《怎样安全设置ApacheWeb服务器.docx》由会员分享,可在线阅读,更多相关《怎样安全设置ApacheWeb服务器.docx(15页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、怎样安全设置ApacheWeb服务器怎样安全设置ApacheWeb服务器Apache是世界使用排名第一的Web服务器软件。它能够运行在几乎所有广泛使用的计算机平台上,由于其跨平台和安全性被广泛使用,是最流行的Web服务器端软件之一。但即便是这种服务器软件,也经常有攻击者会通过某些手段使服务器拒绝对应答,这使Apache对系统资源(cup时间与内存)需求巨增,最终造成系统变慢甚至完全瘫痪,下面是学习啦我整理的一些关于ApacheWeb服务器安全设置注意事项供你参考。HTTP拒绝服务攻击攻击者通过某些手段使服务器拒绝对应答,这使Apache对系统资源(cup时间与内存)需求巨增,最终造成系统变慢甚
2、至完全瘫痪,Apache服务器最大的缺点是,它的普遍性使它成为众矢之的,Apache服务器无时无刻不遭到DoS攻击威胁,主要有下边几种1.数据包洪水攻击一种中断服务器或本地网络的方法是数据包洪水攻击,它通常使用internet控制报文协议(ICMP,属于网络层协议)包或是udp包,在最简单的形式下,这些攻击都是使服务器或网络负载过重,这意味这攻击者的网络速度必须比目的主机网络速度要快,使用udp包的优势是不会有任何包返回到黑客的计算机(udp效率要比tcp高17倍),而使用ICMP包的优势是攻击者能让攻击愈加富与变化,发送有缺陷的包会搞乱并锁住受害者的网络,目前流行的趋势是攻击者欺骗服务器,让
3、其相信正在受来自本身的洪水攻击.2.磁盘攻击这是一种很不道德的攻击,它不仅影响计算机的通信,还毁坏其硬件,伪造的用户请求利用写命令攻击目的计算机硬盘,让其超过极限,并强迫关闭,结局很悲惨.3.路由不可达通常DoS攻击,集中在路由器上,攻击者首先获得控制权并操纵目的机器,当攻击者能更改路由表条目时候,会导致整个网络无法通信,这种攻击很阴险,隐蔽,由于网络管理员需要排除的网络不通原因很多,其中一些原因需要具体分辨.4.分布式拒绝服务攻击这也是最具有威胁的DDoS攻击,名称很容易理解,简单讲就是群欧,很多客户机同时单条服务器,你会发现你将伤痕累累,Apache服务器十分容易遭到攻击,无论是DDos还
4、是隐藏来源的攻击,由于Apache无处不在,十分是为Apache特意打造的病毒(特选SSL蠕虫),潜伏在很多主机上,攻击者通过病毒能够操纵大量被感染的机器,对特定目的发动一次浩大的DDoS攻击,通过将蠕虫散播到大量主机,大规模的点对点攻击得以进行,除非你不提供服务,要不然几乎无法阻止这样的攻击,这种攻击通常会定位到大型的网站上.5.缓冲区溢出这种攻击很普遍,攻击者利用CGI程序编写一些缺陷程序偏离正常的流程,程序使用静态的内存分配,攻击者就能够发送一个超长的请求使缓冲区溢出,比方,一些perl编写的处理用户请求的网关脚本,一但缓冲区溢出,攻击者就能够执行恶意指令.6.非法获取root权限假如A
5、pache以root权限运行,系统上一些程序的逻辑缺陷或缓冲区溢出漏洞,会让攻击者很容易在本地系统获取linux服务器上的管理者权限,在一些远程情况下,攻击者会利用一些以root身份执行的有缺陷的系统守护进程来获得root权限,或利用有缺陷的服务进程漏洞来获得普通用户权限,以远程登陆,进而控制整个系统.这边这些都是服务将会碰到的攻击手段,下边来讲,怎样打造安全的Apache服务器,假如你能遵守下边这些建议,那么你将得到一台相对安全的apache服务器.一:勤打补丁你必需要相信这个是最有用的手段,缓冲区溢出等漏洞都必须使用这种手段来防御,勤快点相信对你没有坏处,在:apache.org上最新的c
6、hangelog中都写有:bugfix,securitybugfix的字样,做为负责任的管理员要经常关注相关漏洞,及时升级系统添加补丁.使用最新安全版本对加强apache至关重要.二:隐藏和伪装Apache的版本打乱攻击者的步骤,给攻击者带来费事,相信是管理员愿意看到的.软件的漏洞信息和版本是相关的,在攻击者采集你服务软件信息时候给与迷惑是个不错的选择,何况版本号,对攻击者来讲相当与GPS定位一样重要,默认情况,系统会把apache版本模块都显示出来(返回头),假如列举目录的话,会显示域名信息(文件列表正文),去除Apache版本号的方法是修改配置文件,找到关键字,修改为下边:ServerSi
7、gnatureoffServerTokensprod通过分析web服务器类型,大致能够揣测操作系统类型,win使用iis,linux普遍apache,默认的Apache配置里没有任何信息保护机制,并且允许目录阅读,通过目录阅读,通常能够得到类似apache/1.37SPort80或apache/2.0.49(unix)PHP/4.3.8的信息,通过修改配置文件中的ServerTokens参数,能够将Apache的相关信息隐藏起来,假如不行的话,可能是提示信息被编译在程序里了,要隐藏需要修改apache的源代码,然后重新编译程序,以替换内容:编辑ap_release.h文件,修改#defineA
