a毛片毛费观看-a毛片在线-a毛片在线观看-a毛片在线免费观看-国产成人综合洲欧美在线-国产成人综合高清在线观看

始創于2000年 股票代碼:831685
咨詢熱線:0371-60135900 注冊有禮 登錄
  • 掛牌上市企業
  • 60秒人工響應
  • 99.99%連通率
  • 7*24h人工
  • 故障100倍補償
您的位置: 網站首頁 > 幫助中心>文章內容

企業級Apache服務器安全防護要點剖析(1)

發布時間:  2012/5/28 7:44:35

Apache一直是世界上使用率排名前三的Web服務器軟件。企業使用其構建Web應用,從很大程度上都需要對其安全性進行綜合考慮,以保證能夠應對拒絕服務攻擊、流量竊聽、數據泄漏等網絡威脅,從而保證企業門戶網站的安全。

除了使用業界流行的防火墻、IDS/IPS(入侵檢測系統/入侵防御系統)、WAF(Web應用防火墻)、UTM(統一威脅管理)等外部安全設備對 Apache服務進行安全防護外,作為一種優秀的開源服務器軟件,Apache本身就具有很多優秀的特性可以為服務器管理員提供安全配置,以防范各種網絡攻擊。因此,充分、高效地挖掘Apache服務器的自身安全能力也是企業安全工作者一個必備的技能。基于此,本文將從4個方面詳細剖析Apache服務器的安全防護要點。

策略一:服務器端安全設置

1.限制root用戶運行Apache服務器

一般情況下,在Linux下啟動Apache服務器的進程httpd需要root權限。由于root權限太大,存在許多潛在的安全威脅。一些管理員為了安全起見,認為httpd服務器不可能沒有安全漏洞,因而更愿意使用普通用戶的權限來啟動服務器。http.conf主配置文件里面有如下兩個配置是 Apache的安全保證,Apache在啟動后,就將其本身設置為這兩個選項設置的用戶和組權限進行運行,降低了服務器的危險性。

Userapache

Groupapache

需要特別指出的是:以上兩個配置在主配置文件里面是默認選項,當采用root用戶身份運行httpd進程后,系統將自動將該進程的用戶組和權限改為apache,這樣,httpd進程的權限就被限制在apache用戶和組范圍內,因而保證了安全。

2.向客戶端隱藏Apache服務器的相關信息

Apache服務器的版本號可作為黑客入侵的重要信息被利用,通常他們在獲得版本號后,通過網上搜索針對該版本服務器的漏洞,從而使用相應的技術和工具有針對性的入侵,這也是滲透測試的一個關鍵步驟。因此,為了避免一些不必要的麻煩和安全隱患,可以通過主配置文件httpd.conf下的如下兩個選項進行:

(1)ServerTokens:該選項用于控制服務器是否響應來自客戶端的請求,向客戶端輸出服務器系統類型或者相應的內置模塊等重要信息。RedHatEnterpriseLinux5操作系統在主配置文件中提供全局默認控制閾值為OS,即 ServerTokensOS。它們將向客戶端公開操作系統信息和相關敏感信息,所以保證安全情況下需要在該選項后使用“ProductOnly”,即 ServerTokensProductOnly。

(2)ServerSignature:該選項控制由系統生成的頁面(錯誤信息等)。默認情況下為off,即 ServerSignatureoff,該情況下不輸出任何頁面信息。另一情況為on,即ServerSignatureon,該情況下輸出一行關于版本號等相關信息。安全情況下應該將其狀態設為off。

圖1和圖2為安全設定這兩個選項前后正常情況下和錯誤情況下的輸出頁面(通過Rhel5中的MozillaFirefox瀏覽器訪問Rhel5中的 Apache服務器)的詳細對比。可以清楚看到,安全設定選項后,可以充分地向客戶端用戶隱藏Linux操作系統信息和Apache服務器版本信息。

