我的Apache安全加固

以下配置为我正式环境使用的。之前用Apache比较多;现在基本不用了。现分享吧。

1.针对 Spider的
 <Location />
 #SetEnvIfNoCase User-Agent "spider" bad_bot
 BrowserMatchNoCase bingbot bad_bot
 BrowserMatchNoCase Googlebot bad_bot     
 BrowserMatchNoCase 360Spider bad_bot 
 BrowserMatchNoCase "iaskspider" badguy
 BrowserMatchNoCase "QihooBot" badguy
 BrowserMatchNoCase "larbin" badguy
 BrowserMatchNoCase "iearthworm" badguy
 BrowserMatchNoCase "Outfoxbot" badguy
 BrowserMatchNoCase "lanshanbot" badguy
 BrowserMatchNoCase "Arthur" badguy
 BrowserMatchNoCase "InfoPath" badguy
 BrowserMatchNoCase "DigExt" badguy
 BrowserMatchNoCase "Embedded" badguy
 BrowserMatchNoCase "EmbeddedWB" badguy
 BrowserMatchNoCase "Wget" badguy
 BrowserMatchNoCase "CNCDialer" badguy
 BrowserMatchNoCase "LWP::Simple" badguy
 BrowserMatchNoCase "WPS" badguy
 Order Deny,Allow
 Deny from 124.115.4. 124.115.0. 64.69.34.135 216.240.136.125 218.15.197.69 155.69.160.99 58.60.13. 121.14.96. 58.60.14. 58.61.164. 202.108.7.209
 Deny from env=bad_bot
</Location>

2.用Rewrite对Apache进行加固

#####APACHE URL关键字加固策略
#####请自行添加删减关键字
#####并做好测试。实例如下:
RewriteEngine on
RewriteCond %{REQUEST_URI} xwork|java|redirect|passwd|hosts|windows|script|ScRiPt|location|prompt|proc\/self\/environ|mosConfig_[a-zA-Z_]{1,21}(=|%3D)|base64_encode.*(.*)|(<|%3C).*script.*(>|%3E)|GLOBALS(=|[|%[0-9A-Z]{0,2})|_REQUEST(=|[|%[0-9A-Z]{0,2})|limit|\/WEB-INF\/web\.xml|applicationContext\.xml|\/manager\/html|\/jmx-console\/|\.properties|\.class|phpinfo\.php|\/conn\.asp|\/conn\.php|\/conn\.jsp|\/cmd\.asp|\/diy\.asp|\.asp;|\/(\w+)\.(\w+)\/(\w+)\.php|\.php\.|eval\(|%eval|\.jsp?action=|fsaction=|/etc/passwd|\/%c0%ae%c0%ae|\/%2E%2E|boot\.ini|win\.ini|access\.log|httpd\.conf|nginx\.conf|boot\.ini|\/etc\/hosts|((\.(bak|config|sql|fla|psd|ini|log|sh|inc|swp|dist|php|php5|jspx)|~)$) [NC]
RewriteRule ^/(.*) http://www.baidu.com/ [R,F]
RewriteCond %{QUERY_STRING} xwork|java|redirect|passwd|hosts|windows|script|ScRiPt|location|prompt|proc\/self\/environ|mosConfig_[a-zA-Z_]{1,21}(=|%3D)|base64_encode.*(.*)|(<|%3C).*script.*(>|%3E)|GLOBALS(=|[|%[0-9A-Z]{0,2})|_REQUEST(=|[|%[0-9A-Z]{0,2})|limit|\/WEB-INF\/web\.xml|applicationContext\.xml|\/manager\/html|\/jmx-console\/|\.properties|\.class|phpinfo\.php|\/conn\.asp|\/conn\.php|\/conn\.jsp|\/cmd\.asp|\/diy\.asp|\.asp;|\/(\w+)\.(\w+)\/(\w+)\.php|\.php\.|eval\(|%eval|\.jsp?action=|fsaction=|/etc/passwd|\/%c0%ae%c0%ae|\/%2E%2E|boot\.ini|win\.ini|access\.log|httpd\.conf|nginx\.conf|boot\.ini|\/etc\/hosts|((\.(bak|config|sql|fla|psd|ini|log|sh|inc|swp|dist|php|php5|jspx)|~)$) [NC]
RewriteRule ^/(.*) http://www.baidu.com/ [R,F]

其实感觉功能还是有些鸡肋的。我这边也是配合Waf使用的。呵呵。

时间: 2024-11-03 10:46:48

我的Apache安全加固的相关文章

centos及apache 安全加固

安全加固 Centos 7 安全加固SSH 加密 yum -y install expectmkpasswd 服务器上所有账号的密码都要采用毫无关联的强密码,密码为不少于16位的大小写字母数字特殊符号的组合. 修改SSH配置文件 改默认端口 22 -> 78787 禁止root帐号登录 指定允许登录帐号 SHH root PermitRootLogin noAllowUsers ccav 启用强制密码长度策略 vim /etc/login.defs.....PASS_MIN_LEN 13 检查是

