黑客防线网安之Apache服务器安全防护要点剖析_WIN2003服务器维护_黑客防线网安服务器维护基地--Powered by WWW.RONGSEN.COM.CN

黑客防线网安之Apache服务器安全防护要点剖析

作者:黑客防线网安Apache教程网 来源:黑客防线网安Apache教程网 浏览次数:0

本篇关键词:服务器安全Apache
黑客防线网安网讯:除了使用业界流行的防火墙、IDS/IPS(入侵检测系统/入侵防御系统)、WAF(Web应用防火墙)、UTM(统一威胁管理)等外部安全设备对Apache服务进行安全防护外,作为一种优秀的开源服务器软件,Apache本身就具有很多优秀的特
除了使用业界流行的防火墙、IDS/IPS(入侵检测系统/入侵防御系统)、WAF(Web应用防火墙)、UTM(统一威胁管理)等外部安全设备对Apache服务进行安全防护外作为一种优秀的开源服务器软件Apache本身就具有很多优秀的特性可以为服务器管理员提供安全配置,以防范各种网络攻击因此,充分、高效地挖掘Apache服务器的自身安全能力也是企业安全工作者一个必备的技能基于此,本文将从4个方面详细剖析Apache服务器的安全防护要点。

策略一:服务器端安全设置

1.限制root用户运行Apache服务器

一般情况下,在Linux下启动Apache服务器的进程httpd需要root权限。由于root权限太大,存在许多潜在的安全威胁。一些管理员为了安全起见,认为httpd服务器不可能没有安全漏洞,因而更愿意使用普通用户的权限来启动服务器。http.conf主配置文件里面有如下两个配置是Apache的安全保证,Apache在启动后,就将其本身设置为这两个选项设置的用户和组权限进行运行,降低了服务器的危险性。

User apache

Group apache

需要特别指出的是:以上两个配置在主配置文件里面是默认选项,当采用root用户身份运行httpd进程后,系统将自动将该进程的用户组和权限改为apache,这样,httpd进程的权限就被限制在apache用户和组范围内,因而保证了安全。

2.向客户端隐藏Apache服务器的相关信息

Apache服务器的版本号可作为黑客入侵的重要信息被利用,通常他们在获得版本号后,通过网上搜索针对该版本服务器的漏洞,从而使用相应的技术和工具有针对性的入侵,这也是渗透测试的一个关键步骤。因此,为了避免一些不必要的麻烦和安全隐患,可以通过主配置文件httpd.conf下的如下两个选项进行:

(1)ServerTokens:该选项用于控制服务器是否响应来自客户端的请求,向客户端输出服务器系统类型或者相应的内置模块等重要信息。Red Hat Enterprise Linux 5操作系统在主配置文件中提供全局默认控制阈值为OS,即ServerTokens OS。它们将向客户端公开操作系统信息和相关敏感信息,所以保证安全情况下需要在该选项后使用“ProductOnly”,即ServerTokens ProductOnly。

(2)ServerSignature:该选项控制由系统生成的页面(错误信息等)。默认情况下为off,即ServerSignature off,该情况下不输出任何页面信息。另一情况为on,即ServerSignature on,该情况下输出一行关于版本号等相关信息。安全情况下应该将其状态设为off。

图1和图2为安全设定这两个选项前后正常情况下和错误情况下的输出页面(通过Rhel5中的Mozilla Firefox浏览器访问Rhel5中的Apache服务器)的详细对比。可以清楚看到,安全设定选项后,可以充分地向客户端用户隐藏Linux操作系统信息和Apache服务器版本信息。


                                                  图1 错误情况下未设定安全选项前示意


                                                     图2 操作情况下使用安全设定后的对比

3.设置虚拟目录和目录权限

要从主目录以外的其他目录中进行发布,就必须创建虚拟目录。虚拟目录是一个位于Apache的主目录外的目录,它不包含在Apache的主目录中,但在访问Web站点的用户看来,它与主目录中的子目录是一样的。每个虚拟目录都有一个别名,用户Web浏览器中可以通过此别名来访问虚拟目录,如http://服务器IP地址/别名/文件名,就可以访问虚拟目录下面的任何文件了。

使用Alias选项可以创建虚拟目录。在主配置文件中,Apache默认已经创建了两个虚拟目录。这两条语句分别建立了“/icons/”和“/manual”两个虚拟目录,它们对应的物理路径分别是“/var/www/icons/”和“/var/www/manual”。在主配置文件中,用户可以看到如下配置语句:

Alias /icons/ "/var/www/icons/"

Alias /manual "/var/www/manual"

在实际使用过程中,用户可以自己创建虚拟目录。比如,创建名为/user的虚拟目录,它所对应的路径为上面几个例子中常用的/var/www/html/rhel5:

Alias /test "/var/www/html/rhel5"

如果需要对其进行权限设置,可以加入如下语句:



AllowOverride None

Options Indexes

Order allow,deny

Allow from all



设置该虚拟目录和目录权限后,可以使用客户端浏览器进行测试验证,采用别名对该目录中的文件进行访问,浏览结果如图3所示。


                                               图3 使用虚拟目录的测试结果

策略二:限制Apache服务的运行环境

Apache服务器需要绑定到80端口上来监听请求,而root是唯一有这种权限的用户,随着攻击手段和强度的增加,服务器受到相当大的威胁,一旦缓冲区溢出漏洞被利用,就可以控制整个系统。为了进一步提高系统安全性,Linux内核引入chroot机制,chroot是内核中的一个系统调用,软件可以通过调用函数库的chroot 函数,来更改某个进程所能见到的根目录。

chroot机制是将某软件运行限制在指定目录中,保证该软件只能对该目录及其子目录的文件有所动作,从而保证整个服务器的安全。在这种情况下,即使出现黑客或者不法用户通过该软件破坏或侵入系统,Linux系统所受的损坏也仅限于该设定的根目录,而不会影响到系统的其他部分。

将软件chroot化的一个问题是该软件运行时需要的所有程序、配置文件和库文件都必须事先安装到chroot目录中,通常称这个目录为chroot“监牢”。如果在“监牢”中运行httpd,那么用户根本看不到Linux文件系统中那个真正的目录,从而保证了Linux系统的安全。
    黑客防线网安服务器维护方案本篇连接:http://www.rongsen.com.cn/show-17267-1.html
网站维护教程更新时间:2012-09-12 00:35:49  【打印此页】  【关闭
我要申请本站N点 | 黑客防线官网 |  
专业服务器维护及网站维护手工安全搭建环境,网站安全加固服务。黑客防线网安服务器维护基地招商进行中!QQ:29769479

footer  footer  footer  footer