`
cyd198633
  • 浏览: 26180 次
  • 性别: Icon_minigender_1
  • 来自: 苏州
社区版块
存档分类
最新评论

Apache服务器安全防范

阅读更多
Apache服务器走到那里,unix/linux就跟到那里,这足以说明在WEB服务器领域Apache的优良性能与市场占有率
这今天互联网的大环境下,web服务已经成为公司企业必不可少的业务,大多数的安全问题也跟随而来,攻击重点也转移为web攻击,许多web与颇有价值的客户服务与电子商业活动结合在一起,这也是吸引恶意攻击重要原因。
先来了解下web所面临的安全风险

HTTP拒绝服务攻击
攻击者通过某些手段使服务器拒绝对http应答,这使Apache对系统资源(cup时间与内存)需求巨增,最终造成系统变慢甚至完全瘫痪,Apache服务器最大的缺点是,它的普遍性使它成为众矢之的,Apache服务器无时无刻不受到DoS攻击威胁,主要有下边几种
1.数据包洪水攻击
一种中断服务器或本地网络的方法是数据包洪水攻击,它通常使用internet控制报文协议(ICMP,属于网络层协议)
包或是udp包,在最简单的形式下,这些攻击都是使服务器或网络负载过重,这意味这攻击者的网络速度必须比目标主机网络速度要快,使用udp包的优势是不会有任何包返回到黑客的计算机(udp效率要比tcp高17倍),而使用ICMP包的优势是攻击者能让攻击更加富与变化,发送有缺陷的包会搞乱并锁住受害者的网络,目前流行的趋势是攻击者欺骗服务器,让其相信正在受来自自身的洪水攻击
2.磁盘攻击
这是一种很不道德的攻击,它不仅影响计算机的通信,还破坏其硬件,伪造的用户请求利用写命令攻击目标计算机硬盘,让其超过极限,并强制关闭,结局很悲惨
3.路由不可达
通常DoS攻击,集中在路由器上,攻击者首先获得控制权并操纵目标机器,当攻击者能更改路由表条目时候,会导致整个网络无法通信,这种攻击很阴险,隐蔽,因为网络管理员需要排除的网络不通原因很多,其中一些原因需要详细分辨
4.分布式拒绝服务攻击
这也是最具有威胁的DDoS攻击,名称很容易理解,简单说就是群欧,很多客户机同时单条服务器,你会发现你将伤痕累累,Apache服务器特别容易受到攻击,无论是DDos还是隐藏来源的攻击,因为Apache无处不在,特别是为Apache特意打造的病毒(特选SSL蠕虫),潜伏在许多主机上,攻击者通过病毒可以操纵大量被感染的机器,对特定目标发动一次浩大的DDoS攻击,通过将蠕虫散播到大量主机,大规模的点对点攻击得以进行,除非你不提供服务,要不然几乎无法阻止这样的攻击,这种攻击通常会定位到大型的网站上。

缓冲区溢出,这种攻击很普遍,攻击者利用CGI程序编写一些缺陷程序偏离正常的流程,程序使用静态的内存分配,攻击者就可以发送一个超长的请求使缓冲区溢出,比如,一些perl编写的处理用户请求的网关脚本,一但缓冲区溢出,攻击者就可以执行恶意指令

非法获取root权限
如果Apache以root权限运行,系统上一些程序的逻辑缺陷或缓冲区溢出漏洞,会让攻击者很容易在本地系统获取linux服务器上的管理者权限,在一些远程情况下,攻击者会利用一些以root身份执行的有缺陷的系统守护进程来取得root权限,或利用有缺陷的服务进程漏洞来取得普通用户权限,以远程登陆,进而控制整个系统。

这边这些都是服务将会遇到的攻击手段,下边来说,如何打造安全的Apache服务器
如果你能遵守下边这些建议,那么你将得到一台相对安全的apache服务器

一:勤打补丁
你必须要相信这个是最有用的手段,缓冲区溢出等漏洞都必须使用这种手段来防御,勤快点相信对你没有坏处
在http:www.apache.org上最新的changelog中都写有:bug fix ,security bug fix的字样,做为负责任的管理员要经常关注相关漏洞,及时升级系统添加补丁。使用最新安全版本对加强apache至关重要