Apache漏洞利用与安全加固实例分析

Apache 作为Web应用的载体,一旦出现安全问题,那么运行在其上的Web应用的安全也无法得到保障,所以,研究Apache的漏洞与安全性非常有意义.本文将结合实例来谈谈针对Apache的漏洞利用和安全加固措施. Apache HTTP Server(以下简称Apache)是Apache软件基金会的一个开放源码的网页服务器,可以在大多数计算机操作系统中运行,是最流行的Web服务器软件之一.虽然近年来Nginx和Lighttpd等Web Server的市场份额增长得很快,但Apache仍然是这个领

Apache加固之目录、文件限制

如果你用类似phpstudy集成平台的话,所有你想要修改的配置基本上在phpstudy上就可以直接设置操作.但如果你的服务器是通过一步步安装的(Apache+PHP+Mysql)的话,那么就要对各功能修改的位置要有一定的了解了. 一,文件类型: 目标:http.conf <Files ~ ".bak$"> Order allow,deny Deny from all </Files> //即限制可以访问的文件后缀. 或: <FilesMatch .(txt

Apache服务器安全加固

声明:绝对的安全是不存在的,下面只提供一些方法和思路,具体情况要具体分析. 一.安装最新的补丁如果门是敞开的话,在窗户上加锁就毫无意义.同样道理,如果你没有打补丁,继续下面的操作就没有什么必要. 二.隐藏Apache的版本号及其它敏感信息默认情况下,很多apache安装时会显示版本号及操作系统版本,甚至会显示服务器上安装的是什么样的apache模块.这些信息可以为黑客所用,并且黑客还可以从中得知你所配置的服务器上的很多设置都是默认状态.这里有两条语句,你需要添加到你的httpd.conf文件中:

Apache服务安全加固

一.账号设置 以专门的用户帐号和用户组运行 Apache 服务. 根据需要,为 Apache 服务创建用户及用户组.如果没有设置用户和组,则新建用户,并在 Apache 配置文件中进行指定. 创建 Apache 用户组. groupadd apache 创建 Apache 用户并加入 Apache 用户组. useradd apache –g apache 将下面两行设置参数加入 Apache 配置文件 httpd.conf 中: User apache Group apache 检查 http

服务器安全加固

1.更新系统补丁 更新补丁是安全加固最重要的步骤. 2.禁用不需要的服务 以下服务必须禁用:Server.Workstation.Print Spooler.Remote Registry.Routing and Remote Access.TCP/IP NetBIOS Helper.Computer Browser 3.系统权限设置 由于系统权限设置的地方非常多,我们只能公布常用的部分. 部分文件被系统隐藏了,不便于设置,因此我们先将所有文件显示出来. ·更改系统盘所有者为Administra

[Windows Server 2003] 服务器安全加固

★ 欢迎来到[护卫神·V课堂],网站地址:http://v.huweishen.com★ 护卫神·V课堂 是护卫神旗下专业提供服务器教学视频的网站,每周更新视频.★ 本节我们将带领大家:服务器安全加固·由于安全因素种类繁多,以及不同服务器设置可能不一样,本节只能简单介绍安全加固的几个方 面.·如果您需要专业的安全加固,请购买护卫神“人工安全加固服务”. 1.更新系统补丁 更新补丁是安全加固最重要的步骤. 2.禁用不需要的服务 以下服务必须禁用:Server.Workstation.Telnet.

Linux系统安全加固策略(二)

一.安装和升级使用custom自定义安装,不必要的软件包尽量不装,如有必要给lilo/grub引导器加入口令限制,安装完成后使用up2date.yum或是apt(Debian)升级系统软件,有时升级内核也是必要的.编辑 /etc/sudoers 添加下面内容jinshuai ALL=NOPASSWD:ALL二.帐号安全1.一般服务器都是放在IDC机房,需要通过远程访问进行管理,要限制root的远程访问,管理员通过普通帐号远程登录,然后su到root,开发人员只使用普通帐号权限.1) 在/etc/

漏洞预警 | Apache Struts2 曝任意代码执行漏洞 (S2-045)

近日,Apache官方发布Apache Struts 2.3.5–2.3.31版本及2.5–2.5.10版本存在远程代码执行漏洞(CNNVD-201703-152 ,CVE-2017-5638)的紧急漏洞公告.该漏洞是由于上传功能的异常处理函数没有正确处理用户输入的错误信息,导致远程攻击者可通过发送恶意的数据包,利用该漏洞在受影响服务器上执行任意命令. 漏洞危害 攻击者可在HTTP请求头部中的Content-Type字段构造恶意代码利用该漏洞,在受影响服务器上执行系统命令,进一步可完全控制该服务