Apache 安全设置

  • 时间:
  • 浏览:1
  • 来源:极速快3注册平台-极速快3官网平台_极速快3官网

HTTP拒绝服务攻击

  攻击者通过好多好多 手段使服务器拒绝对http应答,这使Apache对系统资源(cup时间与内存)需求巨增,最终造成系统变慢甚至完整版瘫痪,Apache服务器最大的缺点是,它的普遍性使它成为众矢之的,Apache服务器无时无刻不受到DoS攻击威胁,主要有下边几种 

1.数据包洪水攻击 

  三种中断服务器或本地网络的措施是数据包洪水攻击,它通常使用internet控制报文协议(ICMP,属于网络层协议)包或是udp包,在最简单的形式下,有有哪些攻击都是使服务器或网络负载过重,这由于 这攻击者的网络传输速率还要比目标主机网络传输速率要快,使用udp包的优势是不会有任何包返回到黑客的计算机(udp传输速率要比tcp高17倍),而使用ICMP包的优势是攻击者能让攻击更加富与变化,发送有不足英文的包会搞乱并锁住受害者的网络,目前流行的趋势是攻击者欺骗服务器,让其相信正在受来自自身的洪水攻击. 

2.磁盘攻击 

  这是三种很不道德的攻击,它不仅影响计算机的通信,还破坏其硬件,伪造的用户请求利用写命令攻击目标计算机硬盘,让其超过极限,并强制关闭,结局很悲惨. 

3.路由不可达 

  通常DoS攻击,集中在路由器上,攻击者首先获得控制权并操纵目标机器,当攻击者能更改路由表条目完后 ,会由于 整个网络无法通信,这名 攻击很阴险,隐蔽,由于 网络管理员还要排除的网络不通由于 好多好多 ,其中好多好多 由于 还要完整版分辨. 

4.分布式拒绝服务攻击 

  这也是最具有威胁的DDoS攻击,名称很容易理解,简单说我希望群欧,好多好多 客户机同時 单条服务器,我就发现你将伤痕累累,Apache服务器有点硬容易受到攻击,无论是DDos还是隐藏来源的攻击,由于 Apache无处没人了,有点硬是为Apache特意打造的病毒(特选SSL蠕虫),潜伏在好多好多 主机上,攻击者通过病毒都里能操纵少量被感染的机器,对特定目标发动一次浩大的DDoS攻击,通过将蠕虫散播到少量主机,大规模的点对点攻击得以进行,除非你不提供服务,要不然几乎无法阻止完后 的攻击,这名 攻击通常会定位到大型的网站上. 

5.缓冲区溢出 

  这名 攻击很普遍,攻击者利用CGI应用应用程序编写好多好多 不足英文应用应用程序偏离 正常的流程,应用应用程序使用静态的内存分配,攻击者就都里能发送一有好几个 超长的请求使缓冲区溢出,比如,好多好多 perl编写的处理用户请求的网关脚本,一但缓冲区溢出,攻击者就都里能执行恶意指令. 

6.非法获取root权限 

  由于 Apache以root权限运行,系统上好多好多 应用应用程序的逻辑不足英文或缓冲区溢出漏洞,会让攻击者很容易在本地系统获取linux服务器上的管理者权限,在好多好多 远程情况汇报下,攻击者会利用好多好多 以root身份执行的有不足英文的系统守护应用应用程序运行来取得root权限,或利用有不足英文的服务应用应用程序运行漏洞来取得普通用户权限,以远程登陆,进而控制整个系统. 

  这边有有哪些都是服务由于 遇到的攻击手段,下边来说,如可打造安全的Apache服务器,由于 你能遵守下边有有哪些建议,没人你将得到一台相对安全的apache服务器.

