查看完整版本: 20种让你的Apache更安全的设置(翻译)

20种让你的Apache更安全的设置(翻译)

原文来自: [url=http://www.petefreitag.com/item/505.cfm][color=#5c6c7d]http://www.petefreitag.com/item/505.cfm[/color][/url]
一. 确定你安装了最新的安全补丁.先把本文del.icio.us了，然后再回来看其他的。
二. 隐藏Apache的版本号，以及其他一些信息apache的默认设置公开了apache的版本号，操作系统，甚至还有已经安装了的apache组件。黑客们会利用这些信息更方便的去攻击你。并且，这些信息告诉了所有人：你的apache并没有经过配置
你可以在httpd.conf文件中，加上或者修改两条代码，隐藏信息。
[font=新宋体][color=#666666]ServerSignature Off
ServerTokens Prod[/color][/font]
[b]ServerSignature[/b] apache生成的一些页面底部,比如404页面,文件列表页面等等。
[b]ServerTokens[/b]指向被用来设置[b]Server[/b]的http头回响。设置为[b]Prod[/b]可以让HTTP头回响显示成这样….
[font=新宋体][color=#666666]Server: Apache[/color][/font]
如果是个超级偏执狂，你可以修改源代码或者使用mod_security，来显示比[b]Apache更多的东西.[/b]
确定apache是运行在它之下的用户和组之下。很多apache安装之后他们是运行在[b]nobody[/b]之下的。所以,每个运行在nobody之下的apache，将会被同组的邮件服务其攻击。chown apache.apache /var/…
[font=新宋体][color=#666666]User apache
Group apache[/color][/font]
确认根目录的东西是关闭的我们不惜王apache有修改根目录的全县。 所以，建议你所有的网站都放在一个目录下面(我们称为[b]/web[/b]，你可以象这样设置:

[font=新宋体][color=#666666]Order Deny,Allow
Deny from all
Options None
AllowOverride None[/color][/font]
Order Allow,Deny
Allow from all

[quote]由于我们设置了[b]Options None [/b]和[b]AllowOverride None[/b]，这将关闭options权限和覆盖权限，你现在必须为每个文件夹加上explicitly，为他们恢复Option和Override权限。
[/quote]关闭文件夹浏览你可以在httpd.conf的[b]Directory[/b]标签中间加上一个[b]Options[/b]指令
。 设置[b]Options[/b]为[b]None[/b]或者[b]-Indexes[/b]
[font=新宋体][color=#666666]Options -Indexes[/color][/font]
关闭服务器的side includes也要添加一条[b]Optoions[/b]指令到[b]Directory [/b]标签中, 使[b]Options[/b] 为 [b]None[/b]或者[b]-Includes[/b]
[font=新宋体][color=#666666]Options -Includes[/color][/font]
关掉CGI如果你不用CGI,那就在[b]Directory[/b]标签中加上一条[b]Options[/b]指令关掉他。 使[b]Options[/b]为[b]None[/b]或者[b]-ExecCGI[/b]
[font=新宋体][color=#666666]Options -ExecCGI[/color][/font]
不要让apache进入象征性links中(我理解的是#)也是在directory中修改Options 为 －FollowSymLinks
[font=新宋体][color=#666666]Options -FollowSymLinks[/color][/font]
关闭多选项关闭所有选项
[font=新宋体][color=#666666]Options none[/color][/font]
关闭几个选项
[font=新宋体][color=#666666]Options -ExecCGI -FollowSymLinks -Indexes[/color][/font]
关闭对 .htaccess 文件的支持。也在[b]Directory[/b]标签中，但是[b]AllowOverride[/b]指令
[font=新宋体][color=#666666]AllowOverride none[/color][/font]
如果你需要Overrides，需要确认他们不能被下载。改变他们的文件名，而不是原来的[b].htaccess[/b], 比如可以改为.httpdoveride, 或者屏蔽所有的.ht开头的文件。
[font=新宋体][color=#666666]AccessFileName .httpdoverride[/color][/font]
Order allow,deny
Deny from all
Satisfy All

