怎样在Apache中实现安全策略

Apache安全策略落地指南

一 基础加固

• 运行身份与最小权限：确保 Apache 不以 root 运行，使用专用的低权限用户（如 www-data/apache），且该用户禁止登录；主配置中设置 User 与 Group。
• 精简模块与功能：关闭不需要的模块（如 autoindex、status、userdir、cgi、env、setenvif 等），减少攻击面。
• 隐藏版本与错误信息：设置 ServerTokens Prod、ServerSignature Off，避免泄露版本与系统信息。
• 目录与符号链接：全局或敏感目录禁用目录浏览（Options -Indexes），谨慎使用 FollowSymLinks，必要时用 SymLinksIfOwnerMatch。
• 访问控制：对管理路径、备份目录、包含敏感信息的目录设置 Require all denied 或基于 IP/网段的白名单。
• 文件与目录权限：网站根目录建议 chown -R www-data:www-data /var/www/html，目录 755、文件 644，仅管理员可写配置与日志。
• 日志与监控：启用并轮转访问与错误日志，设置合适的 LogLevel（如 alert rewrite:trace3 用于排错时临时提升），并集中监控异常。

二 传输加密与端口控制

• 启用 HTTPS/TLS：优先全站 HTTPS，使用 Let’s Encrypt 自动化签发与续期（Debian/Ubuntu 可用 certbot --apache）。
• 防火墙放行：仅开放 80/443，如 ufw allow ‘Apache Full’ 或 firewall-cmd --permanent --add-service={http,https} && firewall-cmd --reload。
• 禁用明文端口：在云平台安全组与系统防火墙层面关闭入站 80（如业务允许），或做 HTTP→HTTPS 跳转。
• 证书与协议：证书与私钥权限最小化（如 600），禁用过时协议与弱套件（在发行版默认配置基础上按需收紧）。

三 请求与访问控制

• 安全响应头：启用并优化 mod_headers 输出关键安全头：
  • X-Content-Type-Options: nosniff
  • X-Frame-Options: SAMEORIGIN（或 DENY）
  • X-XSS-Protection: 1; mode=block
  • Referrer-Policy: no-referrer-when-downgrade
  • Content-Security-Policy：按站点策略收紧（示例：default-src ‘self’; script-src ‘self’）
• 目录与覆盖：生产站点建议 AllowOverride None，将认证与授权收敛到主配置或专用文件，降低被 .htaccess 绕过的风险。
• 认证与授权：对管理后台等敏感路径启用 HTTP Basic Auth（配合 htpasswd 生成凭据），或使用更安全的认证方案。
• 细粒度访问：基于 // 设置 Require ip 1.2.3.4/24 等白名单，对敏感资源（如 .bak、.sql、.git）返回 403。

四 模块与WAF

• Web 应用防火墙：部署 mod_security 并加载通用或合规规则集（如 OWASP Core Rule Set），先日志/仅告警，再逐步启用阻断策略，避免误杀。
• 防滥用与限流：结合 mod_evasive 缓解高频请求、扫描与简单 DoS 场景（按业务压测调参）。
• 语言运行时安全（如 PHP）：关闭 expose_php，生产环境 display_errors Off，禁用危险函数（如 system、exec、shell_exec、passthru、popen 等），并通过 open_basedir 限制脚本可访问目录。

五 运维与持续安全

• 持续更新与补丁：系统与 Apache 保持最新，及时修复漏洞；变更前备份配置与数据。
• 配置审计与基线：对关键指令（如 ServerTokens、ServerSignature、Options、AllowOverride、Require、Header）建立基线并定期核查。
• 日志集中与告警：将 access.log/error.log 接入集中平台，对 4xx/5xx 激增、异常 UA、暴力认证 等设定阈值告警。
• 备份与演练：定期备份网站与配置，包含证书、规则集与密钥；演练证书续期、回滚与故障切换流程。