防止其他应用程序绑定到端口80和443

上周，我接到一个害怕的客户打来的电话，因为他认为他的网站被黑了。当我查找他的网站时，我看到了apache2默认页面。那天晚上，我的服务器（Ubuntu 16.04 LTS）已升级并重新启动。通常，当出现问题时，我会在一夜之间收到警报。这次不是，因为监视系统检查HTTP状态代码200，并且apache2默认页面带有状态代码200。

发生的事情是，在启动期间apache2，绑定到端口80和443的速度比实际的Web服务器nginx快。我自己没有安装apache2。通过aptitude why apache2我发现php7.0包需要它。

简单地删除apache2将不起作用，因为显然php7.0需要它。是否可能以某种方式创建限制，以便仅允许nginx绑定到端口80和443？

其他解决方案也非常受欢迎。

您无法防止端口受到错误服务的束缚。在您的情况下，只需从自动启动中删除apache，您应该会很好。

对于16.04及更高版本：

sudo systemctl disable apache2

对于较旧的Ubuntu版本：

sudo update-rc.d apache2 disable

如果您确实没有使用apache2，而PHP 7.0则需要它，那么看起来您已经libapache2-mod-php7.0安装了。如果没有Apache，该软件包将无用。由于您使用的是nginx，因此您可能也已经安装php7.0-fpm或php7.0-cgi安装了它们，足以满足php7.0的依赖项要求：

$ apt-cache depends php7.0
php7.0
 |Depends: php7.0-fpm
 |Depends: libapache2-mod-php7.0
  Depends: php7.0-cgi
  Depends: php7.0-common
  Conflicts: <php5>

如果您确实安装了其中任何一个php7.0-{fpm,cgi}，则可以继续并卸载Apache。

为了回答您的问题，您可以使用SElinux将端口限制为特定的应用程序。我自己并没有使用过它，而对其功能只有肤浅的了解，但是这里有一个我在此站点中找到的指针：

/server//a/257056/392230

在该答案中，wzzrd似乎显示了如何授予特定的应用程序（foo）绑定到特定端口的权限（803）。您只需要设置策略，以便只允许您的应用程序（nginx）指定的端口（80和443）。

根据wzzrd的答案，可能只是将其添加到策略中一样简单

allow nginx_t nginx_port_t:tcp_socket name_bind;

并运行这个

semanage port -a -t nginx_port_t -p tcp 80
semanage port -a -t nginx_port_t -p tcp 443

但是，我想您在策略中还需要指定一行，以指定没有其他程序可以绑定到这些端口。

最后，我只是在猜测适当的配置是什么。

无论如何，我认为没有默认安装并启用SElinux的Ubuntu。因为我认为它要求对各种实用程序和内核选项应用某些补丁，所以简单地使用确实安装了并从一开始就启用了SElinux的Centos可能会更容易。

抱歉，我没有更多帮助。也许再过一段时间，我将下载Centos的图像并尝试一下。这将是一个很好的学习步骤。如果可以，我将更新此答案。

我还没有在答案中看到的东西，但是仍然有可能：

更改Apache配置以侦听另一个端口，以防万一。您可以通过打开Apache配置文件，然后将必须更改的行更改Listen 80为另一个端口来实现。

对于您的确切问题，我没有答案，但是也许您需要查看发行版。我会考虑使安装的服务（此处为Apache2）不安全的任何发行版。考虑研究一个不这样做的发行版。我不能说我曾经在Archlinux上看到过这种行为，我敢肯定还有其他行为。