目录
6. 确保Web根目录的选项受到限制 禁止 Apache 列表显示文件(高危)
7. 隐藏 Apache 的版本号及其它敏感信息确保未启用服务器签名不存在或者off (高危)
10. 确保正确设置KeepAliveTimeout(高危)
11. 确保MaxKeepAliveRequests设置为适当值(高危)
前言
本文你千载难逢,因为这些东西是需要花钱的,真真实实需要在服务器上操作的,最实用的东西,汇聚着阿里云专家团的绝学和智慧,属于江湖最高绝学,绝对值得一学,每一个都是可以实战的,非常实用,怎么让你的服务器更安全?怎么避免攻击?这你不想学吗?这么实用的东西,确定不学?
如果是让你做一个网站,或者写功能性代码,那么不管你写的多好多坏,哪怕你的代码不够优雅,但总而言之,言而总之,基础的功能实现还是没问题的,总是可以跑起来的,哪怕它跑的方式不够优雅,总之,在经过千难万难之后,你的代码大多数时候还是能跑起来的,但是,问题的关键来了,你的代码总是要上服务器的,而服务器我们一般用linux系统,那么我们的服务器配置安全吗?服务器怎么避免被攻击?就算你代码写的再好,安全到一点漏洞都没有,服务器被攻陷了,那代码不就全部都暴露了吗?
所以服务器的安全至关重要,但又刚好是大家的弱项。
为避免文章过长,同时查找起来也方便些,本系列共分为4篇,分别讲述centos系统安全,mysql数据库安全、apache应用服务器安全、tomcat安全,这是最常用的几个了。
第一篇:服务器自身安全基线
跟我学,你的服务器安全吗?第一篇----centos系统安全篇_zhumengyisheng的博客-CSDN博客你的服务器够安全吗?是否经常被黑客攻击?网站怎么又被黑了?这可怎么搞啊?本文主要为服务器的自身安全问题,主要为linux的系统安全问题,本文使用的是centos系统https://blog.csdn.net/zhumengyisheng/article/details/121866485 第二篇:数据库安全基线(主要使用mysql数据库)
https://blog.csdn.net/zhumengyisheng/article/details/121865391
https://blog.csdn.net/zhumengyisheng/article/details/121865391 第三篇:apache服务安全(apache是运行网站的基础服务,即本节主要内容)
跟我学,你的服务器够安全吗?第四篇----tomcat安全基线检查_zhumengyisheng的博客-CSDN博客本文为tomcat相关基线检查和漏洞修复https://blog.csdn.net/zhumengyisheng/article/details/121866907 本系列将详细讲解服务器安全方面的问题,如果你用的是阿里云的服务器,那么阿里云有专门的安全中心可以提供检测,这是收费服务,如果你不是阿里云服务器,那么照着做,学习人家的配置自己的,让自己的服务器更安全。但是我推荐你最好用阿里云服务器,因为这些东西你修改后它会验证检测,同时告诉你是否还有什么问题,确保你的服务器各项配置安全准确。

所以,如果你重视安全问题,害怕被攻击,那么本文不可多得,跟着做吧,但是最好还是买个阿里云服务器,它上面会指导你一项一项的做,防护好你的服务器安全。需要阿里云的话可以先领个红包,便宜些,腾讯云的话便宜的话也可以买,但是阿里云的安全服务很好,但是也是得花钱买才行,我觉得就是正式服务器买个阿里云的,测试机什么的腾讯云如果便宜的多的话也可以买腾讯云,省钱嘛。
阿里云限量红包,速领。
阿里云限量红包https://promotion.aliyun.com/ntms/yunparter/invite.html?userCode=v6vhcyn8 腾讯云新用户专享
最新活动_阿里云最新活动,阿里云最全的优惠聚集地https://www.aliyun.com/activity?userCode=v6vhcyn8 阿里云腾讯云所有优惠汇总
浅谈VPS云服务器(内含神秘大额专属特惠)_zhumengyisheng的博客-CSDN博客怎么做一个网站?都需要什么?要个服务器?要个域名?去哪里买?哪个好啊?有优惠吗?所有的优惠都在这里了,给自己建个网站吧,毕竟要学以致用啊!https://blog.csdn.net/zhumengyisheng/article/details/121391896 下面的资料都来自于阿里云云安全,是一些相关的建议,你可以根据这些建议,即使你不是用的阿里云,你也可以根据这些建议,加固你自己的服务器,确保你的服务器更加的安全,避免黑客攻击。
本节主要介绍系列教程3----服务器安全篇,apache安全配置

事关apache安全,网站使用apache的话需要配置检查项目
1. 确保默认情况下拒绝访问OS根目录(高危)
确保默认情况下拒绝访问OS根目录访问控制
描述
当AllowOverride设置为None时,.htaccess文件不具有访问上下文权限。当此指令设置为All时,任何具有.htaccess .htaccess文件中允许使用上下文。开启时增加了更改或查看配置的风险 意外或恶意的.htaccess文件不当使用
检查提示
--
加固建议
找到配置文件路径。 通过vim path(path为主配置文件的绝对路径,如果您的主配置文件中包含
