跟我学,你的服务器安全吗?第三篇----apache安全篇
目录
前言
1. 确保默认情况下拒绝访问OS根目录(高危)
2. 确保对OS根目录禁用覆盖(高危)
3. 配置专门用户账号和组用于运行 Apache(高危)
4. 确保已锁定apache用户帐户(高危)
5. 确保apache用户帐户具有无效的shell(高危)
6. 确保Web根目录的选项受到限制 禁止 Apache 列表显示文件(高危)
7. 隐藏 Apache 的版本号及其它敏感信息确保未启用服务器签名不存在或者off (高危)
8. 确保禁用http跟踪方法 (高危)
9. 确保限制对apache目录和文件的其他写访问(高危)
10. 确保正确设置KeepAliveTimeout(高危)
11. 确保MaxKeepAliveRequests设置为适当值(高危)
12. 确保keepAlive已启用(高危)
13. 确保超时设置正确(高危)
14. 确保错误日志文件名和严重性级别配置正确(高危)
前言
本文你千载难逢,因为这些东西是需要花钱的,真真实实需要在服务器上操作的,最实用的东西,汇聚着阿里云专家团的绝学和智慧,属于江湖最高绝学,绝对值得一学,每一个都是可以实战的,非常实用,怎么让你的服务器更安全?怎么避免攻击?这你不想学吗?这么实用的东西,确定不学?
如果是让你做一个网站,或者写功能性代码,那么不管你写的多好多坏,哪怕你的代码不够优雅,但总而言之,言而总之,基础的功能实现还是没问题的,总是可以跑起来的,哪怕它跑的方式不够优雅,总之,在经过千难万难之后,你的代码大多数时候还是能跑起来的,但是,问题的关键来了,你的代码总是要上服务器的,而服务器我们一般用linux系统,那么我们的服务器配置安全吗?服务器怎么避免被攻击?就算你代码写的再好,安全到一点漏洞都没有,服务器被攻陷了,那代码不就全部都暴露了吗?
所以服务器的安全至关重要,但又刚好是大家的弱项。
为避免文章过长,同时查找起来也方便些,本系列共分为4篇,分别讲述centos系统安全,mysql数据库安全、apache应用服务器安全、tomcat安全,这是最常用的几个了。
第一篇:服务器自身安全基线
跟我学,你的服务器安全吗?第一篇----centos系统安全篇_zhumengyisheng的博客-CSDN博客你的服务器够安全吗?是否经常被黑客攻击?网站怎么又被黑了?这可怎么搞啊?本文主要为服务器的自身安全问题,主要为linux的系统安全问题,本文使用的是centos系统
https://blog.csdn.net/zhumengyisheng/article/details/121866485 第二篇:数据库安全基线(主要使用mysql数据库)
https://blog.csdn.net/zhumengyisheng/article/details/121865391https://blog.csdn.net/zhumengyisheng/article/details/121865391 第三篇:apache服务安全(apache是运行网站的基础服务,即本节主要内容)
跟我学,你的服务器够安全吗?第三篇--apache安全_zhumengyisheng的博客-CSDN博客你的服务器是否安全?本文为apache基线安全检擦https://blog.csdn.net/zhumengyisheng/article/details/121866723 第四篇:tomcat服务安全
跟我学,你的服务器够安全吗?第四篇----tomcat安全基线检查_zhumengyisheng的博客-CSDN博客本文为tomcat相关基线检查和漏洞修复https://blog.csdn.net/zhumengyisheng/article/details/121866907 本系列将详细讲解服务器安全方面的问题,如果你用的是阿里云的服务器,那么阿里云有专门的安全中心可以提供检测,这是收费服务,如果你不是阿里云服务器,那么照着做,学习人家的配置自己的,让自己的服务器更安全。但是我推荐你最好用阿里云服务器,因为这些东西你修改后它会验证检测,同时告诉你是否还有什么问题,确保你的服务器各项配置安全准确。
所以,如果你重视安全问题,害怕被攻击,那么本文不可多得,跟着做吧,但是最好还是买个阿里云服务器,它上面会指导你一项一项的做,防护好你的服务器安全。需要阿里云的话可以先领个红包,便宜些,腾讯云的话便宜的话也可以买,但是阿里云的安全服务很好,但是也是得花钱买才行,我觉得就是正式服务器买个阿里云的,测试机什么的腾讯云如果便宜的多的话也可以买腾讯云,省钱嘛。
阿里云限量红包,速领。
阿里云限量红包
