CentOS Web伺服器安全配置指南

這一章我們將向大家介紹CentOS HTTP://www.aliyun.com/zixun/aggregation/17117.html">Web伺服器安全設置，這也是很多提供Web服務功能安全設置的重中之重， 作為伺服器的管理員我們應該養成良好的系統維護習慣，勤打補丁，對於目錄的許可權設置也應該有一個非常清楚的瞭解，對於使用者及使用者組的管理也應該養成良好的習慣，如果你是剛看到這篇文章，可以先瞭解一下《CentOS系統安全配置指南》 的部分。

關於Centos的安裝及初始化設置等工作，大家可以查看以下文章：

CentOS 6.0圖解安裝教程：準備安裝

HTTP://www.ithov.com/linux/114733.shtml

CentOS 6.0圖解安裝教程：光碟安裝

HTTP://www.ithov.com/linux/114734.shtml

CentOS 6.0圖解安裝教程：安裝後的初始化設置

HTTP://www.ithov.com/linux/114735.shtml

CentOS 6.0圖解安裝教程：安裝後基本配置

HTTP://www.ithov.com/linux/114739.shtml

如果你對Centos Linux系統的安裝已經很熟悉啦，哪麼可以跳過以上的內容，進入下面的內容學習。

1. 勤打補丁

在www.apache.org上的 changelog中都寫著bug fix 、security bug的字樣。 所以，Linux管理員要經常關注相關網站的缺陷，及時升級系統或者打補丁。 使用最高的和最新的安全版本對於加強Apache伺服器的安全是至關重要的。 將你的openssl升級打牌0.9.6e或更高的版本，偽造的金鑰將起不了任何作用，也不能滲透到系統中。 一些反病毒程式能夠發現並殺死ssl病毒，但是蠕蟲病毒可能產生變體，從而逃脫反病毒軟體的追捕。 重啟Apache可以殺死這樣的病毒，但是對於防止將來的感染沒有什麼積極的作用。

隱藏和偽裝Apache的版本

通常，軟體的漏洞和特定的版本是相關的，因此，版本號對駭客來說是最有價值的東西。

預設情況下，系統會把Apache版本模組都顯示出來（在HTTP返回頭中）。 如果列舉目錄的話，會顯示功能變數名稱資訊（檔案清單正文），去除Apache的版本號的方法是修改設定檔HTTP.conf。 找打一下關鍵字：serversignature並將其設定為：

Serversignature off

Servertokens prod

然後重啟伺服器。

通過分析web伺服器的類型，可以大致推測出作業系統的類型，比如，windows使用IIS，而Linux下最常見的是Apache。

預設的Apache配置裡沒有任何資訊保護機制，並且允許瀏覽目錄。 通過瀏覽目錄，通常可以獲得類似「Apache/1.3.27 server at apache.linuxforum.net port 80」或者「apache/2.0.49(unix)PHP/4.38」這類的資訊。

通過修改設定檔的servertokens參數，可以將Apache的相關資訊隱藏起來。 但是，Red Hat Linux運行的Apache是編譯好的程式，提示資訊被編譯在程式裡，要隱藏這些資訊需要改動Apache的原始程式碼，然後，重新編譯安裝程式，以替換裡面的提示內容。

以Apache 2.0.50為例，編輯ap_release.h檔，修改「#define AP_SERVER_BASEPRODUCT\」Apache」\為「#define AP_SERVER_BASEPRODUCT\」 micosoft-IIS 6.0」 \」.修改完後，重新編譯，安裝Apache。

Apache安裝按成後，修改HTTPd.conf設定檔，將「servertokens full」改成「servertokens prod」；將「Serversignature on」改成「Serversignature off 」，然後存檔退出。 重啟伺服器後，用工具進行掃面就會發現提示資訊中顯示的作業系統為windows。