Apache 安全配置方法

令Apache占领Web服务器半壁江山的一个重要原因就是它可以提供一个安全的Web操作环境。Apache团体为保证其安全性做了大量的工作。想当年,在此产品被发现存在一个安全缺陷时,Apache的开发人员就尽快地搞出了一个补丁。

然而,即管Apache已经堪称安全的产品,如果你在构建你的服务器时没有采取一些安全预防措施,这种Web服务器仍易于受到很多攻击。

在本文中,笔者将为你提供10个技巧,借此你可以保护自己的Apache Web服务器免于受到许多攻击。不过,必须谨记,你需要仔细地评估每一个技巧,以确保其适合于你的组织。

只安装所需要的

Apache的一个最大的特点是其灵活性和大量的可选择安装模块,这在涉及到安全问题时可成为一个极大的弱点。你安装的越多,也就为潜在的攻击者创造了越大的攻击面。一个标准的Apache安装包含20多个模块,包括CGI特性,以及一些身份验证机制。如果你不打算采用CGI,并且你只想采用静态的Web 站点,不需要用户身份验证,你可能就不需要这些模块所提供的任何服务,因此在安装Apache时请禁用这些模块。

如果你沿用了一个正在运行的Apache服务器,并且不想重新安装它,就应当仔细检查httpd.conf配置文件,查找以LoadModule开头的行。请检查Apache的文档(也可以用Google、Yahoo等搜索),查找每个模块的目的信息,找出那些你并不需要的模块。然后,重新启动 Apache。

暴露程度最小化

Apache易于安装并且相当容易管理。不幸的是,许多Apache的安装由于为完全的陌生者提供了关于自己服务器的太多"有帮助”的信息,例如 Apache的版本号和与操作系统相关的信息。通过这种信息,一个潜在的攻击者就可以追踪特定的可以影响你的系统的破坏性漏洞,特别是你没有能够保持所有补丁的更新的话情况更为严重。如此一来,攻击者无需反复试验就可以确切地知道你在运行什么,从而可以调整其攻击方法。

要防止服务器广播敏感信息,一定要保证将httpd.conf中的"ServerSignature”指令设置为"off”。一次默认的Apache安装会将此指令设置为"off”,不过许多管理员却启用了它。

同样地,禁用目录浏览也是一个不错的注意。在目录浏览被启用时,访问一个并不包含其所需要文档的目录的用户,会看到此目录中完整的内容列表。无疑,你不应当将敏感材料以纯文本的形式存储到一个Web服务器上,除非你必须这样做,你也不应该允许人们看到超过其需要的内容。

目录浏览默认地是被启用的。要禁用这个特性,应编辑http.conf文件,而且对每一个"Directory”指令,应清除"Indexs”。

例如,在笔者的做实验用的Apache 2.2.4服务器上,这是默认的目录命令:


代码如下:

<Directory "/usr/local/apache/htdocs">
Options Indexes FollowSymLinks
AllowOverrride None
Order allow,deny
Allow from all
</Directory>

清除Indexes后的样子:


代码如下:

<Directory "/usr/local/apache/htdocs">
Options FollowSymLinks
AllowOverrride None
Order allow,deny
Allow from all
</Directory>

你也可以保留Indexes指令,并用一个破折号引导,从而禁用此指令(也就是"-Indexes”)。

禁用符号连接追踪

如果你是唯一一个校对Web内容的人员,而你在创建新的符号连接时又几乎不犯错误,你可能不会担心此措施。不过,如果你有很多人员能够向你的站点增加内容,并非所有的人都像你一样谨慎从事,那么就会有一种风险,即某个用户可能偶然会创建一个符号连接指向你的文件系统的一部分,而你又确实不想让人们看到这些文件。例如,如果你的Apache服务器的根目录中的某人创建了一个指向 "/”文件夹的符号连接,你该怎么办?

