日期:2012-01-01 20:38:00 来源:本站整理
<b>Apache避免攻击</b>[服务器安全]
本文“<b>Apache避免攻击</b>[服务器安全]”是由七道奇为您精心收集,来源于网络转载,文章版权归文章作者所有,本站不对其观点以及内容做任何评价,请读者自行判断,以下是其具体内容:
为了避免恶意用户对Apache举行攻击,我们需求安装mod_security这个安全模块
mod_security 1.9.x模块的下载与安装
下载地址:http://www.modsecurity.org/download/index.html
倡议利用1.9.x,因为2.x的配置指令与1.x完好差别,解压后进入解压目录,履行:
/home/apache/bin/apxs -cia mod_security.c
编译完成后,/home/apache/modules下会生成一个mod_security.so文件
然后kate /home/apache/conf/httpd.conf
加入以下选项(假如没有的话)
#启用mod_security这个安全模块
LoadModule security_module modules/mod_security.so (这一句普通会被自动加入)
# 翻开过滤引擎开关.假如是Off,那么下面这些都不起作用了.
SecFilterEngine On
# 把设置传送给字目录
SecFilterInheritance Off
# 查抄url编码
SecFilterCheckURLEncoding On
# 检测内容长度以避免堆溢出攻击
#SecFilterForceByteRange 32 126
# 日记的文件和位置.一定要先成立好目录,不然apache重新启动的时刻会报错.
SecAuditLog logs/audit_log
# debug的设置
#SecFilterDebugLog logs/modsec_debug_log
#SecFilterDebugLevel 1
#当匹配chmod,wget等号令的时刻,重新定向到一个特别的页面,让攻击者知难而退
SecFilter chmod redirect:http://www.sina.com
SecFilter wget redirect:http://www.sina.com
#检测POST数据,注意,请甚用这个开关,大概会招致一些post页面无法拜候.具体的信息,请察看www.modsecurity.org的文档,此中有具体的post编码要求.
#SecFilterScanPOST Off
# 缺省的行动
SecFilterDefaultAction “deny,log,status:406″
# 重新定向用户
#SecFilter xxx redirect:http://www.sina.com
# 避免操作系统关键词攻击
SecFilter /etc/*passwd
SecFilter /bin/*sh
# 避免double dot攻击
SecFilter “\.\./”
# 避免跨站脚本(CSS)攻击
SecFilter “<( |\n)*script”
# Prevent XSS atacks (HTML/Javascript injection)
SecFilter “<(.|\n)+>”
SecFilter “delete[[:space:]]+from”
SecFilter “insert[[:space:]]+into”
SecFilter “select.+from”
#重定向exe和asp恳求
SecFilterSelective REQUEST_URI “\.exe” “redirect:http://www.谷歌.com”
SecFilterSelective REQUEST_URI “\.asp” “redirect:http://www.谷歌.com”
#下面是限制了upload.php文件只能用来上传jpeg.bmp和gif的图片
#
#SecFilterInheritance On
#SecFilterSelective POST_PAYLOAD “!image/(jpeg|bmp|gif)”
#
#假装服务器标识
SecServerSignature “Microsoft-IIS/6.0″
保存后重启apache便可!
为了避免Web服务器被DDoS攻击,我们需求安装mod_evasive这个防DDoS的模块
mod_evasive 1.10.x防DDoS模块的下载与安装
下载地址:http://www.zdziarski.com/projects/mod_evasive/
解压后进入解压目录,履行
/home/apache/bin/apxs -cia mod_evasive20.c
编译完成后,/home/apache/modules下会生成一个mod_evasive20.so文件
然后kate /home/apache/conf/httpd.conf
加入以下选项(假如没有的话)
#启用mod_evasive for Apache 2.x防DDoS模块
LoadModule evasive20_module modules/mod_evasive20.so (这一句普通会被自动加入)
#记录和存放黑名单的哈西表大小,假如服务器拜候量很大,可以加大该值
DOSHashTableSize 3097
#同一个页面在同一时间内可以被统一个用户拜候的次数,超越该数字就会被列为攻击,同一时间的数值可以在DosPageInterval参数中设置.
DOSPageCount 3
#同一个用户在同一个网站内可以同时翻开的拜候数,同一个时间的数值在DOSSiteInterval中设置.
DOSSiteCount 40
#设置DOSPageCount中时间长度尺度,默许值为1.
DOSPageInterval 2
#DOSSiteInterval 2 设置DOSSiteCount中时间长度尺度,默许值为1.
DOSSiteInterval 2
#被封时间隔断秒,这中间会收到 403 (Forbidden) 的返回.
DOSBlockingPeriod 10
#设置遭到攻击时接纳攻击信息提醒的邮箱地址.
#DOSEmailNotify
#遭到攻击时Apache运行用户履行的系统号令
#DOSSystemCommand “su - someuser -c ‘/sbin/… %s …’”
#攻击日记存放目录,BSD上默许是 /tmp
#DOSLogDir “/var/lock/mod_evasive”
<IfModule mod_security.c>
SecFilterEngine On
SecFilterCheckURLEncoding On
SecFilterDefaultAction "deny,log,status:500"
#SecFilterForceByteRange 32 126
#SecFilterScanPOST On
SecAuditLog logs/audit_log
###
SecFilter "\.\./"
#####
SecFilter /etc/*passwd
SecFilter /bin/*sh
#for css attack
SecFilter "<( | )*script"
SecFilter "<(.| )+>"
#for sql attack
SecFilter "delete[ ]+from"
SecFilter "insert[ ]+into"
SecFilter "select.+from"
SecFilter "union[ ]+from"
SecFilter "drop[ ]"
</IfModule>
以上是“<b>Apache避免攻击</b>[服务器安全]”的内容,如果你对以上该文章内容感兴趣,你可以看看七道奇为您推荐以下文章:
本文地址: | 与您的QQ/BBS好友分享! |
评论内容只代表网友观点,与本站立场无关!
评论摘要(共 0 条,得分 0 分,平均 0 分)
查看完整评论