机(udp效率要比tcp高17倍),而使用ICMP包的优势是攻击者能让攻击更加富与变化,发送有缺陷的包会搞乱并锁住受害者的网络,目前流行的趋势是攻击者欺骗服务器,让其相信正在受来自自身的洪水攻击.2.磁盘攻击这是一种很不道德的攻击,它不仅影响计算机的通信,还破坏其硬件,伪造的用户请求利用写命令攻击目标计算机硬盘,让其超过极限,并强制关闭,结局很悲惨.3.路由不可达通常DoS攻击,集中在路由器上,攻击者首先获得控制权并操纵目标机器,当攻击者能更改路由表条目时候,会导致整个网络无法通信,这种攻击很阴险,隐蔽,因为网络管理员需要排除的网络不通原因很多,其中一些原因需要详细分辨.4.分布式拒绝服务攻击这也是最具有威胁的DDoS攻击,名称很容易理解,简单说就是群欧,很多客户机同时单条服务器,你会发现你将伤痕累累,Apache服务器特别容易受到攻击,无论是DDos还是隐藏来源的攻击,因为Apache无处不在,特别是为Apache特意打造的病毒(特选SSL蠕虫),潜伏在许多主机上,攻击者通过病毒可以操纵大量被感染的机器,对特定目标发动一次浩大的DDoS攻击,通过将蠕虫散播到大量主机,大规模的点对点攻击得以进行,除非你不提供服务,要不然几乎无法阻止这样的攻击,这种攻击通常会定位到大型的网站上.5.缓冲区溢出这种攻击很普遍,攻击者利用CGI程序编写一些缺陷程序偏离正常的流程,程序使用静态的内存分配,攻击者就可以发送一个超长的请求使缓冲区溢出,比如,一些perl编写的处理用户请求的网关脚本,一但缓冲区溢出,攻击者就可以执行恶意指令.6.非法获取root权限如果Apache以root权限运行,系统上一些程序的逻辑缺陷或缓冲区溢出漏洞,会让攻击者很容易在本地系统获取linux服务器上的管理者权限,在一些远程情况下,攻击者会利用一些以root身份执行的有缺陷的系统守护进程来取得root权限,或利用有缺陷的服务进程漏洞来取得普通用户权限,以远程登陆,进而控制整个系统.这边这些都是服务将会遇到的攻击手段,下边来说,如何打造安全的Apache服务器,如果你能遵守下边这些建议,那么你将得到一台相对安全的apache服务器.一:勤打补丁你必须要相信这个是最有用的手段,缓冲区溢出等漏洞都必须使用这种手段来防御,勤快点相信对你没有坏处,在http: 上最新的changelog中都写有:bug fix,security bug fix的字样,做为负责任的管理员要经常关注相关漏洞,及时升级系统添加补丁.使用最新安全版本对加强apache至关重要.二:隐藏和伪装Apache的版本打乱攻击者的步骤,给攻击者带来麻烦,相信是管理员愿意看到的.软件的漏洞信息和版本是相关的,在攻击者收集你服务软件信息时候给与迷惑是个不错的选择,何况版本号,对攻击者来说相当与GPS定位一样重要,默认情况,系统会把apache版本模块都显示出来(http返回头),如果列举目录的话,会显示域名信息(文件列表正文),去除Apache版本号的方法是修改配置文件,找到关键字,修改为下边:ServerSignature offServerTokens prod 通过分析web服务器类型,大致可以推测操作系统类型,win使用iis,linux普遍apache,默认的Apache配置里没有任何信息保护机制,并且允许目录浏览,通过目录浏览,通常可以得到类似"apache/1.37 Server at Port 80"或"apache/2.0.49(unix)PHP/4.3.8"的信息,通过修改配置文件中的ServerTokens参数,可以将Apache的相关信息隐藏起来,如果不行的话,可能是提示信息被编译在程序里了,要隐藏需要修改apache的源代码,然后重新编译程序,以替换内容:编辑ap_release.h文件,修改"#define AP_SERVER_BASEPRODUCT""Apache"""为"#define AP_SERVER_BASEPRODUCT""Microsoft-IIS/5.0""编辑os/unix/os.h文件,修改"#define PLATFORM""Unix"""为"#define PLATFORM"'Win32"修改完成后,重新编译,安装apache,在修改配置文件为上边做过的,再次启动apache后,用工具扫描,发现提示信息中已经显示为windows 操作系统了顺便说下,现在这个论坛,就有点不太讲究,这是论坛错误的返回信息,看了有点汗地感觉,Apache/2.2.8(Ubuntu)DAV/2 SVN/1.4.6 mod_ssl/2.2.8 OpenSSL/0.9.8g Server at Port 80这个等于告诉恶意用户很多有用信息,虽然说不算开了门,但等于被告诉了门在那里,还是相当危险的.