前言:
现时兄弟们对“apache keepalivetimeout”可能比较关切,你们都想要了解一些“apache keepalivetimeout”的相关资讯。那么小编在网络上汇集了一些有关“apache keepalivetimeout””的相关知识,希望兄弟们能喜欢,兄弟们一起来了解一下吧!前言
在Linux部署apache的时候,很多人都是直接部署上去,一点都不注意点安全设置,才让黑客更容易的黑掉。总结的几点基础的安全配置。
运行用户
在现在版本的apache-httpd上面,默认已经没有使用root这样高权限的用户去运行,默认是使用daemon。这里知道运行用户不是为了修改这个配置用户,而是为了网站目录权限的设置。
在httpd.conf的配置文件中可以找到User,Group这两个配置项目,对应的就是运行用户和组。
目录权限
运行用户一般只要有网站目录的读和执行权限就可以了,除非是一些上传或者缓存目录需要写权限。所以我们一般是给755的权限,而且网站目录的用户和组目录要跟运行用户区分开。
目录访问权限
1、web访问权限是指从浏览器到目录的内容,即列出目录。目录一旦可以在浏览器里面直接列出目录内容,就存在很大的风险。
在httpd.conf配置文件里面,删除Options Indexes选项。
2、系统目录访问权限,限制httpd禁止访问根目录。
在httpd.conf配置文件里面,在<Directory />设置要设置Deny from all。
限制请求大小和时间
如果没有限制http请求大小和时间,在被攻击的时候比较容易被打垮。
在httpd.conf的配置文件中,根据自己站点实际的需求设置请body的大小和超时时间
LimitRequestBody 102400
Timeout 10
KeepAlive On
KeepAliveTimeout 15
AcceptFilter http data
AcceptFilter https data
关闭没用的请求方式
Trace的请求方式一般都不会用到而且这个请求方法存在风险,默认新版本已经没有开启这个请求方法了。不放心的话,可以在httpd.conf设置
TraceEnable off
隐藏版本
httpd版本只要管理员知道就知道了,没有必须让访问人知道,所以可以在配置隐藏httpd的版本号,在httpd.conf设置:
ServerSignature Off
ServerTokens Prod
总结
以上是几点总结,感觉少了点什么,大家有什么建议或者补充的吗?