激情五月天婷婷,亚洲愉拍一区二区三区,日韩视频一区,a√天堂中文官网8

<ul id="buwfs"><strike id="buwfs"><strong id="buwfs"></strong></strike></ul>
    <output id="buwfs"></output>
  • <dfn id="buwfs"><source id="buwfs"></source></dfn>
      <dfn id="buwfs"><td id="buwfs"></td></dfn>
      <div id="buwfs"><small id="buwfs"></small></div>
      <dfn id="buwfs"><source id="buwfs"></source></dfn>
      1. <dfn id="buwfs"><td id="buwfs"></td></dfn>
        始創(chuàng)于2000年 股票代碼:831685
        咨詢熱線:0371-60135900 注冊有禮 登錄
        • 掛牌上市企業(yè)
        • 60秒人工響應
        • 99.99%連通率
        • 7*24h人工
        • 故障100倍補償
        全部產(chǎn)品
        您的位置: 網(wǎng)站首頁 > 幫助中心>文章內(nèi)容

        企業(yè)級Apache服務器安全防護要點剖析(1)

        發(fā)布時間:  2012/5/28 7:44:35

        Apache一直是世界上使用率排名前三的Web服務器軟件。企業(yè)使用其構建Web應用,從很大程度上都需要對其安全性進行綜合考慮,以保證能夠應對拒絕服務攻擊、流量竊聽、數(shù)據(jù)泄漏等網(wǎng)絡威脅,從而保證企業(yè)門戶網(wǎng)站的安全。

        除了使用業(yè)界流行的防火墻、IDS/IPS(入侵檢測系統(tǒng)/入侵防御系統(tǒng))、WAF(Web應用防火墻)、UTM(統(tǒng)一威脅管理)等外部安全設備對 Apache服務進行安全防護外,作為一種優(yōu)秀的開源服務器軟件,Apache本身就具有很多優(yōu)秀的特性可以為服務器管理員提供安全配置,以防范各種網(wǎng)絡攻擊。因此,充分、高效地挖掘Apache服務器的自身安全能力也是企業(yè)安全工作者一個必備的技能;诖,本文將從4個方面詳細剖析Apache服務器的安全防護要點。

        策略一:服務器端安全設置

        1.限制root用戶運行Apache服務器

        一般情況下,在Linux下啟動Apache服務器的進程httpd需要root權限。由于root權限太大,存在許多潛在的安全威脅。一些管理員為了安全起見,認為httpd服務器不可能沒有安全漏洞,因而更愿意使用普通用戶的權限來啟動服務器。http.conf主配置文件里面有如下兩個配置是 Apache的安全保證,Apache在啟動后,就將其本身設置為這兩個選項設置的用戶和組權限進行運行,降低了服務器的危險性。

        Userapache

        Groupapache

        需要特別指出的是:以上兩個配置在主配置文件里面是默認選項,當采用root用戶身份運行httpd進程后,系統(tǒng)將自動將該進程的用戶組和權限改為apache,這樣,httpd進程的權限就被限制在apache用戶和組范圍內(nèi),因而保證了安全。

        2.向客戶端隱藏Apache服務器的相關信息

        Apache服務器的版本號可作為黑客入侵的重要信息被利用,通常他們在獲得版本號后,通過網(wǎng)上搜索針對該版本服務器的漏洞,從而使用相應的技術和工具有針對性的入侵,這也是滲透測試的一個關鍵步驟。因此,為了避免一些不必要的麻煩和安全隱患,可以通過主配置文件httpd.conf下的如下兩個選項進行:

        (1)ServerTokens:該選項用于控制服務器是否響應來自客戶端的請求,向客戶端輸出服務器系統(tǒng)類型或者相應的內(nèi)置模塊等重要信息。RedHatEnterpriseLinux5操作系統(tǒng)在主配置文件中提供全局默認控制閾值為OS,即 ServerTokensOS。它們將向客戶端公開操作系統(tǒng)信息和相關敏感信息,所以保證安全情況下需要在該選項后使用“ProductOnly”,即 ServerTokensProductOnly。

        (2)ServerSignature:該選項控制由系統(tǒng)生成的頁面(錯誤信息等)。默認情況下為off,即 ServerSignatureoff,該情況下不輸出任何頁面信息。另一情況為on,即ServerSignatureon,該情況下輸出一行關于版本號等相關信息。安全情況下應該將其狀態(tài)設為off。

        圖1和圖2為安全設定這兩個選項前后正常情況下和錯誤情況下的輸出頁面(通過Rhel5中的MozillaFirefox瀏覽器訪問Rhel5中的 Apache服務器)的詳細對比。可以清楚看到,安全設定選項后,可以充分地向客戶端用戶隱藏Linux操作系統(tǒng)信息和Apache服務器版本信息。

