毋庸諱言����,令A(yù)pache占領(lǐng)Web服務(wù)器半壁江山的一個重要原因就是它可以提供一個安全的Web操作環(huán)境。Apache團體為保證其安全性做了大量的工作。想當(dāng)年���,在此產(chǎn)品被發(fā)現(xiàn)存在一個安全缺陷時,Apache的開發(fā)人員就盡快地搞出了一個補丁。
然而�,盡管Apache已經(jīng)堪稱安全的產(chǎn)品�,如果你在構(gòu)建你的服務(wù)器時沒有采取一些安全預(yù)防措施���,這種Web服務(wù)器仍易于受到很多攻擊����。
在本文中,筆者將為你提供10個技巧,借此你可以保護自己的Apache Web服務(wù)器免于受到許多攻擊����。不過���,必須謹記��,你需要仔細地評估每一個技巧,以確保其適合于你的組織。
只安裝所需要的
Apache的一個最大的特點是其靈活性和大量的可選擇安裝模塊,這在涉及到安全問題時可成為一個極大的弱點。你安裝的越多���,也就為潛在的攻擊者創(chuàng)造了越大的攻擊面��。一個標(biāo)準(zhǔn)的Apache安裝包含20多個模塊,包括CGI特性����,以及一些身份驗證機制����。如果你不打算采用CGI����,并且你只想采用靜態(tài)的Web站點��,不需要用戶身份驗證����,你可能就不需要這些模塊所提供的任何服務(wù)�,因此在安裝Apache時請禁用這些模塊。
如果你沿用了一個正在運行的Apache服務(wù)器,并且不想重新安裝它,就應(yīng)當(dāng)仔細檢查httpd.conf配置文件��,查找以LoadModule開頭的行����。請檢查Apache的文檔(也可以用Google、Yahoo等搜索),查找每個模塊的目的信息��,找出那些你并不需要的模塊���。然后���,重新啟動Apache�。
暴露程度最小化
Apache易于安裝并且相當(dāng)容易管理。不幸的是,許多Apache的安裝由于為完全的陌生者提供了關(guān)于自己服務(wù)器的太多“有幫助”的信息,例如Apache的版本號和與操作系統(tǒng)相關(guān)的信息。通過這種信息,一個潛在的攻擊者就可以追蹤特定的可以影響你的系統(tǒng)的破壞性漏洞�,特別是你沒有能夠保持所有補丁的更新的話情況更為嚴重�。如此一來����,攻擊者無需反復(fù)試驗就可以確切地知道你在運行什么,從而可以調(diào)整其攻擊方法。
要防止服務(wù)器廣播敏感信息,一定要保證將httpd.conf中的“ServerSignature”指令設(shè)置為“off”����。一次默認的Apache安裝會將此指令設(shè)置為“off”�,不過許多管理員卻啟用了它�����。
同樣地,禁用目錄瀏覽也是一個不錯的注意����。在目錄瀏覽被啟用時��,訪問一個并不包含其所需要文檔的目錄的用戶,會看到此目錄中完整的內(nèi)容列表�����。無疑����,你不應(yīng)當(dāng)將敏感材料以純文本的形式存儲到一個Web服務(wù)器上,除非你必須這樣做���,你也不應(yīng)該允許人們看到超過其需要的內(nèi)容。
目錄瀏覽默認地是被啟用的�����。要禁用這個特性�,應(yīng)編輯http.conf文件,而且對每一個“Directory”指令���,應(yīng)清除“Indexs”引用。
例如��,在筆者的做實驗用的Apache 2.2.4服務(wù)器上��,這是默認的目錄命令:
Options Indexes FollowSymLinks
AllowOverrride None
Order allow,deny
Allow from all
清除Indexes引用后的樣子:
Options FollowSymLinks
AllowOverrride None
Order allow,deny
Allow from all
你也可以保留Indexes指令�����,并用一個破折號引導(dǎo)����,從而禁用此指令(也就是“-Indexes”)����。
禁用符號連接追蹤
如果你是唯一一個校對Web內(nèi)容的人員��,而你在創(chuàng)建新的符號連接時又幾乎不犯錯誤��,你可能不會擔(dān)心此措施。不過�,如果你有很多人員能夠向你的站點增加內(nèi)容�����,并非所有的人都像你一樣謹慎從事,那么就會有一種風(fēng)險��,即某個用戶可能偶然會創(chuàng)建一個符號連接指向你的文件系統(tǒng)的一部分�����,而你又確實不想讓人們看到這些文件����。例如�����,如果你的Apache服務(wù)器的根目錄中的某人創(chuàng)建了一個指向 “/”文件夾的符號連接���,你該怎么辦?
為了取消Apache服務(wù)器允許用戶追蹤符號連接的請求���,應(yīng)該在Directory命令中清除FollowSymlinks指令。
例如,在筆者的試驗性的Apache 2.2.4服務(wù)器中�����,Directory命令如下:
Options Indexes FollowSymLinks
AllowOverrride None
Order allow,deny
Allow from all
在清除了FollowSymLinks引用后���,就成為如下的樣子:
Options Indexes
AllowOverrride None
Order allow,deny
Allow from all
如果一些用戶需要跟蹤符號連接的能力����,可以考慮使用SymLinksIfOwnerMatch代替。
Listen指令具體化
在你第一次安裝Apache時,httpd.conf包含一個“Listen 80”指令���。應(yīng)將其改變?yōu)椤癓isten mn.xx.yy.zz:80”,在這里“mn.xx.yy.zz”是你想讓Apache監(jiān)聽其請求的IP地址。如果你的Apache運行在一個擁有多個IP地址的服務(wù)器上時,這一點尤其重要�。如果你不采取預(yù)防措施�����,默認的“Listen 80”指令告訴Apache監(jiān)聽每一個IP地址的80端口。
不過,這項措施有可能不適用于你的環(huán)境�����,應(yīng)根據(jù)需要而定��。
從httpd.conf中清除默認的注釋
Apache 2.2.4中默認的httpd.conf文件有400多行����。在這400行中�����,只有一小部分是實際的Apache指令���,其余的僅是幫助用戶如何恰當(dāng)?shù)卦趆ttpd.conf中放置指令的注釋���。根據(jù)筆者的經(jīng)驗����,這些注釋有時起負面作用��,甚至將危險的指令留存于文件中�����。筆者在所管理的許多Apache服務(wù)器上將httpd.conf文件復(fù)制為其它的文件,如httpd.conf.orig等,然后完全清除多余的注釋。文件變得更加容易閱讀�,從而更好地解決了潛在的安全問題或者錯誤地配置文件�。
該文章在 2012/4/4 0:01:32 編輯過
400 186 1886
