基础安全框架与前置条件
最小化公开面与系统基线
在 CentOS 环境下搭建 Apache2 的第一步,是建立清晰的系统基线与最小化公开面。通过仅暴露必要端口、禁用不需要的服务,并对主机进行分区管理,可以显著降低攻击面和横向移动的概率。
关键点包括:持续的系统补丁管理、最小化安装包、以及严格的账号策略。将 SSH、Web 服务等资产分离到独立主机或容器中,减少单点风险,并通过基线对比确保裸机和镜像的一致性。
在 CentOS 上的实践要点是启用定期自动更新、禁用不必要的服务、并设定最小化的默认配置,以便在每次部署或升级后都能维持可审计的安全状态。
# CentOS 系统更新和最小化安装示例
sudo yum update -y
sudo yum install -y yum-utils
sudo yum groupinstall -y "Minimal Install"
此外,应对管理员账户进行强认证与访问控制,包括禁用 root 直接登录、启用公钥认证、以及对管理端口进行额外的过滤与审计。
强固 Apache2 的核心配置
禁用不必要的模块与严格的目录权限
禁用不必要的模块能够降低潜在的攻击面,并且通过严格的目录权限来控制对 Web 内容的访问,是 Apache 安全的核心部分。
在 httpd.conf 中设置 ServerTokens 为 Prod、ServerSignature 关闭,以避免泄露版本信息;并通过 Options -Indexes 限制目录列表显示,防止暴露文件结构。
为 /var/www/html 指定明确的访问控制,禁止对敏感目录的目录索引,同时开启日志记录以便追踪异常访问行为。
# 禁用多余的模块(示例,实际需按系统实际加载情况调整)
#LoadModule status_module modules/mod_status.so
#LoadModule autoindex_module modules/mod_autoindex.so# 基本硬化
ServerTokens Prod
ServerSignature Off# 目录安全
Options -Indexes +FollowSymLinksAllowOverride NoneRequire all granted
# 关闭 TRACE
TraceEnable Off
在 URL 重写和静态资源访问中,限制跨站点请求与跨域行为,并确保对敏感资源使用强身份认证或授权逻辑。
加密与证书管理:TLS 最佳实践
启用 TLS、强制 HSTS、配置证书轮换
在互联网上的全部通信应通过经过验证的加密信道传输,这是防止中间人攻击和数据篡改的基本要求。CentOS 下的 Apache2 常见做法是搭配 Let’s Encrypt 证书实现自动化轮换。
建议使用 TLS 1.2 及 TLS 1.3,禁用旧版协议,并通过 SSLHonorCipherOrder On 强制服务器端优先选择安全套件。
为提升抗劫持能力,启用严格的 HSTS 策略、并配置合规的证书轮换流程,避免证书到期造成的业务中断。
# 典型的 TLS 配置片段(虚拟主机 443)
SSLEngine onSSLProtocol -all +TLSv1.2 +TLSv1.3SSLCipherSuite ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256SSLHonorCipherOrder OnSSLCertificateFile /etc/letsencrypt/live/example.com/fullchain.pemSSLCertificateKeyFile /etc/letsencrypt/live/example.com/privkey.pemHeader always set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"
同时结合证书自动续期与到期通知策略,确保服务不中断,并记录证书变更以便审计。
应用层防护:ModSecurity 与 WAF
规则集合与性能权衡
应用层防护应覆盖常见注入、跨站脚本等攻击场景,通过 ModSecurity 作为 Web 应用防火墙实现第一道防线。
集成 OWASP CRS(Core Rule Set)等通用规则集,可覆盖绝大多数 WEB 漏洞,并结合自定义规则提升针对性防护。
在性能方面,需对规则命中率与吞吐量进行权衡,必要时启用聚合日志与异步审计,以避免对正常访问造成明显延迟。
# ModSecurity 基本配置(示例)
LoadModule security2_module modules/mod_security2.so
SecRuleEngine OnSecRequestBodyAccess OnSecResponseBodyAccess OffSecAuditEngine RelevantOnlySecAuditLogType SerialSecAuditLog /var/log/httpd/modsec_audit.log
结合 CRS,常用的启用项包括 SQL 注入、XSS、本地文件包含等检测,并通过日志进行持续的规则优化。
# 引入 CRS(示例,实际按 CRS 安装路径配置)
Include /usr/share/modsecurity-crs/base_rules/*.conf
访问控制与日志审计
SELinux、防火墙与日志轮转
通过 SELinux 加强对 Apache 的运行时访问控制,防止非授权行为,并确保 Web 内容的上下文正确,减少权限错配导致的风险。
同时搭配防火墙策略,限定 HTTP/HTTPS 的访问入口,只开放必要的服务端口,拒绝不必要的入站流量。
日志与审计是持续监控的核心,包括访问日志、错误日志以及 ModSecurity 的审计日志,用于溯源与取证。
# SELinux 与防火墙示例
sudo setenforce 1
sudo setsebool -P httpd_read_user_content 1
sudo firewall-cmd --permanent --add-service=http
sudo firewall-cmd --permanent --add-service=https
sudo firewall-cmd --reload
# 日志轮转示例
# /etc/logrotate.d/httpd
/var/log/httpd/*.log {dailyrotate 14compressmissingoknotifemptycreate 0640 root apachesharedscriptspostrotatesystemctl reload httpd.service > /dev/null 2>&1 || trueendscript
}
实际部署与运维要点
备份、变更管理与应急响应
在生产环境中,完整的备份与变更管理是不可或缺的,确保在配置错误、漏洞利用或硬件故障时能够快速恢复。
对 Apache 配置、证书、以及关键日志进行分层备份,并建立变更审批流程,以避免未授权改动进入生产。
部署监控、告警与应急演练有助于提升响应效率,包括对异常请求、资源耗尽、证书到期等事件的自动化告警与快速回滚方案。
# Fail2ban(阻断尝试次数较多的 IP,示例仅供参考)
sudo yum install -y fail2ban
sudo systemctl enable --now fail2ban
cat > /etc/fail2ban/jail.local <<'EOF'
[httpd]
enabled = true
port = http,https
filter = httpd-auth
logpath = /var/log/httpd/error_log
maxretry = 5
bantime = 3600
EOF
sudo systemctl restart fail2ban