        圖1錯誤情況下未設定安全選項前示意

        圖2操作情況下使用安全設定后的對比

        3.設置虛擬目錄和目錄權限

        要從主目錄以外的其他目錄中進行發(fā)布,就必須創(chuàng)建虛擬目錄。虛擬目錄是一個位于Apache的主目錄外的目錄,它不包含在Apache的主目錄中,但在訪問Web站點的用戶看來,它與主目錄中的子目錄是一樣的。每個虛擬目錄都有一個別名,用戶Web瀏覽器中可以通過此別名來訪問虛擬目錄,如 http://服務器IP地址/別名/文件名,就可以訪問虛擬目錄下面的任何文件了。

        使用Alias選項可以創(chuàng)建虛擬目錄。在主配置文件中,Apache默認已經(jīng)創(chuàng)建了兩個虛擬目錄。這兩條語句分別建立了“/icons/”和“ /manual”兩個虛擬目錄,它們對應的物理路徑分別是“/var/www/icons/”和“/var/www/manual”。在主配置文件中,用戶可以看到如下配置語句:

        Alias/icons/"/var/www/icons/"

        Alias/manual"/var/www/manual"

        在實際使用過程中,用戶可以自己創(chuàng)建虛擬目錄。比如,創(chuàng)建名為/user的虛擬目錄,它所對應的路徑為上面幾個例子中常用的/var/www/html/rhel5:

        Alias/test"/var/www/html/rhel5"

        如果需要對其進行權限設置,可以加入如下語句:

        <Directory“/var/www/html/rhel5”>

        AllowOverrideNone

        OptionsIndexes

        Orderallow,deny

        Allowfromall

        </Directory>

        設置該虛擬目錄和目錄權限后,可以使用客戶端瀏覽器進行測試驗證,采用別名對該目錄中的文件進行訪問,瀏覽結果如圖3所示。

         

        圖3使用虛擬目錄的測試結果

        策略二:限制Apache服務的運行環(huán)境

        Apache服務器需要綁定到80端口上來監(jiān)聽請求,而root是唯一有這種權限的用戶,隨著攻擊手段和強度的增加,服務器受到相當大的威脅,一旦緩沖區(qū)溢出漏洞被利用,就可以控制整個系統(tǒng)。為了進一步提高系統(tǒng)安全性,Linux內(nèi)核引入chroot機制,chroot是內(nèi)核中的一個系統(tǒng)調(diào)用,軟件可以通過調(diào)用函數(shù)庫的chroot函數(shù),來更改某個進程所能見到的根目錄。

        chroot機制是將某軟件運行限制在指定目錄中,保證該軟件只能對該目錄及其子目錄的文件有所動作,從而保證整個服務器的安全。在這種情況下,即使出現(xiàn)黑客或者不法用戶通過該軟件破壞或侵入系統(tǒng),Linux系統(tǒng)所受的損壞也僅限于該設定的根目錄,而不會影響到系統(tǒng)的其他部分。

        將軟件chroot化的一個問題是該軟件運行時需要的所有程序、配置文件和庫文件都必須事先安裝到chroot目錄中,通常稱這個目錄為 chroot“監(jiān)牢”。如果在“監(jiān)牢”中運行httpd,那么用戶根本看不到Linux文件系統(tǒng)中那個真正的目錄,從而保證了Linux系統(tǒng)的安全。

        在使用該技術的時候,一般情況下需要事先創(chuàng)建目錄,并將守護進程的可執(zhí)行文件httpd復制到其中。同時,由于httpd需要幾個庫文件,所以需要把httpd程序依賴的幾個lib文件同時也拷貝到同一個目錄下,因此手工完成這一工作是非常麻煩的。幸運的是,用戶可以通過使用開源的jail軟件包來幫助簡化chroot“監(jiān)牢”建立的過程,具體步驟如下所示:

        Jail官方網(wǎng)站是http://www.jmcresearch.com/projects/。首先將其下載,然后執(zhí)行如下命令進行源代碼包的編譯和安裝:

        #tarxzvfjail_1.9a.tar.gz

        #cdjail/src

        #make

        jail軟件包提供了幾個Perl腳本作為其核心命令,包括mkjailenv、addjailuser和addjailsw,他們位于解壓后的目錄jail/bin中。這幾個命令的基本用途如下所示:

        mkjailenv:用于創(chuàng)建chroot“監(jiān)牢”目錄,并且從真實文件系統(tǒng)中拷貝基本的軟件環(huán)境。

        addjailsw:用于從真實文件系統(tǒng)中拷貝二進制可執(zhí)行文件及其相關的其它文件(包括庫文件、輔助性文件和設備文件)到該“監(jiān)牢”中。

        addjailuser:創(chuàng)建新的chroot“監(jiān)牢”用戶。

        采用jail創(chuàng)建監(jiān)牢的步驟如下所示;

