所以就去網路上研究了一下如何增加apache的security...
1.取消ServerSignature: 預設的狀態是開啟的
開啟的狀態下,如果USER輸入的錯誤的網頁,他會連同Apache與OS版本一併秀出來!!
當然顯示的資訊越少越安全,所以編輯 /etc/httpd/conf/httpd.conf,將ServerSignature Off
2.修改權限,編輯 /etc/httpd/conf/httpd.conf
將原本的
Options FollowSymLinks
AllowOverride None
改為
Options None
Order deny,allow
Deny from all
3.關閉FollowSymLinks以及CGI execution
依據鳥哥網站的說明:
FollowSymLinks:這是 Follow Symbolic Links 的縮寫, 字面意義是讓連結檔可以生效的意思。我們知道首頁目錄在 /var/www/html,既然是 WWW 的根目錄,理論上就像被 chroot 一般! 一般來說被 chroot 的程式將無法離開其目錄,也就是說預設的情況下,你在 /var/www/html 底下的連結檔只要連結到非此目錄的其他地方,則該連結檔預設是失效的。 但使用此設定即可讓連結檔有效的離開本目錄。
所以為了安全起見還是關閉他!!
4.
將Apache Test Page 移除
找到welcome.conf的文件,一般在/etc/httpd/conf.d
把這個文件的所有行都注解掉,即前面加上#,就可以隱藏起來Test Page。(也可以直接把該文件改名稱 mv /etc/httpd/conf.d/welcome.conf /etc/httpd/conf.d/welcome.conf.bak)
沒有留言:
張貼留言