腾讯云优惠券_代金券_云服务器折扣券-腾讯云腾讯云优惠券,腾讯云代金券,腾讯云服务器折扣券https://cloud.tencent.com/act/vouchers/list?fromSource=gwzcw.2477393.2477393.2477393&utm_medium=cpc&utm_id=gwzcw.2477393.2477393.2477393&cps_key=b0c7af9380d6324294316347ba2c8a49 阿里云最新活动
最新活动_阿里云最新活动,阿里云最全的优惠聚集地
浅谈VPS云服务器(内含神秘大额专属特惠)_zhumengyisheng的博客-CSDN博客怎么做一个网站?都需要什么?要个服务器?要个域名?去哪里买?哪个好啊?有优惠吗?所有的优惠都在这里了,给自己建个网站吧,毕竟要学以致用啊!https://blog.csdn.net/zhumengyisheng/article/details/121391896 下面的资料都来自于阿里云云安全,是一些相关的建议,你可以根据这些建议,即使你不是用的阿里云,你也可以根据这些建议,加固你自己的服务器,确保你的服务器更加的安全,避免黑客攻击。
本节主要介绍系列教程3----服务器安全篇,apache安全配置
事关apache安全,网站使用apache的话需要配置检查项目
1. 确保默认情况下拒绝访问OS根目录(高危)
确保默认情况下拒绝访问OS根目录访问控制
描述
当AllowOverride设置为None时,.htaccess文件不具有访问上下文权限。当此指令设置为All时,任何具有.htaccess .htaccess文件中允许使用上下文。开启时增加了更改或查看配置的风险 意外或恶意的.htaccess文件不当使用
检查提示
--
加固建议
找到配置文件路径。 通过vim path(path为主配置文件的绝对路径,如果您的主配置文件中包含
include <path>,则<path>为您的子配置文件路径)编辑配置文件 找到以<Directory />开头的配置项,按如下配置<Directory />...Require all denied... </Directory>如没有,请增加
操作时建议做好记录或备份
确定
2. 确保对OS根目录禁用覆盖(高危)
确保对OS根目录禁用覆盖访问控制
描述
通过禁止访问OS根目录,限制直接访问服务器内部文件的行为 使得运行web的服务器更加安全
检查提示
--
加固建议
找到配置文件路径。 通过vim path(path为主配置文件的绝对路径,如果您的主配置文件中包含
include <path>,则<path>为您的子配置文件路径) 在配置文件中 找到以<Directory />开头的配置项,按如下配置<Directory />...AllowOverride None... </Directory>操作时建议做好记录或备份
3. 配置专门用户账号和组用于运行 Apache(高危)
配置专门用户账号和组用于运行 Apache身份鉴别
描述
为服务器应用程序创建一个唯一的,没有特权的用户和组.有效的减少了运行web服务时遭受攻击的可能性
检查提示
--
加固建议
确保apache帐户是唯一的,并且Apache组在apache的配置文件中配置。 请确认
User apacheGroup apache出现一次,且没有被注释。(如果没有,请添加)操作时建议做好记录或备份
4. 确保已锁定apache用户帐户(高危)
确保已锁定apache用户帐户身份鉴别
描述
Apache运行下的用户帐户不应该有一个有效的密码,而应该被锁住。作为深度防御措施,应该锁定Apache用户帐户以防止登录并防止用户使用该密码诉诸于Apache。 一般而言,su不能当作apache账户,在必要时应使用sudo。这样将不需要apache的帐户密码。
检查提示
--
加固建议
使用如下passwd命令锁定apache帐户:
passwd -l <apache_username>或者usermod -L <apache_username><apache_username>为apache的启动账户(可以使用命令ps -ef | egrep "apache2|httpd"查看<apache_username>)操作时建议做好记录或备份
5. 确保apache用户帐户具有无效的shell(高危)
确保apache用户帐户具有无效的shell身份鉴别
描述
apache帐户不得用作常规登录帐户,因此应为其分配一个 无效或nologin Shell,以确保无法用于登录。如果可以使用服务帐户(例如apache帐户)进行登录外壳到系统将会产生安全隐患。
检查提示
--
加固建议
为确保apache用户帐户具有无效的shell,使用命令
chsh -s /sbin/nologin <apache_username>修改apache账户的shell(可以使用命令ps -ef | egrep "apache2|httpd"查看<apache_username>)操作时建议做好记录或备份
确定
