Pour améliorer la sécurité Apache, nous devons commencer à partir de la gestion des modules, du contr?le de l'autorisation, du chiffrement SSL, de la surveillance du journal, etc. 1. Fermez des modules inutiles tels que mod_imap, mod_info, etc., et utilisez la ligne de chargement et redémarrez le service; 2. Définissez les autorisations de répertoire racine sur 755 et ci-dessous, restreignez les autorisations d'écriture et désactivez l'exécution de la traversée et de la traversée du répertoire dans la configuration; 3. Activer HTTPS, Utiliser le certificat de crypte et désactiver l'ancienne version du protocole et la suite de cryptage faible; 4. Vérifiez régulièrement les journaux d'accès et d'erreur, combinez Fail2ban pour bloquer la propriété intellectuelle anormale et utilisez un accès restreint en IP aux chemins sensibles.
Apache est le service sous-jacent de nombreux sites Web, et la sécurité est directement liée à la question de savoir si le site entier sera attaqué. Je veux le rendre plus s?r, mais ce n'est pas compliqué, mais il y a beaucoup de détails facilement négligés.
Fermer les modules inutiles
Apache a de nombreux modules installés par défaut, dont certains ne sont pas disponibles du tout, et peuvent devenir un risque de sécurité. Par exemple, mod_imap , mod_info , modules mod_status , s'ils ne sont pas utilisés, éteignez-les. La méthode consiste à commenter ou supprimer la ligne de LoadModule correspondante dans le fichier de configuration.
- Utilisez
httpd -Mouapache2ctl -Mpour afficher le module actuellement activé - Modifier
httpd.confouapache2.confpour fermer les modules indésirables - N'oubliez pas de redémarrer Apache à chaque fois après la modification:
systemctl restart apache2ouservice httpd restart
L'avantage est de réduire la surface d'attaque potentielle et de permettre au serveur de s'exécuter plus léger et plus rapide.
Définir les autorisations appropriées et le contr?le d'accès des répertoires
Par défaut, le répertoire racine d'Apache (documentRoot) est généralement /var/www/html . Les autorisations de ce répertoire doivent être bien définies et ne peuvent pas être écrites par tout le monde. Suggestions générales:
- Le propriétaire est défini sur un utilisateur
rootou dédié, et le groupe peut êtrewww-data(ubuntu) ouapache(CentOS) - Définissez l'autorisation sur
755ou plus pour s'assurer que seuls les administrateurs peuvent modifier le contenu - Restreindre l'accès dans
.htaccessou la configuration de l'h?te virtuel
Par exemple, ajouter:
<Répertoire / var / www / html>
Options None
Autoverride Aucun
Exiger tous les accords
</ Directory>Cela peut empêcher des problèmes communs tels que la traversée de répertoires et l'exécution de scripts.
Activer les connexions cryptées SSL / TLS
Maintenant, presque tous les sites Web devraient permettre HTTPS. Vous pouvez le faire en utilisant le certificat gratuit Let's Encrypt.
- Installez CERTBOT et son plug-in Apache
- Utilisez la commande
certbot --apachepour configurer automatiquement le certificat - Vérifiez si la configuration redirige automatiquement HTTP vers HTTPS
- Testez périodiquement si la mise à jour du certificat est normale (peut utiliser
certbot renew --dry-run)
Une fois la configuration SSL terminée, n'oubliez pas de désactiver l'ancienne version du protocole (tel que SSLV3) et la suite de cryptage faible sur le serveur pour éviter d'être attaqué par l'homme dans le milieu.
Restrictions de surveillance des journaux et d'accès
Par défaut, Apache enregistrera les journaux d'accès et les journaux d'erreur. Ces journaux sont non seulement des outils de dépannage, mais vous aident également à découvrir des comportements anormaux, tels que des demandes de 404 fréquentes ou des tentatives pour rechercher des vulnérabilités.
- Vérifiez régulièrement les journaux:
/var/log/apache2/access.loget/var/log/apache2/error.log - Combiné avec des outils tels que
fail2banpour bloquer automatiquement les IP anormaux - Restreindre l'accès à certains chemins de configuration, tels que la page de gestion d'arrière-plan permet uniquement d'accéder à des IP spécifiques:
<Répertoire / var / www / html / admin>
Exiger IP 192.168.1.0/24
</ Directory>De cette fa?on, même si quelqu'un devine l'adresse de fond, il ne peut pas entrer.
