《网络安全》Apache web服务器安全加固

Apache服务器是比较流行的一款静态页面处理web服务器，在企业的日常开发与维护中，需要对web服务器进行安全加强，确保网站的安全稳定。

1.账号设置

以专门的用户帐号和组运行 Apache。
1、 根据需要为 Apache 创建用户、组
2、 参考配置操作 如果没有设置用户和组，则新建用户，并在 Apache 配置文件中指定
参考步骤：
(1)创建apache组: groupadd apache
(2)创建apache用户并加入apache组: useradd apache -9 apache
(3)将下面两行加入Apache配置文件httpd.conf中
User apache
Group apache
3、 检查 httpd.conf 配置文件。 检查是否使用非专用账户（如 root）运行 apache
默认一般符合要求，Linux下默认apache或者nobody用户，Unix默认为daemon用户

2.授权设置

严格控制Apache主目录的访问权限，非超级用户不能修改该目录中的内容
1、Apache 的 主目录对应于Apache Server配置文件 httpd.conf 的Server Root控制项中
应为：Server Root /usr/local/apache”
2、判定条件
非超级用户不能修改该目录中的内容
3、检测操作
尝试修改，看是否能修改
4、一般为/etc/httpd目录，默认情况下属主为root:root，其它用户不能修改文件，默认一般符合要求。严格设置配置文件和日志文件的权限，防止未授权访问
1、chmod 600 /etc/httpd/conf/httpd.conf”设置配置文件为属主可读写，其他用户无权限。
2、使用命令"chmod 644 /var/log/httpd/.log"设置日志文件为属主可读写，其他用户只读权限。
3、/etc/httpd/conf/httpd.conf默认权限是644，可根据需要修改权限为600。
4、/var/log/httpd/*.log默认权限为644，默认一般符合要求。

3.日志设置

设备应配置日志功能，对运行错误、用户访问等进行记录，记录
内容包括时间，用户使用的 IP 地址等内容。

1、编辑 httpd.conf 配置文件，设置日志记录文件、记录内容、记录 格式。
其中，错误日志：

4.监听端口设置

apache默认监听80端口，这样对服务器来说不够安全需要将apache配置文件httpd.conf中的listen 80 改为其他端口。
如：Listen 8080

以上为简单的安全加固，在实际开发中还需要进行更高级别的加固以及配合防火墙的使用。