centos apache安全防護怎么做

以下是CentOS下Apache的安全防護要點：

1. 系統與軟件更新
   定期更新系統和Apache軟件包，修復漏洞：

   sudo yum update -y  
   

2. 安裝安全模塊

   • mod_security：檢測并阻止惡意請求（如SQL注入、XSS攻擊）。

     sudo yum install mod_security -y  
     

     啟用并配置規則：編輯/etc/httpd/conf.d/security2.conf，設置SecRuleEngine On。
   • mod_evasive：防御CC攻擊，限制IP訪問頻率。

     sudo yum install mod_evasive -y  
     

     配置參數如DOSPageCount（單頁請求限制）、DOSBlockingPeriod（封禁時長）。

3. 防火墻配置
   使用firewalld開放HTTP/HTTPS端口，限制非必要流量：

   sudo firewall-cmd --permanent --add-service=http  
   sudo firewall-cmd --permanent --add-service=https  
   sudo firewall-cmd --reload  
   

4. 隱藏敏感信息

   • 修改Apache配置隱藏版本號：在/etc/httpd/conf/httpd.conf中添加ServerTokens Prod。
   • 禁用目錄列表：在虛擬主機或目錄配置中設置Options -Indexes。

5. 權限與SELinux

   • 以專用用戶（如apache）運行服務，限制文件權限：

     sudo chown -R apache:apache /var/www/html  
     sudo chmod -R 755 /var/www/html  
     

   • 若啟用SELinux，確保允許Apache訪問必要目錄：

     sudo setsebool -P httpd_can_network_connect 1  
     sudo chcon -Rt httpd_sys_content_t /var/www/html  
     

6. SSL/TLS加密
   使用Let’s Encrypt免費證書啟用HTTPS，保護數據傳輸：

   sudo yum install certbot python2-certbot-apache  
   sudo certbot --apache -d yourdomain.com  
   

7. 訪問控制與日志監控

   • 通過.htaccess或主配置文件限制IP訪問：

     <RequireAll>  
         Require ip 192.168.1.0/24  
     </RequireAll>  
     

   • 定期分析/var/log/httpd/access_log和error_log，發現異常訪問。

8. 定期備份與測試
   備份配置文件和網站數據，定期模擬攻擊測試防護有效性。

參考來源：