三:建立安全的目录结构apache服务器包括四个目录结构ServerRoot #保存配置文件,二进制文件与其他服务器配置文件DocumentRoot #保存web站点内容,包括HTML文件和图片等ScripAlias #保存CGI脚本Customlog #保存日志Errorlog #保存错误日志建议的目录结构为,以上四种目录相互独立并且不存在父子逻辑关系注:ServerRoot目录只能为root用户访问DocumentRoot目录应该能够被管理web站点内容的用户访问和使用apache服务器的apache用户与组访问ScripAlias目录应该只能被CGI开发人员和apache用户访问Customlog和Errorlog只能被root访问下边是一个安全目录结构的事例:+-------/etc/|| +----/http (ServerRoot)| +----/logs (Customlog和Errorlog)|+-------var/www|| +---/cgi-bin(ScripAlias)| +---/html(DocumentRoot)这样的目录结构是比较安全的,因为目录之间独立,某个目录权限错误不会影响到其他目录四:为apache使用专门的用户与组按照最小特权的原则,需要给apache分配一个合适的权限,让其能够完成web服务.注:最小特权原则是系统安全中最基本的原则之一,限制使用者对系统及数据进行存取所需要的最小权限,保证用户可以完成任务,同时也确保被窃取或异常操作所造成的损失.必须保证apache使用一个专门的用户与组,不要使用系统预定的帐户,比如nobody用户与nogroup组,因为只有root用户可以运行apache,DocumentRoot应该能够被管理web站点内容的用户访问和使用apache服务器的apache用户与组访问,例如,希望"test"用户在web站点发布内容,并且可以以httpd身份运行apache服务器,可以这样设定:groupadd webteamusermod -G webteam testchown -R httpd.webteam /www/htmlchmod -R 2570 /www/htdocs只有root能访问日志,推荐这样的权限chown -R root.root /etc/logschown -R 700 /etc/logs五:web目录的访问策略对于可以访问的web目录,要使用相对保守的途径进行访问,不要让用户查看任何目录索引列表禁止使用目录索引:apache在接到用户对一个目录的访问时,会查找DirectoryIndex 指令指定的目录索引文件,默认为index.html,如果该文件不存在,那么apache会创建动态列表为用户显示该目录的内容,这样就会暴露web 站点结构,因此需要修改配置文件禁止显示动态目录索引,修改httpd.confOptions -Indexes FollowSymLinksOptions指令通知apache禁止使用目录索引,FollowSymLinks表示不允许使用符号连接.禁止默认访问:要的安全策略必须要禁止默认访问的存在,只对指定的目录开放权限,如果允许访问/var/www/html目录,使用如下设定Order deny,allowAllow from all禁止用户重载:为了禁止用户对目录配置文件(htaccess)进行重载(修改),可以这样设定AllowOverride None六:apache服务器访问控制apache的access.conf文件负责设置文件的访问权限,可以实现互联网域名和ip地址的访问控制,如允许192.168.1.1到192.168.1.254的主机访问,可以这样设定order deny,allowdeny from allallow from pair 192.168.1.0/255.255.255.0七:apache服务器的密码保护.htaccess文件是apache上的一个设置文件,它是一个文本文件,.htaccess文件提供了针对目录改变配置的方法既通过在一个特定的文档目录中放置一个包含一个或多个指令的文件(.htaccess文件),以作用于此目录和子目录..htaccess的功能包括设置网页密码,设置发生错误时出现的文件,改变首业的文件名(如,index.html),禁止读取文件名,重新导向文件,加上MIME类别,禁止目录下的文件等.