一、確保你安裝的是最新的補丁
如果門是敞開的話,在窗戶上加鎖就毫無意義。同樣道理,如果你沒有打補丁,繼續下面的操作就沒有什麼必要。
二、隱藏Apache的版本號及其它敏感信息
默認情況下,很多Apache安裝時會顯示版本號及操作系統版本,甚至會顯示服務器上安裝的是什麼樣的Apache模塊。這些信息可以爲黑客所用,並且黑客還可以從中得知你所配置的服務器上的很多設置都是默認狀態。
這裏有兩條語句,你需要添加到你的httpd.conf文件中:
ServerSignature Off
ServerTokens Prod
ServerSignature出現在Apache所產生的像404頁面、目錄列表等頁面的底部。ServerTokens目錄被用來判斷Apache會在Server HTTP響應包的頭部填充什麼信息。如果把ServerTokens設爲Prod,那麼HTTP響應包頭就會被設置成:
Server:Apache
如果你非常想嘗試其它事物,你可以通過編輯源代碼改成不是Apache的其它東西,或者你可以通過下面將要介紹的mod_security實現。
沒有關閉看到信息是:Apache/2.2.9 (Ubuntu) PHP/5.2.6-2ubuntu4.1 with Suhosin-Patch Server at 203.86.2.51 Port 80
三、確保Apache以其自身的用戶賬號和組運行
有的Apache安裝過程使得服務器以nobody的用戶運行,所以,假定Apache和你的郵件服務器都是以nobody的賬號運行的,那麼通過Apache發起的攻擊就可能同時攻擊到郵件服務器,反之亦然。
User apache
Group apache
四、確保web根目錄之外的文件沒有提供服務
我們不讓Apache訪問web根目錄之外的任何文件。假設你的所以web站點文件都放在一個目錄下(例如/web),你可以如下設置:
Order Deny,Allow
Deny from all
Options None
AllowOverride None
Order Allow,Deny
Allow from all
注意,因爲我們設置Opitins None 和AllowOverride [...]
