如何在Ubuntu上配置Apache2安全策略

以下是在Ubuntu上配置Apache2安全策略的關鍵步驟：

1. 更新系統與軟件包

   sudo apt update && sudo apt upgrade  
   

2. 安裝必要模塊與工具
   • 啟用SSL模塊：sudo a2enmod ssl
   • 安裝證書工具：sudo apt install certbot python3-certbot-apache
3. 配置SSL/TLS加密
   • 生成自簽名證書（測試用）：

     sudo openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout /etc/apache2/ssl/apache.key -out /etc/apache2/ssl/apache.crt  
     

   • 編輯虛擬主機配置（如/etc/apache2/sites-available/default-ssl.conf）：

     <VirtualHost *:443>  
         SSLEngine on  
         SSLCertificateFile /etc/apache2/ssl/apache.crt  
         SSLCertificateKeyFile /etc/apache2/ssl/apache.key  
     </VirtualHost>  
     

   • 啟用站點并重啟：sudo a2ensite default-ssl && sudo systemctl restart apache2
4. 限制訪問權限
   • 使用Require指令（推薦）：

     <Directory /var/www/html/restricted>  
         Require ip 192.168.1.1  
     </Directory>  
     

   • 或通過.htaccess文件設置密碼認證：

     sudo htpasswd -c /etc/apache2/.htpasswd username  
     

5. 隱藏服務器信息
   • 修改/etc/apache2/apache2.conf：

     ServerSignature Off  
     ServerTokens Prod  
     

6. 防范攻擊
   • 啟用mod_evasive防御DoS攻擊：

     sudo apt install libapache2-mod-evasive  
     

     編輯配置文件/etc/apache2/mods-available/evasive.conf設置閾值。
7. 配置防火墻
   • 允許HTTP/HTTPS流量：sudo ufw allow 'Apache Full'
8. 日志與監控
   • 確保日志路徑正確（默認/var/log/apache2/），定期分析異常請求。

注意：生產環境中建議使用受信任CA簽發的證書，避免使用自簽名證書。配置后需重啟Apache服務生效。
參考來源：[1,2,3,4,5,6,7,8,9,10,11]