include <path>,则<path>为您的子配置文件路径)编辑配置文件 找到以<Directory />开头的配置项,按如下配置<Directory /> ... Require all denied ... </Directory>如没有,请增加
操作时建议做好记录或备份
确定
2. 确保对OS根目录禁用覆盖(高危)
确保对OS根目录禁用覆盖访问控制
描述
通过禁止访问OS根目录,限制直接访问服务器内部文件的行为 使得运行web的服务器更加安全
检查提示
--
加固建议
找到配置文件路径。 通过vim path(path为主配置文件的绝对路径,如果您的主配置文件中包含
include <path>,则<path>为您的子配置文件路径) 在配置文件中 找到以<Directory />开头的配置项,按如下配置<Directory /> ... AllowOverride None ... </Directory>操作时建议做好记录或备份
3. 配置专门用户账号和组用于运行 Apache(高危)
配置专门用户账号和组用于运行 Apache身份鉴别
描述
为服务器应用程序创建一个唯一的,没有特权的用户和组.有效的减少了运行web服务时遭受攻击的可能性
检查提示
--
加固建议
确保apache帐户是唯一的,并且Apache组在apache的配置文件中配置。 请确认
User apacheGroup apache出现一次,且没有被注释。(如果没有,请添加)操作时建议做好记录或备份
4. 确保已锁定apache用户帐户(高危)
确保已锁定apache用户帐户身份鉴别
描述
Apache运行下的用户帐户不应该有一个有效的密码,而应该被锁住。作为深度防御措施,应该锁定Apache用户帐户以防止登录并防止用户使用该密码诉诸于Apache。 一般而言,su不能当作apache账户,在必要时应使用sudo。这样将不需要apache的帐户密码。
检查提示
--
加固建议
使用如下passwd命令锁定apache帐户:
passwd -l <apache_username>或者usermod -L <apache_username><apache_username>为apache的启动账户(可以使用命令ps -ef | egrep "apache2|httpd"查看<apache_username>)操作时建议做好记录或备份
5. 确保apache用户帐户具有无效的shell(高危)
确保apache用户帐户具有无效的shell身份鉴别
描述
apache帐户不得用作常规登录帐户,因此应为其分配一个 无效或nologin Shell,以确保无法用于登录。如果可以使用服务帐户(例如apache帐户)进行登录外壳到系统将会产生安全隐患。
检查提示
--
加固建议
为确保apache用户帐户具有无效的shell,使用命令
chsh -s /sbin/nologin <apache_username>修改apache账户的shell(可以使用命令ps -ef | egrep "apache2|httpd"查看<apache_username>)操作时建议做好记录或备份
确定
6. 确保Web根目录的选项受到限制 禁止 Apache 列表显示文件(高危)
确保Web根目录的选项受到限制 禁止 Apache 列表显示文件数据保密性
描述
Web根目录或文档根目录级别的Options指令应限于所需的最少选项。 强烈建议设置为“无”。 但是,在这个水平上如果支持多种语言,则可能出现问题。 如没有此类需要,需启动
检查提示
配置文件路径::/etc/httpd/conf/httpd.conf
加固建议
1.使用
vim path(path为主配置文件的绝对路径,如果您的主配置文件中包含include <path>,则<path>为您的子配置文件路径) 2.找到<Directory "apache网页存放路径">(默认网页存放路径/usr/local/apache2或/var/www/html`,自定义路径请自行查找)
<Directory "apache存放网页路径">Options Indexes FollowSymLinks</Directory>将其设置为
Options None如配置虚拟主机,请确保虚拟主机配置项中含有Options None 如没有,请增加<Directory "apache存放网页路径">Options None</Directory>操作时建议做好记录或备份
7. 隐藏 Apache 的版本号及其它敏感信息确保未启用服务器签名不存在或者off (高危)
隐藏 Apache 的版本号及其它敏感信息确保未启用服务器签名不存在或者off个人信息保护
描述
服务器签名在服务器充当代理时很有用,因为它们有助于 用户将错误与代理而非目标服务器区分开。 但是,在这个 在上下文中,显得很鸡肋,而且存在被识别的可能
检查提示
配置文件路径::/etc/httpd/conf/httpd.conf
加固建议
1.使用vim编辑器对配置文件进行编辑
vim pathpath为主配置文件的绝对路径,如果您的主配置文件中包含include <path>,则<path>为您的子配置文件路径) 2.找到ServerSignature将其设置为ServerSignature Off如没有,请增加操作时建议做好记录或备份
8. 确保禁用http跟踪方法 (高危)
确保禁用http跟踪方法服务配置
描述
TRACE方法不需要,并且很容易受到滥用,因此应该将其禁用。
检查提示
配置文件路径::/etc/httpd/conf/httpd.conf
加固建议
1.
