RockyLinux Apache安全配置指南（手把手教你加固Apache服务器）

一、更新系统与Apache

首先，确保你的RockyLinux系统和Apache软件包都是最新版本，以修复已知漏洞。

# 更新系统sudo dnf update -y# 安装或更新Apachesudo dnf install httpd -ysudo systemctl enable --now httpd

二、隐藏Apache版本信息

默认情况下，Apache会在HTTP响应头中暴露其版本号，这可能被攻击者利用。我们应隐藏这些敏感信息。

编辑主配置文件：

sudo nano /etc/httpd/conf/httpd.conf

在文件末尾添加以下两行：

ServerTokens ProdServerSignature Off

保存后重启Apache：

sudo systemctl restart httpd

三、禁用不必要的模块

Apache默认加载了许多模块，其中一些你可能根本用不到。禁用它们可以减少攻击面。

查看已启用的模块：

httpd -M

例如，如果你不需要自动目录列表功能，可注释掉mod_autoindex模块：

# 在 /etc/httpd/conf.modules.d/00-base.conf 中注释掉# LoadModule autoindex_module modules/mod_autoindex.so

四、设置目录权限与访问控制

限制对敏感目录的访问是Apache服务器加固的关键步骤。

编辑虚拟主机或主配置文件，添加如下规则：

<Directory "/var/www/html">    Options -Indexes -Includes    AllowOverride None    Require all granted</Directory># 禁止访问 .htaccess 和 .htpasswd<Files ~ "^\.ht">    Require all denied</Files>

五、启用ModSecurity（可选但推荐）

ModSecurity 是一个开源的Web应用防火墙（WAF），能有效防御SQL注入、XSS等常见攻击，是实现RockyLinux Web安全的重要工具。

# 安装 EPEL 仓库sudo dnf install epel-release -y# 安装 ModSecuritysudo dnf install mod_security -y# 启用并重启 Apachesudo systemctl restart httpd

默认规则位于 /etc/httpd/modsecurity.d/，你可以根据需求调整。

六、定期审计与日志监控

安全不是一次性的任务。建议定期检查Apache日志（/var/log/httpd/），并使用工具如fail2ban自动封禁恶意IP。

结语

通过以上步骤，你已经完成了基础的Apache安全最佳实践配置。记住，安全是一个持续的过程，保持系统更新、最小化服务暴露、定期审查配置，是维护Web服务器安全的核心原则。

提示：在生产环境中实施任何更改前，请先在测试环境验证，避免服务中断。