Apache安全配置方案
from:http://drops.wooyun.org/%e8%bf%90%e7%bb%b4%e5%ae%89%e5%85%a8/2727
apache的一些配置主要是通过httpd.conf来实现的,但是可以在httpd.conf中开启对.htaccess的支持,然后在.htaccess中进行配置。不过一般情况下,不应该使用.htaccess文件,除非你对主配置文件没有访问权限。.htaccess文件应该被用在内容提供者需要针对特定目录改变服务器的配置而又没有root权限的情况下。如果服务器管理员不愿意频繁修改配置,则可以允许用户通过.htaccess文件自己修改配置。
1、隐藏banner信息
ServerTokens OS 修改为:ServerTokens Prod (在出现错误页的时候不显示服务器操作系统的名称)
2、配置httpd.conf禁止目录浏览
将Options Indexes FollowSymLinks改为Options -Indexes FollowSymLinks
3、配置httpd.conf设置默认文档
DirectoryIndex index.html
4、合理控制apache运行账户对sh等的执行权限
取消掉了运行账户对sh等的执行权限后能够防止webshell通过默认的sh执行命令
5、配置httpd.conf取消对上传目录的php执行权限
Deny from all
6、配置httpd.conf限制禁止访问的文件夹,例如后台目录
Deny from all
7、配置httpd.conf限制一些特殊目录的特定ip访问,如内部接口等。
Order Deny,Allow
Deny from all
Allow from 192.168.1.111
8、配置httpd.conf限制一些文件类型的访问,如txt的日志
Order allow,deny
Deny from all
9、配置httpd.conf修改修改监听端口来防止一些内部系统被扫描
样可以防止一些直接扫描80端口的黑客
Listen 12345
10、关闭对.htaccess的支持
AllowOverride All 改为 AllowOverride None
11、配置httpd.conf记录访问日志
.htaccess常见配置方法参考
首先,不建议使用.htaccess,其次,使用.htaccess需要在httpd.conf中开启,最后,开始.htaccess支持后需要在httpd.conf中配置防止.htaccess文件被下载,下面介绍几个基本配置方法不全,更多的可以参考其他网站专门针对.htaccess 的配置方法。
1. 定制目录的默认文档
DirectoryIndex index.html index.php index.htm
2. 定制错误页面
ErrorDocument 404 errors/404.html
3. 控制访问文件和目录的级别
order deny,allow
deny from all
allow from 192.168.0.0/24
4. 防止列目录
Options -Indexes