随着网络技术的普及、应用和Web技术的不断完善,Web服务已经成为互联网上颇为重要的服务形式之
一。原有的客户/服务器模式正在逐渐被浏览器/服务器模式所取代。本文将重点介绍Web面临的主要威胁,并结合在Linux中使用较多的Apache服务器,介绍进行Web服务器安全配置的技巧。
Web服务器面临的安全隐患为了保护Web服务器不被恶意***和破坏,第一步就是要了解和识别它所面临的安全风险。以前,Web站点仅仅提供静态的页面,因此安全风险很少。恶意破坏者进入这类Web站点的惟一方法是获得非法的访问权限。近年来,大部分Web服务器不再提供静态的HTML页面,它们提供动态的内容,许多Web站点与颇有价值的客户服务或电子商务活动应用结合在一起(这也是风险所在,通常不注意的)。◆HTTP拒绝服务。***者通过某些手段使服务器拒绝对HTTP应答。这使得Apache对系统资源(CPU时间和内存)需求的剧增,最终造成系统变慢甚至完全瘫痪。◆缓冲区溢出。***者利用CGI程序编写的一些缺陷使程序偏离正常的流程。程序使用静态分配的内存保存请求数据,***者就可以发送一个超长请求使缓冲区溢出。比如一些Perl编写的处理用户请求的网关脚本。一旦缓冲区溢出,***者可以执行其恶意指令。◆***者获得root权限。如果Apache以root权限运行,系统上一些程序的逻辑缺陷或缓冲区溢出的手段,会让***者很容易在本地获得Linux服务器上管理员权限root。在一些远程的情况下,***者会利用一些以root身份执行的有缺陷的系统守护进程来取得root权限,或利用有缺陷的服务进程漏洞来取得普通用户权限,用以远程登录服务器,进而控制整个系统。合理的网络配置能够保护Apache服务器免遭多种***。
配置一个安全Apache服务器
1、勤打补丁在上最新的changelog中都写着:bugfix、securitybugfix的字样。所以,Linux网管员要经常关注相关网站的缺陷修正和升级,及时升级系统或添加补丁。使用最高和最新安全版本对于加强ApacheWeb服务器的安全是至关重要的。
2、隐藏Apache的版本号通常,软件的漏洞信息和特定版本是相关的,因此,版本号对***来说是最有价值的。默认情况下,系统会把Apache版本系统模块都显示出来(ess)进行重载(修改),可以这样设定:AllowOverrideNone6、Apache服务器访问控制策略Apache的ess.conf文件负责设置文件的访问权限,可以实现互联网域名和IP地址的访问控制。它包含一些指令,控制允许什么用户访问Apache目录。应该把denyfromall设为初始化指令,再使用allowfrom指令打开访问权限。如果允许192.168.1.1到192.168.1.254的主机访问,可以这样设定:orderdeny,allowdenyfromallallowfrompair192.168.1.0/255.255.255.07、记录所有情况一个优秀的Linux网络管理员会密切记录服务器日志系统,这些日志可以记录异常访问的线索。Apache可以记录所有的访问请求,同样,错误的请求也会记录。CustomLog/logs/mon#记录对Web站点的每个进入请求#ErrorLog/logs/error.log#记录产生错误状态的请求#小提示:这里推荐使用一个优秀的日志分析工具Wusage()进行例行分析和监视日志文件。
8、Apache服务器的密码保护ess文件是Apache服务器上的一个设置文件。它是一个文本文件,可以使用文本编辑器进行编写。ess文件提供了针对目录改变配置的方法,即通过在一个特定的文档目录中放置一个包含一个或多个指令的文件(ess文件),以作用于此目录及其所有子目录。ess的功能包括设置网页密码、设置发生错误时出现的文件、改变首页的文件名(如index.html)、禁止读取文件名、重新导向文件、加上MIME类别、禁止列目录下的文件等。通过ess来保护网站更为方便和安全,因为利用ess文件实现密码保护是很难破解的。
9.减少CGI和SSI风险CGI脚本的漏洞已经成为Web服务器的首要安全隐患,通常是程序编写CGI程序中产生了许多的后门和漏洞。控制CGI脚本的漏洞除了在编写时需要注意对输人数据的合法性检查、对系统调用的谨慎使用等因素外,首先使用CGI程序所有者的UID来运行这些程序,是一个好方法。这些CGI程序即使存在某些漏洞,那么其危害也仅限于该UID所能够访问的文件当中。也就是说,这样只能伤害用户的文件,而不会对整个系统带来致命的影响。通过安装和使用suEXEC的应用程序,可以为Apache服务器提供CGI程序的控制支持(从Apachel.3版以后,suEXEC已经作为Apache服务器的一部分),可以把suEXEC看作一个包装器,在Apache接到对CGI程序的调用请求后,它将这个调用请求交给suEXEC来负责完成具体的调用,并且从这里获得返回的结果。suEXEC能解决一些安全问题,但也会降低服务性能,因为它只能运行在CGI版本的PHP上,而CGI版本比模块版本运行速度慢。原因是模块版本使用了线程,而使用CGI版本的是进程。在不同线程之间的环境转换和访问公用的存储区域显然要比在不同的进程之间要快得多。建议在对安全性能要求比较高时使用suEXEC,为此您还要以牺牲速度为代价。另外可以尝试另外一个软件CGIWrap,它的安全性能高于suEXEC。官方网址为:ftp://.umr.edu/pub/cgi/cgiwrap。减少SSI脚本的风险:如果用exec等SSI命令运行外部程序,也会存在类似CGI脚本程序的危险,除了内部调试程序时都应当可以使用Option命令禁止使用。OptionsIncludesNOEXEC10、让Apache服务器在监牢中运行所谓“监牢”是指通过chroot机制来更改某个软件运行时所能看到的根目录,即将某软件运行限制在指定目录中,保证该软件只能对该目录及其子目录的文件有所动作,从而保证整个服务器的安全。这样即使被破坏或侵入,所受的损伤也不大。将软件chroot化的一个问题是该软件运行时需要的所有程序、配置文件和库文件都必须事先安装到chroot目录中,通常称这个目录为chrootjail(chroot“监牢”)。如果要在“监牢”中运行Apache,而事实上根本看不到文件系统中那个真正的目录,就需要事先创建目录,并将ess的替代软件,可以对抗DoS***。该软件可以快速拒绝来自相同地址对同一URL的重复请求,通过内部一张各子进程的哈希表查询来实现。软件下载链接:/data/tools/dospatch.tar.gz。软件安装的配置可以察看Linux中文主页/:Apache性能和安全指南,过程很简单,限于篇幅这里就不介绍了。同时可以使用Linux系统强大的命令手段Apache服务器防范Dos***