今天捣鼓服务器可累死我了，最近老听说同行网站被黑，吓得我赶紧检查自己的破站。结果一看阿帕奇配置，好家伙，跟没锁的门似的！赶紧把防火墙规则捋了一遍，折腾到凌晨三点，总结了四个必须搞的防护配置，小白照着做准没错。

第一步：先封死目录乱窜的后门

打开阿帕奇配置文件我就直拍大腿，默认设置里Options Indexes这行居然没注释掉！这等于让黑客在浏览器地址栏输个/secret/就能看到我服务器所有文件夹，跟超市货架似的任人翻。我立马在标签里加了个-Indexes，改完顺手把根目录权限设成Deny from all，跟防贼似的把每个文件夹都手动配了白名单。

第二步：藏好阿帕奇身份证

用浏览器插件一查，嚯！服务器版本、操作系统全暴露在ServerTokens和ServerSignature里。黑客看见这跟捡了说明书似的，专挑漏洞打。我麻溜找到配置文件，把这两项全改成Prod模式，现在报错页面只剩冷冰冰的“Internal Server Error”，连我用的是阿帕奇都看不出来。

第三步：关掉危险的“后门钥匙”

翻文档时惊出冷汗——.htaccess文件默认居然能用！这玩意好比把服务器钥匙埋门口花盆底下，谁找到谁就能改配置。我直接在虚拟机配置里塞了段代码：AllowOverride None。这下谁也别想靠上传恶意文件来篡改我设置，要改配置？除非从我实体服务器上跨过去！

第四步：给上传文件戴镣铐

想起上次朋友网站被人传了木马图，我赶紧处理上传目录的权限。新建了个upload目录专门放用户传的东西，在配置文件里用php_admin_value把这目录的PHP执行权限给扬了。怕黑客伪造地址偷文件，又把allow_encoded_slashes改成Off，现在连../这种穿越路径都失效。

测试时候还出了个插曲
• 改完重启阿帕奇直接500报错，急得我薅头发
• 翻日志发现是权限设太狠连css都加载不了
• 骂骂咧咧给静态文件开了白名单才恢复

全部折腾完用扫描工具测了下，漏洞从27个降到3个，剩下都是CMS的锅。这波操作就像给破房子装了防盗门、监控、电网还养了狼狗。虽然凌晨四点困得眼皮打架，但摸着良心说，这四个配置不做，服务器就跟裸奔没区别！