ApacheHTTP服务器的使用------安全方面的提示
作者:問露旧 | 来源:互联网 | 2017-10-01 19:52
ApacheHTTP服务器的使用------安全方面的提示--Linux企业应用-Linux服务器应用信息,下面是详情阅读。
本文中的提示和技巧有些是针对网络服务器的建立的,有些是综合性的,其余的则是针对Apache的。
top
保持不断更新和升级
Apache HTTP服务器有一个很好的安全记录和一个高度关注安全问题的开发社团。但是这仍然不能避免在发行版中存在或大或小的问题。所以知道这个软件的版本更新和升级补丁是至关重要的。如果你是直接从Apache组织得到Apache HTTP服务器的,我们强烈建议你订阅Apache HTTP服务器通告邮件列表以保证能够在第一时间得知软件的版本更新和升级补丁。许多第三方Apache软件发行版也有类似的服务。
当然,Web服务器出现的问题在绝大多数时候不是由Apache源代码引起的,而是由附加的代码、CGI脚本、底层操作系统引起的。因此你必须保持机器上所有软件的及时更新。
top
ServerRoot目录的权限
通常,Apache由root用户启动,在提供服务时切换为由User指令所指定的用户。正如root所执行的任何命令那样,你必须保证ServerRoot下的文件是受保护的,不允许非root用户对它修改。不仅文件本身,而且目录及其父目录都必须只能由root来改写。例如,如果将ServerRoot指定为/usr/local/apache ,则推荐以root身份来建立此目录,如:
mkdir /usr/local/apache
cd /usr/local/apache
mkdir bin conf logs
chown 0 . bin conf logs
chgrp 0 . bin conf logs
chmod 755 . bin conf logs
这里已经假定了"/"、"/usr"、"/usr/local"只能由root来改写。在安装httpd可执行文件时,应该确保它也受到了同样的保护:
cp httpd /usr/local/apache/bin
chown 0 /usr/local/apache/bin/httpd
chgrp 0 /usr/local/apache/bin/httpd
chmod 511 /usr/local/apache/bin/httpd
你可以在其中建立htdocs子目录,该子目录可以允许其他用户改写 -- root不会执行其中任何文件,也不应该在其中建立文件。
如果允许非root用户对由root执行或读写的文件有写权限,则会危及系统。比如,别人有可能会覆盖httpd可执行文件,那么下一次启动时,就会执行恶意代码。如果日志目录(对非root用户)是可写的,别人就有可能用一个指向其他敏感文件的连接来覆盖日志文件,使那个文件被改写为杂乱的数据。如果日志文件本身(对非root用户)是可写的,别人就可能伪造日志。
top
服务器端包含
服务器端包含(SSI)会带来一些潜在的安全隐患。
首先是增加了服务器的负载。Apache必须解析所有允许SSI的文件,而无论其中是否包含SSI指令。虽然增加的负载较小,但是在共享服务器环境中会变得很显著。
SSI文件与CGI脚本一样存在风险。使用"exe ccmd"元素,允许SSI的文件可以执行任何CGI脚本,以及由httpd.conf设置的执行Apache的用户或组所允许执行的任何程序。
有若干方法可以在得到SSI好处的同时提高SSI文件的安全性。
服务器管理员可以使用关于CGI中所描述的suexec ,以隔离野蛮SSI文件所造成的破坏。
对.html或.htm后缀的文件允许SSI是危险的,尤其是在一个共享的或者高流量的服务器环境中。被允许SSI的文件应该有一个单独的后缀,比如常规的.shtml ,使服务器的负载保持在最低水平,并使风险管理更容易。
另一个方案是,关闭SSI页面执行脚本和程序的功能,即在用Options指令中,用IncludesNOEXEC替换Includes 。注意,用户仍然可以使用 <--#include virtual="..." -->来执行位于ScriptAlias指令指定的目录中的CGI脚本。
top
关于CGI
首先,你不得不信任CGI程序的作者以及你自己发现CGI中潜在安全漏洞的能力,无论这些漏洞是有预谋的或者仅仅是意外。CGI脚本可以执行web服务器用户所允许执行的任意系统命令,如果没有经过仔细的检查,这可能是极其危险的。
由于所有CGI脚本都以相同的身份执行,所以可能会和其他脚本(有意或无意地)冲突。比如,用户A憎恨用户B,因此他就可能写一个脚本去破坏用户B的数据库。suEXEC是一个允许脚本以不同的身份运行的程序,它包含在Apache1.2以后的版本中,并被Apache服务器代码中特殊的挂钩所调用。还有一种常用的方法是使用CGIWrap 。
top
未指定为脚本的CGI
仅在下列情况下,可以考虑允许用户执行位于任意目录中的CGI脚本:
* 你绝对信任用户不会写一些有意无意会使系统遭受攻击的脚本。
* 你认为安全因素与其他因素相比显得不那么重要,存在一两个潜在漏洞也无关紧要。