Fondamentalement, c'est tout. Le renforcement de la sécurité d'Apache ne nécessite pas beaucoup de technologies avancées. La clé est de rendre la fondation solide, de vérifier la configuration et de se connecter régulièrement, et de ne pas laisser de portes.
Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!
Outils d'IA chauds
Undress AI Tool
Images de déshabillage gratuites
Undresser.AI Undress
Application basée sur l'IA pour créer des photos de nu réalistes
AI Clothes Remover
Outil d'IA en ligne pour supprimer les vêtements des photos.
Clothoff.io
Dissolvant de vêtements AI
Video Face Swap
échangez les visages dans n'importe quelle vidéo sans effort grace à notre outil d'échange de visage AI entièrement gratuit?!
Article chaud
Outils chauds
Bloc-notes++7.3.1
éditeur de code facile à utiliser et gratuit
SublimeText3 version chinoise
Version chinoise, très simple à utiliser
Envoyer Studio 13.0.1
Puissant environnement de développement intégré PHP
Dreamweaver CS6
Outils de développement Web visuel
SublimeText3 version Mac
Logiciel d'édition de code au niveau de Dieu (SublimeText3)
Comment dépanner une erreur 'Connexion refusée'?
Jul 11, 2025 am 02:06 AM
Lorsque vous rencontrez une erreur "Connection Réflégente", la signification la plus directe est que l'h?te ou le service cible que vous essayez de vous connecter pour rejeter explicitement votre demande. 1. Vérifiez si le service cible est en cours d'exécution, connectez-vous à la machine cible pour vérifier l'état du service à l'aide de SystemCTlStatus ou PSAUX, et démarrez manuellement s'il n'est pas démarré; 2. Confirmez si le port écoute correctement, utilisez la commande netstat ou ss pour vérifier si le service écoute le port correct, modifiez le fichier de configuration si nécessaire et redémarrez le service; 3. Le pare-feu et les paramètres du groupe de sécurité peuvent provoquer une connexion refusée, vérifier les règles de pare-feu local et la configuration du groupe de sécurité de la plate-forme cloud et fermer temporairement le pare-feu pendant les tests; 4. Les erreurs d'adresse IP ou de résolution DNS peuvent également causer des problèmes, utiliser un ping ou
Comment permettre à Keepalive d'accélérer mon site Web?
Jul 08, 2025 am 01:15 AM
L'activation de Keepalive peut considérablement améliorer les performances du site Web, en particulier pour les pages qui chargent plusieurs ressources. Il réduit les frais généraux de connexion et accélère le chargement de la page en gardant le navigateur et la connexion du serveur ouvert. Si le site utilise un grand nombre de petits fichiers, a des visiteurs en double ou attache une importance à l'optimisation des performances, Keepalive doit être activé. Lors de la configuration, vous devez faire attention à la définition d'un délai d'expiration raisonnable et d'un nombre de demandes, et tester et vérifier son effet. Différents serveurs tels que Apache, Nginx, etc. ont tous des méthodes de configuration correspondantes, et vous devez prêter attention aux problèmes de compatibilité dans les environnements HTTP / 2.
Comment régler Apache pour de meilleures performances?
Jul 08, 2025 am 12:37 AM
Pour améliorer les performances Apache, optimiser les paramètres de configuration sont nécessaires. 1. Ajustez les paramètres Keepalive: activez MaxkeepaliveRequests et définissez 500 ou plus, et définissez KeepaliveTimeout à 2 ~ 3 secondes pour réduire les frais généraux de connexion. 2. Configurez le module MPM: Définissez Starterservers, MinsPareServers, MaxsPareServers et MaxClients en mode préfigue; Définissez ThreadsperChild et MaxRequestworkers en mode événement ou travailleur pour éviter une charge excessive. 3. Utilisation de la mémoire de contr?le: basée sur l'utilisation de la mémoire d'un seul processus
Quel est le répertoire de racine Web par défaut pour Apache?