为了取消Apache服务器允许用户追踪符号连接的请求,应该在Directory命令中清除FollowSymlinks指令。

例如,在笔者的试验性的Apache 2.2.4服务器中,Directory命令如下:


代码如下:

<Directory "/usr/local/apache/htdocs">
Options Indexes FollowSymLinks
AllowOverrride None
Order allow,deny
Allow from all
</Directory>

在清除了FollowSymLinks后,就成为如下的样子:

代码如下:

<Directory "/usr/local/apache/htdocs">
Options Indexes
AllowOverrride None
Order allow,deny
Allow from all
</Directory>

如果一些用户需要跟踪符号连接的能力,可以考虑使用SymLinksIfOwnerMatch代替。

Listen指令具体化

在你第一次安装Apache时,httpd.conf包含一个"Listen 80”指令。应将其改变为 "Listen mn.xx.yy.zz:80”,在这里"mn.xx.yy.zz”是你想让Apache监听其请求的IP地址。如果你的Apache运行在一个拥有多个IP地址的服务器上时,这一点尤其重要。如果你不采取预防措施,默认的"Listen 80”指令告诉Apache监听每一个IP地址的 80端口。

不过,这项措施有可能不适用于你的环境,应根据需要而定。

从httpd.conf中清除默认的注释

Apache 2.2.4中默认的httpd.conf文件有400多行。在这400行中,只有一小部分是实际的Apache指令,其余的仅是帮助用户如何恰当地在httpd.conf中放置指令的注释。根据笔者的经验,这些注释有时起负面作用,甚至将危险的指令留存于文件中。笔者在所管理的许多 Apache服务器上将httpd.conf文件复制为其它的文件,如httpd.conf.orig等,然后完全清除多余的注释。文件变得更加容易阅读,从而更好地解决了潜在的安全问题或者错误地配置文件。

没作任何设置前,查看web服务器请求文件头

HTTP/1.1 200 OK
Date: Sun, 27 Apr 2008 11:56:46 GMT
Server: Apache/2.2.8 (Unix) DAV/2 PHP/5.2.5 with Suhosin-Patch
Last-Modified: Sat, 20 Nov 2004 20:16:24 GMT
ETag: "387a5-2c-3e9564c23b600"
Accept-Ranges: bytes
Content-Length: 44
Content-Type: text/html

几乎把web服务器详细信息都暴出来了,如果没个版本的apache和php爆出严重漏洞,会给攻击者提供最有攻击价值的安全信息,这是非常危险的

将apache的配置文件加上两行

ServerTokens ProductOnly
ServerSignature Off
重启apache让设置生效
再次发出apache头信息请求

HTTP/1.1 200 OK
Date: Sun, 27 Apr 2008 11:57:40 GMT
Server: Apache
Last-Modified: Sat, 20 Nov 2004 20:16:24 GMT
ETag: "387a5-2c-3e9564c23b600"
Accept-Ranges: bytes
Content-Length: 44
Content-Type: text/html

可以看到apache版本号于已经没有了

做到这点,我们还可以改变apache的版本,这就要修改apache的源代码了,在apache的源码包中找到ap_release.h 将#define AP_SERVER_BASEPRODUCT "Apache" 修改为#define AP_SERVER_BASEPRODUCT "Microsoft-IIS/5.0”
或者#define AP_SERVER_BASEPRODUCT "Microsoft-IIS/6.0”

然后找到os/unix下的os.h文件,将其#define PLATFORM "Unix"修改为#define PLATFORM "Win32"

然后重新编译,安装apache。
最后修改httpd.conf配置文件,添加两行ServerTokens Prod
ServerSignature Off
在发送头请求,会有什么,就不用我说了吧,嘿嘿,这叫偷天换日,从这点来说,php也是一样,同样可以通过这种方式改变一些系统信息,不过根据GPL开源的精神,这样做貌似不太好,还是保留apache和php版权信息吧。

附:
ServerSignature 三个选项
On|Off|EMai 主要起开关作用

ServerTokens 四个选项
Minimal|ProductOnly|OS|Full 四个选项隐藏信息依次增加

下面对php的配置文件php.ini进行配置

默认情况下expose_php = On
将其改为 expose_php = Off

为什么,可以看这段解释

; Decides whether PHP may expose the fact that it is installed on the server
; (e.g. by adding its signature to the Web server header). It is no security
; threat in any way, but it makes it possible to determine whether you use PHP
; on your server or not.

