Алексей Алексеев Добро пожаловать в мой уютненький бложек

Защита Web-сервера Apache

Когда вы устанавливаете Apache на свой компьютер (сервер), то по умолчанию он выдает пользователям крайне много информации, которую не следовало бы и выдавать. В данной статье я расскажу вам как защитить свой сервер. Все изменения мы будем проводить с файлом httpd.conf, который можно найти в папке установки Apache, он лежит в подпапке conf. Итак, для начала откроем httpd.conf и приступим к защите Apache!

1. Скрываем версию Apache.

Существует 2 директивы, которые по умолчанию, чаще всего, отсутствуют в стандартной конфигурации, поэтому необходимо добавить их, тем самым уменьшив информативность ответов сервера.

ServerTokens Prod
ServerSignature Off

Эти директивы нужно добавить после директивы ServerName. Но что бы все заработало, необходимо выполнить ещё один шаг, отключить (поставить знак # перед строкой) следующую директиву:

# Various default settings
#Include conf/extra/httpd-default.conf

Заключительным шагом будет перезагрузка сервера.

2. Скрываем версию PHP.

В данном случае у нас небольшое отступление от правил, править будем файл php.ini, который находится в папке установки интерпретатора PHP. Ищем строку expose_php и меняем её на:

expose_php = off

После отключения данной директивы PHP не будет сообщать свою версию. Не забудьте перезапустить Apache.

3. Настраиваем ошибку 404

Для того, что бы apache не выдавал стандартную страницу при  ошибке 404, нужно скачать, к примеру, этот файл, или создать самостоятельно html-страницу и поместить ее в папку htdocs. Затем в httpd.conf нужно указать путь к нашему файлу и  раскомментировать следующую строку:

ErrorDocument 404 /missing.html

где missing.html - это наша страница.

P.S.: Со временем буду дополнять эту страницу новыми данными, с удовольствием отвечу на ваши вопросы по почте и в комментариях.