Apache服务器是比较流行的一款静态页面处理web服务器,在企业的日常开发与维护中,需要对web服务器进行安全加强,确保网站的安全稳定。
1.账号设置
以专门的用户帐号和组运行 Apache。
1、 根据需要为 Apache 创建用户、组
2、 参考配置操作 如果没有设置用户和组,则新建用户,并在 Apache 配置文件中指定
参考步骤:
(1) 创建 apache 组:groupadd apache
(2) 创建 apache 用户并加入 apache 组:useradd apache –g apache
(3) 将下面两行加入 Apache 配置文件 httpd.conf 中
User apache
Group apache
3、 检查 httpd.conf 配置文件。 检查是否使用非专用账户(如 root)运行 apache
默认一般符合要求,Linux下默认apache或者nobody用户,Unix默认为daemon用户
2.授权设置
严格控制Apache主目录的访问权限,非超级用户不能修改该目录中的内容
1、Apache 的 主目录对应 于 Apache Server配置文件 httpd.conf 的
Server Root控制项中
应为:
Server Root /usr/local/apache”
如:
2、判定条件
非超级用户不能修改该目录中的内容
3、检测操作
尝试修改,看是否能修改
4、一般为/etc/httpd目录,默认情况下属主为root:root,其它用户不能修改文件,默认一般符合要求
严格设置配置文件和日志文件的权限,防止未授权访问
1、chmod 600 /etc/httpd/conf/httpd.conf”设置配置文件为属主可读写,其他用户无权限。
2、
使用命令“chmod 644 /var/log/httpd/*.log”设置日志文件为属主可读写,其他用户只读权限。
3、/etc/httpd/conf/httpd.conf默认权限是644,可根据需要修改权限为600。
4、/var/log/httpd/*.log默认权限为644,默认一般符合要求。
3.日志设置
设备应配置日志功能,对运行错误、用户访问等进行记录,记录
内容包括时间,用户使用的 IP 地址等内容。
1、
编辑 httpd.conf 配置文件,设置日志记录文件、记录内容、记录 格式。
其中,错误日志:
LogLevel notice #日志的级别
ErrorLog /…/logs/error_log #日志的保存位置(错误日志)
访问日志:
LogFormat %h %l %u %t \”%r\” %>s %b “%{Accept}i\”
”
\”%{Referer}i\” \”%{User-Agent}i\”"
combined(日志记录格式设置)
CustomLog /…/logs/access_log combined (访问日志)
ErrorLog 指令设置错误日志文件名和位置。错误日志是最重要的 日志文件,
Apache httpd 将在这个文件中存放诊断信息和处理请 求中出现的错误。
若要将错误日志送到 Syslog,则设置: ErrorLog syslog。
CustomLog 指令指定了保存日志文件的具体位置以及日志的格式。访问日志中会记录服务器所处理的所有请求。
LogFormat 设置日志格式,建议设置为 combined 格式。
LogLevel 用于调整记录在错误日志中的信息的详细程度,建议设置为notice。
日志的级别,默认是warn,notice级别比较详细,在实际中由于日志会占用大量硬盘空间,一般没有设置
4.监听端口设置
apache默认监听80端口,这样对服务器来说不够安全需要将apache配置文件httpd.conf中的listen 80 改为其他端口。
如:
以上为简单的安全加固,在实际开发中还需要进行更高级别的加固以及配合防火墙的使用。
