基于LAMPWEB服务器安全架构.docVIP

基于LAMPWEB服务器安全架构 　　摘要：本文分析了网络系统中WEB服务器面临的安全威胁，提出了基于LAMP平台的WEB服务器安全架构，通过对Linux操作系统、Apache服务器、MYSQL和PHP的安全策略配置，以及构建Snort入侵检测系统、netfilter/iptables防火墙和Cacti监控系统，实现了对WEB服务器的全方位安全防护。 　　关键词：LAMP WEB服务器 安全架构 防火墙 　　中图分类号：TP393.092 文献标识码：A 文章编号：1007-9416（2014）01-0188-02 　　随着网络技术和电子商务模式的发展，WEB服务已经成为互联网核心服务技术之一，针对WEB应用的攻击也在迅猛增长，主要有病毒、木马、匿名访问、拒绝服务、滥用数据库权限等攻击手段[1，2]，如图1所示。采用LAMP平台进行WEB服务器安全配置，则可以更有效的防范和阻止攻击，减少攻击造成的损失，让WEB服务器在安全的环境下正常工作。 　　1 LAMP平台 　　1.1 LAMP组成 　　LAMP（Linux+Apache+MySQL+Perl/PHP/Python）是目前国际最常用的Web框架[3，4]，该框架包括：Linux操作系统，Apache网络服务器，MySQL数据库，Perl、PHP或者Python编程语言，本文所述采用的是PHP语言。 　　1.2 LAMP平台WEB服务器工作原理 　　LAMP平台的WEB服务器，即在安装Linux操作系统的服务器上，配备Apache WEB服务器、MySQL数据库服务器以及PHP解释程序，服务器运行时客户端所有的http请求，都由Linux操作系统转发至Apache服务器处理，如果请求静态页面，则将目录下存放的静态页面返回给客户端浏览器；如果请求动态页面，则转至PHP应用服务器，根据需要通过PHP程序连接或者操作数据库，并将PHP服务器解释生成的静态页面返回给客户端，如图2所示。 　　2 构建基于LAMP的安全架构 　　构建WEB服务为安全架构，要从多方面入手，在进行LAMP安全配置的基础上，建立软硬件防火墙、服务器监控与日志分析、遵循安全编码规范、建立入侵检测系统和入侵防御系统、采用网页防篡改机制等，都是有效的的入侵防御手段，本文提出的基于LAMP的WEB服务器安全架构如下图所示。 　　3 基于LAMP的WEB服务器安全配置 　　3.1 Linux系统安全策略 　　Linux操作系统Linux内核提供了经典的Unix自主访问控制（root用户、用户ID安全机制），在配置Web服务器之前要进行文件系统及访问权限、用户和账号管理等系统加固，主要包括下面内容：（1）设置BIOS密码，防止更改系统启动顺序；（2）设置grub启动口令，防止通过编辑grub参数修改root密码；（3）增设启动LILO口令，增加系统的安全性；（4）取消普通用户的控制台访问权限；（5）禁止SU（Substitute User）成为root用户；（6）编辑rc.local文件，隐藏操作系统的版本信息；（7）拒绝回复ping命令，提高服务器安全性；（8）对系统的所有用户设置进程和内存等资源限制，防止DoS攻击；（9）禁止所有操作系统启用的不需要的账号，防止攻击；（10）经常更新及安装系统补丁。 　　3.2 Apache服务器安全配置 　　（1）在Apache服务器建立Server Root、Document Root、Scrip Alias、Custom log和Error log等四个专用目录存放文件。（2）为Apache服务器使用专门的用户和用户组，以保证apache服务器的安全，避免使用nobody用户和no group用户组来进行服务器的管理。（3）设置服务器文件的访问权限，在认证配置文件auth_basic.conf或httpd.conf内设置禁止非法用户读取文件。（4）减少CGI风险，CGI脚本的漏洞是Web服务器的首要安全隐患，在服务器运行期间应使用Option命令禁止其使用。（5）使用SSL技术提高网站的安全性能。 　　3.3 PHP安全配置 　　（1）默认的php.ini没有打开安全模式，在PHP执行网页时使用“safe_mode=on”打开php的安全模式。（2）为限制用户只能访问网站目录，使用open_basedir选项控制PHP脚本只能访问指定的目录，如指定open_basedir=D：/usr/www。（3）为了防止黑客获取服务器中php版本的信息，关闭PHP版本信息在http头中的泄漏。（4）设置magic_quotes_gpc=On，防止SQL注入攻击。 　　3.4 MySQL安全配置 　　（1）修改root用户口令，删除空口令；（2）删