保护CentOS 6上的Apache服务器

• 第1步-安装Web服务器
• 第2步-保护主目录
• 第3步-将安全补丁程序应用到Apache以进行用户权限分离
• 第3步-创建您的第一个虚拟主机
• 第4步-配置Apache以其他用户身份运行
• 第5步-隐藏Apache的版本
• 第6步-重新启动Apache以应用更改
• 结论

保护��务器安全时很容易采取捷径，但是如果攻击者获得对任何服务器的根访问权限，则可能会丢失数据。即使是简单的安装，也需要预先保护服务器。保护服务器安全是一个广泛的主题，并且取决于服务器上运行的操作系统和应用程序的不同。

本教程重点介绍在CentOS 6下保护Apache的安全。您可以执行一些安装后步骤，以保护自己免受特权升级和特权不足攻击的侵害。

事不宜迟，让我们开始吧。

第1步-安装Web服务器

当然，如果您没有安装Apache或PHP，则应该立即进行。以root用户身份执行此命令，或使用sudo：

yum install httpd php

第2步-保护主目录

现在已经安装了Apache，让我们继续并保护它。首先，我们要确保除所有者以外，其他用户的目录均不可见。我们会将所有主目录更改为700，这样只有主目录的各自所有者才能查看自己的文件。以超级用户身份运行此命令，或使用sudo：

chmod 700 /home
chmod 700 /home/*
chmod 700 /home/*/*

通过使用通配符，我们覆盖了当前驻留在主目录中的所有文件。

第3步-将安全补丁程序应用到Apache以进行用户权限分离

在修补Apache之前，我们需要先安装包含带有补丁的软件包的存储库。以超级用户（或sudo）身份运行以下命令。

yum install epel-release
yum install httpd-itk

使用“ apache2-mpm-itk”，我们可以确定应该基于虚拟主机运行的用户PHP。它添加了一个新的配置选项AssignUserId virtualhost-user virtualhost-user-group，使我们可以告诉Apache / PHP以特定的用户帐户执行用户代码。

如果您要共享此服务器，则假定您之前已经为Apache创建了虚拟主机。在这种情况下，您可以跳到步骤4。

第3步-创建您的第一个虚拟主机

您可以按照以下模板在Apache中创建虚拟主机。

NameVirtualHost mytest.website

<VirtualHost mytest.website>

DocumentRoot /home/vhost-user/public_html
ServerName mytest.website
</VirtualHost>

打开您喜欢的文本编辑器/etc/httpd/conf.d/example-virtualhost.conf，然后将上面的内容添加到其中。这是使用nano的命令：

nano /etc/httpd/conf.d/example-virtualhost.conf

让我在这里解释配置。当我们指定“ NameVirtualHost”时，实际上是在告诉Web服务器我们在一个IP上托管多个域。现在，在此示例中，我以示例域为例。将其更改为您自己的，或您选择的域。告诉Apache内容位于何处。是我们用来告诉Apache网站域名的指令。最后一个标记，告诉Apache虚拟主机配置的结束。mytest.websiteDocumentRootServerName</VirtualHost>

第4步-配置Apache以其他用户身份运行

如前所述，保护服务器安全的一部分包括以每个虚拟主机的单独用户身份运行Apache / PHP。在应用补丁后，告诉Apache做到这一点很简单-您所需要做的就是添加：

AssignUserId vhost-user vhost-user-group

...根据您的配置。添加此选项后，示例虚拟主机的外观如下所示：

NameVirtualHost mytest.website

<VirtualHost mytest.website>

DocumentRoot /home/vhost-user/public_html
ServerName mytest.website
AssignUserId vhost-user vhost-user-group

</VirtualHost>

魔术始于AssignUserId。使用此选项，我们告诉Apache / PHP以以下用户/组身份运行。

第5步-隐藏Apache的版本

这一步很简单；只需以root用户身份执行以下命令即可打开Apache的配置文件：

nano /etc/httpd/conf/httpd.conf

找到“ ServerTokens”，然后将其更改为“ ProductOnly”。这告诉Apache仅显示它是“ Apache”，而不是“ Apache / 2.2”或类似名称。

第6步-重新启动Apache以应用更改

现在，我们已经保护了服务器的安全，我们必须重新启动Apache服务器。通过以超级用户身份或使用sudo运行以下命令来执行此操作：

service httpd restart

结论

这些只是保护服务器安全的几个步骤。再一次，即使是您信任的在服务器上托管网站的人，也应该计划对其进行保护。在上述情况下，即使用户帐户受到攻击，攻击者也不会获得对整个服务器的访问权限。