        (1)首先需要停止目前運行的httpd服務,然后建立chroot目錄,命令如下所示。該命令將chroot目錄建立在路徑/root/chroot/httpd下:

        #servicehttpdstop

        #mkjailenv/root/chroot/httpd

        kjailenv

        AcomponentofJail(version1.9forlinux)

        http://www.gsyc.inf.uc3m.es/~assman/jail/

        JuanM.Casillas<assman@gsyc.inf.uc3m.es>

        Makingchrootedenvironmentinto/root/chroot/httpd

        Doingpreinstall()

        Doingspecial_devices()

        Doinggen_template_password()

        Doingpostinstall()

        Done.

        (2)為“監(jiān)牢”添加httpd程序,命令如下:

        #./addjailsw/root/chroot/httpd/-P/usr/sbin/httpd

        addjailsw

        AcomponentofJail(version1.9forlinux)

        http://www.gsyc.inf.uc3m.es/~assman/jail/

        JuanM.Casillas<assman@gsyc.inf.uc3m.es>

        Guessing/usr/sbin/httpdargs(0)

        Warning:can'tcreate/proc/mountsfromthe/procfilesystem

        Done.

        在上述過程中,用戶不需要在意那些警告信息,因為jail會調(diào)用ldd檢查httpd用到的庫文件。而幾乎所有基于共享庫的二進制可執(zhí)行文件都需要上述的幾個庫文件。

        (3)然后,將httpd的相關文件拷貝到“監(jiān)牢”的相關目錄中,命令如下所示:

        #mkdir-p/root/chroot/httpd/etc

        #cp–a/etc/httpd/root/chroot/httpd/etc/

        。。。。。。

        添加后的目錄結構如下所示:

        #ll

        總計56

        drwxr-xr-x2rootroot409603-2313:44dev

        drwxr-xr-x3rootroot409603-2313:46etc

        drwxr-xr-x2rootroot409603-2313:46lib

        drwxr-xr-x2rootroot409603-2313:46selinux

        drwsrwxrwx2rootroot409603-2313:46tmp

        drwxr-xr-x4rootroot409603-2313:46usr

        drwxr-xr-x3rootroot409603-2313:46var

        (4)重新啟動httpd,并使用ps命令檢查httpd進程,發(fā)現(xiàn)該進程已經(jīng)運行在監(jiān)牢中,如下所示:

        #ps-aux|grephttpd

        Warning:badsyntax,perhapsabogus'-'?See/usr/share/doc/procps-3.2.7/FAQ

        root35460.60.338281712pts/2S13:570:00/usr/sbin/nss_pcacheoff/etc/httpd/alias

        root355014.23.64938817788?Rsl13:570:00/root/chroot/httpd/httpd

        apache35590.21.4493886888?S13:570:00/root/chroot/httpd/httpd

        apache35600.21.4493886888?S13:570:00/root/chroot/httpd/httpd

        apache35610.21.4493886888?S13:570:00/root/chroot/httpd/httpd

        apache35620.21.4493886888?S13:570:00/root/chroot/httpd/httpd

        apache35630.21.4493886888?S13:570:00/root/chroot/httpd/httpd

        apache35640.21.4493886888?S13:570:00/root/chroot/httpd/httpd

        apache35650.21.4493886888?S13:570:00/root/chroot/httpd/httpd

        apache35660.21.4493886888?S13:570:00/root/chroot/httpd/httpd

        root35680.00.14124668pts/2R+13:570:00grephttpd


        本文出自:億恩科技【mszdt.com】

        服務器租用/服務器托管中國五強!虛擬主機域名注冊頂級提供商!15年品質保障!--億恩科技[ENKJ.COM]

      2. 您可能在找
      3. 億恩北京公司:
      4. 經(jīng)營性ICP/ISP證:京B2-20150015
      5. 億恩鄭州公司:
      6. 經(jīng)營性ICP/ISP/IDC證:豫B1.B2-20060070
      7. 億恩南昌公司:
      8. 經(jīng)營性ICP/ISP證:贛B2-20080012
      9. 服務器/云主機 24小時售后服務電話:0371-60135900
      10. 虛擬主機/智能建站 24小時售后服務電話:0371-60135900
      11. 專注服務器托管17年
        掃掃關注-微信公眾號
        0371-60135900
        Copyright© 1999-2019 ENKJ All Rights Reserved 億恩科技 版權所有  地址:鄭州市高新區(qū)翠竹街1號總部企業(yè)基地億恩大廈  法律顧問:河南亞太人律師事務所郝建鋒、杜慧月律師   京公網(wǎng)安備41019702002023號
          0
         
         
         
         

        0371-60135900
        7*24小時客服服務熱線