Apache可以是當(dāng)今互聯(lián)網(wǎng)上使用最廣泛的Web服務(wù)器。它天生是在Unix環(huán)境下工作的，不過(guò)已移植到了其他服務(wù)器操作系統(tǒng)，比如Windows。Apache Web服務(wù)器為數(shù)百萬(wàn)的網(wǎng)站和互聯(lián)網(wǎng)應(yīng)用系統(tǒng)提供服務(wù)。一大批的驗(yàn)證方案、支持眾多的語(yǔ)言接口以及安全功能特性，讓它成為全球各地成千上萬(wàn)用戶青睞有加的Web服務(wù)器。

[[112974]]

Apache的這種明星地位、這種爆棚人氣，也讓它支撐的網(wǎng)站成為黑客們偏愛(ài)的下手目標(biāo)。Apache支撐的網(wǎng)站之所以淪為黑客攻擊的犧牲品，常常倒不是由于Apache本身存在安全風(fēng)險(xiǎn)和漏洞，主要是由于編寫糟糕的代碼以及與數(shù)據(jù)庫(kù)有關(guān)的其他安全問(wèn)題。Apache和Linux這對(duì)黃金搭檔提供了良好的安全性，但是如果你不采取必要的防范措施，還是有可能出岔子。你需要采取幾個(gè)做法，為Apache保駕護(hù)航。為此，我們整理了你應(yīng)該采取的幾個(gè)簡(jiǎn)單易學(xué)的措施，確保Web服務(wù)器安全。

第一件事：更新

每一個(gè)Apache版本里面都存在安全漏洞和潛在風(fēng)險(xiǎn)，不過(guò)及時(shí)得到了修補(bǔ)。開(kāi)發(fā)社區(qū)不斷努力解決新的安全問(wèn)題，更新的重要性再怎么強(qiáng)調(diào)都不為過(guò)。

良好的更新策略和安全策略相輔相成。你不僅在重大版本發(fā)布后時(shí)更新Apache，還應(yīng)該安裝所有的補(bǔ)丁。你在更新Apache時(shí)，一并更新PHP(如果你使用PHP)也是明智之舉。

你只要使用下面這個(gè)命令，就可以檢查Apache的當(dāng)前版本。

# http -v
Server version: Apache/2.*.** (Unix)
Server built: Mar 12 2014 13:20:23

如果結(jié)果表明你當(dāng)前運(yùn)行的Apache不是最新版本，就要趕緊更新。

Apache版本和操作系統(tǒng)

如果出現(xiàn)某個(gè)錯(cuò)誤，服務(wù)器可能會(huì)返回關(guān)于該錯(cuò)誤的信息以及Apache版本和操作系統(tǒng)方面的細(xì)節(jié)信息。簡(jiǎn)單的404錯(cuò)誤頁(yè)面可以泄露關(guān)于Web服務(wù)器和操作系統(tǒng)的關(guān)鍵信息。在一些情況下，它甚至可能會(huì)返回同時(shí)安裝在服務(wù)器中的Apache模塊方面的細(xì)節(jié)信息。

想關(guān)閉該功能，使用文本編輯工具打開(kāi)配置文件(httpd.conf)，找到字符串：“ServerSignature On”。它在默認(rèn)情況下應(yīng)該是“On”。想關(guān)閉它，只要將“On”換成“Off”即可。

現(xiàn)在，HTTP站點(diǎn)標(biāo)題和錯(cuò)誤頁(yè)面只會(huì)顯示它運(yùn)行Apache，而不會(huì)顯示版本。

禁用目錄列表

要是根目錄下沒(méi)有索引文件，Apache在默認(rèn)情況下會(huì)列出根目錄下的所有文件。有幾個(gè)辦法可以防止Apache列出根文件夾中的文件。你又需要將幾行添加到配置文件。為此，有兩種方法?；蛘邔ption Directive設(shè)成“-Indexes”或“None”。如果你不知道我們?cè)谡務(wù)撌裁?，只將下面幾行添加到配置文件?/p>

