Heim > Artikel > Backend-Entwicklung > Apache Virtual Host: Sicherheit hinzufügen
Um die Sicherheit beim Einrichten eines Reverse-Proxys mit Apache zu gewährleisten, können Sie mehrere Best Practices implementieren, z. B. die Aktivierung von HTTPS mit SSL/TLS, Anpassen von Sicherheitsheadern, Konfigurieren der Firewall und Sichern des Zugriffs auf das Backend. Nachfolgend finden Sie eine detaillierte Implementierung für Sie, um eine sicherere Umgebung zu gewährleisten.
Die Verwendung von HTTPS ist zum Schutz der Daten zwischen dem Client und dem Server unerlässlich. Dazu konfigurieren wir ein SSL-Zertifikat in Apache.
1.Certbot- und Apache-SSL-Module installieren
Wenn Sie die SSL-Module noch nicht installiert haben, installieren Sie sie:
sudo apt install certbot python3-certbot-apache sudo a2enmod ssl
2.Besorgen Sie sich ein SSL-Zertifikat (Let's Encrypt)
Wenn Ihre Domain bereits auf den Server verweist, können Sie mit Certbot ein kostenloses SSL-Zertifikat von Let's Encrypt erhalten. Führen Sie den folgenden Befehl aus:
sudo certbot --apache -d php.info
Wenn die Domain öffentlich ist, ersetzen Sie php.info durch Ihre tatsächliche Domain.
Certbot konfiguriert automatisch SSL auf Ihrem virtuellen Host und leitet den HTTP-Verkehr zu HTTPS um.
3.Überprüfen und passen Sie das SSL des virtuellen Hosts an
Nach der Konfiguration erstellt oder ändert Certbot die SSL-Konfigurationsdatei für den virtuellen Host. Überprüfen Sie, ob alles korrekt ist:
sudo your_editor /etc/apache2/sites-available/php-le-ssl.conf
Es sollte ungefähr so aussehen:
<IfModule mod_ssl.c> <VirtualHost *:443> ServerAdmin webmaster@localhost ServerName php.info DocumentRoot /var/www/html/php # Reverse Proxy Configuration for HTTPS ProxyPreserveHost On ProxyPass / http://localhost:8080/ ProxyPassReverse / http://localhost:8080/ <Directory /var/www/html/php/> AllowOverride All Require all granted </Directory> ErrorLog ${APACHE_LOG_DIR}/php_error.log CustomLog ${APACHE_LOG_DIR}/php_access.log combined SSLEngine on SSLCertificateFile /etc/letsencrypt/live/php.info/fullchain.pem SSLCertificateKeyFile /etc/letsencrypt/live/php.info/privkey.pem Include /etc/letsencrypt/options-ssl-apache.conf </VirtualHost> </IfModule>
Sie können sicherstellen, dass der gesamte HTTP-Verkehr auf HTTPS umgeleitet wird. Fügen Sie in Ihrem virtuellen HTTP-Host (/etc/apache2/sites-available/php.conf) Folgendes hinzu:
<VirtualHost *:80> ServerAdmin webmaster@localhost ServerName php.info Redirect permanent / https://php.info/ </VirtualHost>
Dadurch wird sichergestellt, dass alle HTTP-Anfragen an die sichere (HTTPS)-Version der Website umgeleitet werden.
Fügen Sie die folgenden Sicherheitsheader zu Ihrer SSL Virtual Host-Konfigurationsdatei hinzu, um einige häufige Schwachstellen wie Clickjacking und Cross-Site Scripting (XSS) zu verringern:
<IfModule mod_headers.c> Header always set X-Content-Type-Options "nosniff" Header always set X-Frame-Options "SAMEORIGIN" Header always set X-XSS-Protection "1; mode=block" Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains" Header always set Content-Security-Policy "default-src 'self';" </IfModule>
Sie müssen sicherstellen, dass der Backend-Dienst, beispielsweise ein PHP-Server oder ein anderer Dienst, nicht direkt für die Öffentlichkeit zugänglich ist. Dies kann erreicht werden, indem der Zugriff auf das Backend nur auf den Proxy beschränkt wird.
Konfigurieren Sie die Firewall (UFW unter Ubuntu):
Erlauben Sie zunächst nur HTTP- (Port 80) und HTTPS- (Port 443) Datenverkehr zum Server.
sudo ufw allow 'Apache Full' sudo ufw enable
Blockieren Sie jetzt jeglichen direkten Datenverkehr zu Port 8080 (dem Backend), mit Ausnahme von Apache:
sudo ufw deny 8080
Behalten Sie die Zugriffs- und Fehlerprotokolle im Auge, um verdächtiges Verhalten zu erkennen:
tail -f /var/log/apache2/php_error.log
tail -f /var/log/apache2/php_access.log
Sie können auch ein Überwachungstool wie Fail2Ban verwenden, um IP-Adressen automatisch zu blockieren, die zu viele fehlgeschlagene Anmeldeversuche oder andere verdächtige Aktivitäten durchführen.
Um sicherzustellen, dass Sie vor bekannten Schwachstellen geschützt sind, müssen Sie Ihr Betriebssystem, Apache und Certbot auf dem neuesten Stand halten.
sudo apt update && sudo apt upgrade
Wenn Sie diese Schritte befolgen, erhalten Sie eine sichere Reverse-Proxy-Umgebung mit HTTPS und grundlegendem Schutz gegen häufige Angriffe. Diese Einstellungen umfassen die Transportsicherheit (SSL/TLS), die Abwehr von Angriffen über HTTP-Header und den Schutz des Backends vor externen Zugriffen.
Das obige ist der detaillierte Inhalt vonApache Virtual Host: Sicherheit hinzufügen. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!