Apache安全配置要点：防止网站被攻击

基础安全配置

1. 隐藏Apache版本信息

   ServerTokens Prod
   ServerSignature Off
   

2. 限制目录访问权限

   <Directory />
    Options None
    AllowOverride None
    Order deny,allow
    Deny from all
   </Directory>
   

3. 禁用不必要的HTTP方法

   <LimitExcept GET POST>
    Deny from all
   </LimitExcept>
   

访问控制

1. IP限制

   Order deny,allow
   Deny from all
   Allow from 192.168.1.0/24
   

2. 用户认证

   AuthType Basic
   AuthName "Restricted Area"
   AuthUserFile /path/to/.htpasswd
   Require valid-user
   

模块安全

1. 禁用不必要模块

   a2dismod autoindex cgi status
   

2. 推荐启用模块

   a2enmod mod_security mod_evasive mod_headers
   

HTTPS配置

1. 强制HTTPS

   RewriteEngine On
   RewriteCond %{HTTPS} off
   RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]
   

2. 安全SSL配置

   SSLProtocol all -SSLv2 -SSLv3
   SSLCipherSuite HIGH:!aNULL:!MD5:!3DES
   SSLHonorCipherOrder on
   

文件上传安全

1. 限制上传文件类型

   <FilesMatch "\.(php|pl|py|jsp|asp|sh|cgi)$">
    ForceType text/plain
   </FilesMatch>
   

2. 禁用PHP执行

   php_admin_flag engine off
   

日志与监控

1. 详细日志记录

   LogLevel warn
   ErrorLog /var/log/apache2/error.log
   CustomLog /var/log/apache2/access.log combined
   

2. 日志轮转

   # 配置logrotate
   /etc/logrotate.d/apache2
   

高级安全措施

1. 安装ModSecurity

   apt-get install libapache2-mod-security2
   mv /etc/modsecurity/modsecurity.conf-recommended /etc/modsecurity/modsecurity.conf
   

2. 配置ModSecurity规则

   SecRuleEngine On
   SecRequestBodyLimit 10MB
   SecRequestBodyNoFilesLimit 1MB
   

3. 安装ModEvasive防DDoS

   apt-get install libapache2-mod-evasive
   

定期维护

1. 保持Apache更新

   apt-get update && apt-get upgrade apache2
   

2. 定期安全审计

   apache2ctl -t  # 测试配置
   nikto -h yourdomain.com  # 安全扫描
   

3. 文件权限检查

   find /var/www -type d -exec chmod 750 {} \;
   find /var/www -type f -exec chmod 640 {} \;
   chown -R www-data:www-data /var/www
   

通过实施这些安全措施，可以显著提高Apache服务器的安全性，减少被攻击的风险。建议定期审查和更新这些配置，以应对新出现的安全威胁。