一、 網站背景隻允許特定ip通路。
網站管理背景,對網站的管理具有較高的權限,如果可以任意通路,則存在較大的安全風險。可以通過如下步驟,限制網站背景的通路ip位址。
說明:由于管理者使用的公網ip可能是動态,是以建議将允許通路的ip位址,設定成網段的形式,掩碼建議使用255.255.0.0
(1)vim /etc/httpd/conf/httpd.conf
添加如下代碼
<Diretory "/www/admin">
Order allow,deny
allow from 192.168.0.1/255.255.0.0
</Directory>
說明:其中"/www/admin"為網站背景的目錄,192.168.0.1需替換成對應公網位址
(2)讓配置生效
Service httpd restart
二、 網站背景認證資訊加密
Apache預設的使用者認證方式中,使用者名和密碼都是使用明文傳輸。在面對中間人攻擊的場景時,容易導緻使用者憑證被竊取。是以需要對使用者憑證進行加密,才能有效降低管理者賬号密碼被竊取的風險。
(1)建立認證使用者
htdigest -c /etc/httpd/conf/htpasswd.users "check" ad
說明:-c為首次建立使用者時使用的參數,其他時候需省略;check 為認證域,可自定義,但是要與AuthName的值保持一緻;ad為使用者名;回車後,按照提示輸入密碼即可;
(2)修改配置檔案
vim /etc/httpd/conf/httpd.conf
添加如下内容:
<Directory "/www/admin">
AuthName "check"
AuthType Digest
AuthUserFile /etc/httpd/conf/htpasswd.users
Require valid-user
</Directory>
說明:AuthUserFile為配置檔案路徑;"/www/admin"為網站背景目錄;使用Service httpd restart指令,讓配置生效
三、 隐藏Apache的版本号
一般軟體的漏洞與軟體的版本相對應,當攻擊者知道Apahce的版本後,則知道其可能包含的漏洞。為了降低系統的攻擊面,需要對Apahce的版本号進行隐藏。
(1)編輯配置檔案
vim /etc/httpd/conf/httpd.conf
參數修改成如下内容
ServerTokens Prod
ServerSignature Off Service httpd restart
![搭建httpd服務[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)