apache安全加固

 发表于 2014-01-03

        现在使用PHP网站企业越来越多,网站的安全性也非常重要,PHP在安全性方面的表现相对较弱(JAVA),如eval($_POST['cmd']),就这样一句简单的代码就可以黑到了整台服务器,当然我们现在要做的事,避免这类事件的发生,把损失降到最底,需要做网站安全进行加固。
        隐藏apache的版本,不能出现在header信息中,修改httpd.conf配置文件,添加ServerSignature Off ServerTokens Prod ,这样就只显示server:apache,不会显示版本信息了,这样攻击就不能找指定版本漏洞进行攻击了。建立指定的用户组,只允许用户访问自己的网站目录,对其它文件没有权限,就算本站网站被黑不会影响服务器的其他程序的正常,把损失降到最底。网站目录的一些访问策略,如禁止目录索引,如果使用框架开发,一般何况下不允许访问核心程序文件,上传目录、图片目录、模板目录不允许执行PHP文件,模板目录的文件不允许被访问,如index.html是不允许访问的,PHP会动态生成,所以不会影响模板程序,网站的后台可以只允许指定的IP地址访问等。配置好apache服务器之后,使用一些扫描工具,测试一下,如果能扫描出一些模块的漏洞,就立即打补丁或升级高版本程序,推荐使用nessus、appscan等。

评论 apache安全加固

版权所有,未经许可,请勿转载,违者追究法律责任