然后禁止一些涉及php安全的函数

disable_functions = phpinfo, get_cfg_var //禁止phpinfo和get_cfg_var等函数
display_errors = Off //禁止爆出错误
allow_url_fopen = Off //这个关闭,就没有办法取远程内容了,但是可以用变通,用curl远程读取的方法做到
safe_mode = On //开启安全模式,这个开了,可能会有些php功能没办法使用了

无论如何,还是要我们的程序设计的完美,一般来说,单纯更具对系统攻击很难,如果是程序有漏洞,那攻击就简单了。

(0)

相关推荐

  • Apache Web服务器安全配置全攻略

    作为最流行的Web服务器,Apache Server提供了较好的安全特性,使其能够应对可能的安全威胁和信息泄漏. Apache 服务器的安全特性 1. 采用选择性访问控制和强制性访问控制的安全策略 从Apache 或Web的角度来讲,选择性访问控制DAC(Discretionary Access Control)仍是基于用户名和密码的,强制性访问控制MAC(Mandatory Access Control)则是依据发出请求的客户端的IP地址或所在的域号来进行界定的.对于DAC方式,如输入错误,那

  • Apache安全配置之禁止目录访问的配置方法

    在PHP网站开发中,为了让网站目录文件和程序代码的安全考虑,我们必须对某些目录或者文件的访问权限进行控制,来提高网站的安全,那么我们怎样来实现这种功能呢?这时候可以配置Apache来禁止网站以目录的形式列出网站内容. 在Apache中没有配置禁止目录访问时候,当你访问 http://localhost  时会列出相关的目录和文件列表,我们可以通过修改Apache配置文件httpd.conf来实现禁止列出目录/文件列表,方法如下: 1.打开apache的配置文件"httpd.conf"

  • Apache简介及安全配置方案

    0×00 测试环境 centos6.5+apache2.2.15+php5.3.3 0×01 php的运行模式介绍 php的运行模式分四种: 1. CGI通用网关接口 2. fast-cgi常驻型的CGI 3. cli命令行运行 4. web模块模式 一般情况下,apache使用web模块模式运行php 0×02 Apache运行原理介绍 Apache是基于模块化设计的,各个模块在系统启动的时候按需载入.Apache对于php的解析,就是通过众多Module中的php Module来完成的. 所

  • python+Django+apache的配置方法详解

    本文实例讲述了python+Django+apache的配置方法.分享给大家供大家参考,具体如下: 下载安装xampp套件 下载mod_python-3.3.1.win32-py2.5-Apache2.2.exe 下载python-2.5.4.msi 下载Django 下载MySQL-python-1.2.2.win32-py2.5.exe 1.先安装Python-2.5.4.msi 2.安装 Django-1.1.1-final.tar.gz 解压开,然后解压到某个目录如:(D:/Dev) 在

  • Apache 安全配置方法

    令Apache占领Web服务器半壁江山的一个重要原因就是它可以提供一个安全的Web操作环境.Apache团体为保证其安全性做了大量的工作.想当年,在此产品被发现存在一个安全缺陷时,Apache的开发人员就尽快地搞出了一个补丁. 然而,即管Apache已经堪称安全的产品,如果你在构建你的服务器时没有采取一些安全预防措施,这种Web服务器仍易于受到很多攻击. 在本文中,笔者将为你提供10个技巧,借此你可以保护自己的Apache Web服务器免于受到许多攻击.不过,必须谨记,你需要仔细地评估每一个技巧

  • apache Php5配置方法

    在IE里输入:http://localhost/test.php 出现了php的配置信息. 其中test.php的源码为: <?php phpinfo(); ?> 我想主要还是php的版本问题. 我用的是别人编译好的binary的zip文件(http://windows.php.net/snapshots/里的VC6 x86 Thread Safe (2009-Oct-18 00:00:00)),php-5.2-win32-VC6-x86-latest.zip.可以从http://window

