-
系统运维
站-
热门城市 全国站>
-
其他省市
-
-
400-636-0069
小标
2019-03-05
来源 :
阅读 1230
评论 0
摘要:本文主要向大家介绍了Linux运维知识之保证Linux Apache Web服务器安全的10个建议,通过具体的内容向大家展现,希望对大家学习Linux运维知识有所帮助。
本文主要向大家介绍了Linux运维知识之保证Linux Apache Web服务器安全的10个建议,通过具体的内容向大家展现,希望对大家学习Linux运维知识有所帮助。
如果你是一个系统管理员,你应该按照以下的10点建议来保证Apache web服务器的安全。
如果你打算源码编译安装apache,你应该禁用以下的模块。如果你运行./configure -help,你将会看到所有可用的你可以禁用/开启的模块。
userdir –用户特定用户的请求映射。例如:带用户名的URL会转化成服务器的一个目录。
autoindex – 当没有默认首页(如index.html)时显示目录列表。
status –显示服务器统计
env – 清除或修改环境变量
setenvif –根据客户端请求头字段设置环境变量
cgi –CGI脚本
actions – 根据特定的媒体类型或请求方法,激活特定的CGI脚本
negotiation –提供内容协商支持
alias – 提供从文件系统的不同部分到文档树的映射和URL重定向
include –实现服务端包含文档(SSI)处理
filter –根据上下文实际情况对输出过滤器进行动态配置
version –提供基于版本的配置段支持
asis – 发送自己包含HTTP头内容的文件
当你执行./configure按照下面禁用以上的所有模块。
./configure \
--enable-ssl \
--enable-so \
--disable-userdir \
--disable-autoindex \
--disable-status \
--disable-env \
--disable-setenvif \
--disable-cgi \
--disable-actions \
--disable-negotiation \
--disable-alias \
--disable-include \
--disable-filter \
--disable-version \
--disable-asis
如果激活ssl且禁用mod_setenv,你将会得到以下错误。
错误: Syntax error on line 223 of /usr/local/apache2/conf/extra/httpd-ssl.conf: Invalid command ‘BrowserMatch’, perhaps misspelled or defined by a module not included in the server configuration
解决方案:如果你使用ssl,不要禁用setenvif模块。或者你禁用setenvif模块,可以在httpd-ssl.conf注释BrowserMatch。
安装完成全,执行httpd -l,会列出所有已安装的模块。
# /usr/local/apache2/bin/httpd -l
Compiled in modules:
core.c
mod_authn_file.c
mod_authn_default.c
mod_authz_host.c
mod_authz_groupfile.c
mod_authz_user.c
mod_authz_default.c
mod_auth_basic.c
mod_log_config.c
mod_ssl.c
prefork.c
http_core.c
mod_mime.c
mod_dir.c
mod_so.c
在这个例子里,我们安装了如下apache模块:
core.c –Apache核心模块
mod_auth* –各种身份验证模块
mod_log_config.c –允许记录日志和定制日志文件格式
mod_ssl.c – SSL
prefork.c – 一个非线程型的、预派生的MPM
httpd_core.c – Apache核心模块
mod_mime.c – 根据文件扩展名决定应答的行为(处理器/过滤器)和内容(MIME类型/语言/字符集/编码)
mod_dir.c – 指定目录索引文件以及为目录提供”尾斜杠”重定向
mod_so.c – 允许运行时加载DSO模块
Apache可能默认地以nobody或daemon运行。让Apache运行在自己没有特权的帐户比较好。例如:用户apache。
创建apache用户组和用户。
groupadd apache
useradd -d /usr/local/apache2/htdocs -g apache -s /bin/false apache
更改httpd.conf,正确地设置User和Group。
# vi httpd.conf
User apache
Group apache
之后重启apache,执行ps -ef命令你会看到apache以“apache”用户运行(除了第一个都是以root运行之外)。
# ps -ef | grep -i http | awk '{print $1}'
root
apache
apache
apache
apache
apache
在httpd.conf文件按如下设置来增强根目录的安全。
<Directory />
Options None
Order deny,allow
Deny from all
</Directory>
在上面的:
Options None –设置这个为None,是指不激活其它可有可无的功能。
Order deny,allow – 这个是指定处理Deny和Allow的顺序。
Deny from all –阻止所有请求。Deny的后面没有Allow指令,所以没人能允许访问。
bin和conf目录应该只允许授权用户查看。创建一个组和把所有允许查看/修改apache配置文件的用户增加到这个组是一个不错的授权方法。
下面我们设置这个组为:apacheadmin
创建组:
groupadd apacheadmin
允许这个组访问bin目录。
chown -R root:apacheadmin /usr/local/apache2/bin
chmod -R 770 /usr/local/apache2/bin
允许这个组访问conf目录。
chown -R root:apacheadmin /usr/local/apache2/conf
chmod -R 770 /usr/local/apache2/conf
增加合适的用户到这个组。
# vi /etc/group
apacheadmin:x:1121:user1,user2
如果你不关闭目录浏览,用户就能看到你的根目录(或任何子目录)所有的文件(目录)。
