LinuxApacheWeb服务器安全设置技巧.doc.docx

Linux Apache Web服务器安全设置技巧方法步骤第一、定期更新系统首先，我们需要确保是已经安装了最新版本和 Apache的安全补丁和附加如 CGI , Perl和PHP脚本代码我们需要定 期更新数据源依赖包操作 Ubuntu/Debianapt-get update; apt-get dist-upgrade# Fedora/Centos/RedHatyum update根据自己的系统环境选择更新升级命令第二、设置和保护我们的 SSH安全我们在拿到 VPS之后，建议修改端口、 ROOT密码、以及授权单独的非 ROOT用户权限管理，或者我们也可以采用 密钥的方式登录 SSH客户端管理VPSo比如可以参考设置 Putty SSH使用密钥登录 Linux VPS主机和Xshell设置密钥 登录确保Linux VPS及服务器更加安全文章设置密钥登陆第三、禁用未使用的服务为了确保我们的 Web服务器安全，建议你检查服务器上 所有正在运行的服务和开放的端口，禁用我们不需要在服务 器上的所有服务 要显示所有服务 service --status-all#显示所有的端口规则 iptables -L#显示所 有的运 行信息(redhat/centos/fedora)chkcon的--list#检查/etc/init.d是否有可疑脚本 ls /etc/init.d第四、禁用不必要的 Apache模块默认情况下，Apache很多模块都开启的，但是有些并不需要使用，我们可以关闭和精简。

比如以前有分享过的 6步骤实现CentOS系统环境精简优化和 4步骤实现Debian系统环境精简优化可以有效的提高执行效率降低占用资源率A - Ubuntu/Debiancat /etc/apache2/mods-enabled/* | grep -i loadmodule开启模块a2enmod module_name关闭模块a2dismod module_nameB - Centos/Fedora/RedHatcat /etc/httpd/conf/httpd.conf | grep -i LoadModule编辑httpd.conf文件，搜索 LoadModule关键字，需要关闭的在前面加上#备注保存就可以，相反启动则去掉 #第五、让Apache以指定的用户和组来运行大多数默认的 Apache使用的是默认用户和组为 apache的，为了确保安全，我们可以使用不同的用户 /组假设你运行的邮件服务器作为 nobody用户，你用相同的用户运行的Apache如果您的邮件服务器被攻破，你的 Apache也将受到影响比如，我们在以 root身份运行，如果有安全风险，那整个系统将在很大的风险要检查 /更改用户/组，编辑httpd.conf 文件。

? 1 2 3 4 #Fedora/Centos/Redhat vi /etc/httpd/conf/httpd.conf #Ubuntu/Debianvi /etc/apache2/httpd.conf 我们可以使用默认的用户组，也可以创建新的用户 /组复制代码代码如下：User apacheGroup apache 第六、防止信息泄露 默认的Apache安装后会在默认页面体现由端口、版本信 息等，我们需要隐藏这些信息234#Fedora/Centos/Redhatvi /etc/httpd/conf/httpd.conf#Ubuntu/Debianvi /etc/apache2/conf-enabled/security.conf搜索ServerTokens和ServerSignature字符，然后对应修改ServerTokens ProdServerSignature Off然后重启Apache#Fedora/Centos/Redhatservice apache2 restart#Ubuntu/Debianservice httpd restart然后我们的404页面就看不到版本信息。

第七、隐藏PHP版本信息#Fedora/Centos/Redhatvi /etc/php.ini#Ubuntu/Debianvi /etc/php5/apache2/php.ini然后搜索expose_php,对应的参数on改成off第八、禁用自动索引模块#Fedora/Centos/Redhat/etc/httpd/conf/httpd.conf把 LoadModule autoindex_modulemodules/mod_autoindex.so 一行前面加上 #禁止掉#Ubuntu/Debianrm -rf /etc/apache2/mods-enabled/autoindex.conf删除自动索引模块总结，以上老左就整理到 8点Apache的安全设置，还有一些设置我们可以查看.htaccess文件的安全设置，我们不容 小视这个小文件，有些安全设置还是需要通过 .htaccess文件的，以后有时间专门整理一篇无论如何，不管我们使用的 是虚拟主机，还是VPS/服务器，我们需要随时监控和定时备 份网站和项目数据相关阅读：1月，英特尔处理器中曝 Meltdown（熔断）和Spectre （幽灵）两大新型漏洞，包括 AMD、ARM、英特尔系 统和处理器在内，几乎近发售的所有设备都受到影响，受影 响的设备包括、电脑、服务器以及云计算产品。

这些漏 洞允许恶意程序从其它程序的内存空间中窃取信息，这意味 着包括密码、帐户信息、加密密钥乃至其它一切在理论上可 存储于内存中的信息均可能因此外泄二、GitHub 遭遇大规模 Memcached DDoS攻击2月，知名代码托管网站 GitHub遭遇史上大规模 Memcached DDoS 攻击，流量峰值高达 1.35 Tbps然而，事 情才过去五天，DDoS攻击再次刷新纪录，美国一家服务提 供商遭遇DDoS攻击的峰值创新高，达到1.7 Tbps!攻击者利 用暴露在网上的 Memcached服务器进行攻击网络安全公 司Cloudflare的研究人员发现，截止 2月底，中国有2.5万 Memcached服务器暴露在网上 三、苹果iOS iBoot源码泄露2月，开源代码分享网站 GitHub（软件项目托管平台）上有 人共享了 iPhone操作系统的核心组件源码，泄露的代码属 于iOS安全系统的重要组成部分 iBootiBoot相当于是 Windows电脑的BIOS系统此次iBoot源码泄露可能让 数以亿计的iOS设备面临安全威胁iOS与MacOS系统 开发者Jonathan Levin表示，这是 iOS历史上最严重的一 次泄漏事件。

四、韩国平昌冬季奥运会遭遇黑客攻击2月，韩国平昌冬季奥运会开幕式当天遭遇黑客攻击， 此次攻击造成网络中断，广播系统（观众不能正常观看直播）和 奥运会官网均无法正常运作，许多观众无法打印开幕式门 票，最终未能正常入场五、加密货币采矿软件攻击致欧洲废水处理设施瘫痪2月中旬，工业网络安全企业 Radiflow 公司表示，发现 四台接入欧洲废水处理设施运营技术网络的服务器遭遇加 密货币采矿恶意软件的入侵该恶意软件直接拖垮了废水处 理设备中的 HMI服务器 CPU,致欧洲废水处理服务器瘫 痪Radiflow公司称，此次事故是加密货币恶意软件首次对 关键基础设施运营商的运营技术网络展开攻击由于受感染 的服务器为人机交互（简称HMI）设备，之所以导致废水处理 系统瘫痪，是因为这种恶意软件会严重降低 HMI的运行速度 。