| 阿七 |
2007-10-17 09:21 |
来源:黑客基地 8@�r+)�2��
^C'k.pV
n~
毋庸讳言,令Apache占领Web服务器半壁江山的一个重要原因就是它可以提供一个安全的Web操作环境。Apache团体为保证其安全性做了大量的工作。想当年,在此产品被发现存在一个安全缺陷时,Apache的开发人员就尽快地搞出了一个补丁。 �+28�FB[W�
�$;�@���s
然而,即管Apache已经堪称安全的产品,如果你在构建你的服务器时没有采取一些安全预防措施,这种Web服务器仍易于受到很多攻击。 "ex?
#qD&�
c#l
(~g$D+
在本文中,笔者将为你提供10个技巧,借此你可以保护自己的Apache Web服务器免于受到许多攻击。不过,必须谨记,你需要仔细地评估每一个技巧,以确保其适合于你的组织。 �ZSbD4
|�_
�8n'C@#{WV
只安装所需要的 I�i�"cDH9�
l&C�%
o�W�
Apache的一个最大的特点是其灵活性和大量的可选择安装模块,这在涉及到安全问题时可成为一个极大的弱点。你安装的越多,也就为潜在的攻击者创造了越大的攻击面。一个标准的Apache安装包含20多个模块,包括CGI特性,以及一些身份验证机制。如果你不打算采用CGI,并且你只想采用静态的Web站点,不需要用户身份验证,你可能就不需要这些模块所提供的任何服务,因此在安装Apache时请禁用这些模块。 _h.[I8xgYG
�wPW9�b�u
如果你沿用了一个正在运行的Apache服务器,并且不想重新安装它,就应当仔细检查httpd.conf配置文件,查找以LoadModule开头的行。请检查Apache的文档(也可以用Google、Yahoo等搜索),查找每个模块的目的信息,找出那些你并不需要的模块。然后,重新启动Apache。 ;[6u7�9;�I
B0Y�Y7�o�d
暴露程度最小化 p�lp).�G�q
Bz24�U wcZ
Apache易于安装并且相当容易管理。不幸的是,许多Apache的安装由于为完全的陌生者提供了关于自己服务器的太多“有帮助”的信息,例如Apache的版本号和与操作系统相关的信息。通过这种信息,一个潜在的攻击者就可以追踪特定的可以影响你的系统的破坏性漏洞,特别是你没有能够保持所有补丁的更新的话情况更为严重。如此一来,攻击者无需反复试验就可以确切地知道你在运行什么,从而可以调整其攻击方法。 un��\"1RdO
rL%
xl,cn<
要防止服务器广播敏感信息,一定要保证将httpd.conf中的“ServerSignature”指令设置为“off”。一次默认的Apache安装会将此指令设置为“off”,不过许多管理员却启用了它。 ��` "9Y.KU
Pa�jr��`gU
同样地,禁用目录浏览也是一个不错的注意。在目录浏览被启用时,访问一个并不包含其所需要文档的目录的用户,会看到此目录中完整的内容列表。无疑,你不应当将敏感材料以纯文本的形式存储到一个Web服务器上,除非你必须这样做,你也不应该允许人们看到超过其需要的内容。 gHm�����^@
IP��~g7`Y
目录浏览默认地是被启用的。要禁用这个特性,应编辑http.conf文件,而且对每一个“Directory”指令,应清除“Indexs”引用。 |�g7E*�1Ie
a
@�TA�UJ,
例如,在笔者的做实验用的Apache 2.2.4服务器上,这是默认的目录命令: V�R_1cwKBM
@�c&)K^v�8
9J1&�g(?>-
6b�)1B�\p�
Options Indexes FollowSymLinks 5[;^�E�m)C
$y`|zK|�G-
AllowOverrride None ���nh�y3E�
@5�kN
�L~2
Order allow,deny 3n�G��(z
>
tnTr��&�o#
Allow from all gz�uM>lf*{
c�OS|B1�xG
VN�MhtwmK,
%5uuB4P&|$
清除Indexes引用后的样子:
c[�Y7tj%y
ZL@�7Mr!�e
2sf/�^XC�1
$�<T�)_g��
