Linux

保護網站/使其私有化的方法和技巧?

  • July 26, 2020

我很快就會啟動一個網站,但我希望它是安全的/私有的以進行測試。它現在在它的真實領域;我已經添加了一個 htaccess 身份驗證(使用 htpasswd)。我在 apache2 / Ubuntu 16.04

我想a2dissite在一天結束時使用它,這樣甚至無法訪問域/顯示頁面。

我在我的 apache2 配置文件中啟用了這些:

ServerTokens Prod
ServerSignature Off 
TraceEnable off

和 :

<Directory /var/www/html>
   Options -Indexes
</Directory>

還可以做哪些其他事情來增強安全性,甚至使站點完全私有化?

編輯 - 我還需要通過 htaccess + htpasswd 進行身份驗證,我忘了說,它是先完成的。

我不會a2dissite,因為它會預設VirtualHost替換您已經指向 DNS 中的伺服器的域名,這可能會影響您的 SEO。除了HTTP 基本身份驗證

  • 您可以限制對用於建構站點的 IP 地址或塊的訪問。
  • 即使在開發過程中,我也會強制使用 HSTS 的 TLS。

例如

<VirtualHost *:80>
   ServerName example.com
   Redirect permanent / https://example.com/
</VirtualHost>

<VirtualHost *:443>
   ServerName example.com

   SSLCertificateFile /etc/letsencrypt/live/example.com/fullchain.pem
   SSLCertificateKeyFile /etc/letsencrypt/live/example.com/privkey.pem

   <IfModule mod_headers.c>
       Header always set Strict-Transport-Security "max-age=63072000; includeSubDomains"
   </IfModule>

   <Location />
       <RequireAny>
           Require ip 192.0.2.100
           Require ip 198.51.100.0/24
       </RequireAny>
   </Location>
</VirtualHost>

引用自:https://serverfault.com/questions/1026723