UNIX下apache服务器的维护
来源:asp之家 发布时间:2010-05-04 18:26:00
综述
本文将讨论UNIX平台下,Apache WEB服务器安装和配置的安全问题。我们假定阅读本文的系统管理员已经针对自己站点的情况选择了相关的模块,并且能够进行配置、创建和排除故障。本文的主要目的是帮助你简历一个安全的Apache歪脖(web :P)服务器。
在众多的Web服务器产品中,Apache是应用最为广泛的一个产品,同时也是一个设计上非常安全的程序。但是,同其它应用程序一样,Apache也存在安全缺陷。本文主要针对三个安全缺陷进行讨论,包括:使用HTTP协议进行的拒绝服务攻击(denial of service)、3缓冲区溢出攻击以及被攻击者获得root权限。注意:合理的配置能够保护Apache免遭多种攻击,但是在网络层上的拒绝服务攻击则不是调整Apache的配置所能够防止的。本文所涉及的是使用HTTP(应用层)协议进行的拒绝服务攻击。
Apache的主要缺陷
• HTTP拒绝服务
攻击者通过某些手段使服务器拒绝对HTTP应答。这会使Apache对系统资源(CPU时间和内存)需求的剧增,最终造成系统变慢甚至完全瘫痪。
• 缓冲区溢出
攻击者利用程序编写的一些缺陷,使程序偏离正常的流程。程序使用静态分配的内存保存请求数据,攻击者就可以发送一个超长请求使缓冲区溢出。比如一些Perl编写的处理用户请求的网关脚本。一旦缓冲区溢出,攻击者可以执行其恶意指令或者使系统宕机。
• 被攻击者获得root权限
Apache一般以root权限运行(父进程),攻击者通过它获得root权限,进而控制整个系统。
获得最新的Apache
使用最安全版本对于加强Apache Web服务器的安全是至关重要的。
你可以从Apache的官方网站http://www.apache.org获得Apache的最新版本。
配置文件的保护
Apache Web服务器有三个主要的配置文件,它们一般位于/usr/local/apache/conf目录。这三个文件是:httpd.con、srm.conf和access.conf。这些文件是整个Apache的控制中心,因此需要对三个配置文件有所了解。httpd.conf文件是主配置文件;srm.conf允许你填加资源文件;access.conf设置文件的访问权限。这些文件的配置可以参考http://httpd.apache.org/docs/mod/core.html
服务器访问控制
access.conf文件包含一些指令控制允许什么用户访问Apache目录。应该把deny from all作为初始化指令,然后使用allow from指令打开访问权限。你可以允许来自某个域、IP地址或者IP段的访问。例如:
order deny,allow
deny from all
allow from sans.org
密码保护
使用.htaccess文件,可以把某个目录的访问权限赋予某个用户。系统管理员需要在httpd.conf或者srm.conf文件中使用AccessFileName指令打开目录的访问控制。以下是一个.htaccess示例文件:
AuthName PrivateFiles
AuthType Basic
AuthUserFile /path/to/httpd/users
require foo <---一个有效的用户名
然后,使用如下命令填加一个用户:
# htpasswd -c /path/to/httpd/users foo
Apache日志文件
系统管理员可以使用日志格式指令来控制日志文件的信息。使用LogFormat "%a %l"指令,可以把发出HTTP请求浏览器的IP地址和主机名记录到日志文件。出于安全的考虑,你至少应该那些验证失败的WEB用户,在http.conf文件中加入LogFormat "%401u"指令可以实现这个目的。这个指令还有其它的许多参数,用户可以参考Apache的文档。另外,Apache的错误日志文件对于系统管理员来说也是非常重要的,错误日志文件中包括服务器的启动、停止以及CGI执行失败等信息。
猜你喜欢
- yum安装卸载命令, yum install 'package_name'yum remove 'package_n
- 为了给发布商提供更多的透明度以及控制网站上所展示的广告的权利,我们开发了广告查看中心,该功能将会在接下来的几个月中陆续推出。这个功能可以让您
- 在刚装完mysql,就建立了数据库abc,然后新建一个abc表,插入英文没有问题,但是插入中文就有问题,会报错:ERROR 1366 (HY
- 这篇文章的标题所提出的问题的答案是“不可能”。至少对我来说是不可能的。借助适当的工具,我们可以反编译任何SWF文件。所以,不要将重要的信息置
- 标签做为SEO中最普及的优化手段,在SEO被人们认识的初期,站长因此项设置而明显改善了网站的搜索引擎排名大为兴奋。但随着黑帽SEO的发展,搜
- Zabbix2019/10/12 Chenxin参考https://www.zabbix.com/documentation/4.0/zh/
- 为维持其“硬件+软件+服务”三合一连动发展的业务模式,IBM需要不断地推出新的概念来创造需求。IBM变得愈发令人难以捉摸了:我们看到的究竟是
- IPSec简介IPSec(Internet Protocol Security):是一组基于网络层的,应用密码学的安全通信协议族。IPSec
- DedeCMS是织梦团队开发的堪称国内最专业的PHP网站管理系统,它以简单、易用、高效为特色,成为了众多站长建站的首选利器,同时也受到了一致
- 百度联盟网盟推广图文混排产品形式上线,全新产品形式将助您提升收益!图文混排是主题描述产品在文字、图片形式之外新增加的一种推广形式。它是一种除
- 近来小站遇到了盗链问题,至使网站的流量枉费流失,于是被迫准备为服务器安装防盗链机制以挽救本就不宽裕的带宽。通过G.CN和B.CN搜索后得出了
- 网络广告是主要的网络营销方法之一,在网络营销方法体系中具有举足轻重的地位,事实上多种网络营销方法也都可以理解为网络广告的具体表现形式,并不仅
- 6月9日消息,据国外媒体报道,微软近日表示,如果企业绕过Windows Vista,直接从Windows XP升级到Windows 7,可能
- 很大意义上的传统社区指的论坛,论坛是伴着一些老网虫们共同成长起来的,泡论坛成了网虫们的爱好之一,从个人主页的时代到现在SNS满天飞的世界,论
- DEDECMS V5.3.1版这个版本的后台文档列表管理,在本机PHP环境测试速度是很快的,在电信的虚拟主机空间中,晚上速度是正常的,速度很
- 作为一种资源的组织和表达机制,Web已成为Internet最主要的信息传送媒介。因此Web的性能已经成为判断一个网站成功与否的一个重要评估标
- linux系统目录结构你清楚吗?1、树状目录结构图2、目录介绍3、/etc/目录4、/usr/目录5、/proc/目录6、/dev/目录7、
- Docker 是一个开源的应用容器引擎,让开发者可以打包他们的应用以及依赖包到一个可移植的容器中,然后发布到任何流行的 Linux 机器上,
- 问题描述:新手 想安装VMware tools与 主机进行文件共享虚拟机(M) –> 安装VMware Tools
- 基于网络的电子邮件是一种基于Internet的电子邮件系统,它可以让你从一个Web浏览器来发送、接收电子邮件讯息。只要有Internet连接