quachhuy1703
New Member
-
09/01/2023
-
0
-
4 bài viết
Cấu hình bảo mật Web server Apache
I. Những Điều Cần Lưu Ý
- Trước tiên thiết lập, bạn nắm một số điều cơ bản về Apache như sau. Apache nó thường được cài với mặc định như sau:
- Document root Directory: /var/www/html or /var/www
- File cấu hình tại: /etc/httpd/conf/httpd.conf (RHEL/CentOS/Fedora) và /etc/apache/apache2.conf (Debian/Ubuntu).
- Cổng HTTP mặc định: 80 TCP
- Cổng HTTPS mặc định: 443 TCP
- Kiểm tra file cấu hình bằng lệnh: httpd -t
- Log truy cập tại: /var/log/httpd/access_log
- Log ghi lại lỗi tại: /var/log/httpd/error_log
- Lệnh khởi động lại Apache: #service httpd restart
- Sửa nội dung file httpd.conf bạn dùng lệnh sửa text nào có trong hệ thống của bạn như vi, vim …
II. Ẩn Thông Tin Phiên Bản Apache Và Hê Điều Hành Khi Truy Cập Trang Không Có
- Khi truy cập với một URL lỗi, nó có thể hiện thị thông tin về Apache và OS mà bạn muốn giấu như:
- Để tắt thông tin này bạn sủa file config của Apache (httpd.conf)
ServerTokens Prod
- Rồi khởi động lại Apache, nó sẽ không còn xuất hiện Version Apache nữa.
III. Hủy Liệt Kê Danh Sách File
- Mặc định Apache sẽ liệt kê danh sách file trong Directory theo dạng:
- Để tắt nó bạn cần thêm directive Options như sau:
<Directory /var/www/html>
Options -Indexes
</Directory>
- Khởi động lại Apache sẽ không còn liệt kê nữa
III. Cập Nhật Apache Thường Xuyên
- Để cho server hoạt động một cách an toàn. Các bạn nên kiểm tra webserver của mình định kỳ 6 tháng hoặc 3 tháng một lần.
- Để kiểm tra câu lệnh các bạn có thể tham khảo câu lệnh bên dưới.
# httpd -v
Server version: Apache/2.2.15 (Unix)
Server built: Aug 13 2013 17:29:28
---------ubuntu-----------------
root@693e6eeb34f3:/# apache2 -v
Server version: Apache/2.4.52 (Ubuntu)
Server built: 2022-09-30T04:09:50
IV. Sử Dụng Allow, Deny Để Hạn Chế Truy Cập Các Thư Mục
Ví dụ nếu như các bạn muốn không cho phép truy cập vào thư mục wp-admin thì các bạn vào file httpd.conf thêm như sau:- <Directory wp-admin>
Options None
Order deny,allow
Deny from all
</Directory> - Options “None” – Không cho phép User bật lại thiết lập (Ví dụ cố tình bật thông qua file htaccess)
- Order deny, allow – Thứ tự đọc các thiết lập deny trước, allow sau
- Deny from all – Không ai được truy cập thư mục gốc
Chỉnh sửa lần cuối bởi người điều hành: