前言

在Linux部署apache的时候，很多人都是直接部署上去，一点都不注意点安全设置，才让黑客更容易的黑掉。总结的几点基础的安全配置。

运行用户

在现在版本的apache-httpd上面，默认已经没有使用root这样高权限的用户去运行，默认是使用daemon。这里知道运行用户不是为了修改这个配置用户，而是为了网站目录权限的设置。

在httpd.conf的配置文件中可以找到User，Group这两个配置项目，对应的就是运行用户和组。

目录权限

运行用户一般只要有网站目录的读和执行权限就可以了，除非是一些上传或者缓存目录需要写权限。所以我们一般是给755的权限，而且网站目录的用户和组目录要跟运行用户区分开。

目录访问权限

1、web访问权限是指从浏览器到目录的内容，即列出目录。目录一旦可以在浏览器里面直接列出目录内容，就存在很大的风险。

在httpd.conf配置文件里面，删除Options Indexes选项。

2、系统目录访问权限，限制httpd禁止访问根目录。

在httpd.conf配置文件里面，在<Directory />设置要设置Deny from all。

限制请求大小和时间

如果没有限制http请求大小和时间，在被攻击的时候比较容易被打垮。

在httpd.conf的配置文件中，根据自己站点实际的需求设置请body的大小和超时时间

LimitRequestBody 102400

Timeout 10

KeepAlive On

KeepAliveTimeout 15

AcceptFilter http data

AcceptFilter https data

关闭没用的请求方式

Trace的请求方式一般都不会用到而且这个请求方法存在风险，默认新版本已经没有开启这个请求方法了。不放心的话，可以在httpd.conf设置

TraceEnable off

隐藏版本

httpd版本只要管理员知道就知道了，没有必须让访问人知道，所以可以在配置隐藏httpd的版本号，在httpd.conf设置：

ServerSignature Off

ServerTokens Prod

总结

以上是几点总结，感觉少了点什么，大家有什么建议或者补充的吗？