作者:juniu网络 来源:互联网 发布时间:2022-05-20
令apache占领网站服务器半壁江山的一个重要的原因就是它可以提供一个安全的网站实际操作环境。apache团体为确保其安全性做了大量的工作。想当年,在此产品被发现存在一个安全缺陷时,apache的开发人员就尽快地搞出了一个补丁。
然而,即管apache已经堪称安全的产品,如果你在组建你的服务器时没有采取一些安全预防措施,这种网站服务器仍易于受到越来越多流量攻击。
在本文中,笔者将为你提供10个技巧,借此你可以保护自己的apache 网站服务器免于受到许多流量攻击。不过,必须谨记,你需要仔细地评估每一个技巧,以确保其最适合于你的组织。
只安装所需要的
apache的一个最大的特点是其灵活性和大量的可选择安装模块,这在涉及到安全问题时可成为一个极大的弱点。你安装的越多,也就为潜在的流量攻击者创造了越大的流量攻击面。一个标准的apache安装包含20许多模块,包括cgi特性,以及一些身份验证机制。如果你不打算选用cgi,而且你只想选用静态的网站 站点,不需要客户身份验证,你可能就不需要这些模块所提供的任何服务,因此在安装apache时请禁用这些模块。
如果你沿用了一个正在执行的apache服务器,而且不想重新安装它,就应当仔细检查httpd.conf配置文件,查找以loadmodule开头的行。请检查apache的文件(也可以用搜索引擎、yahoo等搜索),查找每个模块的目的信息,找出那些你并不需要的模块。然后,重新启动 apache。
暴露程度最小化
apache易于安装而且相当非常容易管理。不幸的是,许多apache的安装由于为彻底的陌生者提供了关于自己服务器的太多"有帮助”的信息,例如 apache的版本号和与实际操作系统相关的信息。根据这种信息,一个潜在的流量攻击者就可以追踪特定的可以影响你的系统的破坏性漏洞,特别是你没有能够保持所有补丁的更新的话情况更为严重。如此一来,流量攻击者无需反复试验就可以确切地知道你在执行什么,从而可以调整其流量攻击方法。
要防止服务器广播隐私信息,一定要确保将httpd.conf中的"serversignature”指令设定为"off”。一次默认的apache安装会将此指令设定为"off”,不过许多管理员却启用了它。
同样地,禁用目录浏览也是一个不错的注意。在目录浏览被启用时,访问一个并不包含其所需要文件的目录的客户,会看到此目录中完整的内容列表。无疑,你不应当将隐私材料以纯文本的形式存放到一个网站服务器上,除非你必须这样做,你也不应该允许人们看到超过其需要的内容。
目录浏览默认地是被启用的。要禁用这个特性,应编辑http.conf文件,而且对每一个"directory”指令,应清除"indexs”。
例如,在笔者的做实验用的apache 2.2.4服务器上,这是默认的目录命令:
复制代码 代码如下:
options indexes followsymlinks
allowoverrride none
order allow,deny
allow from all
清除indexes后的样子:
复制代码 代码如下:
options followsymlinks
allowoverrride none
order allow,deny
allow from all
你也可以保留indexes指令,并用一个破折号引导,从而禁用此指令(也就是"-indexes”)。
禁用符号连接追踪
如果你是唯一一个校对网站内容的人员,而你在创建新的符号连接时又几乎不犯错误,你可能不会担心此措施。不过,如果你有越来越多人员能够向你的站点增加内容,并非所有的人都像你一样谨慎从事,那么就会有一种风险,即某个客户可能偶然会创建一个符号连接指向你的文件系统的一部分,而你又确实不想让人们看到这些文件。例如,如果你的apache服务器的根目录中的某人创建了一个指向 "/”文件夹的符号连接,你该怎么办?
