Apache安全护十一式组建安全的web服务器.docVIP

Apache安全维护十一式:组建安全的web服务器一：勤打补丁 你必须要相信这个是最有用的手段，缓冲区溢出等漏洞都必须使用这种手段来防御，勤快点相信对你没有坏处在http:上最新的changelog中都写有：bug fix ,security bug fix的字样，做为负责任的管理员要经常关注相关漏洞，及时升级系统添加补丁。使用最新安全版本对加强apache至关重要 二：隐藏和伪装Apache的版本 打乱攻击者的步骤，给攻击者带来麻烦，相信是管理员愿意看到的。软件的漏洞信息和版本是相关的，在攻击者收集你服务软件信息时候给与迷惑是个不错的选择，何况版本号，对攻击者来说相当与GPS定位一样重要。 默认情况，系统会把apache版本模块都显示出来（http返回头），如果列举目录的话，会显示域名信息（文件列表正文），去除Apache版本号的方法是修改配置文件，找到关键字,修改为下边。 ServerSignature off ServerTokens prod 通过分析web服务器类型，大致可以推测操作系统类型，win使用iis,linux普遍apache，默认的Apache配置里没有任何信息保护机制，并且允许目录浏览，通过目录浏览，通常可以得到类似“apache/1.37 Server at Port 80”或“apache/2.0.49(unix)PHP/4.3.8”的信息。 通过修改配置文件中的ServerTokens参数，可以将Apache的相关信息隐藏起来，如果不行的话，可能是提示信息被编译在程序里了，要隐藏需要修改apache的源代码，然后重新编译程序，以替换内容。 编辑ap_release.h文件， 修改#define AP_SERVER_BASEPRODUCT\Apache\为#define AP_SERVER_BASEPRODUCT\Microsoft-IIS/5.0\ 编辑os/unix/os.h文件 修改#define PLATFORM\Unix\为#define PLATFORM\Win32 修改完成后，重新编译，安装apache,在修改配置文件为上边做过的，再次启动apache后，用工具扫描，发现提示信息中已经显示为windows操作系统了。顺便说下，现在这个论坛，就有点不太讲究，这是论坛错误的返回信息，看了有点汗地感觉。 Apache/2.2.8 (Ubuntu) DAV/2 SVN/1.4.6 mod_ssl/2.2.8 OpenSSL/0.9.8g Server at Port 80 这个等于告诉恶意用户很多有用信息，虽然说不算开了门，但等于被告诉了门在那里，还是相当危险的。 三：建立安全的目录结构apache服务器包括四个目录结构 ServerRoot #保存配置文件，二进制文件与其他服务器配置文件 DocumentRoot #保存web站点内容，包括HTML文件和图片等 ScripAlias #保存CGI脚本 Customlog 和 Errorlog #保存日志和错误日志 建议的目录结构为，以上四种目录相互独立并且不存在父子逻辑关系 注：ServerRoot目录只能为root用户访问DocumentRoot目录应该能够被管理web站点内容的用户访问和使用apache服务器的apache用户与组访问ScripAlias目录应该只能被CGI开发人员和apache用户访问Customlog 和 Errorlog只能被root访问下边是一个安全目录结构的事例+-------/etc/|| +----/http (ServerRoot)| +----/logs (Customlog 和 Errorlog)|+-------var/www|| +---/cgi-bin (ScripAlias)| +---/html (DocumentRoot) 这样的目录结构是比较安全的，因为目录之间独立，某个目录权限错误不会影响到其他目录 四：为apache使用专门的用户与组 按照最小特权的原则，需要给apache分配一个合适的权限，让其能够完成web服务 注： 最小特权原则是系统安全中最基本的原则之一，限制使用者对系统及数据进行存取所需要的最小权限，保证用户可以完成任务，同时也确保被窃取或异常操作所造成的损失。 必须保证apache使用一个专门的用户与组，不要使用系统预定的帐户，比如nobody用户与nogroup组因为只有root用户可以运行apache，DocumentRoot应该能够被管理web站点内容的用户访问和使用apache服务器的apache用户与组访问，例如，希望“test”用户在web站点发布内容，并且可以以httpd身份运行apache服务器，可以这样设定grou