一:勤打补丁

  你还要要相信这名 是最有用的手段,缓冲区溢出等漏洞都还要使用这名 手段来防御,勤快点相信对你没人坏处,在http:www.apache.org上最新的changelog中都写有:bug fix,security bug fix的字样,做为负责任的管理员要一直关注相关漏洞,及时升级系统再加补丁.使用最新安完整版本对加强apache至关重要.

二:隐藏和伪装Apache的版本

  打乱攻击者的步骤,给攻击者带来麻烦,相信是管理员我想要看得人的.软件的漏洞信息和版本是相关的,在攻击者收集你服务软件信息完后 给与迷惑是个不错的选用,何况版本号,对攻击者来说相当与GPS定位一样重要,默认情况汇报,系统会把apache版本模块都显示出来(http返回头),由于 列举目录句子,会显示域名信息(文件列表正文),去除Apache版本号的措施是修改配置文件,找到关键字,修改为下边:

ServerSignature off

ServerTokens prod

  通过分析web服务器类型,大致都里能推测操作系统类型,win使用iis,linux普遍apache,默认的Apache配置里没人任何信息保护机制,我希望允许目录浏览,通过目录浏览,通常都里能得到类似"apache/1.37 Server at apache.linuxforum.net Port 150"或"apache/2.0.49(unix)PHP/4.3.8"的信息,通过修改配置文件中的ServerTokens参数,都里能将Apache的相关信息隐藏起来,由于 不行句子,由于 是提示信息被编译在应用应用程序里了,要隐藏还要修改apache的源代码,我希望重新编译应用应用程序,以替换内容:

  编辑ap_release.h文件,修改

"#define AP_SERVER_BASEPRODUCT""Apache"""



 为

"#define AP_SERVER_BASEPRODUCT""Microsoft-IIS/5.0""



  编辑os/unix/os.h文件,修改

"#define PLATFORM""Unix"""



 为

"#define PLATFORM"'Win32"



  修改完成后,重新编译,安装apache,在修改配置文件为里边做过的,再次启动apache后,用工具扫描,发现提示信息中由于 显示为windows操作系统了顺便说下,现在这名 论坛,都是点不太讲究,这是论坛错误的返回信息,看得人有点硬汗地感觉,Apache/2.2.8(Ubuntu)DAV/2 SVN/1.4.6 mod_ssl/2.2.8 OpenSSL/0.9.8g Server at forum.ubuntu.org.cn Port 150这名 等于告诉恶意用户好多好多 有用信息,随便说说说不算开了门,但等于被告诉了门在那里,还是相当危险的.

三:建立安全的目录底部形态apache服务器包括好几个 目录底部形态

ServerRoot	#保存配置文件,二进制文件与好多好多

服务器配置文件

DocumentRoot #保存web站点内容,包括HTML文件和图片等

ScripAlias #保存CGI脚本

Customlog #保存日志

Errorlog #保存错误日志



  建议的目录底部形态为,以上三种目录相互独立我希望不处在父子逻辑关系

注:

  • ServerRoot目录都里能了为root用户访问
  • DocumentRoot目录应该不会都里能被管理web站点内容的用户访问和使用apache服务器的apache用户与组访问
  • ScripAlias目录应该都里能了被CGI开发人员和apache用户访问
  • Customlog和Errorlog都里能了被root访问

  下边是一有好几个 安全目录底部形态的事例:

+-------/etc/

|

| +----/http (ServerRoot)

| +----/logs (Customlog和Errorlog)

|

+-------var/www

|

| +---/cgi-bin(ScripAlias)

| +---/html(DocumentRoot)



  完后 的目录底部形态是比较安全的,由于 目录之间独立,某个目录权限错误不会影响到好多好多 目录

四:为apache使用专门的用户与组

  按照最小特权的原则,还要给apache分配一有好几个 离米 的权限,让其不会都里能完成web服务.

  注:最小特权原则是系统安全中最基本的原则之一,限制使用者对系统及数据进行存取所还要的最小权限,保证用户都里能完成任务,同時 也确保被窃取或异常操作所造成的损失.

