Apache在CentOS上如何配置安全策略

以下是在CentOS上配置Apache安全策略的关键步骤：

1. 更新系统与软件

   sudo yum update -y sudo yum install httpd -y # 安装Apache  

2. 安装安全模块

   • mod_security（防SQL注入、XSS等）：

     sudo yum install mod_security -y 

   • mod_evasive（防DDoS攻击）：

     sudo yum install mod_evasive -y 

3. 配置防火墙
   使用firewalld开放HTTP（80）和HTTPS（443）端口：

   sudo firewall-cmd --permanent --zone=public --add-service=http sudo firewall-cmd --permanent --zone=public --add-service=https sudo firewall-cmd --reload 

4. 强化Apache配置

   • 隐藏版本信息：编辑/etc/httpd/conf/httpd.conf，添加：

     ServerSignature Off ServerTokens Prod 

   • 禁用目录列表：

     <Directory "/var/www/html"> Options -Indexes </Directory> 

   • 限制IP访问（可选）：

     <Directory "/var/www/html"> Require ip 192.168.1.0/24 </Directory> 

5. 启用SSL/TLS加密

   • 安装mod_ssl并配置证书：

     sudo yum install mod_ssl -y sudo openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout /etc/ssl/private/apache-selfsigned.key -out /etc/ssl/certs/apache-selfsigned.crt 

   • 编辑/etc/httpd/conf.d/ssl.conf，启用HTTPS：

     <VirtualHost *:443> SSLEngine on SSLCertificateFile /etc/ssl/certs/apache-selfsigned.crt SSLCertificateKeyFile /etc/ssl/private/apache-selfsigned.key </VirtualHost> 

6. 配置SELinux（可选）
   若启用SELinux，需允许Apache访问网络：

   sudo setsebool -P httpd_can_network_connect 1 

7. 定期备份与监控

   • 备份配置文件：

     sudo cp /etc/httpd/conf/httpd.conf /etc/httpd/conf/httpd.conf.bak 

   • 监控日志：定期查看/var/log/httpd/access_log和/var/log/httpd/error_log。

注：配置后需重启Apache使生效：

sudo systemctl restart httpd