CentOS Apache安全配置（从零开始的Apache服务器加固实战指南）

一、更新系统与Apache

首先，确保你的系统和Apache都是最新版本，以修复已知漏洞：

# 更新系统sudo yum update -y# 安装或更新Apachesudo yum install httpd -y# 启动并设置开机自启sudo systemctl start httpdsudo systemctl enable httpd

二、隐藏Apache版本信息

默认情况下，Apache会在响应头中暴露版本号，这会为攻击者提供便利。我们应将其隐藏：

# 编辑主配置文件sudo vi /etc/httpd/conf/httpd.conf# 在文件末尾添加以下两行ServerTokens ProdServerSignature Off

保存后重启Apache使配置生效：

sudo systemctl restart httpd

三、禁用不必要的模块

Apache默认加载了许多模块，其中一些可能并不需要。减少模块数量可降低攻击面。查看已加载模块：

httpd -M

编辑配置文件，注释掉不需要的模块（例如autoindex、status等）：

# 在 /etc/httpd/conf.modules.d/ 目录下找到对应模块文件# 例如：00-base.conf# 注释掉不需要的 LoadModule 行# LoadModule autoindex_module modules/mod_autoindex.so

四、设置目录权限与访问控制

限制对敏感目录的访问是Apache服务器加固的关键步骤。编辑主配置文件或虚拟主机配置：

<Directory "/var/www/html">    Options -Indexes -Includes    AllowOverride None    Require all granted</Directory># 禁止访问 .htaccess 和 .htpasswd<Files ~ "^\.ht">    Require all denied</Files>

五、启用ModSecurity（可选但推荐）

ModSecurity是一个开源的Web应用防火墙（WAF），能有效防御SQL注入、XSS等常见攻击：

# 安装EPEL仓库sudo yum install epel-release -y# 安装ModSecuritysudo yum install mod_security -y# 重启Apachesudo systemctl restart httpd

安装后，ModSecurity默认使用OWASP核心规则集（CRS），可提供基础防护。

六、配置HTTPS（SSL/TLS）

使用HTTPS加密通信是CentOS Web安全的基本要求。可使用Let's Encrypt免费证书：

# 安装Certbotsudo yum install certbot python2-certbot-apache -y# 获取并安装证书（替换 your-domain.com）sudo certbot --apache -d your-domain.com# 自动续期（添加到crontab）echo "0 0 * * * /usr/bin/certbot renew --quiet" | sudo crontab -

七、定期日志监控与审计

Apache日志位于/var/log/httpd/，建议定期检查错误日志和访问日志，及时发现异常行为。可配合fail2ban等工具自动封禁恶意IP。

总结

通过以上步骤，你已经完成了基础的Apache安全教程所涵盖的核心配置。记住，安全是一个持续的过程，需定期更新、测试和优化。希望这篇针对小白的指南能帮助你在CentOS上构建一个更安全的Apache Web服务器！