  还要保证apache使用一有好几个 专门的用户与组,不须使用系统预定的帐户,比如nobody用户与nogroup组,由于 都里能了root用户都里能运行apache,DocumentRoot应该不会都里能被管理web站点内容的用户访问和使用apache服务器的apache用户与组访问,类似,希望"test"用户在web站点发布内容,我希望都里能以httpd身份运行apache服务器,都里能完后 设定:

groupadd webteam

usermod -G webteam test

chown -R httpd.webteam /www/html

chmod -R 2570 /www/htdocs



都里能了root能访问日志,推荐完后 的权限

chown -R root.root /etc/logs

chown -R 700 /etc/logs

五:web目录的访问策略

  对于都里能访问的web目录,要使用相对保守的途径进行访问,不须让用户查看任何目录索引列表

  禁止使用目录索引:

  apache在接到用户对一有好几个 目录的访问时,会查找DirectoryIndex指令指定的目录索引文件,默认为index.html,由于 该文件不处在,没人apache会创建动态列表为用户显示该目录的内容,完后 就会暴露web站点底部形态,我希望还要修改配置文件禁止显示动态目录索引,修改httpd.conf

Options -Indexes FollowSymLinks



  Options指令通知apache禁止使用目录索引,FollowSymLinks表示不允许使用符号连接.

禁止默认访问:

  要的安全策略还要要禁止默认访问的处在,只对指定的目录开放权限,由于 允许访问/var/www/html目录,使用如下设定

Order deny,allow

Allow from all



禁止用户重载:

  为了禁止用户对目录配置文件(htaccess)进行重载(修改),都里能完后 设定

AllowOverride None

六:apache服务器访问控制

  apache的access.conf文件负责设置文件的访问权限,都里能实现互联网域名和ip地址的访问控制,如允许192.168.1.1到192.168.1.254的主机访问,都里能完后 设定

order deny,allow

deny from all

allow from pair 192.168.1.0/255.255.255.0

七:apache服务器的密码保护

  .htaccess文件是apache上的一有好几个 设置文件,它是一有好几个 文本文件,.htaccess文件提供了针对目录改变配置的措施既通过在一有好几个 特定的文档目录贴到 置一有好几个 带有一有好几个 或多个指令的文件(.htaccess文件),以作用于此目录和子目录.

  .htaccess的功能包括设置网页密码,设置处在错误时一直冒出的文件,改变首业的文件名(如,index.html),禁止读取文件名,重新导向文件,再加MIME类别,禁止目录下的文件等.

  注:.htaccess是一有好几个 完整版的文件名,都是***.htaccess或好多好多 格式,在/abc目录下放置一有好几个 .htaccess文件,没人/abc与它的子目录都是被这名 文件影响,但/index.html不会被影响.

  .htaccess的建立和使用比较比较复杂点,由于 感兴趣的他们 都里能回帖发问,这里就不具体写出来了,这名 保护要比好多好多 应用应用程序实现的保护安全,那种措施都里能通过被猜测措施获取密码,用.htaccess没人被破解,但文本措施的验证会没人,对少量用户没影响,但对少量用户就还要使用带数据模块的验证了,这还要编译源代码完后 开启模块,默认是不开启的.

八:让apache运行在"监牢"中

  "监牢"的意思是指通过chroot机制来更改某个软件运行时所能看得人的根目录,简单说,我希望被限制在指定目录中,保证软件都里能了对该目录与子目录文件有所动作,从而保证整个服务器的安全,即使被破坏或侵入,损伤我希望大.

  完后 ,unix/linux上的daemon都是以root权限启动的,当时,这是一件理所当然的事情,像apache完后 的服务器软件,还要绑定到150端口上来监听请求,而root是唯一有这名 权限的用户,随着攻击手段和传输速率的增加,完后 会使服务器受到相当大的威胁,一但被利用缓冲区溢出漏洞,就都里能控制整个系统.现在的服务器设计通常以root启动,我希望应用应用程序运行放弃root权限,改为某个低级的帐号运行.这名 措施显然会降低对系统的危害,但攻击者还是会寻找漏洞提升权限,即使无法获得root权限,也都里能删除文件,涂改主页等.