* 你没有用户,而且没人会来访问你的服务器。
top
指定为脚本的CGI
把CGI集中在特定的目录中,并由管理员决定其中的内容。这样绝对比使用不作为脚本的CGI来得安全,除非对这些目录有写权限的用户被信任,或者管理员希望对每个CGI脚本/程序进行潜在安全漏洞测试。
大多数站点都选择这种方案,而不使用未指定为脚本的CGI。
top
其他动态内容的来源
嵌入在Apache中作为模块运行的脚本解释器,比如:mod_php, mod_perl, mod_tcl, mod_python 将会使用和Apache一样的用户身份运行(参见User指令),所以被这些模块执行的脚本可能访问任何Apache服务器能够访问的对象。一些脚本引擎可能提供了某些方面的限制,但是最好在假定他们并不存在的前提下做好安全防护。
top
系统设置的保护
为了得到真正严密的保护,应该禁止用户使用可能导致安全特性被覆盖的.htaccess文件,方法是在服务器配置文件中设置:
AllowOverride None
使所有目录无法使用.htaccess文件,明确指定可以使用的目录除外。
top
默认配置下服务器文件的保护
默认访问是偶尔会被误解的Apache特性之一。也就是,除非你采取措施,否则,如果服务器能够通过标准URL映射规则找到一个文件,那么就可能把它提供给客户端。比如下例:
# cd /; ln -s / public_html
Accessing http://localhost/~root/
它会允许客户端遍历整个文件系统。其解决方法是,在服务器配置中增加下列指令:
Order Deny,Allow
Deny from all
这样,对文件系统的默认访问被禁止。而对需要访问的区域,可以增加正确的Directory块,比如:
Order Deny,Allow
Allow from all
Order Deny,Allow
Allow from all
必须特别注意Location和Directory指令的相互作用,比如,即使 拒绝访问, 指令仍然可能推翻其设置。
还必须留意UserDir指令,此设置如果类似"./",则与上述例子有相同的风险。如果你使用的是1.3或更高版本,我们强烈建议在服务器配置文件中包含以下指令:
UserDir disabled root
top
观察日志文件
要了解服务器上发生了什么,就必须检查日志文件。虽然日志文件只是记录已经发生的事件,但是它会让你知道服务器遭受的攻击,并帮助你判断是否提达到了必要的安全等级。
一些例子:
grep -c "/jsp/source.jsp?/jsp/ /jsp/source.jsp??" access_log
grep "client denied" error_log | tail -n 10
上例会列出试图使用Apache Tomcat Source.JSP Malformed Request Information Disclosure Vulnerability的攻击次数。下例会列出最后十个被拒绝的客户端:
[Thu Jul 11 17:18:39 2002] [error] [client foo.bar.com] client denied by server configuration: /usr/local/apache/htdocs/.htpasswd
可见,日志文件只是记录已经发生的事件,所以,如果客户端可以访问.htpasswd文件,而且在访问日志中发现类似如下的记录:
foo.bar.com - - [12/Jul/2002:01:59:13 +0200] "GET /.htpasswd HTTP/1.1"
这可能表示服务器配置文件中的下列指令已经被注解了:
Order allow,deny
Deny from all
推荐阅读
本文介绍了Tomcat的安装与配置教程,包括jdk版本的选择、域名解析、war文件的部署和访问、常见问题的解决方法等。其中涉及到的问题包括403问题、数据库连接问题、1130错误、2003错误、Java Runtime版本不兼容问题以及502错误等。最后还提到了项目的前后端连接代码的配置。通过本文的指导,读者可以顺利完成Tomcat的安装与配置,并解决常见的问题。 ...
[详细]
蜡笔小新 2023-12-09 07:28:32
本文介绍了如何通过修改织梦DedeCms源代码来实现全站伪静态,以提高管理和SEO效果。全站伪静态可以避免重复URL的问题,同时通过使用mod_rewrite伪静态模块和.htaccess正则表达式,可以更好地适应搜索引擎的需求。文章还提到了一些相关的技术和工具,如Ubuntu、qt编程、tomcat端口、爬虫、php request根目录等。 ...
[详细]
蜡笔小新 2023-12-14 19:45:47
本文介绍了在开发Android新闻App时,搭建本地服务器的步骤。通过使用XAMPP软件,可以一键式搭建起开发环境,包括Apache、MySQL、PHP、PERL。在本地服务器上新建数据库和表,并设置相应的属性。最后,给出了创建new表的SQL语句。这个教程适合初学者参考。 ...
