Apache服務(wù)器配置安全規(guī)范以及其缺陷_百度文庫

1、Apache 服務(wù)器配置安全規(guī)范以及其缺陷! 正如我們前言所說盡管 Apache 服務(wù)器 應(yīng)用最為廣泛,設(shè)計(jì)上非常安全的程序。但是同其它應(yīng)用程序一樣, Apache 也 存在安全缺陷。 畢竟它是完全源代碼, Apache 服務(wù)器的安全缺陷主要是使用 HTTP 協(xié)議進(jìn)行的拒絕服務(wù)攻擊 (denial of service、緩沖區(qū)溢出攻擊以及被攻擊者 獲得 root 權(quán)限三缺陷和最新的惡意的攻擊者進(jìn)行拒絕服務(wù) (DoS攻擊。 合理的網(wǎng) 絡(luò)配置能夠 保護(hù) Apache 服務(wù)器免遭多種攻擊。我們來介紹一下主要的安全缺 陷。 主要安全缺陷 (1 使用 HTTP 協(xié)議進(jìn)行的拒絕服務(wù)攻擊 (denial o

2、f service 的安全缺陷這種方法攻擊者會(huì)通過某些手段使服務(wù)器拒絕對(duì) HTTP 應(yīng)答。這樣會(huì) 使 Apache 對(duì)系統(tǒng)資源 (CPU時(shí)間和內(nèi)存 需求的劇增, 最終造成 Apache 系統(tǒng)變慢 甚至完全癱瘓。(2緩沖區(qū)溢出的安全缺陷該方法攻擊者利用程序編寫的一些 缺陷, 使程序偏離正常的流程。 程序使用靜態(tài)分配的內(nèi)存保存請求數(shù)據(jù), 攻擊者 就可以發(fā)送一個(gè)超長請求使緩沖區(qū)溢出。 (3 被攻擊者獲得 root 權(quán)限的安全缺 陷該安全缺陷主要是因?yàn)?Apache 服務(wù)器一般以 root 權(quán)限運(yùn)行 (父進(jìn)程 , 攻擊者 會(huì)通過它獲得 root 權(quán)限,進(jìn)而控制整個(gè) Apache 系統(tǒng)。(4惡意的攻擊者

3、進(jìn)行 拒絕服務(wù) (DoS攻擊的安全缺陷這個(gè)最新在 6月 17日發(fā)現(xiàn)的漏洞, 它主要是存在 于 Apache 的 chunk encoding中,這是一個(gè) HTTP 協(xié)議定義的用于接受 web 用戶 所提交數(shù)據(jù)的功能。 所有說使用最高和最新安全版本對(duì)于加強(qiáng) Apache Web 服務(wù) 器的安全是至關(guān)重要的。 正確維護(hù)和配置 Apache 服務(wù)器雖然 Apache 服務(wù)器的開 發(fā)者非常注重安全性, 由于 Apache 服務(wù)器其龐大的項(xiàng)目, 難免會(huì)存在安全隱患。 正確維護(hù)和配置 Apache WEB服務(wù)器就很重要了。我們應(yīng)注意的一些問題:(1 Apache 服務(wù)器配置文件 Apache Web服務(wù)器

4、主要有三個(gè)配置文件,位于/usr/local/apache/conf目錄下。 這三個(gè)文件是:httpd.conf-主配置文 件 srm.conf-填加資源文件 access.conf-設(shè)置文件的訪問權(quán)限(2 Apache 服務(wù)器的目錄安全認(rèn)證在 Apache Server中是允許使用 .htaccess做目 錄安全保護(hù)的, 欲讀取這保護(hù)的目錄需要先鍵入正確用戶帳號(hào)與密碼。 這樣可做 為專門管理網(wǎng)頁存放的目錄或做為會(huì)員區(qū)等。 在保護(hù)的目錄放置一個(gè)檔案, 檔名 為 .htaccss 。 AuthName 會(huì)員專區(qū) AuthType BasicAuthUserFile/var/tmp/xxx.pw

5、-把 password 放在網(wǎng)站外 require valid-user 到 apache/bin目錄, 建 password 檔 % ./htpasswd -c /var/tmp/xxx.pw username1 -第一次建檔要用參數(shù) -c % /htpasswd /var/tmp/xxx.pw username2 這樣就 可以保護(hù)目錄內(nèi)的內(nèi)容, 進(jìn)入要用合法的用戶。 注:采用了 Apache 內(nèi)附的模組。 也可以采用在 httpd.conf 中加入:options indexes followsymlinks allowoverride authconfig order allow,den

6、y allow from all (3 Apache 服務(wù)器訪問控制我們就要看三個(gè)配置文件中的第三個(gè)文件了,即 access.conf 文件,它包含一些指令控制允許什么用戶訪問 Apache 目錄。應(yīng)該 把 deny from all 設(shè)為初始化指令, 再使用 allow from 指令打開訪問權(quán)限。 order deny,allowdeny from allallow from 設(shè)置允許來自某個(gè)域、 IP 地址或者 IP 段的訪問。(4 Apache 服務(wù)器的密碼保護(hù)問題我們再使用 .htaccess 文件把某個(gè)目錄的訪問權(quán)限賦予某個(gè)用戶。系統(tǒng)管理員需要在 httpd.conf 或者 rm.

7、conf 文件中使用 AccessFileName指令打開目錄的訪問控 制。如:AuthName PrivateFilesAuthType BasicAuthUserFile/path/to/httpd/usersrequire Phoenix# htpasswd -c /path/to/httpd/users Phoenix 設(shè)置 Apache 服務(wù)器的 WEB 和文件服務(wù)器我們在 Apache 服務(wù)器上存放 WEB 服務(wù)器的文件,供用戶訪問,并設(shè)置 /home/ftp/pub目錄為文件存放區(qū)域,用application/octet-stream 最后在 /etc/httpd/conf/access.conf中增加一 項(xiàng)定義 Options Indexes AllowOverride AuthConfig order allow,deny allow from all 注:Options Indexes 允許在找不到 index.html 文件的情況下允許列出目錄 /文件列表。 AllowOverrideAuthConfig 允許做基本的用戶名和口令驗(yàn)證。這