8、P_SERVER_BASEPRODUCTApache为#defineAP_SERVER_BASEPRODUCTMicrosoft-IIS/5.0编辑os/unix/os.h文件,修改#definePLATFORMUnix为#definePLATFORMWin32修改完成后,重新编译,安装apache,在修改配置文件为上边做过的,再次启动apache后,用工具扫描,发现提示信息中已经显示为windows操作系统了顺便讲下,如今这个论坛,就有点不太讲究,这是论坛错误的返回信息,看了有点汗地感觉,Apache/2.2.8(Ubuntu)DAV/2SVN/1.4.6mod_ssl/2.2.8OpenS
9、SL/0.9.8gSPort80这个等于告诉恶意用户很多有用信息,固然讲不算开了门,但等于被告诉了门在那里,还是相当危险的.三:建立安全的目录构造apache服务器包括四个目录构造ServerRoot#保存配置文件,二进制文件与其他服务器配置文件DocumentRoot#保存web站点内容,包括HTML文件和图片等ScripAlias#保存CGI脚本Customlog#保存日志Errorlog#保存错误日志建议的目录构造为,以上四种目录互相独立并且不存在父子逻辑关系注:ServerRoot目录只能为root用户访问DocumentRoot目录应该能够被管理web站点内容的用户访问和使用apac
10、he服务器的apache用户与组访问ScripAlias目录应该只能被CGI开发人员和apache用户访问Customlog和Errorlog只能被root访问下边是一个安全目录构造的事例:+-/etc/|+-/(ServerRoot)|+-/logs(Customlog和Errorlog)|+-var/www|+-/cgi-bin(ScripAlias)|+-/html(DocumentRoot)这样的目录构造是比拟安全的,由于目录之间独立,某个目录权限错误不会影响到其他目录四:为apache使用专门的用户与组根据最小特权的原则,需要给apache分配一个适宜的权限,让其能够完成web服务.
11、注:最小特权原则是系统安全中最基本的原则之一,限制使用者对系统及数据进行存取所需要的最小权限,保证用户能够完成任务,同时也确保被窃取或异常操作所造成的损失.必须保证apache使用一个专门的用户与组,不要使用系统预定的帐户,比方nobody用户与nogroup组,由于只要root用户能够运行apache,DocumentRoot应该能够被管理web站点内容的用户访问和使用apache服务器的apache用户与组访问,例如,希望test用户在web站点发布内容,并且能够以d身份运行apache服务器,能够这样设定:groupaddwebteamusermod-Gwebteamtestchown-
12、Rd.webteam/www/htmlchmod-R2570/www/htdocs只要root能访问日志,推荐这样的权限chown-Rroot.root/etc/logschown-R700/etc/logs五:web目录的访问策略对于能够访问的web目录,要使用相对保守的途径进行访问,不要让用户查看任何目录索引列表禁止使用目录索引:apache在接到用户对一个目录的访问时,会查找DirectoryIndex指令指定的目录索引文件,默以为index.html,假如该文件不存在,那么apache会创立动态列表为用户显示该目录的内容,这样就会暴露web站点构造,因而需要修改配置文件禁止显示动态目录
13、索引,修改d.confOptions-IndexesFollowSymLinksOptions指令通知apache禁止使用目录索引,FollowSymLinks表示不允许使用符号连接.禁止默认访问:要的安全策略必需要禁止默认访问的存在,只对指定的目录开放权限,假如允许访问/var/www/html目录,使用如下设定Orderdeny,allowAllowfromall禁止用户重载:为了禁止用户对目录配置文件(htaccess)进行重载(修改),能够这样设定AllowOverrideNone六:apache服务器访问控制apache的access.conf文件负责设置文件的访问权限,能够实现互联
14、网域名和ip地址的访问控制,如允许192.168.1.1到192.168.1.254的主机访问,能够这样设定orderdeny,allowdenyfromallallowfrompair192.168.1.0/255.255.255.0七:apache服务器的密码保护.htaccess文件是apache上的一个设置文件,它是一个文本文件,.htaccess文件提供了针对目录改变配置的方法既通过在一个特定的文档目录中放置一个包含一个或多个指令的文件(.htaccess文件),以作用于此目录和子目录.htaccess的功能包括设置网页密码,设置发生错误时出现的文件,改变首业的文件名(如,index