Jul 15, 2025 am 01:51 AM
Le répertoire de racine Web par défaut d'Apache est / var / www / html dans la plupart des distributions Linux. En effet, le serveur Apache fournit des fichiers à partir d'un répertoire racine de document spécifique. Si la configuration n'est pas personnalisée, des systèmes tels que Ubuntu, CentOS et Fedora utilisent / var / www / html, tandis que macOS (utilisant Homebrew) est généralement / usr / local / var / www, et que Windows (xAMPP) est c: \ xAMPP \ htdocs; Pour confirmer le chemin actuel, vous pouvez vérifier le fichier de configuration Apache tel que httpd.conf ou apache2.conf, ou créer un p avec phpinfo ()
Comment activer HTTP Strict Transport Security (HSTS) dans Apache?
Jul 13, 2025 am 01:12 AM
Permettre à HSTS de forcer les navigateurs à accéder aux sites Web via HTTPS, en améliorant la sécurité. 1. Pour activer HTTPS dans Apache, vous devez d'abord configurer HTTPS, puis ajouter l'en-tête de réponse STRICT-Transport-Security dans le fichier de configuration du site ou .htaccess; 2. Pour configurer l'age maximum (tel que 31536000 secondes), inclut les paramètres debdomains et préchargement; 3. Assurez-vous que le module mod_headers est activé, sinon exécutez Sudoa2enModHeaders et redémarrez Apache; 4. Vous pouvez éventuellement vous soumettre à la liste HSTSPReload, mais il doit satisfaire que le site principal et le sous-domaine prennent en charge les HTTPS.
Comment installer Apache sur Ubuntu / Debian?
Jul 13, 2025 am 12:55 AM
Les étapes pour installer Apache sur Ubuntu ou Debian incluent: 1. Mettez à jour le progiciel système pour assurer la dernière source de logiciel; 2. Exécutez SudoaptinInStAllapache2 pour installer le service Apache et vérifier son état d'exécution; 3. Configurez le pare-feu pour permettre le trafic HTTP / HTTPS; 4. Ajustez le chemin du fichier du site Web, modifiez la configuration ou activez le module selon les besoins; 5. Redémarrez le service Apache après avoir modifié la configuration et pris effet. L'ensemble du processus est simple et direct, mais vous devez prêter attention aux points clés tels que les paramètres d'autorisation, les règles de pare-feu et les ajustements de configuration pour garantir qu'Apache fonctionne normalement et peut accéder à la page par défaut via le navigateur.
Comment rediriger un domaine non www vers www (ou vice versa)?
Jul 19, 2025 am 03:32 AM
Pour rediriger un nom de domaine non www sur www ou vice versa, il peut être réalisé via la configuration du serveur, le CDN ou la plate-forme d'hébergement. 1. APACHE Server: Utilisez le fichier .htaccess pour ajouter des règles de réécriture et de réécriture, et définir la redirection 301; 2. Ninx Server: modifiez le fichier de configuration du site et utilisez l'instruction return301 pour réaliser un saut; 3. CDN ou plate-forme d'hébergement: par exemple, CloudFlare crée des règles de page pour sauter. Les notes incluent la garantie que le certificat SSL couvre deux noms de domaine, tester si le saut entre en vigueur et la maintenance de la cohérence de l'ensemble du lien du site pour éviter les problèmes de référencement et les erreurs d'accès.
Comment servir un fichier HTML simple avec Apache?
Jul 14, 2025 am 12:52 AM
Pour que Apache serve un fichier HTML simple, préparez d'abord le fichier HTML et mettez-le dans le répertoire correct. 1. Créez un fichier HTML simple tel que index.html ou exemple.html; 2. Copiez le fichier dans le répertoire racine par défaut Apache / var / www / html / ou le chemin personnalisé; 3. Assurez-vous que le service Apache est démarré et accessible via le navigateur pour tester; 4. Si vous devez modifier le répertoire du site Web, modifiez les chemins de document et les chemins de répertoire dans le fichier de configuration Apache et redémarrez le service pour rendre la configuration. L'ensemble du processus nécessite une attention à l'extension de fichier, aux autorisations de chemin et à l'état du service, et s'assure que tous les paramètres sont exacts et que la page peut être affichée avec succès.
