Question

apache 服务器安全配置

Answer 1

1、不要将404错误直接转向到网站首页，这将导致首页不被收录；
2、/404.html 前面不要带主域名，否则返回的状态码是302或200状态码；
3、自定义的404页面必须是大于512B，如果小于这个大小，浏览器就不会执行；

当Web服务器配置不当的时候，如果当前目录不存在默认文件（比如index.html），Apache会列出当前目录下所有文件，造成敏感信息泄露。
我们可以测试一下，测试方法：
首先我们可以删除存在的默认文件index.html

然后再访问网站

Options Indexes FollowSymLinks
这里的indexes 是指在目录中要存在index文件，如果不存在把文件列出来，如果存在index文件可以直接显示index文件，因此每个目录都必须存在index文件，如果不存在有可能此目录把文件全部列出来。

默认安装完成之后,会有一个默认的apache测试页面，里面会泄露一些信息，包括网站目录，操作系统，版本等等

step1.编辑配置文件 /etc/httpd/conf.d/welcome.conf

step2.找到如下行

step3.修改为如下,并保存退出

step4.重启apache服务

step1.在网站根目录下创建一个index.php文件

step2.再次访问

step1.编辑http.conf文件

step2.限定目录没有执行的PHP脚本执行的权限

step4.再次测试漏洞是否存在