Apache ist der beliebteste und am häufigsten verwendete Webserver der Welt, und es ist der erste Webserver, der verwendet wird, um mehr als 100 Millionen Websites auf der ganzen Welt zu bedienen. Apache ist als sehr sicherer Webserver bekannt, aber in diesem Artikel werden wir einige grundlegende Konfigurationsänderungen erläutern, um Apache auf einem CentOS VPS noch sicherer zu machen.
1. Apache auf dem neuesten Stand halten
Der wichtigste Sicherheitstipp, nicht nur für Apache, sondern für alle Dienste, Anwendungen und Skripte, ist, sie auf dem neuesten Stand zu halten, indem Sie aktualisieren, wenn eine neue Version herauskommt. Apache wird aktiv weiterentwickelt und die Sicherheitsprobleme werden in den neuen Versionen behoben.
Um den Apache-Webserver auf die neueste verfügbare Version zu aktualisieren, führen Sie den folgenden Befehl aus
yum -y update httpd
2. Blenden Sie die Apache-Version und die Identität des Betriebssystems aus
Die ServerSignature-Anweisung ist standardmäßig aktiviert und zeigt die auf Ihrem Server installierte Apache-Version und das von Ihnen verwendete Betriebssystem an. Angreifer können diese Informationen leicht gegen Ihren Server verwenden. Um diese wichtigen Informationen auszublenden, müssen Sie zwei Anweisungen in der Apache-Konfigurationsdatei ändern.
Öffnen Sie die Apache-Konfigurationsdatei, suchen Sie die Anweisungen und nehmen Sie die folgenden Änderungen vor.
vi /etc/httpd/conf/httpd.confServerSignature OffServerTokens Prod
3. Verzeichnisliste deaktivieren
Wenn die Verzeichnisliste nicht deaktiviert ist, kann jeder den Inhalt der Verzeichnisse unter dem Dokumentstammverzeichnis auflisten. Die Verzeichnisliste kann mit der Anweisung „Options“ in der Apache-Konfigurationsdatei deaktiviert werden.
Öffnen Sie die Konfigurationsdatei mit einem Texteditor und fügen Sie die folgende Direktive hinzu
Optionen -Indizes
Ersetzen Sie „/your/document/root“ durch den Pfad zum eigentlichen Dokument-Root-Verzeichnis.
4. Installieren und verwenden Sie das Modul mod_security
mod_security ist ein sehr nützliches Apache-Modul. Es stärkt die Sicherheit des Apache-Webservers und schützt Ihre Website vor verschiedenen Angriffen, indem fast alle allgemein bekannten Exploits blockiert werden.
Um mod_security auf Ihrem CentOS-Server zu installieren und zu konfigurieren, lesen Sie bitte unsere Installationsanleitung:
– Installieren Sie mod_security mit dem OWASP-Kernregelsatz auf einem CentOS-VPS
5. Deaktivieren Sie alle unnötigen Module
Apache hat viele Module und einige davon sind in der Standard-Apache-Installation aktiviert. Nicht alle werden benötigt und es wird empfohlen, die nicht verwendeten Module zu deaktivieren. Sie können den folgenden Befehl verwenden, um alle aktivierten Apache-Module aufzulisten
httpd -MLoaded Modules:core_module (static)mpm_prefork_module (static)http_module (static)so_module (static)auth_basic_module (shared)auth_digest_module (shared)authn_file_module (shared)authn_alias_module (shared)authn_anon_module (shared)....Sie können die offizielle Apache-Dokumentation für die Module lesen, um mehr über ihre Funktionalität zu erfahren.
Alle unnötigen Module können deaktiviert werden, indem das Zeichen „#“ am Anfang der LoadModule-Zeile in der Webserver-Konfigurationsdatei hinzugefügt wird. Zum Beispiel:
vi /etc/httpd/conf/httpd.conf# LoadModule auth_basic_module modules/mod_auth_basic.so# LoadModule auth_digest_module modules/mod_auth_digest.so6. Anfragegröße begrenzen
Die Apache-Direktive „LimitRequestBody“ kann verwendet werden, um die Anzahl der Bytes zu begrenzen, die in einem Anforderungstext zulässig sind. Das Limit hängt hauptsächlich von den Anforderungen Ihrer Website ab. Standardmäßig ist das „LimitRequestBody“-Limit auf unbegrenzt eingestellt und kann Sie zum Opfer von Denial-of-Service-Angriffen (DOS) machen.Das Limit dieser Apache-Anweisung kann von 0 (unbegrenzt) bis 2147483647 (2 GB) eingestellt werden. Wenn Sie beispielsweise das Hochladen von Dateien mit einer Größe von 100 KB in das Verzeichnis /var/www/html/upload zulassen möchten, können Sie die folgende Anweisung in die Apache-Konfigurationsdatei einfügen.
LimitRequestBody 102400 7. Protokollierung aktivieren
Protokolldateien sind immer sehr hilfreich, um mehr Informationen über die Ereignisse zu erhalten, die auf Ihrem Server auftreten. Daher empfiehlt es sich, die Apache-Protokollierung zu aktivieren. Es liefert Ihnen weitere Informationen und Details zu allen Client-Anfragen, die auf Ihrem Webserver gestellt werden. Um die Apache-Protokollierung zu aktivieren, sollten Sie sicherstellen, dass das Modul „log_config_module“ auf Ihrem Server aktiviert ist.httpd -M |grep log_config_moduleSyntax OKlog_config_module (freigegeben)Das Apache-Modul „log_config_module“ aktiviert die Funktionalität der Anweisungen „TransferLog“, „LogFormat“ und „CustomLog“, die zum Erstellen einer Protokolldatei verwendet werden können.
Natürlich müssen Sie nichts davon tun, wenn Sie einen unserer Linux-VPS-Hosting-Dienste nutzen. In diesem Fall können Sie einfach unsere erfahrenen Linux-Administratoren bitten, den Apache-Webserver für Sie zu härten. Sie sind rund um die Uhr erreichbar und kümmern sich umgehend um Ihr Anliegen.
PS. Wenn Ihnen dieser Beitrag gefallen hat, teilen Sie ihn bitte mit Ihren Freunden in den sozialen Netzwerken über die Schaltflächen auf der linken Seite oder hinterlassen Sie einfach unten eine Antwort. Danke.