[详细]
蜡笔小新 2023-12-14 17:15:19
这是原文链接:sendingformdata许多情况下,我们使用表单发送数据到服务器。服务器处理数据并返回响应给用户。这看起来很简单,但是 ...
[详细]
蜡笔小新 2023-12-14 16:19:10
本文讨论了目录浏览漏洞与目录遍历漏洞的危害,包括网站结构暴露、隐秘文件访问等。同时介绍了检测方法,如使用漏洞扫描器和搜索关键词。最后提供了针对常见中间件的修复方式,包括关闭目录浏览功能。对于保护网站安全具有一定的参考价值。 ...
[详细]
蜡笔小新 2023-12-09 23:30:30
php教程|php手册xml文件php教程-php手册Linux下部署Symfoy2对appcache和applogs目录的权限设置,symfoy2logs黑色记事本源码,vsco ...
[详细]
蜡笔小新 2023-10-17 20:32:59
本文介绍了Python高级网络编程及TCP/IP协议簇的OSI七层模型。首先简单介绍了七层模型的各层及其封装解封装过程。然后讨论了程序开发中涉及到的网络通信内容,主要包括TCP协议、UDP协议和IPV4协议。最后还介绍了socket编程、聊天socket实现、远程执行命令、上传文件、socketserver及其源码分析等相关内容。 ...
[详细]
蜡笔小新 2023-12-14 18:16:27
本文讨论了Alink回归预测的不完善问题,指出目前主要针对Python做案例,对其他语言支持不足。同时介绍了pom.xml文件的基本结构和使用方法,以及Maven的相关知识。最后,对Alink回归预测的未来发展提出了期待。 ...
[详细]
蜡笔小新 2023-12-14 14:25:33
本文介绍了RPC框架Thrift的安装环境变量配置与第一个实例,讲解了RPC的概念以及如何解决跨语言、c++客户端、web服务端、远程调用等需求。Thrift开发方便上手快,性能和稳定性也不错,适合初学者学习和使用。 ...
[详细]
蜡笔小新 2023-12-13 17:36:52
本文介绍了解决高并发的核心原则,即将用户访问请求尽量往前推,避免访问CDN、静态服务器、动态服务器、数据库和存储,从而实现高性能、高并发、高可扩展的网站架构。同时提到了Google的成功案例,以及适用于千万级别PV站和亿级PV网站的架构层次。 ...
[详细]
蜡笔小新 2023-12-12 10:56:24
本文介绍了如何提高PHP编程技能的方法,推荐了一些高级教程。学习任何一种编程语言都需要长期的坚持和不懈的努力,本文提醒读者要有足够的耐心和时间投入。通过实践操作学习,可以更好地理解和掌握PHP语言的特异性,特别是单引号和双引号的用法。同时,本文也指出了只走马观花看整体而不深入学习的学习方式无法真正掌握这门语言,建议读者要从整体来考虑局部,培养大局观。最后,本文提醒读者完成一个像模像样的网站需要付出更多的努力和实践。 ...
[详细]
蜡笔小新 2023-12-11 18:38:37
web前端|css教程css!importantweb前端-css教程本文分享css中提升优先级属性!important的用法总结微信门店展示源码,vscode如何管理站点,ubu ...
[详细]
蜡笔小新 2023-12-11 11:25:16
腾讯安全平台部正在招聘安全工程师和数据分析工程师。安全工程师负责安全问题和安全事件的跟踪和分析,提供安全测试技术支持;数据分析工程师负责安全产品相关系统数据统计和分析挖掘,通过用户行为数据建模为业务决策提供参考。招聘要求包括熟悉渗透测试和常见安全工具原理,精通Web漏洞,熟练使用多门编程语言等。有相关工作经验和在安全站点发表作品的候选人优先考虑。 ...
[详细]
蜡笔小新 2023-12-10 17:01:40
本文介绍了PHP开发中常用的组合工具和开发所需的工具。对于数据分析软件,包括Excel、hihidata、SPSS、SAS、MARLAB、Eview以及各种BI与报表工具等。同时还介绍了PHP开发所需的PHP MySQL Apache集成环境,包括推荐的AppServ等版本。 ...
[详细]
蜡笔小新 2023-12-09 17:36:44
数据库|mysql教程ORACLE,空间,管理,实验,ASSM,下高,水位,影响,数据库-mysql教程易语言黑客软件源码,vscode左侧搜索,ubuntu怎么看上一页,ecs搭 ...
[详细]
蜡笔小新 2023-10-17 17:53:14