运行 mod_securitymod_security 是一个非常好用的Apache组件.
通过mod_security你可以达到以下效果:
[list][*]简单的过滤[*]正则表达式过滤[*]URL 编码验证[*]Unicode编码验证[*]核查[*]Null值攻击预防[*]上传大小限制[*]服务器身份掩藏[*]内置Chroot支持[*]更多…[/list]关掉一些不需要的组件去[url=http://httpd.apache.org/docs/2.0/mod/][color=#59708c]module documentation[/color][/url] 看一下你到底需要哪些组件. 好多时候你会发现，你并不需要….
一行一行去查找你的httpd.conf里是否包含LoadModule, 可以用#放在行首去关闭组件。 如果象搜索组件，可以运行:
[font=新宋体][color=#666666]grep LoadModule httpd.conf[/color][/font]
这里有些组件常常打开的，但是不需要。
[b]mod_imap,mod_include,mod_info,mod_userdir,mod_status,mod0cgi,mod-autoindex.[/b]
去人只有root有阅读apache配置文件和bin文件的权限。[font=新宋体][color=#666666]chown -R root:root /usr/local/apache
chmod -R o-rwx /usr/local/apache[/color][/font]
减少Timeout值默认设置timeout指令是300秒。 你可以减小他，以预防一些潜在攻击。
[font=新宋体][color=#666666]Timeout 45[/color][/font]
减小最大请求apache有很多指令来减小请求数，一个很好的指令是[b]LimitRequestBody[/b]指令。 这条指令默认设置是无线的。 如果你想设置上传文件不能超过1MB， 你可以这样写:
[font=新宋体][color=#666666]LimitRequestBody 1048567[/color][/font]
如果不允许问文件上传。你可以设得更小。
其他得指令，可以看看[b]LimitRequestFields[/b],[b]LimitrequestFieldSize[/b] , [b]LimitRequestLine[/b]. 这些指令都是默认设置。但是你必须去优化他们，成为你需要的。 可以看看这个[url=http://httpd.apache.org/docs/2.0/mod/core.html][color=#59708c]文档[/color][/url]
限制XML body区的大小如果你运行了mod_dav,你会希望限制XML 请求的body大小。 LimitXMLRequestBody指令只有在Apache2中有。 并且他的默认值是1个millon字节大小，大约1M, 很多教材上说这里设置为0比较好，这就意味着多大的文件都可以上传，如果你需要上传大文件的话。 但是如果你简单的改变一下控制。 你可以大概的设置成10MB
[font=新宋体][color=#666666]LimitXMLRequestBody 10485760[/color][/font]
限制并发apache有些设置可以限制并发请求。MaxClients就是服务器能承受的最大用户值。
其他的指令比如MaxSpareServers，MaxRequestsPerChild, Apache2上的 ThreadsPerChild,ServerLimit,和MaxSpareThreads 和你的系统硬件配置的配合都是很重要的。
IP限制地址段如果你有一些资源只能给特定的网段使用…176。16.0.0–176.16.0.16
[color=#666666][font=新宋体]Order Deny,Allow
deny from all
Allow from 176.16.0.0/16
[/font][/color]或者也可以限定单一IP
[font=新宋体][color=#666666]Order Deny,Allow
Deny from all
Allow from 127.0.0.1[/color][/font]
调整KeepAlive 设置MaxKeepAliveRequests –> 100 — (你需要的数)
KeepAliveTimeout –> 15 –(你需要的数)
在Chroot环境运行apache(没翻译. )chroot allows you to run a program in its own isolated jail. This prevents a break in on one service from being able to effect anything else on the server.
It can be fairly tricky to set this up using chroot due to library dependencies. I mentioned above that the mod_security module has built in chroot support. It makes the process as simple as adding a mod_security directive to your configuration:
SecChrootDir /chroot/apache
There are however some caveats however, so check out the docs for more info.