6. 确保Web根目录的选项受到限制 禁止 Apache 列表显示文件(高危)
确保Web根目录的选项受到限制 禁止 Apache 列表显示文件数据保密性
描述
Web根目录或文档根目录级别的Options指令应限于所需的最少选项。 强烈建议设置为“无”。 但是,在这个水平上如果支持多种语言,则可能出现问题。 如没有此类需要,需启动
检查提示
配置文件路径::/etc/httpd/conf/httpd.conf
加固建议
1.使用
vim path(path为主配置文件的绝对路径,如果您的主配置文件中包含include <path>,则<path>为您的子配置文件路径) 2.找到<Directory "apache网页存放路径">(默认网页存放路径/usr/local/apache2或/var/www/html`,自定义路径请自行查找)
<Directory "apache存放网页路径">Options Indexes FollowSymLinks</Directory>将其设置为
Options None如配置虚拟主机,请确保虚拟主机配置项中含有Options None 如没有,请增加<Directory "apache存放网页路径">Options None</Directory>操作时建议做好记录或备份
7. 隐藏 Apache 的版本号及其它敏感信息确保未启用服务器签名不存在或者off (高危)
隐藏 Apache 的版本号及其它敏感信息确保未启用服务器签名不存在或者off个人信息保护
描述
服务器签名在服务器充当代理时很有用,因为它们有助于 用户将错误与代理而非目标服务器区分开。 但是,在这个 在上下文中,显得很鸡肋,而且存在被识别的可能
检查提示
配置文件路径::/etc/httpd/conf/httpd.conf
加固建议
1.使用vim编辑器对配置文件进行编辑
vim pathpath为主配置文件的绝对路径,如果您的主配置文件中包含include <path>,则<path>为您的子配置文件路径) 2.找到ServerSignature将其设置为ServerSignature Off如没有,请增加操作时建议做好记录或备份
8. 确保禁用http跟踪方法 (高危)
确保禁用http跟踪方法服务配置
描述
TRACE方法不需要,并且很容易受到滥用,因此应该将其禁用。
检查提示
配置文件路径::/etc/httpd/conf/httpd.conf
加固建议
1.
vim path(path为主配置文件的绝对路径,如果您的主配置文件中包含include <path>,则<path>为您的子配置文件路径) 2.找到选项TraceEnable将其值设置为off如没有请增加操作时建议做好记录或备份
确定
9. 确保限制对apache目录和文件的其他写访问(高危)
确保限制对apache目录和文件的其他写访问文件权限
描述
Apache目录上的权限应为rwxr-xr-x(755)和文件 权限应相似,除非适当,否则不可执行。 这适用于所有 已安装的Apache软件目录和文件
检查提示
--
加固建议
执行以下操作删除$ APACHE_PREFIX($ APACHE_PREFIX是apache的安装目录默认例
/usr/local/apache2或/var/www/html如自定义请自行查找)目录上的其他写访问权限:chmod -R o-w $ APACHE_PREFIX操作时建议做好记录或备份
确定
10. 确保正确设置KeepAliveTimeout(高危)
确保正确设置KeepAliveTimeout入侵防范
描述
KeepAliveTimeout指令指定Apache等待等待的秒数在关闭保持活动的连接之前的后续请求。减少Apache HTTP服务器保留未使用资源的秒数分配的资源将增加服务其他请求的资源的可用性。 这个效率收益可能会提高服务器抵御DoS攻击的能力。
检查提示
--
加固建议
1.使用vim编辑器对配置文件进行编辑
vim path(path为主配置文件的绝对路径,如果您的主配置文件中包含include <path>,则<path>为您的子配置文件路径) 2.找到KeepAliveTimeout将其设置为KeepAliveTimeout 15如没有,请增加操作时建议做好记录或备份
11. 确保MaxKeepAliveRequests设置为适当值(高危)
确保MaxKeepAliveRequests设置为适当值入侵防范
描述
MaxKeepAliveRequests指令限制每个连接允许的请求数打开KeepAlive时。 如果将其设置为0,则将允许无限制的请求。 推荐 将MaxKeepAliveRequests指令设置为100,以防患DoS攻击
检查提示
配置文件路径::/etc/httpd/conf/httpd.conf
加固建议
1.使用vim编辑器对配置文件进行编辑
