企業(yè)級Apache服務(wù)器安全防護要點剖析(2)

策略三：啟用Apache自帶安全模塊保護

Apache的一個優(yōu)勢便是其靈活的模塊結(jié)構(gòu)，其設(shè)計思想也是圍繞模塊（module）概念而展開的。安全模塊是ApacheServer中的極其重要的組成部分。這些安全模塊負(fù)責(zé)提供Apacheserver的訪問控制和認(rèn)證，授權(quán)等一系列至關(guān)重要的安全服務(wù)。

Apache下有如下幾類與安全相關(guān)的模塊：

mod_access模塊能夠根據(jù)訪問者的IP地址（或域名，主機名等）來控制對Apache服務(wù)器的訪問，稱之為基于主機的訪問控制。

mod_auth模塊用來控制用戶和組的認(rèn)證授權(quán)（Authentication）。用戶名和口令存于純文本文件中。

mod_auth_db和mod_auth_dbm模塊則分別將用戶信息（如名稱、組屬和口令等）存于Berkeley-DB及DBM型的小型數(shù)據(jù)庫中，便于管理及提高應(yīng)用效率。

mod_auth_digest模塊則采用MD5數(shù)字簽名的方式來進行用戶的認(rèn)證，但它相應(yīng)的需要客戶端的支持。

mod_auth_anon模塊的功能和mod_auth的功能類似，只是它允許匿名登錄，將用戶輸入的E-mail地址作為口令。

mod_ssl被Apache用于支持安全套接字層協(xié)議，提供Internet上安全交易服務(wù)，如電子商務(wù)中的一項安全措施。通過對通信字節(jié)流加密來防止敏感信息的泄漏。但是，Apache這種支持是建立在對Apache的API擴展來實現(xiàn)的，相當(dāng)于一個外部模塊，通過與第三方程序（如 openssl）的結(jié)合提供安全的網(wǎng)上交易支持。

為了能夠使用模塊功能，模塊通常以DSO（DynamicSharedObject）的方式構(gòu)建，用戶應(yīng)該在httpd.conf文件中使用 LoadModule指令，使得能夠在使用前獲得模塊的功能。下面是主配置文件中各個模塊的情況，開啟安全模塊非常簡單，即去掉在各安全模塊所在行前的 “#”符號即可，如下所示：

LoadModuleauth_basic_modulemodules/mod_auth_basic.so

LoadModuleauth_digest_modulemodules/mod_auth_digest.so

LoadModuleauthn_file_modulemodules/mod_authn_file.so

LoadModuleauthn_alias_modulemodules/mod_authn_alias.so

。。。。。。

只有將上述安全模塊進行開啟后，Apache才能實現(xiàn)相應(yīng)的訪問控制和通信加密功能。

策略四：訪問控制策略設(shè)置

在開啟了相應(yīng)的安全模塊后，還需要對Apache的訪問控制策略進行設(shè)定。

1．認(rèn)證和授權(quán)指令

目前，有兩種常見的認(rèn)證類型，基本認(rèn)證和摘要認(rèn)證：

（1）基本認(rèn)證（Basic）：使用最基本的用戶名和密碼方式進行用戶認(rèn)證。

（2）摘要認(rèn)證（Digest）：該認(rèn)證方式比基本認(rèn)證要安全得多，在認(rèn)證過程中額外使用了一個針對客戶端的挑戰(zhàn)（challenge）信息，可以有效地避免基本認(rèn)證方式可能遇到的“重放攻擊”。值得注意的是：目前并非所有的瀏覽器都支持摘要認(rèn)證方式。

所有的認(rèn)證配置指令既可以出現(xiàn)在主配置文件httpd.conf中的Directory容器中，也可以出現(xiàn)在單獨的.htaccess文件中，這個可以由用戶靈活地選擇使用。在認(rèn)證配置過程中，需要用到如下指令選項：

AuthName：用于定義受保護區(qū)域的名稱。

AuthType：用于指定使用的認(rèn)證方式，包括上面所述的Basic和Digest兩種方式。

AuthGroupFile：用于指定認(rèn)證組文件的位置。

AuthUserFile：用戶指定認(rèn)證口令文件的位置。

使用上述的認(rèn)證指令配置認(rèn)證后，需要為Apache服務(wù)器的訪問對象，也就是指定的用戶和組進行相應(yīng)的授權(quán)，以便于他們對Apache服務(wù)器提供的目錄和文件進行訪問。為用戶和組進行授權(quán)需要使用Require指令，主要可以使用以下三種方式進行授權(quán)：

