信息安全-网站应用-Apache安全加固

一、 网站后台只允许特定ip访问。
网站管理后台,对网站的管理具有较高的权限,如果可以任意访问,则存在较大的安全风险。可以通过如下步骤,限制网站后台的访问ip地址。
说明:由于管理员使用的公网ip可能是动态,所以建议将允许访问的ip地址,设置成网段的形式,掩码建议使用255.255.0.0

(1)vim /etc/httpd/conf/httpd.conf
添加如下代码

<Diretory "/www/admin">
  Order allow,deny
  allow from 192.168.0.1/255.255.0.0
</Directory>

说明:其中"/www/admin"为网站后台的目录,192.168.0.1需替换成对应公网地址

(2)让配置生效

Service httpd restart

二、 网站后台认证信息加密
Apache默认的用户认证方式中,用户名和口令都是使用明文传输。在面对中间人攻击的场景时,容易导致用户凭证被窃取。所以需要对用户凭证进行加密,才能有效降低管理员账号密码被窃取的风险。

(1)创建认证用户

htdigest -c /etc/httpd/conf/htpasswd.users "check" ad

说明:-c为首次创建用户时使用的参数,其他时候需省略;check 为认证域,可自定义,但是要与AuthName的值保持一致;ad为用户名;回车后,按照提示输入密码即可;
(2)修改配置文件

vim /etc/httpd/conf/httpd.conf

添加如下内容:

<Directory "/www/admin">
AuthName "check"
AuthType Digest
AuthUserFile /etc/httpd/conf/htpasswd.users
Require valid-user
</Directory>

说明:AuthUserFile为配置文件路径;"/www/admin"为网站后台目录;使用Service httpd restart命令,让配置生效

三、 隐藏Apache的版本号
一般软件的漏洞与软件的版本相对应,当攻击者知道Apahce的版本后,则知道其可能包含的漏洞。为了降低系统的攻击面,需要对Apahce的版本号进行隐藏。
(1)编辑配置文件

vim /etc/httpd/conf/httpd.conf

参数修改成如下内容

ServerTokens Prod
ServerSignature Off

(2)让配置生效

Service httpd restart
上一篇:Niponwar精彩创意标志


下一篇:Linux定时器的使用