Linux 安全設定與Apache2憑證更換

Linux安全設定與Apache2憑證更換

本篇文章要介紹給大家如何在Linux上進行 安全設定與Apache2憑證更換
首先使用者先使用apt-get update來更新我們的軟體資訊。


完成後再來安裝所需要的服務軟體,例如UFW。

Linux安全設定與Apache2憑證更換

來安裝我們簡易的防火牆 UFW,安裝完畢後,使用 sudo ufw status verbose來檢查防火牆目前的設定。

Linux 安全設定與Apache2憑證更換

讓UFW預設開機就啟動服務。

Linux安全設定與Apache2憑證更換

筆者預設把防火牆全關,只留自己設備SSH到此主機的規則。
這兩條規則:

Linux安全設定與Apache2憑證更換

Linux安全設定與Apache2憑證更換

可以選擇預設全開或者預設全關,筆者建議預設全關,再將要開通的規則新增上去。
安裝好openssh-server後,也加入了自己會使用遠端桌面的設備於白名單內,這邊要安裝SSH是因為筆者方便用自己的電腦遠端(putty)連線操作。

Linux安全設定與Apache2憑證更換

若要刪除防火牆規則,可以使用 sudo ufw status numbered來看是幾號規則。

Linux 安全設定與Apache2憑證更換

再使用 sudo ufw delete 編號 來刪除規則。

開啟網頁伺服器專用的port。

Linux安全設定與Apache2憑證更換

Linux安全設定與Apache2憑證更換

像是在安裝apache2後使用的預設port並不會開啟,需要手動加入。

Linux 安全設定與Apache2憑證更換

將防火牆開啟後,就可以讀取到apache2預設的頁面。

講解完簡易的UFW防火牆使用後,那我們接著就來教大家如何設定apache2的相關設定。我們先一樣使用apt-get instatll apache2來安裝我們的apache伺服器。

Linux安全設定與Apache2憑證更換

安裝好之後,使用a2enmod開啟預設的模組:rewrite、proxy、proxy_http、headers、ssl。

Linux安全設定與Apache2憑證更換

記得只要做了設定、修改、啟動關閉站台、都要重新載入apache2!

Linux安全設定與Apache2憑證更換

檢查啟用了哪些模組,就只要ls /etc/apache2/mods-enabled。

Linux 安全設定與Apache2憑證更換

上述的功能開啟後apache2就可以使用那些模組功能了。

 

接下來筆者這邊把原本的預設的站台關閉,習慣自己一個站台用一個config。

Linux安全設定與Apache2憑證更換

修改 /etc/apache2/sites-available/default-ssl.conf 內憑證存放位置。

Linux安全設定與Apache2憑證更換

或者修改覆蓋至此地方,筆者建議在 /etc/apache2/ssl 創建此資料夾,方便管理apache2用的憑證資料。
在 /etc/apache2/sites-available/ 內的設定檔,使用a2ensite將其設定檔啟用,預設啟用000-default.conf。

筆者把預設的default-ssl.conf開啟。

Linux安全設定與Apache2憑證更換

啟用後,就可以看見在 /etc/apache2/sites-enabled/內多了剛剛啟用的站台設定檔,也就可以使用https來開啟網站了。

可以在設定檔中加入憑證存放的位置如下:

Linux安全設定與Apache2憑證更換

再次提醒修改完apache2的設定檔,系統都會提醒要Reload,有時候會無法正常執行的例外狀況出現時,我們再重啟服務。

Linux 安全設定與Apache2憑證更換

※備註:Sudo這個不登入root使用root權限的指令,預設時間是五分鐘,只要前面有使用過,五分鐘內使用sudo就不用再打密碼囉!

 

另外Linux有個非常好用的套件:Nmap,他可以輕鬆的掃描網路,單機IP,去訪問該設備有開甚麼port給大家做使用,如果使用者的電腦沒有嚴密的實體防火牆隔離,甚至本機上的虛擬防火牆設定不嚴謹的話,很容易會被有心人是藉由這些漏洞鑽入進行破壞,或者造成商業上的損失。

Linux security settings and Apache2 certificate replacement

像是上圖就是筆者利用自己新安裝的Linux主機去做nmap別台設備,或許用windows的主機要知道這環境有哪些IP被使用,還需要寫腳本甚至一個一個ping,但是透過linux上的套件可以輕鬆抓取這環境內線上設備有誰。

所以公司內有新安裝的Linux主機也好Windows Server也好,一安裝好系統,必須先將基本的防護設定做好,才開始去做機器被分配到的任務,這樣就可以減少有心人士的攻擊了!


發表迴響

這個網站採用 Akismet 服務減少垃圾留言。進一步瞭解 Akismet 如何處理網站訪客的留言資料