apache服务器安全问题Word文件下载.docx

1、Web服务器日志轮循8Apache服务器的密码保护9减少CGI和SSI风险11使用SSL加固Apache12Apache服务器防范DoS攻击13Apache服务器面临的安全问题HTTP拒绝服务攻击者通过某种手段使服务器拒绝对HTTP应答。这使得Apache服务器对系统资源（cpu与内存）需求剧增，最终导致造成系统变慢甚至瘫痪。Apache服务器最大的缺点是他的普及性成为了众矢之的。Apache服务器所面临的拒绝服务攻击主要包括以下几种形式。数据包洪水工具1. 一种中断服务器或者本地网络的方法是数据包洪水攻击，它通常使用Internet控制报文协议（ICMP）包或者UDP包。在最简单的情况下，这

2、些攻击都是使服务器或者网络的负载过重，这意味着黑客的网络攻击速度必须比目标的网络速度更快。使用UDP包的优势是不会有任何包返回到黑客的主机。而使用ICMP的优势是使得黑客的攻击更加富有变化。发送有缺陷的包会搞乱并锁住受害者的网络。目前所流行的趋势是黑客欺骗目标服务器，让其相信正在受到来自自身的洪水攻击。2. 磁盘攻击这是一种更麻烦的攻击，它不仅仅影响目标计算机的通信，还破坏他的硬件。伪造的用户请求利用写命令攻击目标服务器的硬盘，让其超过极限，并强制关闭。受攻击者会因为信息暂时不可达，甚至丢失而产生损失。3. 路由不可达通常，拒绝服务攻击集中在路由器上，攻击者首先获得控制权并操纵目标主机。当攻击

3、者能够更改路由器的路由表时，会造成整个网络不可达。这种攻击非常阴险，因为它刚开始出现时会让人莫名其妙。因为随后你的服务器就会失效，而整个网络又会不可达，这样你会要调查很多地方。4. 分布式拒绝攻击这是对Apache服务器最有威胁的工具，即DDoS。当很多堡垒主机被感染时，一起向你的服务器发起拒绝服务攻击，是招架不住的。其中，繁衍式攻击是最恶劣的，因为攻击程序不会通过人为干涉而蔓延。Apache服务器特别容易受到攻击，无论是对分布式攻击还是隐藏来源的工具。原因是Apache服务器无处不在，对于Apache服务器所制定的病毒，特别是ssl蠕虫潜伏在很多主机上，黑客可以通过操纵蠕虫，利用服务器的代码

4、漏洞攻击服务器，通过SSL握手将自己安放在Apache服务器上。黑客利用缓冲溢出将一个伪造的密钥安装在服务器上（适用于低于0.9.6e版本的Apache服务器上）。攻击者能够在被感染的主角上执行恶意代码，在许多这样的病毒的作用下，下一步就是多特定的目标发动一场大的分布式拒绝服务攻击了。通过将这样的蠕虫散播到大量的主机上，大规模的点到点攻击得以进行，对目标计算机或者网络带来不可挽回的损失。缓冲区溢出攻击者利用CGI程序编写的一些缺陷使程序偏离正常的流程。程序使用静态分配的内存保存请求数据，攻击者就可以发送一个超长的请求使缓冲区溢出。比如，一些perl编写的处理用回请求的网关脚本。一旦缓冲区溢出，

5、攻击者可以执行其恶意指令。攻击者获得root权限如果Apache以root权限运行，系统上程序的一些逻辑缺陷或者缓冲区的漏洞，会让攻击者很容易自本地获得Linux上管理员的root权限。在一些远程的情况下，攻击者会利用一些以root身份执行的有缺陷的系统守护程序来取得root的权限，或者利用有缺陷的服务进程漏洞来取得普通用户权限，用以远程登录服务器，进而控制整个系统。如何配置一个安全的Apache服务器勤打补丁在www.apache.org上的 changelog中都写着bug fix 、security bug的字样。所以，Linux管理员要经常关注相关网站的缺陷，及时升级系统或者打补丁。使

6、用最高的和最新的安全版本对于加强Apache服务器的安全是至关重要的。将你的openssl升级打牌0.9.6e或更高的版本，伪造的密钥将起不了任何作用，也不能渗透到系统中。一些反病毒程序能够发现并杀死ssl病毒，但是蠕虫病毒可能产生变体，从而逃脱反病毒软件的追捕。重启Apache可以杀死这样的病毒，但是对于防止将来的感染没有什么积极的作用。隐藏和伪装Apache的版本通常，软件的漏洞和特定的版本是相关的，因此，版本号对黑客来说是最有价值的东西。默认情况下，系统会把Apache版本模块都显示出来（在HTTP返回头中）。如果列举目录的话，会显示域名信息（文件列表正文），去除Apache的版本号的方

7、法是修改配置文件http.conf。找打一下关键字：serversignature并将其设定为：Serversignature offServertokens prod然后重启服务器。通过分析web服务器的类型，可以大致推测出操作系统的类型，比如，windows使用IIS，而Linux下最常见的是Apache。默认的Apache配置里没有任何信息保护机制，并且允许目录浏览。通过目录浏览，通常可以获得类似“Apache/1.3.27 server at port 80”或者“apache/2.0.49（unix）PHP/4.38”这类的信息。通过修改配置文件的servertokens参数，可以将