vim path(path为主配置文件的绝对路径,如果您的主配置文件中包含include <path>,则<path>为您的子配置文件路径) 2.找到选项TraceEnable将其值设置为off如没有请增加操作时建议做好记录或备份
确定
9. 确保限制对apache目录和文件的其他写访问(高危)
确保限制对apache目录和文件的其他写访问文件权限
描述
Apache目录上的权限应为rwxr-xr-x(755)和文件 权限应相似,除非适当,否则不可执行。 这适用于所有 已安装的Apache软件目录和文件
检查提示
--
加固建议
执行以下操作删除$ APACHE_PREFIX($ APACHE_PREFIX是apache的安装目录默认例
/usr/local/apache2或/var/www/html如自定义请自行查找)目录上的其他写访问权限:chmod -R o-w $ APACHE_PREFIX操作时建议做好记录或备份
确定
10. 确保正确设置KeepAliveTimeout(高危)
确保正确设置KeepAliveTimeout入侵防范
描述
KeepAliveTimeout指令指定Apache等待等待的秒数在关闭保持活动的连接之前的后续请求。减少Apache HTTP服务器保留未使用资源的秒数分配的资源将增加服务其他请求的资源的可用性。 这个效率收益可能会提高服务器抵御DoS攻击的能力。
检查提示
--
加固建议
1.使用vim编辑器对配置文件进行编辑
vim path(path为主配置文件的绝对路径,如果您的主配置文件中包含include <path>,则<path>为您的子配置文件路径) 2.找到KeepAliveTimeout将其设置为KeepAliveTimeout 15如没有,请增加操作时建议做好记录或备份
11. 确保MaxKeepAliveRequests设置为适当值(高危)
确保MaxKeepAliveRequests设置为适当值入侵防范
描述
MaxKeepAliveRequests指令限制每个连接允许的请求数打开KeepAlive时。 如果将其设置为0,则将允许无限制的请求。 推荐 将MaxKeepAliveRequests指令设置为100,以防患DoS攻击
检查提示
配置文件路径::/etc/httpd/conf/httpd.conf
加固建议
1.使用vim编辑器对配置文件进行编辑
vim path(path为主配置文件的绝对路径,如果您的主配置文件中包含include <path>,则<path>为您的子配置文件路径) 2.找到MaxKeepAliveRequests将其设置为MaxKeepAliveRequests 100如没有,请增加操作时建议做好记录或备份
12. 确保keepAlive已启用(高危)
确保keepAlive已启用服务配置
描述
允许每个客户端重用TCP套接字,减少了系统和网络的数量 服务请求所需的资源。 这种效率提高可以提高服务器对DoS攻击的抵御性
检查提示
配置文件路径::/etc/httpd/conf/httpd.conf
加固建议
1.使用vim编辑器对配置文件进行编辑
vim path(path为主配置文件的绝对路径,如果您的主配置文件中包含include <path>,则<path>为您的子配置文件路径) 2.找到KeepAlive将其设置为KeepAlive On如没有,请增加该项操作时建议做好记录或备份
13. 确保超时设置正确(高危)
确保超时设置正确入侵防范
描述
DoS的一种常用技术,常见的是发起与服务器的连接。 通过减少 旧连接超时后,服务器可以更快,更多地释放资源反应灵敏。 通过提高服务器效率,它将对DoS攻击的抵御性更好
检查提示
配置文件路径::/etc/httpd/conf/httpd.conf
加固建议
1.使用vim编辑器对配置文件进行编辑
vim path(path为apache配置文件路径例/usr/local/apache2/etc/httpd.conf或/etc/httpd/conf/httpd.conf或查找include文件或自定义安装请自行查找) 2.找到Timeout将其设置为Timeout 10如没有,请增加操作时建议做好记录或备份
14. 确保错误日志文件名和严重性级别配置正确(高危)
确保错误日志文件名和严重性级别配置正确 配置日志
描述
服务器错误日志非常宝贵,因为它们可用于发现潜在问题 在他们变得认真之前。 最重要的是,它们可以用来监视异常 行为,例如许多“未找到”或“未经授权”的错误,可能表明 攻击即将发生或已经发生。
检查提示
配置文件路径::/etc/httpd/conf/httpd.conf
加固建议
1.使用vim编辑器对配置文件进行编辑
vim path(path为主配置文件的绝对路径,如果您的主配置文件中包含include <path>,则<path>为您的子配置文件路径) 2.找到LogLevel将其设置为LogLevel notice3.找到ErrorLog建议设置为ErrorLog "logs/error_log"`或自定义路径 如没有,请增加操作时建议做好记录或备份
下一节:tomcat服务安全
如需实践,最好的选择是阿里云,买一个也不贵,实践实践,毕竟安全无小事,安全从来都是互联网企业的命脉,一旦被入侵,轻则信息泄露,重则所有服务瘫痪,所有服务器沦陷,所有服务都没了,所有信息没了,这是要出大事的。
所以,懂安全的人的价值不言而喻,不用多说了吧?
阿里云限量红包,速领。
阿里云限量红包https://promotion.aliyun.com/ntms/yunparter/invite.html?userCode=v6vhcyn8 腾讯云新用户专享
最新活动_阿里云最新活动,阿里云最全的优惠聚集地https://www.aliyun.com/activity?userCode=v6vhcyn8 阿里云腾讯云所有优惠汇总