一、 網站後臺只允許特定ip訪問。
網站管理後臺,對網站的管理具有較高的權限,如果可以任意訪問,則存在較大的安全風險。可以通過如下步驟,限制網站後臺的訪問ip地址。
說明:由於管理員使用的公網ip可能是動態,所以建議將允許訪問的ip地址,設置成網段的形式,掩碼建議使用255.255.0.0
(1)vim /etc/httpd/conf/httpd.conf
添加如下代碼
<Diretory "/www/admin">
Order allow,deny
allow from 192.168.0.1/255.255.0.0
</Directory>
說明:其中"/www/admin"為網站後臺的目錄,192.168.0.1需替換成對應公網地址
(2)讓配置生效
Service httpd restart
二、 網站後臺認證信息加密
Apache默認的用戶認證方式中,用戶名和口令都是使用明文傳輸。在面對中間人攻擊的場景時,容易導致用戶憑證被竊取。所以需要對用戶憑證進行加密,才能有效降低管理員賬號密碼被竊取的風險。
(1)創建認證用戶
htdigest -c /etc/httpd/conf/htpasswd.users "check" ad
說明:-c為首次創建用戶時使用的參數,其他時候需省略;check 為認證域,可自定義,但是要與AuthName的值保持一致;ad為用戶名;回車後,按照提示輸入密碼即可;
(2)修改配置文件
vim /etc/httpd/conf/httpd.conf
添加如下內容:
<Directory "/www/admin">
AuthName "check"
AuthType Digest
AuthUserFile /etc/httpd/conf/htpasswd.users
Require valid-user
</Directory>
說明:AuthUserFile為配置文件路徑;"/www/admin"為網站後臺目錄;使用Service httpd restart命令,讓配置生效
三、 隱藏Apache的版本號
一般軟件的漏洞與軟件的版本相對應,當攻擊者知道Apahce的版本後,則知道其可能包含的漏洞。為了降低系統的攻擊面,需要對Apahce的版本號進行隱藏。
(1)編輯配置文件
vim /etc/httpd/conf/httpd.conf
參數修改成如下內容
ServerTokens Prod
ServerSignature Of
f```
(2)讓配置生效Service httpd restart