阿帕奇概述3安全措施
1. 零日攻击防御措施 rì
背景:当Apache发布最新版本或安全补丁时,立即做出相应是一项困难的任务。因此,会有可能遭受利用漏洞的零日攻击。为了应对这样的风险,隐藏服务器版本信息变得非常重要。
对策1:通过以下命令来隐藏公开的服务器信息,设置在多大程度上公开信息:
ServerTokens Productonly
通过上述命令,通过将Productonly作为参数,仅将公开的信息限制为apache这个名称。
对策2:隐藏出现在错误消息页脚上的信息。
ServerSignature off
解决方案3:为了不被识别为Apache,采取Apache特有的URL的斜杠保护措施
AllowEncodedSlashes打开
解决方案4:禁用.htaccess
由于.htaccess允许用户对apache进行操作,因此需要禁用它。
AllowOverride None←禁止通过.htaccess进行设置覆盖
解决方案5:限制用户主页的公开(可能用于登录管理等)
确定禁止特定用户的内容公开
UserDir Public_html
其他:禁止更改文档根目录或直接使用图像链接等操作。
2■HTTPS的实现
①安装mod_ssl
如果需要使用HTTPS,需要安装mod_ssl模块。
②准备公钥/私钥/服务器证书
【重要!如果只是进行加密通信,则不需要向证书颁发机构申请服务器证书!】
据说mod_ssl已经准备好了公钥、私钥和服务器证书的文件。
将使用openssl命令进行创建。
③修改Apache的配置
「#Include conf/extra/httpd-ssl.conf」
↓
「Include conf/extra/httpd-ssl.conf」
*去掉井号
④访问网站
*如果是使用自签名证书创建的,会出现错误
如果将证书设置为可信任,是否可以访问??
关于通过CA进行颁发的事情,之后再调查一下。