  • php Apache+phpMyAdmin配置方法

    版本: php-5.3.0-Win32-VC9-x86.zipapache_2.2.11-win32-x86-no_ssl.msiphpMyAdmin-3.2.1-rc1-all-languages.zipmysql-5.4.1-beta-win32.msiPHP 将php-5.3.0-Win32-VC9-x86.zip解压命名为PHP,放到E:盘下(你喜欢). 将PHP里面所有的*.dll(16个)复制到C:\Windows\System32目录下. 将php.ini-development复

  • Apache本地二级域名配置方法

    本文讲述了Apache本地二级域名配置方法.分享给大家供大家参考,具体如下: 我们在本地调试web程序时,常有很多不同的项目.不同的项目,我们希望使用不同的文件夹和不同的域名. 比如今天我正在建设一个鲜花网站,可是有个客户临时要做一个简单的卖眼镜的网站,两个网站在电脑上放在不同的目录下,而且要使用两个不同的域名来访问.一个是flower.domain.com,一个是glass.domain.com. 通常情况下,我们应该这么做: 1.在本地hosts文件中,将flower.domain.com指

  • php在apache环境下实现gzip配置方法

    本文实例讲述了php在apache环境下实现gzip配置方法.分享给大家供大家参考.具体如下: 1.conf/httpd.conf 1) 去掉#LoadModule headers_module modules/mod_headers.so前面的注释#, 2) 添加LoadModule deflate_module modules/mod_deflate.so, 3) 去掉#Include conf/extra/httpd-vhosts.conf前面的注释#.   2.conf/extra/ht

  • Apache同时支持PHP和Python的配置方法

    最近开始学着用Python+Tornado+MongoDB写网站,兴起写了一个博客,觉得很有意思所以想挂在服务器上发布出去找大家一起玩.这个时候就遇到了问题. 服务器是windows系统,安装的是Apache,所以需要配置Apache,使Apache同时支持PHP和Python. 废话少说,提供有效方案一个,照做即可: 1. 修改 httpd.conf 文件 将下列几个Module前的注释符 # 去掉 LoadModule proxy_module modules/mod_proxy.so Lo

  • Nginx和Apache几种防盗链配置方法实例

    要实现防盗链,我们就必须先理解盗链的实现原理,提到防盗链的实现原理就不得不从HTTP协议说起,在HTTP协议中,有一个表头字段叫 referer,采用URL的格式来表示从哪儿链接到当前的网页或文件.换句话说,通过referer,网站可以检测目标网页访问的来源网页,如果是资源 文件,则可以跟踪到显示它的网页地址.有了referer跟踪来源就好办了,这时就可以通过技术手段来进行处理,一旦检测到来源不是本站即进行阻止或者返 回指定的页面. Nginx防盗链的配置 1.nginx针对文件类型的防盗链配置

  • linux网站服务Apache的安装与配置方法详解

    这篇文章介绍下linux网站服务apache的安装与配置方法,包括挂载光盘,安装http服务,管理httpd服务,httpd的配置文件几大部分.具体详情可以参考下文. 1.挂载光盘 自己习惯将光盘挂载在/media/cdrom目录,在做本地yum源的时候此目录为默认目录之一 [root@localhost /]# mount /dev/cdrom /media/cdrom/ 2.安装httpd服务(如果本地yum源已经搭建好就直接进行这一步,没有的话需要搭建,前面的文章有提到yum源的搭建) [

  • CentOS7下 Apache的安装配置方法

    前些天安装了Nginx,为了好玩我就又安装Apache,Apache的安装还算顺利.在此做一下学习记录和经验分享. 一.安装httpd 1.先查看一下系统有没有已经安装了httpd的,如果啥都没查到,那就是没安装呗.如果有#rpm -e 查到的rpm报名,进行删除即可. #rpm -qa | grep httpd 2.我这里就直接使用yum安装了(会自动安装依赖包),为了简单方便. yum -y install httpd 3.httpd -v 查看安装版本,安装成功之后,查找配置文件位置,对h

随机推荐