原创力文档- 1、本文档共7页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
- 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
- 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们。
- 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
- 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
第PAGE页共NUMPAGES页
Apache安全配置方法
令apache占领web服务器半壁江山的一个重要原因就是它可以提供一个安全的web操作环境。apache团体为保证其安全性做了大量的工作。想当年,在此产品被发现存在一个安全缺陷时,apache的开发人员就尽快地搞出了一个补丁。
然而,即管apache已经堪称安全的产品,如果你在构建你的服务器时没有采取一些安全预防措施,这种web服务器仍易于受到很多攻击。
在本文中,笔者将为你提供10个技巧,借此你可以保护自己的apacheweb服务器免于受到许多攻击。不过,必须谨记,你需要仔细地评估每一个技巧,以确保其适合于你的组织。
只安装所需要的
apache的一个最大的特点是其灵活性和大量的可选择安装模块,这在涉及到安全问题时可成为一个极大的弱点。你安装的越多,也就为潜在的攻击者创造了越大的攻击面。一个标准的apache安装包含20多个模块,包括cgi特性,以及一些身份验证机制。如果你不打算采用cgi,并且你只想采用静态的web站点,不需要用户身份验证,你可能就不需要这些模块所提供的任何服务,因此在安装apache时请禁用这些模块。
如果你沿用了一个正在运行的apache服务器,并且不想重新安装它,就应当仔细检查httpd.conf配置文件,查找以loadmodule开头的行。请检查apache的文档(也可以用google、yahoo等搜索),查找每个模块的目的信息,找出那些你并不需要的模块。然后,重新启动apache。
暴露程度最小化
apache易于安装并且相当容易管理。不幸的是,许多apache的安装由于为完全的陌生者提供了关于自己服务器的太多有帮助”的信息,例如apache的版本号和与操作系统相关的信息。通过这种信息,一个潜在的攻击者就可以追踪特定的可以影响你的系统的破坏性漏洞,特别是你没有能够保持所有补丁的更新的话情况更为严重。如此一来,攻击者无需反复试验就可以确切地知道你在运行什么,从而可以调整其攻击方法。
要防止服务器广播敏感信息,一定要保证将httpd.conf中的serversignature”指令设置为off”。一次默认的apache安装会将此指令设置为off”,不过许多管理员却启用了它。
同样地,禁用目录浏览也是一个不错的注意。在目录浏览被启用时,访问一个并不包含其所需要文档的目录的用户,会看到此目录中完整的内容列表。无疑,你不应当将敏感材料以纯文本的形式存储到一个web服务器上,除非你必须这样做,你也不应该允许人们看到超过其需要的内容。
目录浏览默认地是被启用的。要禁用这个特性,应编辑http.conf文件,而且对每一个directory”指令,应清除indexs”。
例如,在笔者的做实验用的apache2.2.4服务器上,这是默认的目录命令:
复制代码代码如下:
optionsindexesfollowsymlinks
allowoverrridenone
orderallow,deny
allowfromall
清除indexes后的样子:
复制代码代码如下:
optionsfollowsymlinks
allowoverrridenone
orderallow,deny
allowfromall
你也可以保留indexes指令,并用一个破折号引导,从而禁用此指令(也就是-indexes”)。
禁用符号连接追踪
如果你是唯一一个校对web内容的人员,而你在创建新的符号连接时又几乎不犯错误,你可能不会担心此措施。不过,如果你有很多人员能够向你的站点增加内容,并非所有的人都像你一样谨慎从事,那么就会有一种风险,即某个用户可能偶然会创建一个符号连接指向你的文件系统的一部分,而你又确实不想让人们看到这些文件。例如,如果你的apache服务器的根目录中的某人创建了一个指向/”文件夹的符号连接,你该怎么办。
为了取消apache服务器允许用户追踪符号连接的请求,应该在directory命令中清除followsymlinks指令。
例如,在笔者的试验性的apache2.2.4服务器中,directory命令如下:
复制代码代码如下:
optionsindexesfollowsymlinks
allowoverrridenone
orderallow,deny
allowfromall
在清除了followsymlinks后,就成为如下的样子:
复制代码代码如下:
optionsindexes
allowoverrridenone
orderallow,deny
allowfromall
如果一些用户需要跟踪符号连接的能力,可以考虑使用symlinksifownermatch代替。
listen指令具体化
在你第一次安装apache时,httpd.con
文档评论(0)