崔永泉第五讲数字签名与pki系统.ppt

* 配置HTTP身份认证 为了指定由名为.htaccess的文件控制文件访问，应使用AccessFileName指令： AccessFileName .htaccess 应用.htaccess文件时，它本身决不应当被服务器提供给客户端，因为其中包含了与服务器配置有关的信息。因此，必须使用Files命令来配置服务器，使其拒绝浏览器对.htaccess的访问 Files .htaccess Order allow,deny Deny from all /Files * 配置HTTP身份认证 －httpd.conf 在httpd.conf文件中，使用如下指令即可实施HTTP身份认证： Directory /usr/local/apache/htdocs/my_private_dir AuthType Basic AuthName My Private Directory AuthUserFile /usr/local/apache/misc/my_private_dir.htpasswd require valid-user /Directory * 主密钥的创建 共享主密钥(Master Secret)由客户机和服务器共享，是通过安全密钥交换生成的临时48字节值 Master Secret 分两个步骤生成： 交换 pre_master_secret 双方计算master_secret pre_master_secret 交换方法： RSA Diffie-Hellman * 主密钥的创建 * 密码参数的生成 pre_master_secret master secret Client write MAC secret Client write secret Client write IV Server write MAC secret Server write secret Server write IV * 密码参数的生成 * * * * 目 录 Web安全概述 SSL SSL 程序设计 Apache Web Server 安全 * SSL 通讯模型为标准的C/S 结构，除了在 TCP 层之上进行传输之外，与一般的通讯没有什么明显的区 别 主要介绍如何使用OpenSSL进行安全通讯的程序设计。关于OpenSSL 的一些详细的信 息请参考OpenSSL的官方主页 SSL程序设计 * OpenSSL初始化 * SSL环境申请 * 证书验证 * 证书加载 * 绑定到套接字 * SSL握手 * SSL通信 * 关闭SSL连接 * 目 录 Web安全概述 SSL SSL 程序设计 Apache Web Server 安全 * Apache Web Server Apache是Internet上最流行的Web服务器，运行于 大约60%的Web站点 Apache的流行有以下若干原因： Apache是一个可配置的Web服务器 Apache是可扩展的（用户可以很容易地在其中添加模块， 如mod_perl和mod_ php3） Apache开放源代码 Apache是免费的 * * Apache 配置文件 Apache的配置文件通常是httpd.conf，这个文件包含了大量指定Apache行为方式的命令 Apache曾经使用过3个配置文件：httpd.conf，access.conf和srm.conf，但现在它们的内容已经被组合到单个httpd.conf文件中 * Apache 用户配置 Apache要绑定80端口，所以它必须由root启动，但一旦启动，它就能更改运行自己的用户 虽然可以改为任何用户，但通常由nobody用户来运行httpd 除了指定httpd进程的所有者之外，也可以配置其所属的组 在httpd.conf中，如下程序行用来配置其用户和组： User nobody Group nobody * Apache 符号连接配置 符号链接可以使Web服务器连向某些包含重要文档的目录，而不必复制这些文档。这样可以节省磁盘空间和系统的inode数，同时也便于web管理 将Web服务器访问的文件限制在文档树范围内是最重要的安全策略，但是，管理员也可以配置服务器以允许使用指向文档树之外的符号链接 * Apache 符号连接配置 为允许符号链接，要如下配置那些包含符号链接的目录： Options FollowSymLinks 更为严格的配置是只允许符号链接指向属于同一个用户的文件或目录 Options SymLinkIfOwnerMatch * Apache 符号连接配置 如果必须使用符号链接，应当考虑将它