注:.htaccess是一个完整的文件名,不是***.htaccess或其他格式,在/abc目录下放置一个.htaccess文件,那么/abc与它的子目录都会被这个文件影响,但/index.html不会被影响..htaccess的建立和使用比较复杂点,如果感兴趣的朋友可以回帖发问,这里就不具体写出来了,这种保护要比某些程序实现的保护安全,那种方法可以通过被猜测方法获取密码,用.htaccess很难被解除,但文本方式的验证会比较慢,对少量用户没影响,但对大量用户就必须使用带数据模块的验证了,这需要编译源代码时候开启模块,默认是不开启的.八:让apache运行在"监牢"中"监牢"的意思是指通过chroot机制来更改某个软件运行时所能看到的根目录,简单说,就是被限制在指定目录中,保证软件只能对该目录与子目录文件有所动作,从而保证整个服务器的安全,即使被破坏或侵入,损伤也不大.以前,unix/linux上的daemon都是以root权限启动的,当时,这是一件理所当然的事情,像apache这样的服务器软件,需要绑定到80端口上来监听请求,而root是唯一有这种权限的用户,随着攻击手段和强度的增加,这样会使服务器受到相当大的威胁,一但被利用缓冲区溢出漏洞,就可以控制整个系统.现在的服务器设计通常以root启动,然后进程放弃root权限,改为某个低级的帐号运行.这种方式显然会降低对系统的危害,但攻击者还是会寻找漏洞提升权限,即使无法获得root权限,也可以删除文件,涂改主页等.为了进一步提高系统安全性,linux内核引入chroot机制,chroot是内核中的一个系统调用,软件可以通过调用函数库的chroot函数,来更改某个进程所能见到的跟目录,比如,apache软件安装在/usr/local/httpd目录,以root启动apache,这个root权限的父进程会派生数个以nobody权限运行的子进程,父进程监听80端口,然后交给某个子进程处理,这时候子进程所处的目录续承父进程,即/usr/local/httpd目录,但是一但目录权限设定错误,被攻击的apache 子进程可以访问/usr/local,/usr,/tmp甚至整个文件系统,因为apache 进程所处的跟目录仍然是整个文件系统的跟目录,如果可以用chroot将apache限制在/usr/local/httpd/下,那么apache所存取的文件都被限制在/usr/local/httpd下,创建chroot监牢的作用就是将进程权限限制在文件目录树下,保证安全.如果自己手动apache的监牢,将是很烦琐和复杂的工作,需要牵扯到库文件,这里可以使用jail包来简化监牢的实现jail的官方网站为:有兴趣可以逛逛这里也不写出具体的创建过程稍微麻烦.九:apache服务器防范Dosapache服务经常会碰到Dos攻击,防范的主要手段是通过软件,apahce Dos Evasive Maneuvers Module来实现的,它是一款mod_access的代替软件,可以对抗DoS攻击,该软件可以快速拒绝来自相同地址对同一URL的重复请求,通过查询内部一张各子进程的哈希表来实现,可以到网址:http://online//tools/上下载软件十:减少CGI和SSI风险CGI脚本的漏洞已经成为WEB服务器的首要安全隐患,通常是程序编写CGI脚本产生了许多漏洞,控制CGI的漏洞除了在编写时候注意对输入数据的合法检查,对系统调用的谨慎使用等因素外,首先使用CGI程序所有者的ID来运行这些程序,即使被漏洞危害也仅限于该ID能访问的文件,不会对整个系统带来致命的危害,因此需要谨慎使用CGI程序.1.3版的apache集成了suEXEC程序,可以为apache提供CGI程序的控制支持,可以把suEXEC看做一个包装器,在Apache接到CGI程序的调用请求后,把这个请求交给suEXEC来负责完成具体调用,并从suEXEC返回结果,suEXEC可以解决一些安全问题,但会影响速度,如果是对安全性要求很高时候,建议使用suEXEC,此外还有一个软件CGIWrap,它的安全性要高与suEXEC.减少SSI脚本风险,如果用exec等SSI命令运行外部程序,也会存在类似CGI脚本风险,除了内部调试程序时,应使用:option命令禁止其使用:Option IncludesNOEXEC十一:使用ssl加固Apache使用具有SSL功能的服务器,可以提高网站敏感页的安全性能,SSL 工作与TCP/IP协议和HTTP协议之间,SSL可以加密互联网上传递的数据流,提供身份验证,在线购物而不必担心别人窃取信用卡信息,在基于电子商务和基于web邮件的地方非常重要.SSL的应用相对还是比较麻烦的,有需要的话,可以发贴或查看资料.。
第15课 Linux的WEB服务器(Apache)配置