vim path(path为主配置文件的绝对路径,如果您的主配置文件中包含include <path>,则<path>为您的子配置文件路径) 2.找到MaxKeepAliveRequests将其设置为MaxKeepAliveRequests 100如没有,请增加操作时建议做好记录或备份
12. 确保keepAlive已启用(高危)
确保keepAlive已启用服务配置
描述
允许每个客户端重用TCP套接字,减少了系统和网络的数量 服务请求所需的资源。 这种效率提高可以提高服务器对DoS攻击的抵御性
检查提示
配置文件路径::/etc/httpd/conf/httpd.conf
加固建议
1.使用vim编辑器对配置文件进行编辑
vim path(path为主配置文件的绝对路径,如果您的主配置文件中包含include <path>,则<path>为您的子配置文件路径) 2.找到KeepAlive将其设置为KeepAlive On如没有,请增加该项操作时建议做好记录或备份
13. 确保超时设置正确(高危)
确保超时设置正确入侵防范
描述
DoS的一种常用技术,常见的是发起与服务器的连接。 通过减少 旧连接超时后,服务器可以更快,更多地释放资源反应灵敏。 通过提高服务器效率,它将对DoS攻击的抵御性更好
检查提示
配置文件路径::/etc/httpd/conf/httpd.conf
加固建议
1.使用vim编辑器对配置文件进行编辑
vim path(path为apache配置文件路径例/usr/local/apache2/etc/httpd.conf或/etc/httpd/conf/httpd.conf或查找include文件或自定义安装请自行查找) 2.找到Timeout将其设置为Timeout 10如没有,请增加操作时建议做好记录或备份
14. 确保错误日志文件名和严重性级别配置正确(高危)
确保错误日志文件名和严重性级别配置正确 配置日志
描述
服务器错误日志非常宝贵,因为它们可用于发现潜在问题 在他们变得认真之前。 最重要的是,它们可以用来监视异常 行为,例如许多“未找到”或“未经授权”的错误,可能表明 攻击即将发生或已经发生。
检查提示
配置文件路径::/etc/httpd/conf/httpd.conf
加固建议
1.使用vim编辑器对配置文件进行编辑
vim path(path为主配置文件的绝对路径,如果您的主配置文件中包含include <path>,则<path>为您的子配置文件路径) 2.找到LogLevel将其设置为LogLevel notice3.找到ErrorLog建议设置为ErrorLog "logs/error_log"`或自定义路径 如没有,请增加操作时建议做好记录或备份
下一节:tomcat服务安全
跟我学,你的服务器够安全吗?第四篇----tomcat安全基线检查_zhumengyisheng的博客-CSDN博客本文为tomcat相关基线检查和漏洞修复https://blog.csdn.net/zhumengyisheng/article/details/121866907
如需实践,最好的选择是阿里云,买一个也不贵,实践实践,毕竟安全无小事,安全从来都是互联网企业的命脉,一旦被入侵,轻则信息泄露,重则所有服务瘫痪,所有服务器沦陷,所有服务都没了,所有信息没了,这是要出大事的。
所以,懂安全的人的价值不言而喻,不用多说了吧?
阿里云限量红包,速领。
阿里云限量红包
腾讯云优惠券_代金券_云服务器折扣券-腾讯云腾讯云优惠券,腾讯云代金券,腾讯云服务器折扣券https://cloud.tencent.com/act/vouchers/list?fromSource=gwzcw.2477393.2477393.2477393&utm_medium=cpc&utm_id=gwzcw.2477393.2477393.2477393&cps_key=b0c7af9380d6324294316347ba2c8a49 阿里云最新活动
最新活动_阿里云最新活动,阿里云最全的优惠聚集地
浅谈VPS云服务器(内含神秘大额专属特惠)_zhumengyisheng的博客-CSDN博客怎么做一个网站?都需要什么?要个服务器?要个域名?去哪里买?哪个好啊?有优惠吗?所有的优惠都在这里了,给自己建个网站吧,毕竟要学以致用啊!https://blog.csdn.net/zhumengyisheng/article/details/121391896
跟我学,你的服务器安全吗?第三篇----apache安全篇相关推荐
- 跟我学,你的服务器够安全吗?第四篇----tomcat安全篇
目录 前言 1.限制服务器平台信息泄漏(高危) 2.禁止显示异常调试信息(高危) 3.AJP协议文件读取与包含严重漏洞(高危) 4.开启日志记录(高危) 5.禁止Tomcat显示目录文件列表(高危) ...
