企業(yè)級Apache服務(wù)器安全防護要點剖析

責任編輯:sjia

2012-02-20 10:09:00

摘自:TechTarget中國

Apache一直是世界上使用率排名前三的Web服務(wù)器軟件。企業(yè)使用其構(gòu)建Web應(yīng)用,從很大程度上都需要對其安全性進行綜合考慮,以保證能夠應(yīng)對拒絕服務(wù)攻擊、流量竊聽、數(shù)據(jù)泄漏等網(wǎng)絡(luò)威脅。

Apache一直是世界上使用率排名前三的Web服務(wù)器軟件。企業(yè)使用其構(gòu)建Web應(yīng)用,從很大程度上都需要對其安全性進行綜合考慮,以保證能夠應(yīng)對拒絕服務(wù)攻擊、流量竊聽、數(shù)據(jù)泄漏等網(wǎng)絡(luò)威脅,從而保證企業(yè)門戶網(wǎng)站的安全。

除了使用業(yè)界流行的防火墻、IDS/IPS(入侵檢測系統(tǒng)/入侵防御系統(tǒng))、WAF(Web應(yīng)用防火墻)、UTM(統(tǒng)一威脅管理)等外部安全設(shè)備對Apache服務(wù)進行安全防護外,作為一種優(yōu)秀的開源服務(wù)器軟件,Apache本身就具有很多優(yōu)秀的特性可以為服務(wù)器管理員提供安全配置,以防范各種網(wǎng)絡(luò)攻擊。因此,充分、高效地挖掘Apache服務(wù)器的自身安全能力也是企業(yè)安全工作者一個必備的技能。基于此,本文將從4個方面詳細剖析Apache服務(wù)器的安全防護要點。

策略一:服務(wù)器端安全設(shè)置

1.限制root用戶運行Apache服務(wù)器

一般情況下,在Linux下啟動Apache服務(wù)器的進程httpd需要root權(quán)限。由于root權(quán)限太大,存在許多潛在的安全威脅。一些管理員為了安全起見,認為httpd服務(wù)器不可能沒有安全漏洞,因而更愿意使用普通用戶的權(quán)限來啟動服務(wù)器。http.conf主配置文件里面有如下兩個配置是Apache的安全保證,Apache在啟動后,就將其本身設(shè)置為這兩個選項設(shè)置的用戶和組權(quán)限進行運行,降低了服務(wù)器的危險性。

User apache

Group apache

需要特別指出的是:以上兩個配置在主配置文件里面是默認選項,當采用root用戶身份運行httpd進程后,系統(tǒng)將自動將該進程的用戶組和權(quán)限改為apache,這樣,httpd進程的權(quán)限就被限制在apache用戶和組范圍內(nèi),因而保證了安全。

2.向客戶端隱藏Apache服務(wù)器的相關(guān)信息

Apache服務(wù)器的版本號可作為黑客入侵的重要信息被利用,通常他們在獲得版本號后,通過網(wǎng)上搜索針對該版本服務(wù)器的漏洞,從而使用相應(yīng)的技術(shù)和工具有針對性的入侵,這也是滲透測試的一個關(guān)鍵步驟。因此,為了避免一些不必要的麻煩和安全隱患,可以通過主配置文件httpd.conf下的如下兩個選項進行:

(1)ServerTokens:該選項用于控制服務(wù)器是否響應(yīng)來自客戶端的請求,向客戶端輸出服務(wù)器系統(tǒng)類型或者相應(yīng)的內(nèi)置模塊等重要信息。Red Hat Enterprise Linux 5操作系統(tǒng)在主配置文件中提供全局默認控制閾值為OS,即ServerTokens OS。它們將向客戶端公開操作系統(tǒng)信息和相關(guān)敏感信息,所以保證安全情況下需要在該選項后使用“ProductOnly”,即ServerTokens ProductOnly。

(2)ServerSignature:該選項控制由系統(tǒng)生成的頁面(錯誤信息等)。默認情況下為off,即ServerSignature off,該情況下不輸出任何頁面信息。另一情況為on,即ServerSignature on,該情況下輸出一行關(guān)于版本號等相關(guān)信息。安全情況下應(yīng)該將其狀態(tài)設(shè)為off。

圖1和圖2為安全設(shè)定這兩個選項前后正常情況下和錯誤情況下的輸出頁面(通過Rhel5中的Mozilla Firefox瀏覽器訪問Rhel5中的Apache服務(wù)器)的詳細對比??梢郧宄吹?,安全設(shè)定選項后,可以充分地向客戶端用戶隱藏Linux操作系統(tǒng)信息和Apache服務(wù)器版本信息。

圖1 錯誤情況下未設(shè)定安全選項前示意

圖2 操作情況下使用安全設(shè)定后的對比

3.設(shè)置虛擬目錄和目錄權(quán)限

要從主目錄以外的其他目錄中進行發(fā)布,就必須創(chuàng)建虛擬目錄。虛擬目錄是一個位于Apache的主目錄外的目錄,它不包含在Apache的主目錄中,但在訪問Web站點的用戶看來,它與主目錄中的子目錄是一樣的。每個虛擬目錄都有一個別名,用戶Web瀏覽器中可以通過此別名來訪問虛擬目錄,如http://服務(wù)器IP地址/別名/文件名,就可以訪問虛擬目錄下面的任何文件了。

使用Alias選項可以創(chuàng)建虛擬目錄。在主配置文件中,Apache默認已經(jīng)創(chuàng)建了兩個虛擬目錄。這兩條語句分別建立了“/icons/”和“/manual”兩個虛擬目錄,它們對應(yīng)的物理路徑分別是“/var/www/icons/”和“/var/www/manual”。在主配置文件中,用戶可以看到如下配置語句:

Alias /icons/ "/var/www/icons/"

Alias /manual "/var/www/manual"

在實際使用過程中,用戶可以自己創(chuàng)建虛擬目錄。比如,創(chuàng)建名為/user的虛擬目錄,它所對應(yīng)的路徑為上面幾個例子中常用的/var/www/html/rhel5:

Alias /test "/var/www/html/rhel5"

如果需要對其進行權(quán)限設(shè)置,可以加入如下語句:

<Directory “/var/www/html/rhel5”>

AllowOverride None

Options Indexes

Order allow,deny

Allow from all

</Directory>

設(shè)置該虛擬目錄和目錄權(quán)限后,可以使用客戶端瀏覽器進行測試驗證,采用別名對該目錄中的文件進行訪問,瀏覽結(jié)果如圖3所示。

鏈接已復制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號