<directory /var/www/html>
Options -Indexes
Order allow,deny
Allow from all
</directory> 

或者使用下列代碼。

<directory></directory>
Options None
Order allow,deny
Allow from all 

在一些發(fā)行版中，這些命令早已到位，但最好還是檢查一下，穩(wěn)妥點(diǎn)總歸是好事。

保護(hù)配置文件

如果你是個(gè)新手，又一直在采取上述步驟，那么就應(yīng)該想到：httpd.conf配置文件對(duì)于確保服務(wù)器安全起到了很重要的作用。所以，最好將配置文件隱藏起來(lái)。你總是可以在需要時(shí)讓配置文件顯露出來(lái)。

使用下面這個(gè)命令，即可將配置文件隱藏起來(lái)。

chattr +i /httpd/conf/httpd.conf

下面這段文字來(lái)自chattr參考手冊(cè)頁(yè)：

“帶有‘i’屬性的文件無(wú)法被修改：它無(wú)法被刪除或重命名;無(wú)法為該文件建立鏈接;無(wú)法將數(shù)據(jù)寫入到該文件。只有超級(jí)用戶或擁有CAP_LINUX_IMMUTABLE功能的進(jìn)程才能設(shè)置或清空這個(gè)屬性。”

限制請(qǐng)求大小，以防范DoS攻擊

如果禁止大請(qǐng)求，就可以預(yù)防大多數(shù)拒絕服務(wù)(DoS)攻擊。默認(rèn)情況下，LimitRequestBody被設(shè)成不受限制。你可以更改大小，具體取決于你網(wǎng)站的實(shí)際需求。還可以限制對(duì)更容易受到攻擊的目錄(比如上傳文件夾)進(jìn)行請(qǐng)求。

禁用不需要的模塊

通過(guò)禁用幾個(gè)對(duì)你來(lái)說(shuō)毫無(wú)用處的模塊，就能減少服務(wù)器面臨的安全漏洞。想詳細(xì)列出你Web服務(wù)器中的所有模塊，可以使用下面這個(gè)命令。

# grep LoadModule /etc/httpd/conf/httpd.conf

分析輸出列表中的所有模塊，弄清楚哪些模塊毫無(wú)必要。你甚至沒(méi)必要?jiǎng)h除一行行代碼。只要在開(kāi)頭添加“#”，那么重啟服務(wù)后，它就會(huì)變成停用。

別以root身份運(yùn)行Apache

Apache不應(yīng)該以root身份運(yùn)行。以另一個(gè)用戶的身份運(yùn)行Apache始終是個(gè)好主意。它在默認(rèn)情況下會(huì)以守護(hù)程序或無(wú)任何用戶的身份來(lái)運(yùn)行。設(shè)立一個(gè)專門用于Apache的非特權(quán)帳戶。千萬(wàn)別將Apache用戶或用戶組設(shè)成root。

# vi httpd.conf
Group apache
User apache 

選擇合適的托管服務(wù)提供商

這與搗鼓你的Web服務(wù)器沒(méi)有任何關(guān)系。一些最受歡迎的主機(jī)托管服務(wù)來(lái)自歐美國(guó)家。受歡迎并不意味著高度安全。你沒(méi)必要向這些主機(jī)托管服務(wù)提供商購(gòu)買主機(jī)托管服務(wù)。如果你不住在美國(guó)，也能在本國(guó)找到許多安全可靠的、收費(fèi)合理的主機(jī)托管服務(wù)提供商。如果你住在澳大利亞，可以選擇像EZI Hosting這樣的澳大利亞主機(jī)托管提供商，并且選擇最受歡迎的主機(jī)托管提供商，它們的IP地址常常不遭到黑客的攻擊。

原文地址：http://linuxaria.com/article/8-simple-to-follow-tips-to-secure-your-apache-web-server