apache安全配置v1.0.0.1.ppt

* * 前两项和apache的配置和软件有关系，后一项为编程问题。 对于sql注入，跨站等代码级的问题，通过apache的一些模块也能做一些防范，比如mod-security,可以过滤一些包含sql注入的url * Nobody帐号也用作nfs系统，所以建议为apache设立专门的帐号 * Httpd.h中包含的apache的大版本。。。Servertokens可以控制小版本，mod版本信息的显示。 * * * * * * * * * * Deny,Allow Deny指令在Allow指令之前被评估。默认允许所有访问。任何不匹配Deny指令或者匹配Allow指令的客户都被允许访问。 Allow,Deny Allow指令在Deny指令之前被评估。默认拒绝所有访问。任何不匹配Allow指令或者匹配Deny指令的客户都将被禁止访问。 在下面的例子中，域中所有主机都允许访问，而其他任何主机的访问都将被拒绝。 Order Deny,AllowDeny from allAllow from * Apache的错误日志文件对于系统管理员来说也是非常重要的，错误日志文件中包括服务器的启动、停止以及CGI执行失败等信息。 红色为记录http的头信息：方法，参数。比如head / 、accept */* * IDS手段 Fake CGI Scripts Httpd.conf Directives o LocationMatch o ScriptAliasMatch Security Module o Mod_Security SWATCH DoS防范 Mod_Dosevasive HTTP DoS attack or brute force attack. Mod_Rewrite Directory Traversal http://host/cgi-bin/lame.cgi?file=../../../../etc/motd Hex Value %20 Space,%00 Null http://host/cgi-bin/lame.cgi?page%00=ls%20-al| Pipe Request | http://host/cgi-bin/lame.cgi?page=ps%20-ef|grep%20root Semi-Colon Requests ; http://host/cgi-bin/lame.cgi?page=id;uname%20-a Redirect Requests http://host/cgi-gi?page=echo%20!±You!ˉre%200wneindex.htm System Commands ls\echo\cat\tftp\ps http://host/cgi-bin/bad.cgi?doh=ps%20-aux * Apache安全配置 v   版本控制 版本 日期 参与人员 更新说明 2009-4-20 李宗洋 拟制和创建 2009-4-26 陈磊 增加2.5，安全模块的介绍 版本控制 目 录 第一章 常见的安全问题 第二章 apache的安全防范 第三章 apache的安全运维 第一章 WEB系统的常见安全问题 软件平台自身的软件漏洞 缓冲溢出 拒绝服务等 软件平台配置漏洞 帮助页面、测试页面、管理界面暴露 目录浏览等权限配置不合理 非安全的页面 SQL注入、跨站等 第二章 apache安全防范 2.1 安装运行注意事项 2.2 信息泄露的防范 2.3 访问控制 2.4 日志配置 2.5 安全模块 第二章 apache安全防范 2.1 安装运行的注意事项 软件版本的选择 相对较新 较稳定 安装 最小化安装 基于角色的管理 运行 以nobody或者普通帐号运行 如使用普通帐号，需要锁定帐号 无用文件的清除 Apache源代码 默认页面和脚本 /usr/local/apache/cgi-bin /usr/local/apache/htdocs 2.1 安装运行的注意事项 Unix下基于角色的管理 三类角色：开发、管理、服务 # groupadd webadmin （管理程序） # groupadd webdev （页面开发） # groupadd webserv （运行apache进程） 服务帐号的建立 # useradd -d /usr/local/apache/htdocs -g webserv -m webserv # passwd –l webserv # usermod -s /bin/false webs