比如,当他们浏览//{your-ip}/images/而images下没有默认首页,那么他们就会在浏览器中看到所有的images文件(就像ls -l输出)。从这里他们通过点击就能看到私人的图片文件,或点点击子目录看到里面的内容。
为了禁止目录浏览,你可以设置Opitons指令为“None“或者是“-Indexes”。在选项名前加“-”会强制性地在该目录删除这个特性。
Indexes选项会在浏览器显示可用文件的列表和子目录(当没有默认首页在这个目录)。所以Indexes应该禁用。
<Directory />
Options None
Order allow,deny
Allow from all
</Directory>
(or)
<Directory />
Options -Indexes
Order allow,deny
Allow from all
</Directory>
在htdocs目录下的特定子目录下使用.htaccess文件,用户能覆盖默认apache指令。在一些情况下,这样不好,应该禁用这个功能。
我们可以在配置文件中按如下设置禁用.htaccess文件来不允许覆盖apache默认配置。
<Directory />
Options None
AllowOverride None
Order allow,deny
Allow from all
</Directory>
下面是一些Options指令的可用值。
Options All –所有的选项被激活(除了MultiViews)。如果你不指定Options指令,这个是默认值。
Options ExecCGI –执行CGI脚本(使用mod_cgi)。
Options FollowSymLinks –如果在当前目录有符号链接,它将会被跟随。
Options Includes –允许服务器端包含文件(使用mod_include)。
Options IncludesNOEXEC –允许服务器端包含文件但不执行命令或cgi。
Options Indexes –允许目录列表。
Options MultiViews -允许内容协商多重视图(使用mod_negotiation)
Options SymLinksIfOwnerMatch – 跟FollowSymLinks类似。但是要当符号连接和被连接的原始目录是同一所有者是才被允许。
绝不要指定“Options All”,通常指定上面的一个或多个的选项。你可以按下面代码把多个选项连接。
Options Includes FollowSymLinks
当你要嵌入多个Directory指令时,“+”和“-”是有用处的。也有可能会覆盖上面的Directory指令。
如下面,/site目录,允许Includes和Indexes。
<Directory /site>
Options Includes Indexes
AllowOverride None
Order allow,deny
Allow from all
</Directory>
对于/site/en目录,如果你需要继承/site目录的Indexes(不允许Includes),而且只在这个目录允许FollowSymLinks,如下:
<Directory /site/en>
Options -Includes +FollowSymLink
AllowOverride None
Order allow,deny
Allow from all
</Directory>
/site目录允许IncludesIndexes
/site/en目录允许Indexes和FollowSymLink
如果你加载了动态共享对象模块到apache,他们应该在httpd.conf文件在“LoadModule”指令下。
请注意静态编译的Apache模块是不在“LoadModule”指令里的。
在httpd.conf注释任何不需要的“LoadModules”指令。
grep LoadModule /usr/local/apache2/conf/httpd.conf
如果你需要只允许特定IP地址或网络访问你的网站,按如下操作:
只允许特定网络访问你的网站,在Allow指令下给出网络地址。
<Directory /site>
Options None
AllowOverride None
Order deny,allow
Deny from all
Allow from 10.10.0.0/24
</Directory>
只允许特定IP地址访问你的网站,在Allow指令下给出IP地址。
<Directory /site>
Options None
AllowOverride None
Order deny,allow
Deny from all
Allow from 10.10.1.21
</Directory>
默认地,服务器HTTP响应头会包含apache和php版本号。像下面的,这是有危害的,因为这会让黑客通过知道详细的版本号而发起已知该版本的漏洞攻击。
Server: Apache/2.2.17 (Unix) PHP/5.3.5
为了阻止这个,需要在httpd.conf设置ServerTokens为Prod,这会在响应头中显示“Server:Apache”而不包含任何的版本信息。
# vi httpd.conf
ServerTokens Prod
下面是ServerTokens的一些可能的赋值:
ServerTokens Prod 显示“Server: Apache”
ServerTokens Major 显示 “Server: Apache/2″
ServerTokens Minor 显示“Server: Apache/2.2″
ServerTokens Min 显示“Server: Apache/2.2.17″
ServerTokens OS 显示 “Server: Apache/2.2.17 (Unix)”
ServerTokens Full 显示 “Server: Apache/2.2.17 (Unix) PHP/5.3.5″ (如果你这指定任何的值,这个是默认的返回信息)
除了上面10个apache的安全建议,你还必要确保你的UNIX/Linux操作系统的安全。如果你的操作系统不安全,那么只是确保apache的安全就没有任何意义了。通常的我们要保持apache版本的更新,最新的apahce版本会修复所有已知的安全问题。还有就是要确保时常查看apache日志文件。
本文由职坐标整理并发布,希望对同学们有所帮助。了解更多详情请关注系统运维Linux频道!
喜欢 | 0
不喜欢 | 0
您输入的评论内容中包含违禁敏感词
我知道了
请输入正确的手机号码
请输入正确的验证码
您今天的短信下发次数太多了,明天再试试吧!
我们会在第一时间安排职业规划师联系您!
您也可以联系我们的职业规划师咨询:
版权所有 职坐标-一站式IT培训就业服务领导者 沪ICP备13042190号-4
上海海同信息科技有限公司 Copyright ©2015 www.zhizuobiao.com,All Rights Reserved.
沪公网安备 31011502005948号
索取资料
答疑解惑
技术交流
职业测评
面试技巧
高薪秘笈