二:隐藏和伪装Apache的版本
打乱攻击者的步骤,给攻击者带来麻烦,相信是管理员愿意看到的。软件的漏洞信息和版本是相关的,在攻击者收集你服务软件信息时候给与迷惑是个不错的选择,何况版本号,对攻击者来说相当与GPS定位一样重要
默认情况,系统会把apache版本模块都显示出来(http返回头),如果列举目录的话,会显示域名信息(文件列表正文),去除Apache版本号的方法是修改配置文件,找到关键字,修改为下边
ServerSignature off
ServerTokens prod

通过分析web服务器类型,大致可以推测操作系统类型,win使用iis,linux普遍apache,默认的Apache配置里没有任何信息保护机制,并且允许目录浏览,通过目录浏览,通常可以得到类似“apache/1.37 Server at apache.linuxforum.net Port 80”或“apache/2.0.49(unix)PHP/4.3.8”的信息
通过修改配置文件中的ServerTokens参数,可以将Apache的相关信息隐藏起来,如果不行的话,可能是提示信息被编译在程序里了,要隐藏需要修改apache的源代码,然后重新编译程序,以替换内容
编辑ap_release.h文件,
修改"#define AP_SERVER_BASEPRODUCT\"Apache\""为
"#define AP_SERVER_BASEPRODUCT\"Microsoft-IIS/5.0\"
编辑os/unix/os.h文件
修改"#define PLATFORM\"Unix\""为
"#define PLATFORM\'Win32"
修改完成后,重新编译,安装apache,在修改配置文件为上边做过的,再次启动apache后,用工具扫描,发现提示信息中已经显示为windows操作系统了
这个等于告诉恶意用户很多有用信息,虽然说不算开了门,但等于被告诉了门在那里,还是相当危险的

三:建立安全的目录结构apache服务器包括四个目录结构
ServerRoot #保存配置文件,二进制文件与其他服务器配置文件
DocumentRoot #保存web站点内容,包括HTML文件和图片等
ScripAlias #保存CGI脚本
Customlog 和 Errorlog #保存日志和错误日志
建议的目录结构为,以上四种目录相互独立并且不存在父子逻辑关系
注:
ServerRoot目录只能为root用户访问
DocumentRoot目录应该能够被管理web站点内容的用户访问和使用apache服务器的apache用户与组访问
ScripAlias目录应该只能被CGI开发人员和apache用户访问
Customlog 和 Errorlog只能被root访问
下边是一个安全目录结构的事例
+-------/etc/
|
| +----/http (ServerRoot)
| +----/logs (Customlog 和 Errorlog)
|
+-------var/www
|
| +---/cgi-bin (ScripAlias)
| +---/html (DocumentRoot)

这样的目录结构是比较安全的,因为目录之间独立,某个目录权限错误不会影响到其他目录

四:为apache使用专门的用户与组
按照最小特权的原则,需要给apache分配一个合适的权限,让其能够完成web服务
注:
最小特权原则是系统安全中最基本的原则之一,限制使用者对系统及数据进行存取所需要的最小权限,保证用户可以完成任务,同时也确保被窃取或异常操作所造成的损失

必须保证apache使用一个专门的用户与组,不要使用系统预定的帐户,比如nobody用户与nogroup组
因为只有root用户可以运行apache,DocumentRoot应该能够被管理web站点内容的用户访问和使用apache服务器的apache用户与组访问,例如,希望“test”用户在web站点发布内容,并且可以以httpd身份运行apache服务器,可以这样设定
groupadd webteam
usermod -G webteam test
chown -R httpd.webteam /www/html
chmod -R 2570 /www/htdocs
只有root能访问日志,推荐这样的权限
chown -R root.root /etc/logs
chown -R 700 /etc/logs