Options FollowSymLinks fE��M8/bhq
2O4U��y�tN
AllowOverrride None ��}-Zfl�jj
�� E�I�+.Q
Order allow,deny &&t�Q�,5H5
9}5Q5�O��Z
Allow from all jd~r�~��.y
�BPC$ v\�a
)L�^WD$"'Q
siOeR@�>�X
你也可以保留Indexes指令,并用一个破折号引导,从而禁用此指令(也就是“-Indexes”)。 /(v�T�49(]
+�DVU"d���
禁用符号连接追踪 �P� 0�,]Ud
RJ�@�d_~%U
如果你是唯一一个校对Web内容的人员,而你在创建新的符号连接时又几乎不犯错误,你可能不会担心此措施。不过,如果你有很多人员能够向你的站点增加内容,并非所有的人都像你一样谨慎从事,那么就会有一种风险,即某个用户可能偶然会创建一个符号连接指向你的文件系统的一部分,而你又确实不想让人们看到这些文件。例如,如果你的Apache服务器的根目录中的某人创建了一个指向 “/”文件夹的符号连接,你该怎么办? �T�h�@�L68
Ei�}B9 �&O
为了取消Apache服务器允许用户追踪符号连接的请求,应该在Directory命令中清除FollowSymlinks指令。 O^
f[�u�gs
`
R^[s56wp
例如,在笔者的试验性的Apache 2.2.4服务器中,Directory命令如下: B�<��6*Ktc
As78���yfK
dpTap<Noby
"�i9$w�\lm
Options Indexes FollowSymLinks 7CNEP
2}:R
Pbz-I3�+66
AllowOverrride None e8P�
|�eK�
_RhCVoeB�
Order allow,deny #&�&^5r-b-
U9kt7#@FDK
Allow from all H@O�YtPHGR
�bC�c^)o/w
3"&6rdF\jB
4�uDz=B+8y
在清除了FollowSymLinks引用后,就成为如下的样子: U
=�T[-(:H
�]Ki�l/�Y�
;J
2�=�6np
�Ks9"U^bPs
Options Indexes dht1I`i�"B
�
�03_tt7�
AllowOverrride None ~(G�]-__B<
eEupqOF*:W
Order allow,deny JF�!!)6!2#
Y~bp:FkS�
Allow from all .�(nq"&u-*
fs7JA=?:
�
�CP�/�`O�N
h dPK�eqg7
如果一些用户需要跟踪符号连接的能力,可以考虑使用SymLinksIfOwnerMatch代替。 "�5��ah{,
,,b�_x@�y*
Listen指令具体化 0;r+E*`D�A
x~�A""*B~
在你第一次安装Apache时,httpd.conf包含一个“Listen 80”指令。应将其改变为“Listen mn.xx.yy.zz:80”,在这里“mn.xx.yy.zz”是你想让Apache监听其请求的IP地址。如果你的Apache运行在一个拥有多个IP地址的服务器上时,这一点尤其重要。如果你不采取预防措施,默认的“Listen 80”指令告诉Apache监听每一个IP地址的80端口。 !dSY?�1>U<
*�#dXW\8qu
不过,这项措施有可能不适用于你的环境,应根据需要而定。 V#C�[�I~l�
V�z51=?75�
从httpd.conf中清除默认的注释 S\s1}`p�Nm
o�+q4Vg9&�
Apache 2.2.4中默认的httpd.conf文件有400多行。在这400行中,只有一小部分是实际的Apache指令,其余的仅是帮助用户如何恰当地在httpd.conf中放置指令的注释。根据笔者的经验,这些注释有时起负面作用,甚至将危险的指令留存于文件中。笔者在所管理的许多Apache服务器上将httpd.conf文件复制为其它的文件,如httpd.conf.orig等,然后完全清除多余的注释。文件变得更加容易阅读,从而更好地解决了潜在的安全问题或者错误地配置文件。 |
|