WEB服务器配置安全规范[总结].pdf

WEB服务器配置安全规范 Apache 服务器的主要安全缺陷 正如我们前言所说尽管 Apache 服务器应用最为广泛，设计上非常安全的程序。但是同其它应用程序一样， Apache 也存在安全缺陷。 毕竟它是完全源代码， Apache服务器的安全缺陷主要是使用 HTTP协议进行的拒绝服务攻击 (denial of service) 、缓冲区溢出攻击以及被攻击者获得 root 权限三缺陷和最新的恶意的攻击者进行“拒绝服务” (DoS)攻击。合 理的网络配置能够保护 Apache 服务器免遭多种攻击。我们来介绍一下主要的安全缺陷： （1）使用 HTTP协议进行的拒绝服务攻击 (denial of service) 的安全缺陷 这种方法攻击者会通过某些手段使服务器拒绝对 HTTP应答。这样会使 Apache 对系统资源 (CPU时间和内存 ) 需求的 剧增，最终造成 Apache 系统变慢甚至完全瘫痪。 （2）缓冲区溢出的安全缺陷 该方法攻击者利用程序编写的一些缺陷，使程序偏离正常的流程。程序使用静态分配的内存保存请求数据，攻击者 就可以发送一个超长请求使缓冲区溢出。 （3）被攻击者获得 root 权限的安全缺陷 该安全缺陷主要是因为 Apache 服务器一般以 root 权限运行 ( 父进程 ) ，攻击者会通过它获得 root 权限，进而控制 整个 Apache 系统。 （4）恶意的攻击者进行“拒绝服务” (DoS)攻击的安全缺陷 这个最新在 6 月 17 日发现的漏洞，它主要是存在于 Apache 的 chunk encoding 中，这是一个 HTTP协议定义的用于 接受 web 用户所提交数据的功能。 所有说使用最高和最新安全版本对于加强 Apache Web服务器的安全是至关重要的。 请广大 Apache 服务器管理员去 /dist/httpd/ 下载补丁程序以确保其 WEB服务器安全！ 正确维护和配置 Apache 服务器 虽然 Apache 服务器的开发者非常注重安全性，由于 Apache 服务器其庞大的项目， 难免会存在安全隐患。正确维 护和配置 Apache WEB服务器就很重要了。我们应注意的一些问题： （1）Apache 服务器配置文件 Apache Web服务器主要有三个配置文件，位于 /usr/local/apache/conf 目录下。 这三个文件是： httpd.conf 主配置文件 srm.conf 填加资源文件 access.conf 设置文件的访问权限 注：具体配置可以参考： /docs/mod/core.html （2）Apache 服务器的目录安全认证 在 Apache Server 中是允许使用 .htaccess 做目录安全保护的，欲读取这保护的目录需要先键入正确用户帐号与密 码。这样可做为专门管理网页存放的目录或做为会员区等。在保护的目录放置一个档案，档名为 .htaccss AuthName 会员专区 AuthType Basic AuthUserFile /var/tmp/xxx.pw 把 password 放在网站外 require valid-user 到 apache/bin 目录，建 password 档 % ./htpasswd -c /var/tmp/xxx.pw username1 第一次建档要用参数 -c % /htpasswd /var/tmp/xxx.pw username2 这样就可以保护目录内的内容，进入要用合法的用户． 注：采用了 Apache 内附的模组。 也可以采用在 httpd.conf 中加入： options indexes followsymlinks allowoverride authconfig order allow,deny