Apache服务器安全防护精要与实战.doc

Web 服务器也称为 WWW 服务器或 HTTP 服务器 （HTTP Server），它是 Internet 上最常见也是使用最频繁的服务器之一，Web 服务器能够为用户提供网页浏览、论坛访问等等服务。 由于用户在通过 Web 浏览器访问信息资源的过程中，无须再关心一些技术性的细节，而且界面非常友好，因而 Web 在 Internet 上一推出就得到了爆炸性的发展。现在 Web 服务器已经成为 Internet 上最大的计算机群，Web 文档之多、链接的网络之广，也令人难以想像。因此，Web 服务器软件的数量也开始增加，Web 服务器软件市场的竞争也越来越激烈。本文所讨论的就是一款最常用的 Web 服务器软件—— Apache. Apache 是一个免费的软件，用户可以免费从 Apache 的官方网站下载。任何人都可以参加其组成部分的开发。Apache 允许世界各地的人对其提供新特性。当新代码提交到 Apache Group 后，Apache Group 对其具体内容进行审查并测试和质量检查。如果他们满意，该代码就会被集成到 Apache 的主要发行版本中。 Apache 的其他主要特征有： 支持最新的 HTTP 协议：是最先支持 HTTP1.1 的 Web 服务器之一，其与新的 HTTP 协议完全兼容，同时与 HTTP1.0、HTTP1.1 向后兼容。Apache 还为支持新协议做好了准备。 简单而强大的基于文件的配置：该服务器没有为管理员提供图形用户界面，提供了三个简单但是功能异常强大的配置文件。用户可以根据需要用这三个文件随心所欲地完成自己希望的 Apache 配置。 支持通用网关接口（CGI）：采用 mod_cgi 模块支持 CGI.Apache 支持 CGI/1.1 标准，并且提供了一些扩充。 支持虚拟主机：是首批既支持 IP 虚拟主机又支持命名虚拟主机的 Web 服务器之一。 支持 HTTP 认证：支持基于 Web 的基本认证。它还有望支持基于消息摘要的认证。 内部集成 Perl：Perl 是 CGI 脚本编程的事实标准。Apache 对 Perl 提供了良好的支持，通过使用其 mod_perl 模块，还可以将 Perl 的脚本装入内存。 集成代理服务器：用户还可以选择 Apache 作为代理服务器。 支持 SSL：由于版本法和美国法律在进出口方面的限制，Apache 本身不支持 SSL.但是用户可以通过安装 Apache 的补丁程序集合（Apache－SSL）使得 Apache 支持 SSL. 支持 HTTP Cookie：通过支持 Cookie，可以对用户浏览 Web 站点进行跟踪。 Apache 服务面临的网络威胁 一般说来，Apache 服务器主要面临如下几种网络威胁： 使用 HTTP 协议进行的拒绝服务攻击：攻击者会通过某些手段使服务器拒绝对 HTIP 应答。这样会使 Apache 对系统资源（CPU 时间和内存）需求巨增，造成 Apache 系统变慢甚至完全瘫痪，从而引起 HTTP 服务的中断或者合法用户的合法请求得不到及时地响应； 缓冲区溢出攻击：由于 Apache 源代码完全开放，攻击者就可以利用程序编写的一些缺陷，使程序偏离正常流程。程序使用静态分配的内存保存请求数据，攻击者就可以发送一个超长请求使缓冲区溢出，从而导致缓冲区溢出攻击； 被攻击者获得 root 权限，威胁系统安全：由于 Apache 服务器一般以 root 权限运行，攻击者通过它获得 root 权限，进而控制整个 Apache 系统； Apache 服务器与客户端通信安全：如果采用明文传输，则服务器与客户端的敏感通信信息将有可能被黑客或者不法用户获取； 由于 Apache 配置文件设置不当引起的安全问题：恶意者可以随意下载或修改删除系统文件。这主要涉及到对访问者的内容和权限的限制。 要应对上述这些安全威胁，要从 Apache 服务器端配置、运行环境、通信链路安全保障、安全模块使用、日志管理等各方面、全方位的进行保障，下面将进行分门别类的详细介绍。 Apache 服务器端安全设置 限制 root 用户运行 Apache 服务器 一般情况下，在 Linux 下启动 Apache 服务器的进程 httpd 需要 root 权限。由于 root 权限太大，存在许多潜在的对系统的安全威胁。一些管理员为了安全的原因，认为 httpd 服务器不可能没有安全漏洞，因而更愿意使用普通用户的权限来启动服务器。http.conf 主配置文件里面有如下 2 个配置是 Apa