信息安全-网站应用-Apache安全加固

一、 网站后台只允许特定ip访问。

网站管理后台，对网站的管理具有较高的权限，如果可以任意访问网站安全加固，则存在较大的安全风险。可以通过如下步骤，限制网站后台的访问ip地址。

说明：由于管理员使用的公网ip可能是动态，所以建议将允许访问的ip地址，设置成网段的形式，掩码建议使用255.255.0.0

（1）vim /etc/httpd/conf/httpd.conf

添加如下代码

  Order allow,deny
  allow from 192.168.0.1/255.255.0.0

说明：其中"/www/admin"为网站后台的目录，192.168.0.1需替换成对应公网地址

（2）让配置生效

Service httpd restart

二、 网站后台认证信息加密

Apache默认的用户认证方式中，用户名和口令都是使用明文传输。在面对中间人攻击的场景时，容易导致用户凭证被窃取。所以需要对用户凭证进行加密，才能有效降低管理员账号密码被窃取的风险。

（1）创建认证用户

htdigest -c /etc/httpd/conf/htpasswd.users "check" ad

说明：-c为首次创建用户时使用的参数，其他时候需省略；check 为认证域，可自定义，但是要与AuthName的值保持一致；ad为用户名；回车后，按照提示输入密码即可；

（2）修改配置文件

vim /etc/httpd/conf/httpd.conf

添加如下内容：

AuthName "check"
AuthType Digest
AuthUserFile /etc/httpd/conf/htpasswd.users

Require valid-user

说明：AuthUserFile为配置文件路径；"/www/admin"为网站后台目录；使用Service httpd restart命令，让配置生效

三、 隐藏Apache的版本号

一般软件的漏洞与软件的版本相对应，当攻击者知道Apahce的版本后，则知道其可能包含的漏洞。为了降低系统的攻击面，需要对Apahce的版本号进行隐藏。

（1）编辑配置文件

vim /etc/httpd/conf/httpd.conf

参数修改成如下内容

ServerTokens Prod
ServerSignature Off

（2）让配置生效

Service httpd restart

（编辑：晋中站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!