CentOS安装Apache-2.4.10+安全配置

注：以下所有操作均在CentOS 6.5 x86_64位系统下完成。

#准备工作#

在安装Nginx之前，请确保已经使用yum安装了各基础组件，并且配置了www用户和用户组，具体见《CentOS安装Nginx-1.6.2+安全配置》。

另外还需要先安装以下几个组件：

1、安装Sqllite：

# wget http://www.sqlite.org/2014/sqlite-autoconf-3080704.tar.gz
# tar zxf sqlite-autoconf-.tar.gz
# cd sqlite-autoconf-
# ./configure --prefix=/usr/local/sqlite-3.8.7.4
# make && make install

2、安装apr：

# wget http://archive.apache.org/dist/apr/apr-1.5.2.tar.gz
# tar zxf apr-1.5..tar.gz
# cd apr-1.5.
# ./configure --prefix=/usr/local/apr-1.5.
# make && make install

3、安装apr-util：

# wget http://archive.apache.org/dist/apr/apr-util-1.5.4.tar.gz
# tar zxf apr-util-1.5..tar.gz
# cd apr-util-1.5.
# ./configure --prefix=/usr/local/apr-util-1.5. --with-apr=/usr/local/apr-1.5.
# make && make install

#Apache的安装#

开始下载Apache并进行编译安装：

# cd /usr/local/src
# wget http://archive.apache.org/dist/httpd/httpd-2.4.25.tar.gz
# cd httpd-2.4.
# ./configure --prefix=/usr/local/apache-2.4. --with-apr=/usr/local/apr-1.5. --with-apr-util=/usr/local/apr-util-1.5. --enable-dav --enable-so --enable-maintainer-mod --enable-rewrite --with-sqlite=/usr/local/sqlite-3.8.7.4
# make && make install
# cp /usr/local/apache-2.4.25/conf/httpd.conf /usr/local/apache-2.4./conf/httpd.conf.default
# ln -s /usr/local/apache-2.4./ /usr/local/apache

接着修改http.conf配置文件：

# vim /usr/local/apache-2.4.25/conf/httpd.conf

Listen 

User www
Group www

LoadModule dav_module modules/mod_dav.so
LoadModule dav_fs_module modules/mod_dav_fs.so
LoadModule rewrite_module modules/mod_rewrite.so

注：这里我们配置其监听端口是8888，并且开启DAV模块和Rewrite模块。

之后保存文件并开启apache服务：

# /usr/local/apache/bin/apachectl start

注意新版本的Apache已经禁止以root用户启动Apache，启动后如下所示：

# ps aux | grep httpd
www        0.0  0.5    ?        Sl   :   : /usr/local/apache-2.4./bin/httpd -k start
www        0.0  0.5    ?        Sl   :   : /usr/local/apache-2.4./bin/httpd -k start
www        0.0  0.7    ?        Sl   :   : /usr/local/apache-2.4./bin/httpd -k start
www        0.0  0.5    ?        Sl   :   : /usr/local/apache-2.4./bin/httpd -k start
root       0.0  0.7     ?        Ss       : /usr/local/apache-2.4./bin/httpd -k start
root       0.0  0.1     pts/    S+   :   : grep httpd

注：这里有个httpd进程是root的，这是正常的，因为启动后root才会fork出ww权限的进程，用户的请求由www权限进程处理。

这个时候打开浏览器访问地址http://youripaddress:8888/应该可以看到：

至此，Apache已经安装完毕并且已经启动成功。

#Apache的安全配置#

1、Apache默认是允许目录浏览的，如果目录下没有索引文件则会出现目录浏览漏洞，所以这里需要关闭目录浏览。这里直接选择全局关闭：

# vim /usr/local/apache/conf/httpd.conf

<Directory "/usr/local/apache-2.4.25/htdocs">
    Options Indexes FollowSymLinks
    Require all granted
</Directory>

注：原来的Indexes改成-Indexes，也可以选择在.htacess文件中部分禁止该功能，或者直接把Indexes这行删除。

2、Apache默认输出的banner会泄漏关键信息，比如服务器OS类型、Apache版本等。可以禁止起输出这些信息：

# vim /usr/local/apache/conf/httpd.conf

ServerSignature Off
ServerTokens Prod

注：直接在文件末尾添加内容即可。

3、开启访问日志并正确配置其路径（默认已开启）：

# vim /usr/local/apache/conf/httpd.conf

<IfModule log_config_module>
    CustomLog "logs/access_log" common
</IfModule>

4、确保目录安全，由于是以www用户启动Apache的，所以可以设置Web目录和文件的属主为root用户，Web目录统一设置权限为755，Web文件权限统一设置为644（cgi文件若需执行可设置为755），只有上传目录需要可读写的权限设置为777。

# chown -R root:root /data/www/
# chmod  /data/www/
# chmod -R  /data/www/upload

另外，为了防止黑客上传可执行脚本到777目录下，必须设置该目录为不能执行或访问脚本，比如：

# vim /usr/local/apache/conf/httpd.conf

<Directory "/usr/local/apache/htdocs/yourpath">
    Options None
    AllowOverride None
    Order deny,allow
    Deny from all
    <FilesMatch "\.(jpg|jpeg|gif|png)$">
        Order deny,allow
        Allow from all
    </FilesMatch>
</Directory>

5、对管理目录设置访问IP名单限制，比如：

# vim /usr/local/apache/conf/httpd.conf

<Directory "/usr/local/apache/htdocs/admin">
Order deny,allow
Deny from all
Allow from pair 11.12.23.0/24
</Directory>

6、去掉UserDir功能（默认已关闭）。