五:web目录的访问策略
对于可以访问的web目录,要使用相对保守的途径进行访问,不要让用户查看任何目录索引列表
禁止使用目录索引:
apache在接到用户对一个目录的访问时,会查找DirectoryIndex指令指定的目录索引文件,默认为index.html,如果该文件不存在,那么apache会创建动态列表为用户显示该目录的内容,这样就会暴露web站点结构,因此需要修改配置文件禁止显示动态目录索引,修改httpd.conf
Options -Indexes FollowSymLinks
Options指令通知apache禁止使用目录索引,FollowSymLinks表示不允许使用符号连接。
禁止默认访问:
要的安全策略必须要禁止默认访问的存在,只对指定的目录开放权限,如果允许访问/var/www/html目录,使用如下设定
Order deny,allow
Allow from all
禁止用户重载:
为了禁止用户对目录配置文件(htaccess)进行重载(修改),可以这样设定
AllowOverride None

六:apache服务器访问控制
apache的access.conf文件负责设置文件的访问权限,可以实现互联网域名和ip地址的访问控制
如允许192.168.1.1到192.168.1.254的主机访问,可以这样设定
order deny,allow
deny from all
allow from pair 192.168.1.0/255.255.255.0

七:apache服务器的密码保护
.htaccess文件是apache上的一个设置文件,它是一个文本文件,.htaccess文件提供了针对目录改变配置的方法
既通过在一个特定的文档目录中放置一个包含一个或多个指令的文件(.htaccess文件),以作用于此目录和子目录。
.htaccess的功能包括设置网页密码,设置发生错误时出现的文件,改变首业的文件名(如,index.html),禁止读取文件名,重新导向文件,加上MIME类别,禁止目录下的文件等。
注:.htaccess是一个完整的文件名,不是***.htaccess或其他格式,在/abc目录下放置一个.htaccess文件,那么/abc与它的子目录都会被这个文件影响,但/index.html不会被影响

.htaccess的建立和使用比较复杂点,如果感兴趣的朋友可以回帖发问,这里就不具体写出来了,这种保护要比某些程序实现的保护安全,那种方法可以通过被猜测方法获取密码,用.htaccess很难被破解,但文本方式的验证会比较慢,对少量用户没影响,但对大量用户就必须使用带数据模块的验证了,这需要编译源代码时候开启模块,默认是不开启的

八:让apache运行在“监牢”中
“监牢”的意思是指通过chroot机制来更改某个软件运行时所能看到的根目录,简单说,就是被限制在指定目录中,保证软件只能对该目录与子目录文件有所动作,从而保证整个服务器的安全,即使被破坏或侵入,损伤也不大
以前,unix/linux上的daemon都是以root权限启动的,当时,这是一件理所当然的事情,像apache这样的服务器软件,需要绑定到80端口上来监听请求,而root是唯一有这种权限的用户,随着攻击手段和强度的增加,这样会使服务器受到相当大的威胁,一但被利用缓冲区溢出漏洞,就可以控制整个系统。现在的服务器设计通常以root启动,然后进程放弃root权限,改为某个低级的帐号运行。这种方式显然会降低对系统的危害,但攻击者还是会寻找漏洞提升权限,即使无法获得root权限,也可以删除文件,涂改主页等
为了进一步提高系统安全性,linux内核引入chroot机制,chroot是内核中的一个系统调用,软件可以通过调用函数库的chroot函数,来更改某个进程所能见到的跟目录,比如,apache软件安装在/usr/local/httpd目录,以root启动apache,这个root权限的父进程会派生数个以nobody权限运行的子进程,父进程监听80端口,然后交给某个子进程处理,这时候子进程所处的目录续承父进程,即/usr/local/httpd目录,但是一但目录权限设定错误,被攻击的apache子进程可以访问/usr/local , /usr ,/tmp甚至整个文件系统,因为apache进程所处的跟目录仍然是整个文件系统的跟目录,如果可以用chroot将apache限制在/usr/local/httpd/下,那么apache所存取的文件都被限制在/usr/local/httpd下,创建chroot监牢的作用就是将进程权限限制在文件目录树下,保证安全。
如果自己手动apache的监牢,将是很烦琐和复杂的工作,需要牵扯到库文件,这里可以使用jail包来简化监牢的实现
jail的官方网站为: http://www.jmcresearch.com有兴趣可以逛逛
这里也不写出具体的创建过程稍微麻烦,如果对安全有需要的话,请回帖,会及时补上

