Apache2 Ubuntu版如何配置安全策略

Apache2 Ubuntu 版安全策略配置清单

一 基础加固

• 保持系统与软件为最新：执行sudo apt update && sudo apt upgrade，及时修补漏洞。
• 精简攻击面：禁用不需要的模块（如a2dismod autoindex等），仅启用必需模块。
• 隐藏版本信息：在**/etc/apache2/conf-enabled/security.conf中设置ServerTokens Prod与ServerSignature Off**，减少信息泄露。
• 目录列表与默认首页：确保生产环境关闭目录浏览（避免Options Indexes），并删除或替换**/var/www/html/index.html**等默认页面。
• 访问控制：对管理路径或敏感目录使用基于文件或目录的认证（见下文“访问控制”）。
  以上措施能显著降低被针对性攻击的概率，并提升整体安全基线。

二 加密与端口策略

• 启用 TLS：安装并启用模块sudo a2enmod ssl；为站点配置SSLEngine on、证书与链文件路径，确保全站 HTTPS。
• 证书部署：将证书文件（如fullchain.pem与privkey.pem）放置于**/etc/apache2/ssl/，并在虚拟主机中正确指向；如使用Let’s Encrypt**，可用certbot自动部署与续期。
• 防火墙放行：使用UFW仅放行必要端口，推荐sudo ufw allow ‘Apache Full’（或分别放行80/tcp与443/tcp），并确认规则生效。
• 端口变更：如修改**/etc/apache2/ports.conf中的Listen**端口，需同步在 UFW 放行对应端口，避免服务不可达。
  通过强制 HTTPS、最小化暴露面与严格的端口放行策略，可有效降低明文传输与端口滥用风险。

三 访问控制与请求限制

• 基本认证：对管理后台或敏感目录增加账号口令保护。示例：
  • 创建用户文件：sudo htpasswd -c /etc/apache2/authorization/users user_0
  • 目录配置：

    <Directory /var/www/example.com/protected>
        AuthName "Authorization"
        AuthType Basic
        AuthBasicProvider file
        AuthUserFile /etc/apache2/authorization/users
        Require valid-user
    </Directory>
    

• 防暴力与 DoS：部署fail2ban监控**/var/log/apache2/error.log**，自动封禁恶意来源；按需启用mod_evasive缓解 DDoS/Slowloris 等。
• 请求过滤：结合mod_security实施 WAF 规则，过滤 SQL 注入、XSS 等常见攻击向量。
  以上策略从身份鉴别、速率限制与攻击特征识别三个维度提升访问控制强度。

四 运行环境与文件权限

• 最小权限运行：确保服务以www-data运行，避免以root执行 Web 进程；按需调整APACHE_RUN_USER/APACHE_RUN_GROUP。
• 文件与目录权限：网站根目录建议chown -R www-data:www-data与chmod -R 755；仅对上传目录放开写入并隔离执行权限。
• 系统加固：保持UFW默认拒绝入站、仅放行必要服务；定期审计**/var/log/apache2/access.log与error.log**，关注异常状态码与来源。
• AppArmor：生产环境不建议直接移除AppArmor，应优先编写或调整策略以适配业务需求，避免引入新的安全风险。
  通过权限最小化、强制访问控制与持续日志审计，构建稳固的运行环境基线。

五 快速检查清单