为了取消apache服务器允许客户追踪符号连接的请求,应该在directory命令中清除followsymlinks指令。
例如,在笔者的试验性的apache 2.2.4服务器中,directory命令如下:
复制代码 代码如下:
options indexes followsymlinks
allowoverrride none
order allow,deny
allow from all
在清除了followsymlinks后,就成为如下的样子:
复制代码 代码如下:
options indexes
allowoverrride none
order allow,deny
allow from all
如果一些客户需要跟踪符号连接的水平,可以考虑使用symlinksifownermatch代替。
listen指令主要化
在你第一次安装apache时,httpd.conf包含一个"listen 80”指令。应将其改变为 "listen mn.xx.yy.zz:80”,在这里"mn.xx.yy.zz”是你想让apache监听其请求的ip地址。如果你的apache执行在一个有着许多ip地址的服务器上时,这一点尤其重要。如果你不采取预防措施,默认的"listen 80”指令告诉apache监听每一个ip地址的 80端口。
不过,这项措施有可能不适用于你的环境,应依据需要而定。
从httpd.conf中清除默认的注释
apache 2.2.4中默认的httpd.conf文件有400多行。在这400行中,只有一小部分是实际的apache指令,其余的仅是帮助客户如何恰当地在httpd.conf中存放指令的注释。依据笔者的经验,这些注释有时起负面功能,甚至将危险的指令留存于文件中。笔者在所管理的许多 apache服务器上将httpd.conf文件复制为其它的文件,如httpd.conf.orig等,然后彻底清除多余的注释。文件变得更加非常容易阅读,从而更好地解决了潜在的安全问题或者错误地配置文件。
没作任何设定前,查看网站服务器请求文件头
http/1.1 200 ok
date: sun, 27 apr 2008 11:56:46 gmt
server: apache/2.2.8 (unix) dav/2 php/5.2.5 with suhosin-patch
last-modified: sat, 20 nov 2004 20:16:24 gmt
etag: "387a5-2c-3e9564c23b600"
accept-ranges: bytes
content-length: 44
content-type: text/html
几乎把网站服务器详细信息都暴出来了,如果没个版本的apache和php爆出严重漏洞,会给流量攻击者提供最有流量攻击价值的安全信息,这是非常危险的
将apache的配置文件加上两行
servertokens productonly
serversignature off
重启apache让设定生效
再次发出apache头信息请求
http/1.1 200 ok
date: sun, 27 apr 2008 11:57:40 gmt
server: apache
last-modified: sat, 20 nov 2004 20:16:24 gmt
etag: "387a5-2c-3e9564c23b600"
accept-ranges: bytes
content-length: 44
content-type: text/html
可以看到apache版本号于已经没有了
做到这点,大家还可以改变apache的版本,这就要修改apache的源代码了,在apache的源码包中找到ap_release.h 将#define ap_server_baseproduct "apache" 修改为#define ap_server_baseproduct "microsoft-iis/5.0”
或者#define ap_server_baseproduct "microsoft-iis/6.0”
然后找到os/unix下的os.h文件,将其#define platform "unix"修改为#define platform "win32"
然后重新编译,安装apache。
最后修改httpd.conf配置文件,添加两行servertokens prod
serversignature off
在发送头请求,会有什么,就不用我说了吧,嘿嘿,这叫偷天换日,从这点来说,php也是一样,同样可以根据这种方式改变一些系统信息,不过依据gpl开源的精神,这样做貌似不太好,还是保留apache和php版权信息吧。
附:
serversignature 1个选项
on|off|emai 主要起开关功能
servertokens 4个选项
minimal|productonly|os|full 4个选项隐躲信息依次增加
以下对php的配置文件php.ini开展配置
默认情况下expose_php = on
将其改为 expose_php = off
为什么,可以看这段解释
; decides whether php may expose the fact that it is installed on the server
; (e.g. by adding its signature to the 网站 server header). it is no security
; threat in any way, but it makes it possible to determine whether you use php
; on your server or not.
然后禁止一些涉及php安全的函数
disable_functions = phpinfo, get_cfg_var //禁止phpinfo和get_cfg_var等函数
display_errors = off //禁止爆出错误
allow_url_fopen = off //这个关闭,就没有办法取远程内容了,但是可以用变通,用curl远程读取的方法做到
safe_mode = on //开启安全模式,这个开了,可能会有些php功能没办法使用了
无论如何,还是要大家的程序制作的完美,一般来说,单纯更具对系统流量攻击很难,如果是程序有漏洞,那流量攻击就简单了。
(来源:服务器技术网)