8、Apache的相关信息隐藏起来。但是，Red Hat Linux运行的Apache是编译好的程序，提示信息被编译在程序里，要隐藏这些信息需要改动Apache的源代码，然后，重新编译安装程序，以替换里面的提示内容。以Apache 2.0.50为例，编辑ap_release.h文件，修改“#define AP_SERVER_BASEPRODUCT”Apache”为“#define AP_SERVER_BASEPRODUCT”micosoft-IIS 6.0” ”.修改完后，重新编译，安装Apache。Apache安装按成后，修改httpd.conf配置文件，将“servertokens full”

9、改成“servertokens prod”；将“Serversignature on”改成“Serversignature off”，然后存盘退出。重启服务器后，用工具进行扫面就会发现提示信息中显示的操作系统为windows。建立一个安全的目录结构Apache服务器包括以下四个目录serverroot 保存配置文件（conf子目录）、二进制文件和其他服务器配置文件。documentroot 保存web站点内容，包括HTML文件和图片等。scripalias 保存CGI脚本文件。customlog 和errorlog 保存访问日志和错误日志。建立设定这样一个目录，以上四个主要目录互相独立且不存在

10、父子逻辑关系。要求：serverroot目录应该配置成为只能由root用户访问，documentroot应该只能被管理web站点内容的用户访问和使用Apache服务器的Apache用户的Apache用户组访问。Scripalias目录只能由CGI开发人员和Apache用户访问。只有root用户可以访问日志目录。为Apache使用专门的用户和用户组按照最小特权原则（是保证系统安全的最基本原则之一，它限制了使用者对系统及数据进行存取所需的最小权限，这样，即保证了用户能完成所需的操作，同时也确保非法用户或者异常操作所造成的损失最小化），需要Apache分配一个合适的权限，某个目录的权限错误不会影响到

11、其他目录。必须保证Apache使用一个专门的用户和用户组，不要使用系统预置的账号，比如nobody用户和nogroup用户组。因为只有root用户可以运行Apache，documentroot应该能够被管理web站点内容的用户访问和使用Apache服务器的Apache用户和用户组访问。所以，如果希望“A”用户在web站点发布内容，并且可以以httpd身份运行Apache服务器，通常可以这样：Groupadd webteamUsermod G webteam AChown -R http.webteam /www/htmlChmod R 2570 /www/htdocs只有root用户访问日志目

12、录，这个目录的权限应设为： Chown R root .root /etc/logsChmod R 700 /etc/htdcsWeb目录的访问策略对于可以访问的web目录，要使用相对保守的途径进行访问，不要让用户查看任何目录索引列表。禁止使用目录索引Apache服务器在接收到用户对一个目录的访问时，会查找directoryindex指令指定的目录索引文件，默认情况下该文件是index.html。如果该文件不存在，那么Apache会创建一个动态列表为用户显示该目录的内容。通常这样的设置会暴露web站点结构，因此需要修改配置文件来禁止显示动态目录索引。修改配置文件httpd.conf：Optio

13、ns indexes followsymlinksOptions 指令通知Apache禁止使用目录索引。Followsymlinks表示不允许使用符号链接。禁止默认访问一个好的安全策略是要禁止默认访问的存在，只对指定的目录开启访问权限，如果允许访问/var/www/html目录，则需要以下设置：Order deny,allowAllow from all禁止用户重载为了禁止用户对目录配置文件（.htaccess）进行重载（修改）可以这样设置：Allowoverride NoneApache服务访问控制方法Apache的access.conf文件负责文件的访问设置，可以实现互联网域名和IP地址的

14、访问控制。它包含一些指令，控制允许什么用户访问Apache目录，应该把deny from all 设置成初始化指令，再使用allow from 指令打开访问权限。如果允许192.168.1.1 到192.168.1.254的主机访问，可以这样设置：Order deny，allowDeny from allAllow from pair 192.168.1.0/255.255.255.0配置Apache服务器访问日志相关配置文件说明一个好的Linux管理员会密切关注服务器的日志系统，这些日志可以提供异常访问的线索。Apache可以记录所有的访问请求，同样，错误的请求也会记录。Apache配置文件

15、中，需要关系和日志相关的配置文件有两个：$ customLog /www/logs/access_log common # 记录对web站点的每个进入请求#$ errorLog /www/logs/error_log common #记录产生错误状态的请求Customlog用来指示Apache的访问日志存放的位置和格式。Errorlog用来指示Apache的错误日志存放的位置。对于不配置虚拟主机的服务器来说，只要直接在httpd.conf中查找customlog配置进行修改即可。而对于具有多个虚拟服务器的web服务器来说，需要分离各个虚拟服务器的访问日志，以便对各个虚拟服务器进行访问统计和分析，因此，需要在虚拟服务器配置中进行独立的日志配置。Web服务器日志轮循Web服务器日志轮循比较好的方式有三种，第一种是利用Linux系统自身的日志文