龙空技术网

linux-apache-httpd基础的几项安全设置

linux运维菜 542

前言:

现时兄弟们对“apache keepalivetimeout”可能比较关切,你们都想要了解一些“apache keepalivetimeout”的相关资讯。那么小编在网络上汇集了一些有关“apache keepalivetimeout””的相关知识,希望兄弟们能喜欢,兄弟们一起来了解一下吧!

前言

在Linux部署apache的时候,很多人都是直接部署上去,一点都不注意点安全设置,才让黑客更容易的黑掉。总结的几点基础的安全配置。

运行用户

在现在版本的apache-httpd上面,默认已经没有使用root这样高权限的用户去运行,默认是使用daemon。这里知道运行用户不是为了修改这个配置用户,而是为了网站目录权限的设置。

在httpd.conf的配置文件中可以找到User,Group这两个配置项目,对应的就是运行用户和组。

目录权限

运行用户一般只要有网站目录的读和执行权限就可以了,除非是一些上传或者缓存目录需要写权限。所以我们一般是给755的权限,而且网站目录的用户和组目录要跟运行用户区分开。

目录访问权限

1、web访问权限是指从浏览器到目录的内容,即列出目录。目录一旦可以在浏览器里面直接列出目录内容,就存在很大的风险。

在httpd.conf配置文件里面,删除Options Indexes选项。

2、系统目录访问权限,限制httpd禁止访问根目录。

在httpd.conf配置文件里面,在<Directory />设置要设置Deny from all。

限制请求大小和时间

如果没有限制http请求大小和时间,在被攻击的时候比较容易被打垮。

在httpd.conf的配置文件中,根据自己站点实际的需求设置请body的大小和超时时间

LimitRequestBody 102400

Timeout 10

KeepAlive On

KeepAliveTimeout 15

AcceptFilter http data

AcceptFilter https data

关闭没用的请求方式

Trace的请求方式一般都不会用到而且这个请求方法存在风险,默认新版本已经没有开启这个请求方法了。不放心的话,可以在httpd.conf设置

TraceEnable off

隐藏版本

httpd版本只要管理员知道就知道了,没有必须让访问人知道,所以可以在配置隐藏httpd的版本号,在httpd.conf设置:

ServerSignature Off

ServerTokens Prod

总结

以上是几点总结,感觉少了点什么,大家有什么建议或者补充的吗?

标签: #apache keepalivetimeout