- 小学计算机学情分析,小学信息技术教学计划【三篇】
[导语]本篇是无忧考网为您整理的小学信息技术教学计划[三篇],仅供大家参考. [第1篇] 一.教材分析 <小学信息技术(四年级上)>教材的主要内容是Word文本处理及编辑排版,也结合了电子 ...
- 跟我学,你的服务器安全吗?第一篇----centos系统安全篇
目录 前言 本文主要为centos的系统安全 常规基础操作 服务器使用密钥对登陆,相对密码登录更加安全 配置ECS自动快照策略 linux系统登陆弱口令检查-------系统登陆弱口令 重要软件OPE ...
- 跟我学,你的服务器安全吗?第二篇----数据库mysql安全篇
目录 前言 本节为数据库(mysql)安全篇 1.数据库登录弱口令(高危) 2.确保没有用户配置了通配符主机名(高危) 3.为MySQL服务使用专用的最低特权账户(高危) 4.禁止使用--skip-g ...
- 辽宁学考服务器位置,辽宁学考设置服务器地址
辽宁学考设置服务器地址 内容精选 换一换 通过云服务器或者外部镜像文件创建私有镜像时,如果云服务器或镜像文件所在虚拟机的网络配置是静态IP地址时,您需要修改网卡属性为DHCP,以使私有镜像发放的新云服 ...
- 服务器技术综述(三)
服务器技术综述(三)
- python初学者web还是爬虫-还在纠结学爬虫还是数据分析,不如看看这篇文章
原标题:还在纠结学爬虫还是数据分析,不如看看这篇文章 身为职场人,收集上万条表格数据做商业分析,裁剪上千张图片,发送数百封邮件...这些都是经常会遇到的场景.我一直期待能有个工具解放我,直到我遇到了P ...
- 魔兽世界 服务器维护,魔兽世界8.0:服务器崩溃紧急维护三小时 网易这次得背大锅!...
原标题:魔兽世界8.0:服务器崩溃紧急维护三小时 网易这次得背大锅! 魔兽世界8.0版本在8月14日凌晨6点30分准时开启,不知道有多少玩家彻夜难眠,定了不知道多少闹钟,甚至不惜请假.辞职只为了在第一 ...
- visual studio学习python_一步一步学Python3(小学生也适用) 第三篇: Visual Studio Code
工欲善其事,必先利其器: 器欲尽其用,必先得其法. 前面两章我们分别安装了Python3.8和在三种模式下运行了Python的print()函数程序.在开始我们正式学习Python基础语法时,我们先把 ...
最新文章
- 什么是互联网大厂_仅限今天!大厂最热数据分析经典实战项目大公开!
- 计算机应用专业综合理论试卷2009,2009年湖南对口升学计算机应用专业综合试卷121...
- html新增了哪些功能,HTML5相比HTML新增了哪些功能?
- Error creating bean with name ‘org.springframework.security.oauth2.config.annotation.web.configurati
- influxdb数据过期_Influxdb Cluster下的数据写入
- ios 常用操作-1
- WebApi系列(从.Net 到 .Net Core)【更新】
- linux系统学习第一天
- win7的centos虚拟机上搭建mysql5.6服务
- 从输入URL到页面呈现经历了哪些?DOM文档加载的步骤?
- Java程序员怎么优雅迈过30K+这道坎?附超全教程文档
- html鼠标悬停多个效果,33个jQuery与CSS3实现的绚丽鼠标悬停效果
- Python分析上证指数历史数据,发现估值还不够低……
- linux fat32分区容量,FAT32格式对硬盘分区容量有限制的吗?
- XSS线上靶场---haozi
- wordpress的excerpt()函数
- MySQL高手篇:精妙SQL语句介绍
- python pip gpl_Python PICOS包_程序模块 - PyPI - Python中文网
- 老鼠流和大象流:如何检测和监控周期性流量
- EXCEL的扩展名xls与xlsm有啥区别