讲授内容教学设计∕备注第15次课第11章 Linux的WEB服务器(Apache)配置本节目标:1.理解WEB服务器的工作原理2.掌握Section 1:Global Environment段的配置指令3.掌握Section 2:‘Main' server configuration段的配置指令本节知识点:1.Apache概述2.Apache的配置文件3.Section 1:Global Environment段的配置指令4.Section 2:‘Main' server configuration段的配置指令本节重点:1.Section 1:Global Environment段的配置指令2.Section 2:‘Main' server configuration段的配置指令本节难点:1.Section 1:Global Environment段的配置指令2.Section 2:‘Main' server configuration段的配置指令授课内容:1.Apache概述Apache是一款著名的Web服务器软件。
在Internet上, Apache是占有率最高的Web服务器。
当前,Apache主要有两种流行的版本,第一种是1.3版,这是比较早期但十分成熟稳定的版本,目前使用率仍很高;讲授内容教学设计∕备注第二种是2.0版,这是Apache最新的版本,增加和完善了一些功能。
Apache的运行在RHEL 4.0中,有两种典型启动Apache的方法:方法一:[root@server1 ~]# service httpd start方法二:[root@server1 ~]# apachectl start如果要设置每次开机时自动运行Apache服务器,可执行如下指令:[root@server1 ~]# chkconfig httpd on2.Apache的配置文件Apache配置文件的结构:Apache的配置文件是/etc/httpd/conf/httpd.conf(1)Section 1: Global Environment这段的功能是控制Apache服务器进程的全局操作。
Linux服务器安全设置保障服务器系统安全的实用方法
Linux服务器安全设置保障服务器系统安全的实用方法随着互联网的快速发展,服务器系统的安全性变得越来越重要。
作为广泛应用的操作系统之一,Linux在服务器领域有着广泛的应用。
为了保障服务器系统的安全,必须采取一系列有效的安全设置措施。
本文将介绍一些实用的Linux服务器安全设置方法,帮助管理员提升服务器系统的安全性。
一、及时更新系统和软件保持系统和软件的及时更新是保障服务器安全的基础。
Linux发行版的开发者会不断修复系统漏洞和安全问题,并通过更新发布修复补丁。
管理员应当定期检查系统更新,并及时进行更新操作,以确保系统和软件的安全性。
二、配置防火墙防火墙是保护服务器免受网络攻击的重要组成部分。
Linux系统自带了iptables防火墙工具,管理员可以通过配置iptables规则来限制网络流量,只允许必要的端口和服务对外开放,同时屏蔽潜在的攻击来源。
合理配置防火墙规则可以有效减少服务器受到攻击的风险。
三、使用密钥登录相比于传统的密码登录方式,密钥登录更加安全可靠。
管理员可以通过生成公钥和私钥对来实现SSH密钥登录,避免密码被暴力破解或中间人攻击。
同时,可以通过限制密钥登录的方式,进一步提升服务器的安全性。
四、限制用户权限合理设置用户权限是保障服务器安全的重要一环。
管理员应当根据用户的实际需求,为其分配最小化的权限,避免普通用户拥有过高的权限。
同时,定期审查用户权限设置,及时调整或删除不必要的权限,以减少潜在的安全风险。
五、监控日志日志监控是发现服务器异常情况和安全事件的重要手段。
管理员可以通过监控系统日志、应用日志和安全日志等方式,及时发现异常行为和潜在威胁。
建议管理员配置日志自动备份和定期审查,以保证日志的完整性和可追溯性。
六、加密通信加密通信是保障数据传输安全的有效手段。
管理员可以通过配置SSL证书、使用HTTPS协议等方式,加密服务器和客户端之间的通信数据,防止数据在传输过程中被窃取或篡改。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
L i n u x A p a c h e W e b服务器安全设置技巧网络安全是目前互联网的热门话题之一,作为个人用户的我们同样需要关注,做好防护。
这篇文章主要介绍了L i n u x A p a c h e W e b服务器安全的8种安全设置技巧,需要的朋友可以参考下方法步骤第一、定期更新系统首先,我们需要确保是已经安装了最新版本和A p a c h e的安全补丁和附加如C G I,P e r l和P H P脚本代码。
我们需要定期更新数据源依赖包操作。