授權(quán)給指定的一個或者多個用戶：使用Requireuser用戶名1用戶名2…。

授權(quán)給指定的一個或者多個組：使用Requiregroup用戶名1用戶名2…。

授權(quán)給指定口令文件中的所有用戶：使用Requirevalid-user。

2．管理認(rèn)證口令文件和認(rèn)證組文件

要實現(xiàn)用戶認(rèn)證功能，首先要建立保存用戶名和口令的文件。Apache自帶的htpasswd命令提供了建立和更新存儲用戶名、密碼的文本文件的功能。需要注意的是，這個文件必須放在不能被網(wǎng)絡(luò)訪問的位置，以避免被下載和信息泄漏。建議將口令文件放在/etc/httpd/目錄或者其子目錄下。

下面的例子在/etc/httpd目錄下創(chuàng)建一個文件名為passwd_auth的口令文件，并將用戶rhel5添加入認(rèn)證口令文件。使用以下命令建立口令文件（過程中還會提示輸入該用戶的口令）：

#touchpasswd_auth

#htpasswd-c/etc/httpd/passwd_authrhel5

Newpassword:

Re-typenewpassword:

Addingpasswordforuserrhel5

命令執(zhí)行的過程中系統(tǒng)會要求用戶為rhel5用戶輸入密碼。上述命令中的-c選項表示無論口令文件是否已經(jīng)存在，都會重新寫入文件并刪去原有內(nèi)容。所以在添加第2個用戶到口令文件時，就不需要使用-c選項了，如下命令所示

#htpasswd/etc/httpd/passwd_authtestuser

3．認(rèn)證和授權(quán)使用實例

（1）使用主配置文件配置用戶認(rèn)證及授權(quán)

在本例子中，用戶可以在Apache的主配置文件httpd.conf中加入以下語句建立對目錄/var/www/html/rhel5訪問的用戶認(rèn)證和授權(quán)機制：

<Directory"/var/www/html/rhel5">

AllowOverrideNone

AuthTypeBasic

AuthName"rhel5"

AuthUserFile/etc/httpd/passwd_auth

Requireuserrhel5testuser

</Directory>

在上述例子中，使用了如下指令：

AllowOverride：該選項定義了不使用.htaccess文件。

AuthTypeBasic：AuthType選項定義了對用戶實施認(rèn)證的類型，最常用的是由mod_auth提供的Basic。

AuthName：定義了Web瀏覽器顯示輸入用戶/密碼對話框時的領(lǐng)域內(nèi)容。

AuthUserFile：定義了口令文件的路徑，即使用htpasswd建立的口令文件。

Requireuser：定義了允許哪些用戶訪問，各用戶之間用空格分開。

需要注意的是：在AuthUserFile選項定義中，還需要使用如下語句事先建立認(rèn)證用戶patterson和testuser，該選項中的定義才能生效：

#htpasswd-c/etc/httpd/passwd_authrhel5

#htpasswd/etc/httpd/passwd_authtestuser

（2）使用.htaccess文件配置用戶認(rèn)證和授權(quán)

在本例子中，為了完成如上述例子同樣的功能，需要先在主配置文件中加入如下語句：

<Directory“/var/www/html/rhel5”>

AllowOverrideAuthConfig

</Directory>

上述語句中的AllowOverride選項允許在.htaccess文件中使用認(rèn)證和授權(quán)指令。

然后，在.htaccess文件中添加如下語句即可：

AuthTypeBasic

AuthName"PleaseLogin:"

AuthUserFile/etc/httpd/passwd_auth

Requireuserrhel5testuser

同理，在AuthUserFile選項定義中，還需要使用如下語句事先建立認(rèn)證用戶patterson和testuser，該選項中的定義才能生效：

#htpasswd-c/etc/httpd/passwd_authrhel5

#htpasswd/etc/httpd/passwd_authtestuser

服務(wù)器租用/服務(wù)器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]