CentOS下Apache安全設置指南

在CentOS下配置Apache服務器以提高安全性是一個涉及多個層面的任務。以下是一個詳細的安全設置指南：

1. 更新系統和Apache

• 定期更新系統：確保安裝了最新版本和Apache的安全補丁。

  sudo yum update
  

• 啟用HTTPS：使用SSL/TLS證書加密通信。

  sudo openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout /etc/pki/tls/private/server.key -out /etc/pki/tls/certs/server.crt
  

  編輯httpd.conf文件，配置SSL證書和密鑰路徑：

  SSLCertificateFile /etc/pki/tls/certs/server.crt
  SSLCertificateKeyFile /etc/pki/tls/private/server.key
  

  重啟Apache服務：

  sudo systemctl restart httpd
  

2. 強化SSH安全

• 修改SSH端口：避免使用默認的22端口。

  vi /etc/ssh/sshd_config
  Port 10000
  

• 禁用root用戶直接登錄：使用普通用戶登錄后再切換到root。

  PermitRootLogin no
  

• 啟用密鑰認證：禁用密碼認證。

  PasswordAuthentication no
  

  重啟SSH服務：

  sudo systemctl restart sshd
  

3. 禁用未使用的服務和端口

• 檢查并禁用不需要的服務和端口：

  service --status-all
  iptables -L
  

4. 禁用不必要的Apache模塊

• 編輯httpd.conf文件，關閉不需要的模塊。例如：

  # LoadModule cgi_module modules/mod_cgi.so
  # LoadModule php7_module modules/libphp7.so
  

5. 防止信息泄露

• 修改httpd.conf文件，隱藏服務器版本信息。例如：

  ServerTokens Prod
  ServerSignature Off
  

6. 配置防火墻

• 使用firewalld配置防火墻規則，允許HTTP(80)和HTTPS(443)流量。

  sudo firewall-cmd --permanent --zone public --add-service=http
  sudo firewall-cmd --permanent --zone public --add-service=https
  sudo firewall-cmd --reload
  

7. 強化用戶口令和保護口令文件

• 設置復雜口令，包含大寫字母、小寫字母、數字和特殊字符，長度大于10位。
• 使用chattr命令給/etc/passwd、/etc/shadow等文件加上不可更改屬性。

  sudo chattr +i /etc/passwd
  sudo chattr +i /etc/shadow
  

8. 防止未授權訪問

• 設置root賬戶自動注銷時限：修改/etc/profile文件中的TMOUT參數。

  TMOUT 300
  

• 限制su命令：編輯/etc/pam.d/su文件，限制只有特定組的用戶才能使用su命令切換到root。

  %pam-1.0 auth sufficient pam_wheel.so trust use uid
  

9. 防止IP欺騙和DoS攻擊

• 編輯host.conf文件和設置資源限制，如最大進程數和內存使用量。

10. 啟用SELinux

• 啟用并配置SELinux以增強系統安全性，限制Apache進程的權限。

  setenforce 1
  

11. 監控和日志記錄

• 配置日志記錄系統，以監控服務器的運行狀態和安全事件。

  ErrorLog logs/error_log
  CustomLog logs/access_log common
  

通過以上配置，可以顯著提高CentOS Apache服務器的安全性，減少潛在的安全風險。建議定期檢查和更新安全設置，以應對新的安全威脅。