温馨提示×

登 录 注册有礼
云服务器 香港服务器 高防服务器
最新更新 网站标签 地图导航
产品
产品
热门
云服务器
高防服务器
裸金属服务器
轻量应用服务器
高防IP
高防CDN
查看全部产品

售前咨询:400-100-2938

计算
云服务器
裸金属服务器
轻量应用服务器
GPU服务器
机柜租用
云电脑
安全
高防服务器
高防IP
高防CDN
高防DNS云解析
SSL证书
数据库
云数据库MySQL
云数据库Redis
云数据库MongoDB
云数据库Memcached
网络和加速
CDN云加速
全站加速
负载均衡SLB
对象储存OSS
SD-WAN
企业服务
短信服务
腾讯企点

Apache2在Ubuntu上如何配置安全策略

小樊
46
2025-02-26 08:11:21
栏目: 智能运维
Ubuntu服务器限时活动,0元免费领,库存有限,领完即止! 点击查看>>

在Ubuntu上配置Apache2的安全策略涉及多个方面,包括修改默认端口、配置防火墙、设置虚拟主机、禁用不必要的模块、配置SSL证书等。以下是详细的步骤:

1. 修改默认端口

为了提高安全性,可以修改Apache2默认监听的端口。例如,将HTTP端口从80修改为5000,HTTPS端口从443修改为4443。

sudo vim /etc/apache2/ports.conf
# 将 Listen 80 修改为 Listen 5000
# 将 Listen 443 修改为 Listen 4443

2. 配置防火墙

使用UFW(Uncomplicated Firewall)允许Apache2的端口通过。

sudo ufw allow 5000/tcp
sudo ufw allow 4443/tcp
sudo ufw enable

3. 禁用不必要的模块

禁用不需要的Apache2模块可以减少潜在的安全风险。例如,禁用mod_php模块可以减少PHP代码执行的风险。

sudo a2dismod php7.x

4. 配置SSL/TLS证书

为了实现HTTPS加密,需要配置SSL/TLS证书。

安装mod_ssl模块

sudo apt-get install libapache2-mod-ssl

创建SSL证书目录

sudo mkdir /etc/apache2/ssl

生成SSL证书和密钥

使用OpenSSL生成自签名证书和密钥。

sudo openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout /etc/apache2/ssl/apache.key -out /etc/apache2/ssl/apache.crt

配置虚拟主机以使用SSL证书

编辑虚拟主机配置文件,例如/etc/apache2/sites-available/default.conf

sudo nano /etc/apache2/sites-available/default.conf
# 在 VirtualHost *:443 部分添加以下内容
SSLEngine on
SSLCertificateFile /etc/apache2/ssl/apache.crt
SSLCertificateKeyFile /etc/apache2/ssl/apache.key

启用SSL站点配置并重启Apache

sudo a2ensite default.conf
sudo systemctl restart apache2

5. 配置错误详情页和列目录

为了提高安全性,可以配置Apache2在访问不存在的页面时显示错误详情页,并防止列出目录内容。

修改配置文件

/etc/apache2/apache2.conf/etc/httpd/conf/httpd.conf中添加以下配置。

ErrorDocument 404 /error.html
<Directory />
    Options FollowSymLinks
    AllowOverride None
    Require all denied
</Directory>

防止列目录

/etc/apache2/apache2.conf/etc/httpd/conf/httpd.conf中添加以下配置。

<Directory /var/www/>
    Options Indexes FollowSymLinks
    AllowOverride None
    Require all granted
</Directory>

6. 禁止AppArmor冲突(适用于生产环境)

如果使用AppArmor,建议创建自定义配置文件以避免与默认配置冲突。

sudo /etc/init.d/apparmor stop
sudo update-rc.d -f apparmor remove
sudo apt-get remove apparmor apparmor-utils

7. 阻止DDoS攻击和Slowloris攻击

可以安装并配置Apache2模块来阻止DDoS攻击和Slowloris攻击。

阻止DDoS攻击

安装libapache2-mod-evasive模块。

sudo apt-get install libapache2-mod-evasive
sudo mkdir -p /var/log/apache2/evasive
sudo chown -R www-data:root /var/log/apache2/evasive

将以下命令添加到mod-evasive.load文件的末尾。

 DOSHashTableSize    2048
DOSPageCount        20
DOSPageInterval     1.0
DOSSiteCount        300
DOSSiteInterval     1.0
DOSBlockingPeriod  10.0
DOSLogDir           "/var/log/apache2/evasive"
DOSEmailNotify      admin@domain.com

阻止Slowloris攻击

安装libapache2-mod-qos模块。

sudo apt-get install libapache2-mod-qos

检查qos.conf中的配置。

# QS_ClientEntries 100000
# QS_SrvMaxConnPerIP 50
MaxClients 256
# QS_SrvMaxConnClose 180
# QS_SrvMinDataRate 150 1200

通过以上步骤,可以显著提高Ubuntu上Apache2服务器的安全性。

亿速云「云服务器」,即开即用、新一代英特尔至强铂金CPU、三副本存储NVMe SSD云盘,价格低至29元/月。点击查看>>

推荐阅读:Ubuntu Apache2如何配置安全策略

0

最新问答

相关问答

相关标签

ubuntu云服务器 ubuntu18.04 ubuntu端口 Ubuntu14 ubuntu16.04 Ubuntu14.04 ubuntu20.04 ubuntu18 ubuntu20.4 ubuntu16 ubuntu连接服务器 ubuntu中文输入法 ubuntu关机 ubuntu安装jdk Ubuntu免费云主机 ubuntu云存储服务器 ubuntu mplayer ubuntu服务器 kubuntu xubuntu
产品服务
地区划分
专题活动
帮助支持
关于我们
售后咨询
7*24小时在线电话:400-100-2938
7*24小时在线 QQ:800811969
关注亿速云

亿速云公众号

手机网站二维码

Copyright © Yisu Cloud Ltd. All Rights Reserved. 2018 版权所有

广州亿速云计算有限公司粤ICP备17096448号-1 粤公网安备 44010402001142号增值电信业务经营许可证编号:B1-20181529