九:apache服务器防范Dos
apache服务经常会碰到Dos攻击,防范的主要手段是通过软件,apahce Dos Evasive Maneuvers Module
来实现的,它是一款mod_access的代替软件,可以对抗DoS攻击,该软件可以快速拒绝来自相同地址对同一URL的重复请求,通过查询内部一张各子进程的哈希表来实现
可以到网址:http://online/.securityfocus.com/tools/ 上下载软件

十:减少CGI和SSI风险
CGI脚本的漏洞已经成为WEB服务器的首要安全隐患,通常是程序编写CGI脚本产生了许多漏洞,控制CGI的漏洞除了在编写时候注意对输入数据的合法检查,对系统调用的谨慎使用等因素外,首先使用CGI程序所有者的ID来运行这些程序,即使被漏洞危害也仅限于该ID能访问的文件,不会对整个系统带来致命的危害,因此需要谨慎使用CGI程序。
1.3版的apache集成了suEXEC程序,可以为apache提供CGI程序的控制支持,可以把suEXEC看做一个包装器,在Apache接到CGI程序的调用请求后,把这个请求交给suEXEC来负责完成具体调用,并从suEXEC返回结果,suEXEC可以解决一些安全问题,但会影响速度
如果是对安全性要求很高时候,建议使用suEXEC,此外还有一个软件CGIWrap,它的安全性要高与suEXEC

减少SSI脚本风险,如果用exec等SSI命令运行外部程序,也会存在类似CGI脚本风险,除了内部调试程序时,应使用
option命令禁止其使用:
Option IncludesNOEXEC

十一:使用ssl加固Apache
使用具有SSL功能的服务器,可以提高网站敏感页的安全性能,SSL工作与TCP/IP协议和HTTP协议之间
SSL可以加密互联网上传递的数据流,提供身份验证,在线购物而不必担心别人窃取信用卡信息,在基于电子商务和基于web邮件的地方非常重要。
分享到:
评论

相关推荐

    apache服务器安全问题.docx

    本文将深入探讨Apache服务器可能遇到的安全问题,并提供相应的防范措施。 首先,Apache服务器面临的主要安全问题包括: 1. **HTTP拒绝服务(DoS)攻击**:攻击者通过发送大量无效请求,使服务器资源耗尽,无法正常...

    [Apache服务器配置与使用工作笔记].pdf

    9. 安全设置:掌握Apache服务器的安全配置,包括关闭不必要的模块和服务,设置SSL/TLS加密连接,以及防范常见的网络攻击如DDoS攻击和SQL注入。 10. 模块管理:了解Apache服务器的模块系统,包括如何启用或禁用特定...

    Linux环境下的Apache服务器httpd-2.2.20.tar.gz

    此外,Apache服务器的安全配置也是关键。管理员需要关注SSL/TLS支持,启用HTTP/2协议,限制不安全的模块,设置防火墙规则,以及定期更新以防范已知漏洞。对于大型站点,可能还需要考虑负载均衡和反向代理,这时可以...

    基于Linux系统的Apache服务器安全对策.pdf

    【Apache服务器安全对策】 ...通过上述措施,我们可以显著提高基于Linux系统的Apache服务器的安全性,有效地防范各种安全威胁。然而,安全是个持续的过程,需要不断监控、评估和调整策略以应对新的威胁。

    SQL注入攻击防范中服务器端安全配置.pdf

    本文将详细探讨如何通过合理的安全配置来预防SQL注入攻击,重点介绍Apache服务器和IIS服务器的安全配置方法。 #### 关键词 SQL注入攻击、防范、安全配置 ### Apache服务器安全配置 #### 1.1 初始安装服务管理 - *...

    apache服务器资源

    Apache服务器的最新版本是httpd-2.4.10,这个版本包含了一系列的性能优化和功能增强。例如,它可能引入了模块化设计,使得用户可以根据需求选择加载或卸载特定的功能模块,如mod_rewrite用于URL重写,mod_ssl用于SSL...

    LinuxApache服务器配置[参照].pdf

    在Linux环境中,Apache服务器是广泛使用的Web服务器软件,用于托管网站和应用程序。配置Apache服务器是软件开发中的一个...在实践中,还应注意安全配置,如限制访问权限、启用SSL/TLS加密以及定期更新以防范安全漏洞。

    ApacheHTTP服务器2.0版本文档(exe)

    4. **安全性**:安全是服务器管理的关键,文档会讲解如何设置SSL/TLS加密以保护通信,如何配置防火墙规则,以及如何防范常见的Web攻击,如SQL注入和跨站脚本(XSS)。 5. **性能优化**:Apache 2.0提供了多种手段来...