#U b u n t u/D e b i a na p t-g e t u p d a t e;a p t-g e t d i s t-u p g r a d e#F e d o r a/C e n t o s/R e d H a ty u m u p d a t e根据自己的系统环境选择更新升级命令。
第二、设置和保护我们的S S H安全我们在拿到V P S之后,建议修改端口、R O O T密码、以及授权单独的非R O O T用户权限管理,或者我们也可以采用密钥的方式登录S S H客户端管理V P S。
比如可以参考设置P u t t y S S H使用密钥登录L i n u x V P S主机和X s h e l l设置密钥登录确保L i n u x V P S及服务器更加安全文章设置密钥登陆。
第三、禁用未使用的服务为了确保我们的W e b服务器安全,建议你检查服务器上所有正在运行的服务和开放的端口,禁用我们不需要在服务器上的所有服务。
#要显示所有服务 s e r v i c e--s t a t u s-a l l#显示所有的端口规则 i p t a b l e s-L#显示所有的运行信息(r e d h a t/c e n t o s/f e d o r a)c h k c o n f i g--l i s t#检查/e t c/i n i t.d是否有可疑脚本 l s /e t c/i n i t.d 第四、禁用不必要的A p a c h e模块默认情况下,A p a c h e很多模块都开启的,但是有些并不需要使用,我们可以关闭和精简。
比如以前有分享过的6步骤实现C e n t O S系统环境精简优化和4步骤实现D e b i a n系统环境精简优化可以有效的提高执行效率降低占用资源率。
A-U b u n t u/D e b i a nc a t/e t c/a p a c h e2/m od s-e n a b l e d/*|g r e p-il o a d m o d u l e开启模块a2e n m o d m o d u l e_n a m e关闭模块a2d i s m o d m o d u l e_n a m eB-C e n t o s/F e d o r a/R e d H a tc a t/e t c/h t t p d/c o n f/h t t p d.c o n f|g r e p-iL o a d M o d u l e编辑h t t p d.c o n f文件,搜索L o a d M o d u l e关键字,需要关闭的在前面加上#备注保存就可以,相反启动则去掉#第五、让A p a c h e以指定的用户和组来运行大多数默认的A p a c h e使用的是默认用户和组为a p a c h e的,为了确保安全,我们可以使用不同的用户/组。
假设你运行的邮件服务器作为n ob o d y用户,你用相同的用户运行的A p ac h e。
如果您的邮件服务器被攻破,你的A p a c h e也将受到影响。
比如,我们在以r o o t 身份运行,如果有安全风险,那整个系统将在很大的风险。
要检查/更改用户/组,编辑h t t p d.c o n f文件。
?1234#F e d o r a/C e n t o s/R e d h a tv i/e t c/h t t p d/c o n f/h t t p d.c o n f#U b u n t u/D e b i a nv i/e t c/a p a c h e2/h t t p d.c o n f我们可以使用默认的用户组,也可以创建新的用户/组。
复制代码代码如下:U s e r a p a c h eG r o u p a p a c h e第六、防止信息泄露默认的A p a c h e安装后会在默认页面体现出端口、版本信息等,我们需要隐藏这些信息。
?1234#F e d o r a/C e n t o s/R e d h a tv i/e t c/h t t p d/c o n f/h t t p d.c o n f#U b u n t u/D e b i a nv i/e t c/a p a c h e2/c o n f-e n a b l e d/s e c u r i t y.c o n f 搜索S e r v e r T o k e n s和S e r v e r S i g n a t u r e字符,然后对应修改S e r v e r T o k e n s P r o dS e r v e r S i g n a t u r e O f f然后重启A p a c h e#F e d o r a/C e n t o s/R e d h a ts e r v i c e a p a c h e2r e s t a r t#U b u n t u/D e b i a ns e r v i c e h t t p d r e s t a r t然后我们的404页面就看不到版本信息。
