Apache

• Apache

  • Web 伺服器軟體
  • 可以跨平台使用
  • 因為人為設定導致許多漏洞
  • 官網

• Apache 安裝

  • apt-get install apache2
  • 預設放網頁的位置：/var/www/html/

• 查看 Apache 執行權限

  • apt update
  • apt list --upgradable
  • apt-get install lsof
  • lsof -i:80
  • 
  • ※如何透過專用的 Apache 使用者執行 apache
  • groupadd apache
  • useradd apache -g apache
  • vim /etc/apache2/apache2.conf

  User apache
  Group apache
  

  • /etc/init.d/apache2 restart

• 目錄遍歷問題

  • 
  • 預設是關閉目錄列表功能
  • 如果要關閉可以使用

  <Directory /var/www/html>
  Options -Indexes
  </Directory>
  

• 關閉 Apache 版本與作業系統版本

ServerSignature Off
ServerTokens Prod

• 關閉 Etag

FileETag None

• 更新 apache 到最新版本
  • yum update httpd
  • apt-get install apache2
• 使用 SSL 加密
  • 推薦透過 https://certbot.eff.org/
  • 可選擇伺服器軟體跟作業系統
  • 
• 打開防火牆
  • 安裝 ModSecurity
  • yum install mod_security
• 弱點掃描
  • 加入 HTTPOnly , Secure
    • vim apache2.conf
      • Header edit Set-Cookie ^(.*)$ $1;HttpOnly;Secure
  • 加入 XSS Protection
    • vim apache2.conf
      • Header set X-XSS-Protection "1; mode=block"
• 參考文章
  • https://wpbuffs.com/apache-security-best-practices/
  • http://httpd.apache.org/docs/2.4/misc/security_tips.html
  • https://geekflare.com/10-best-practices-to-secure-and-harden-your-apache-web-server/
  • https://www.apachecon.eu/