    0x03.第三课 MetaSploit实战对Apache HTTP服务器守护进程中断复现.pdf

    对于网络安全研究人员来说,掌握这些知识和技术是非常重要的,它们可以帮助我们更好地理解和防范针对Web服务器的各种威胁。同时,我们也应该时刻铭记网络安全的伦理底线,确保我们的行为始终符合法律法规的要求。

    Apache+Mysql+PHPP安全服务配置手册大全.pdf

    一、Apache服务器安全配置 1. **勤打补丁**:保持Apache服务器的版本是最新的,及时安装官方发布的安全补丁,防止已知漏洞被利用。 2. **建立安全的目录结构**:创建一个层次分明的目录结构,将敏感文件与Web根...

    Apache安装与配置+安全攻略.rar

    至于安全方面,"apache服务器安全攻略.txt"可能涵盖了以下几点: 1. **防火墙规则**:使用`ufw`或`iptables`设置防火墙规则,只允许必要的端口和IP访问Apache。 2. **安全模块**:启用`mod_security`模块,提供Web...

    信息安全技术基础:利用Apache漏洞上传.pptx

    为了防止这种攻击,管理员应确保Apache服务器及时更新到最新且安全的版本,同时限制文件上传功能,只允许特定格式的文件上传。此外,启用文件上传后的验证机制也十分必要,例如检查上传文件的实际内容,而非仅依赖...

    apache-tomcat-6.0.10.tar.gz_apache_apache安装包_tomcat6 un_unix tom

    6.0.10版本可能需要手动安装安全补丁,以防范已知的安全漏洞。此外,限制非必要的网络访问,配置SSL/TLS以加密通信,以及使用安全的管理界面都是保持系统安全的重要措施。 总之,Apache Tomcat 6.0.10是Java Web...

    centos服务器配置.docx

    ### CentOS服务器配置详解 #### 一、使用SSH或其他工具登录到服务器 - **步骤说明**: - 使用SSH客户端(如PuTTY、SecureCRT或直接使用Linux/Mac/Windows Terminal)连接到远程CentOS服务器。 - **命令示例**: ...

    Apache+Mysql+PHPP安全服务配置手册大全.doc

    #### Apache服务器安全配置 **一、勤打补丁** - **要点**: 关注官方更新,及时安装最新补丁和安全更新。 - **实践**: 定期访问[www.apache.org](http://www.apache.org)查看最新版本和安全公告,根据需求升级Apache...

    Apache_2.4.23-x86-openssl-1.0.2h.zip

    综上所述,Apache_2.4.23-x86-openssl-1.0.2h.zip压缩包包含了一整套用于32位Windows系统的Apache服务器安装程序,结合了OpenSSL的安全功能,为开发者和管理员提供了一个强大且安全的Web服务环境。正确配置和使用此...

    Web应用安全:Apache禁止目录列出配置文本.docx

    要防止Apache服务器出现目录遍历漏洞,关键在于正确配置Apache的设置。在Kali Linux中,Apache的主配置文件通常是`/etc/apache2/apache2.conf`。在这个文件中,我们需要关注`Options`指令,尤其是与`Indexes`相关的...

    Apache和PHP压缩包,解压配置可用

    Apache 和 PHP 是两个非常重要的开源软件,它们在 Web 开发领域扮演着至关重要的角色。Apache 是最流行的 Web 服务器,...请记住,始终关注软件的安全更新,保持 Apache 和 PHP 的版本及时升级,以防范潜在的安全风险。

    apache win32 2_0_58 mod_rewrite exploit VC++代码

    Apache HTTP Server是一款广泛应用的开源Web服务器,而`mod_rewrite`是Apache的一个模块,它提供了URL重写功能,常用于...对于仍在使用旧版本Apache服务器的用户,应尽快升级到最新版本,以获得最新的安全更新和修复。

Global site tag (gtag.js) - Google Analytics