第七、隐藏P H P版本信息#F e d o r a/C e n t o s/R e d h a tv i/e t c/p h p.i n i#U b u n t u/D e b i a nv i/e t c/p h p5/a p a c h e2/p h p.i n i然后搜索e x p o s e_p h p,对应的参数o n改成o f f第八、禁用自动索引模块#F e d o r a/C e n t o s/R e d h a t/e t c/h t t p d/c o n f/h t t p d.c o n f把L o a d M o d u l e a u t o i n d e x_m o d u l em o d u l e s/m o d_a u t o i n d e x.s o一行前面加上#禁止掉#U b u n t u/D e b i a nr m-r f/e t c/a p a c h e2/m o d s-e n a b l e d/a u t o i n d e x.c o n f 删除自动索引模块总结,以上老左就整理到8点A p a c h e的安全设置,还有一些设置我们可以查看.h t a c c e s s文件的安全设置,我们不容小视这个小文件,有些安全设置还是需要通过.h t a c c e s s文件的,以后有时间专门整理一篇。
无论如何,不管我们使用的是虚拟主机,还是V P S/服务器,我们需要随时监控和定时备份网站和项目数据。
相关阅读:20**1月,英特尔处理器中曝M e l t d o w n(熔断)和S p e c t r e(幽灵)两大新型漏洞,包括A M D、A R M、英特尔系统和处理器在内,几乎近20**发售的所有设备都受到影响,受影响的设备包括手机、电脑、服务器以及云计算产品。
这些漏洞允许恶意程序从其它程序的内存空间中窃取信息,这意味着包括密码、帐户信息、加密密钥乃至其它一切在理论上可存储于内存中的信息均可能因此外泄。
二、G i t H u b遭遇大规模 M e m c a c h e d D D o S攻击20**2月,知名代码托管网站 G i t H u b遭遇史上大规模 M e m c a c h e d D D o S攻击,流量峰值高达 1.35T b p s。
然而,事情才过去五天,D D o S攻击再次刷新纪录,美国一家服务提供商遭遇D D o S攻击的峰值创新高,达到 1.7 T b p s!攻击者利用暴露在网上的 M e m c a c h e d服务器进行攻击。
网络安全公司 C l o u d f l a r e的研究人员发现,截止20**2月底,中国有 2.5万 M e m c a c h e d服务器暴露在网上。
三、苹果 i O S i B o o t源码泄露20**2月,开源代码分享网站 G i t H u b(软件项目托管平台)上有人共享了 i P h o n e操作系统的核心组件源码,泄露的代码属于 i O S安全系统的重要组成部分i B o o t。
i B o o t相当于是 W i n d o w s电脑的 B I O S系统。
此次i B o o t源码泄露可能让数以亿计的 i O S设备面临安全威胁。
i O S与 M a c O S系统开发者 J o n a t h a n L e v i n表示,这是 i O S历史上最严重的一次泄漏事件。
四、韩国平昌冬季奥运会遭遇黑客攻击20**2月,韩国平昌冬季奥运会开幕式当天遭遇黑客攻击,此次攻击造成网络中断,广播系统(观众不能正常观看直播)和奥运会官网均无法正常运作,许多观众无法打印开幕式门票,最终未能正常入场。
五、加密货币采矿软件攻击致欧洲废水处理设施瘫痪20**2月中旬,工业网络安全企业 R a d i f l o w公司表示,发现四台接入欧洲废水处理设施运营技术网络的服务器遭遇加密货币采矿恶意软件的入侵。
该恶意软件直接拖垮了废水处理设备中的 H M I服务器 C P U,致欧洲废水处理服务器瘫痪。
R a d i f l o w公司称,此次事故是加密货币恶意软件首次对关键基础设施运营商的运营技术网络展开攻击。
由于受感染的服务器为人机交互(简称H M I)设备,之所以导致废水处理系统瘫痪,是因为这种恶意软件会严重降低 H M I的运行速度。