  为了进一步提高系统安全性,linux内核引入chroot机制,chroot是内核中的一有好几个 系统调用,软件都里能通过调用函数库的chroot函数,来更改某个应用应用程序运行所能见到的跟目录,比如,apache软件安装下 /usr/local/httpd目录,以root启动apache,这名 root权限的父应用应用程序运行会派生数个以nobody权限运行的子应用应用程序运行,父应用应用程序运行监听150端口,我希望交给某个子应用应用程序运行处理,这完后 子应用应用程序运行处在的目录续承父应用应用程序运行,即/usr/local/httpd目录,我希望一但目录权限设定错误,被攻击的apache子应用应用程序运行都里能访问/usr/local,/usr,/tmp甚至整个文件系统,由于 apache应用应用程序运行处在的跟目录仍然是整个文件系统的跟目录,由于 都里能用chroot将apache限制在/usr/local/httpd/下,没人apache所存取的文件都被限制在/usr/local/httpd下,创建chroot监牢的作用我希望将应用应用程序运行权限限制在文件目录树下,保证安全.

  由于 另一方手动apache的监牢,将是很烦琐和比较复杂的工作,还要牵扯到库文件,这都里里能使用jail包来比较复杂监牢的实现jail的官方网站为:有兴趣都里能逛逛这里我希望写出具体的创建过程稍微麻烦.

九:apache服务器防范Dos

  apache服务一直会碰到Dos攻击,防范的主要手段是通过软件,apahce Dos Evasive Maneuvers Module来实现的,它是一款mod_access的代替软件,都里能对抗DoS攻击,该软件都里能快速拒绝来自相同地址对同一URL的重复请求,通过查询实物一张各子应用应用程序运行的哈希表来实现,都里能到网址:http://online/.securityfocus.com/tools/上下载软件

十:减少CGI和SSI风险

  CGI脚本的漏洞由于 成为WEB服务器的首要安全隐患,通常是应用应用程序编写CGI脚本产生了好多好多 漏洞,控制CGI的漏洞除了在编写完后 注意对输入数据的合法检查,对系统调用的谨慎使用等因素外,首先使用CGI应用应用程序所有者的ID来运行有有哪些应用应用程序,即使被漏洞危害也仅限于该ID能访问的文件,不会对整个系统带来致命的危害,我希望还要谨慎使用CGI应用应用程序.

  1.3版的apache集成了suEXEC应用应用程序,都里能为apache提供CGI应用应用程序的控制支持,都里能把suEXEC看做一有好几个 包装器,在Apache接到CGI应用应用程序的调用请求后,把这名 请求交给suEXEC来负责完成具体调用,并从suEXEC返回结果,suEXEC都里能处理好多好多 安全疑问,我希望影响传输速率,由于 是对安全性要求很高完后 ,建议使用suEXEC,此外还一有好几个 软件CGIWrap,它的安全性要高与suEXEC.

  减少SSI脚本风险,由于 用exec等SSI命令运行实物应用应用程序,也会处在类似CGI脚本风险,除了实物调试应用应用程序时,应使用:

  option命令禁止其使用:

Option IncludesNOEXEC

十一:使用ssl加固Apache

  使用具有SSL功能的服务器,都里能提高网站敏感页的安全性能,SSL工作与TCP/IP协议和HTTP协议之间,SSL都里能加密互联网上传递的数据流,提供身份验证,在线购物而不须担心别人窃取信用卡信息,在基于电子商务和基于web邮件的地方非常重要.SSL的应用相对还是比较麻烦的,有还要句子,都里能发贴或查看资料.

  原文地址:http://www.opsers.org/server/apache-security-settings.html