UNIX平臺(tái)下Apache服務(wù)的安全保護(hù)

janlen

Apache服務(wù)器是眾多WEB服務(wù)器中，一個(gè)設(shè)計(jì)上較安全的程序；但它也同樣存在諸多缺陷，比如可以使用HTTP協(xié)議進(jìn)行拒絕訪問(wèn)攻擊等。因此合理的設(shè)置是保證Apache服務(wù)免遭攻擊的首要任務(wù)。
一． Apache服務(wù)缺陷分析
    緩沖區(qū)溢出。攻擊者利用程序編寫的一些缺陷，使程序偏離正常的流程；接著發(fā)送一個(gè)超長(zhǎng)請(qǐng)求使緩沖區(qū)溢出。一旦系統(tǒng)緩沖區(qū)溢出，攻擊者就可對(duì)攻擊端使用各種惡意指令了。
    輕易獲得root權(quán)限。該缺陷主要是因?yàn)锳pache服務(wù)器一般以root權(quán)限運(yùn)行，攻擊者會(huì)通過(guò)此途徑獲得root權(quán)限，進(jìn)而控制整個(gè)Apache系統(tǒng)。
    “拒絕服務(wù)”(DoS)攻擊。它主要是存在于Apache的chunk encoding中，這是一個(gè)HTTP協(xié)議定義的用于接受web用戶所提交數(shù)據(jù)的功能。這會(huì)造成Apache對(duì)系統(tǒng)資源需求的劇增，并最終導(dǎo)致系統(tǒng)變慢乃至癱瘓。
二． 主Apache服務(wù)配置參考
    Apache服務(wù)除了主配置文件“httpd.conf”外，還有兩個(gè)重要的配置文件，它們分別是：
    srm.conf        填加資源文件
    access.conf      設(shè)置文件的訪問(wèn)權(quán)限
    三個(gè)文件都位于/usr/local/apache/conf目錄下，大部分服務(wù)配置都在這三個(gè)文
件里完成。
    1.配置Apache服務(wù)器的目錄安全認(rèn)證。
    在Apache Server中是允許使用 .htaccess做目錄安全保護(hù)的，欲讀取這保護(hù)的目錄需要先鍵入正確用戶帳號(hào)與密碼。這樣可做為專門管理網(wǎng)頁(yè)存放的目錄或做為會(huì)員區(qū)等�；蛘咴谂渲梦募�“httpd.conf”中加入以下內(nèi)容也可達(dá)到目的：
    options　indexes　followsymlinks
    allowoverride　authconfig
    order　allow,deny
    allow　from　all
2.合理設(shè)置訪問(wèn)控制。
    主要設(shè)置配置文件“access.conf”。它包含一些指令控制比如允許什么用戶訪問(wèn)Apache目錄等�？梢酝ㄟ^(guò)以下舉例的設(shè)置來(lái)允許來(lái)自某個(gè)域、某個(gè)IP地址或者IP段的訪問(wèn)。
   
   
    order deny,allow
    deny from all
    allow from safechina.net
   
   
    解釋：在此配置指令中，將“deny from all”設(shè)為初始化指令，再使用“allow from”指令來(lái)打開訪問(wèn)權(quán)限。
    3.合理設(shè)置密碼保護(hù)。
    密碼保護(hù)問(wèn)題是任何程序、任何系統(tǒng)都要注意的問(wèn)題。在Apache服務(wù)環(huán)境下，可以在“httpd.conf”或“srm.conf”配置文件中使用“AccessFileName”指令打開目錄的訪問(wèn)控制。舉例如下：
    AuthName PrivateFiles
    AuthType Basic
    AuthUserFile /path/to/httpd/users
    require Phoenix
    # htpasswd -c /path/to/httpd/users Phoenix  #增加一個(gè)用戶
總結(jié)：
    Apache是一款非常優(yōu)秀的服務(wù)器，只要能夠正確配置和維護(hù)好Apache服務(wù)器，一定會(huì)感受到Apache服務(wù)所帶來(lái)的吸引力�？偟恼f(shuō)來(lái)，在Apache的安裝維護(hù)中應(yīng)注意以下方面的問(wèn)題：
    檢查文件和目錄的權(quán)限是否恰當(dāng)。
    httpd.conf、srm.conf和access.conf這三個(gè)配置文件設(shè)置是否恰當(dāng)。
    對(duì)某些需要特別保護(hù)的目錄使用密碼保護(hù)機(jī)制（.htaccess）。

    讓服務(wù)器日志文件盡可能的詳細(xì)記錄信息。

    對(duì)CGI腳本進(jìn)行封裝，如果CGI腳本使用的是Perl編寫，一定要詳細(xì)檢查其安全性。

    使用TCP Wrappers和Tripwire安全工具。其中“TCP Wrappers”可以限制Telnet和FTP的訪問(wèn)權(quán)限；而“Tripwire”是一個(gè)數(shù)據(jù)完整性監(jiān)測(cè)工具，可以使用它來(lái)實(shí)時(shí)監(jiān)視系統(tǒng)是否被更改。


本文來(lái)自ChinaUnix博客，如果查看原文請(qǐng)點(diǎn)：http://blog.chinaunix.net/u/13151/showart_69710.html