Linux服务器安全策略详解之Apache配置.pdfVIP

标签： 字体 6.3 配置一个安全的Apache服务器 合理的网络配置能够保护Apache服务器免遭许多攻击。 6.3.1 勤打补丁 在/上最新的changelog中都写着：bug fix、security bug fix的字 样。所以，Linux网管员要经常关注相关网站的缺陷，及时升级系统或添加补丁。使用最高和 最新的安全版本对于加强Apache Web服务器的安全是至关重要的。将你的OpenSSL升级到 0.9.6e或者更高版本，伪造的密钥将起不了任何作用，也不能渗透到系统里。一些反病毒程序 能发现并杀死SSL蠕虫，但是蠕虫可能产生变体，从而逃脱反病毒软件的追捕。重启Apache可 以杀死这样的病毒，但是对防止将来的感染没有任何意义。 6.3.2 隐藏和伪装Apache的版本 通常，软件的漏洞信息和特定版本是相关的，因此，版本号对黑客来说是最有价值的。 在默认情况下，系统会把Apache版本模块都显示出来（http返回头）。如果列举目录的话， 会显示域名信息（文件列表正文），去除Apache版本号的方法是修改配置文 件/etc/httpd.conf。找到关键字ServerSignature，将其设定为： ServerSignature Off ServerTokens Prod 然后重新启动Apache服务器。 通过分析Web服务器的类型，大致可以推测出操作系统的类型，比如，Windows使用IIS来提 供HTTP服务，而Linux中最常见的是Apache。 默认的Apache配置里没有任何信息保护机制，并且允许目录浏览。通过目录浏览，通常可以 获得类似Apache/1.3.27 Server at Port 80或Apache/2.0.49 (Unix) PHP/4.3.8的信息。 通过修改配置文件中的ServerTokens参数，可以将Apache的相关信息隐藏起来。但是，Red Hat Linux运行的Apache是编译好的程序，提示信息被编译在程序里，要隐藏这些信息需要修 改Apache的源代码，然后，重新编译安装程序，以替换里面的提示内容。 以Apache 2.0.50为例，编辑ap_release.h文件，修改#define AP_SERVER_BASEPRODUCT \Apache\为#define AP_SERVER_BASEPRODUCT \Microsoft-IIS/5.0\。编辑 os/unix/os.h文件，修改#define PLATFORM \Unix\为#define PLATFORM \Win32\。修改完毕后，重新编译、安装Apache。 Apache安装完成后，修改httpd.conf配置文件，将ServerTokens Full改为ServerTokens Prod；将ServerSignature On改为ServerSignature Off，然后存盘退出。重新启动 Apache后，用工具进行扫描，发现提示信息中已经显示操作系统为Windows。 1 2 3 4 5 6 7 8 下一页 下一篇： 新保密法引发网络安全产业地震 [编辑：auto] 6.3.3 建立一个安全的目录结构 Apache服务器包括以下四个主要目录。 - ServerRoot：保存配置文件（conf子目录）、二进制文件和其他服务器配置文件。 - DocumentRoot：保存Web站点的内容，包括HTML文件和图片等。 - ScripAlias：保存CGI脚本。 - Customlog和Errorlog：保存访问日志和错误日志。 建议设定这样一个目录结构，以上四个主要目录相互独立并且不存在父子逻辑关系。 提示 ServerRoot目录应该被配置为只能由root用户访问；DocumentRoot应该能够被管理 Web站点内容的用户访问和使用Apache服务器的Apache用户和Apache用户组访问； ScriptAlias目录应该只能被CGI开发人员和Apache用户访问；只有root用户可以访问日志目 录。 下面是一个安全目录结构，如图6-3所示。 图6-3 安全目录结构 这样的目录结构是比较安全的，因为目录之间是独立的，某个目录的权限错误不会影响到其他 目录。 6.3.4 为Apache使用专门的用