一、 网站后台只允许特定ip访问。
网站管理后台,对网站的管理具有较高的权限,如果可以任意访问,则存在较大的安全风险。可以通过如下步骤,限制网站后台的访问ip地址。
说明:由于管理员使用的公网ip可能是动态,所以建议将允许访问的ip地址,设置成网段的形式,掩码建议使用255.255.0.0
(1)vim /etc/httpd/conf/httpd.conf
添加如下代码
<Diretory "/www/admin">
Order allow,deny
allow from 192.168.0.1/255.255.0.0
</Directory>
说明:其中"/www/admin"为网站后台的目录,192.168.0.1需替换成对应公网地址
(2)让配置生效
Service httpd restart
二、 网站后台认证信息加密
Apache默认的用户认证方式中,用户名和口令都是使用明文传输。在面对中间人攻击的场景时,容易导致用户凭证被窃取。所以需要对用户凭证进行加密,才能有效降低管理员账号密码被窃取的风险。
(1)创建认证用户
htdigest -c /etc/httpd/conf/htpasswd.users "check" ad
说明:-c为首次创建用户时使用的参数,其他时候需省略;check 为认证域,可自定义,但是要与AuthName的值保持一致;ad为用户名;回车后,按照提示输入密码即可;
(2)修改配置文件
vim /etc/httpd/conf/httpd.conf
添加如下内容:
<Directory "/www/admin">
AuthName "check"
AuthType Digest
AuthUserFile /etc/httpd/conf/htpasswd.users
Require valid-user
</Directory>
说明:AuthUserFile为配置文件路径;"/www/admin"为网站后台目录;使用Service httpd restart命令,让配置生效
三、 隐藏Apache的版本号
一般软件的漏洞与软件的版本相对应,当攻击者知道Apahce的版本后,则知道其可能包含的漏洞。为了降低系统的攻击面,需要对Apahce的版本号进行隐藏。
(1)编辑配置文件
vim /etc/httpd/conf/httpd.conf
参数修改成如下内容
ServerTokens Prod
ServerSignature Off
(2)让配置生效
Service httpd restart