15、.html),禁止读取文件名,重新导向文件,加上MIME类别,禁止目录下的文件等.注:.htaccess是一个完好的文件名,不是*.htaccess或其他格式,在/abc目录下放置一个.htaccess文件,那么/abc与它的子目录都会被这个文件影响,但/index.html不会被影响.htaccess的建立和使用比拟复杂点,假如感兴趣的朋友能够回帖发问,这里就不详细写出来了,这种保护要比某些程序实现的保护安全,那种方法能够通过被猜想方法获取密码,用.htaccess很难被解除,但文本方式的验证会比拟慢,对少量用户没影响,但对大量用户就必须使用带数据模块的验证了,这需要编译源代码时候开启模块,
16、默认是不开启的.八:让apache运行在监牢中监牢的意思是指通过chroot机制来更改某个软件运行时所能看到的根目录,简单讲,就是被限制在指定目录中,保证软件只能对该目录与子目录文件有所动作,进而保证整个服务器的安全,即便被毁坏或侵入,损伤也不大.以前,unix/linux上的daemon都是以root权限启动的,当时,这是一件天经地义的事情,像apache这样的服务器软件,需要绑定到80端口上来监听请求,而root是唯一有这种权限的用户,随着攻击手段和强度的增加,这样会使服务器遭到相当大的威胁,一但被利用缓冲区溢出漏洞,就能够控制整个系统.如今的服务器设计通常以root启动,然后进程放弃ro
17、ot权限,改为某个低级的帐号运行.这种方式显然会降低对系统的危害,但攻击者还是会寻找漏洞提升权限,即便无法获得root权限,可以以删除文件,涂改主页等.为了进一步提高系统安全性,linux内核引入chroot机制,chroot是内核中的一个系统调用,软件能够通过调用函数库的chroot函数,来更改某个进程所能见到的跟目录,比方,apache软件安装在/usr/local/d目录,以root启动apache,这个root权限的父进程会派生数个以nobody权限运行的子进程,父进程监听80端口,然后交给某个子进程处理,这时候子进程所处的目录续承父进程,即/usr/local/d目录,但是一但目录权
18、限设定错误,被攻击的apache子进程能够访问/usr/local,/usr,/tmp甚至整个文件系统,由于apache进程所处的跟目录仍然是整个文件系统的跟目录,假如能够用chroot将apache限制在/usr/local/d/下,那么apache所存取的文件都被限制在/usr/local/d下,创立chroot监牢的作用就是将进程权限限制在文件目录树下,保证安全.假如本人手动apache的监牢,将是很烦琐和复杂的工作,需要牵扯到库文件,这里能够使用jail包来简化监牢的实现jail的官方网站为:有兴趣能够逛逛这里也不写出详细的创立经过略微费事.九:apache服务器防备Dosapache
19、服务经常会碰到Dos攻击,防备的主要手段是通过软件,apahceDosEvasiveManeuversModule来实现的,它是一款mod_access的代替软件,能够对抗DoS攻击,该软件能够快速拒绝来自一样地址对同一URL的重复请求,通过查询内部一张各子进程的哈希表来实现,能够到:/online/.securityfocus/tools/上下载软件十:减少CGI和SSI风险CGI脚本的漏洞已经成为WEB服务器的首要安全隐患,通常是程序编写CGI脚本产生了很多漏洞,控制CGI的漏洞除了在编写时候注意对输入数据的合法检查,对系统调用的慎重使用等因素外,首先使用CGI程序所有者的ID来运行这些程
20、序,即便被漏洞危害也仅限于该ID能访问的文件,不会对整个系统带来致命的危害,因而需要慎重使用CGI程序.1.3版的apache集成了suEXEC程序,能够为apache提供CGI程序的控制支持,能够把suEXEC看做一个包装器,在Apache接到CGI程序的调用请求后,把这个请求交给suEXEC来负责完成详细调用,并从suEXEC返回结果,suEXEC能够解决一些安全问题,但会影响速度,假如是对安全性要求很高时候,建议使用suEXEC,此外还有一个软件CGIWrap,它的安全性要高与suEXEC.减少SSI脚本风险,假如用exec等SSI命令运行外部程序,也会存在类似CGI脚本风险,除了内部调试程序时,应使用:option命令禁止其使用:OptionIncludesNOEXEC十一:使用ssl加固Apache使用具有SSL功能的服务器,能够提高网站敏感页的安全性能,SSL工作与TCP/IP协议和HTTP协议之间,SSL能够加密互联网上传递的数据流,提供身份验证,在线购物而不必担忧别人窃取信誉卡信息,在基于电子商务和基于web邮件的地方非常重要.SSL的应用相对还是比拟费事的,有需要的话,能够发贴或查看资料.