圖1錯誤情況下未設定安全選項前示意

圖2操作情況下使用安全設定后的對比

3.設置虛擬目錄和目錄權限

要從主目錄以外的其他目錄中進行發布,就必須創建虛擬目錄。虛擬目錄是一個位于Apache的主目錄外的目錄,它不包含在Apache的主目錄中,但在訪問Web站點的用戶看來,它與主目錄中的子目錄是一樣的。每個虛擬目錄都有一個別名,用戶Web瀏覽器中可以通過此別名來訪問虛擬目錄,如 http://服務器IP地址/別名/文件名,就可以訪問虛擬目錄下面的任何文件了。

使用Alias選項可以創建虛擬目錄。在主配置文件中,Apache默認已經創建了兩個虛擬目錄。這兩條語句分別建立了“/icons/”和“ /manual”兩個虛擬目錄,它們對應的物理路徑分別是“/var/www/icons/”和“/var/www/manual”。在主配置文件中,用戶可以看到如下配置語句:

Alias/icons/"/var/www/icons/"

Alias/manual"/var/www/manual"

在實際使用過程中,用戶可以自己創建虛擬目錄。比如,創建名為/user的虛擬目錄,它所對應的路徑為上面幾個例子中常用的/var/www/html/rhel5:

Alias/test"/var/www/html/rhel5"

如果需要對其進行權限設置,可以加入如下語句:

<Directory“/var/www/html/rhel5”>

AllowOverrideNone

OptionsIndexes

Orderallow,deny

Allowfromall

</Directory>

設置該虛擬目錄和目錄權限后,可以使用客戶端瀏覽器進行測試驗證,采用別名對該目錄中的文件進行訪問,瀏覽結果如圖3所示。

 

圖3使用虛擬目錄的測試結果

策略二:限制Apache服務的運行環境

Apache服務器需要綁定到80端口上來監聽請求,而root是唯一有這種權限的用戶,隨著攻擊手段和強度的增加,服務器受到相當大的威脅,一旦緩沖區溢出漏洞被利用,就可以控制整個系統。為了進一步提高系統安全性,Linux內核引入chroot機制,chroot是內核中的一個系統調用,軟件可以通過調用函數庫的chroot函數,來更改某個進程所能見到的根目錄。

chroot機制是將某軟件運行限制在指定目錄中,保證該軟件只能對該目錄及其子目錄的文件有所動作,從而保證整個服務器的安全。在這種情況下,即使出現黑客或者不法用戶通過該軟件破壞或侵入系統,Linux系統所受的損壞也僅限于該設定的根目錄,而不會影響到系統的其他部分。

將軟件chroot化的一個問題是該軟件運行時需要的所有程序、配置文件和庫文件都必須事先安裝到chroot目錄中,通常稱這個目錄為 chroot“監牢”。如果在“監牢”中運行httpd,那么用戶根本看不到Linux文件系統中那個真正的目錄,從而保證了Linux系統的安全。

在使用該技術的時候,一般情況下需要事先創建目錄,并將守護進程的可執行文件httpd復制到其中。同時,由于httpd需要幾個庫文件,所以需要把httpd程序依賴的幾個lib文件同時也拷貝到同一個目錄下,因此手工完成這一工作是非常麻煩的。幸運的是,用戶可以通過使用開源的jail軟件包來幫助簡化chroot“監牢”建立的過程,具體步驟如下所示:

Jail官方網站是http://www.jmcresearch.com/projects/。首先將其下載,然后執行如下命令進行源代碼包的編譯和安裝:

#tarxzvfjail_1.9a.tar.gz

#cdjail/src

#make

jail軟件包提供了幾個Perl腳本作為其核心命令,包括mkjailenv、addjailuser和addjailsw,他們位于解壓后的目錄jail/bin中。這幾個命令的基本用途如下所示:

mkjailenv:用于創建chroot“監牢”目錄,并且從真實文件系統中拷貝基本的軟件環境。

addjailsw:用于從真實文件系統中拷貝二進制可執行文件及其相關的其它文件(包括庫文件、輔助性文件和設備文件)到該“監牢”中。

addjailuser:創建新的chroot“監牢”用戶。

采用jail創建監牢的步驟如下所示;

(1)首先需要停止目前運行的httpd服務,然后建立chroot目錄,命令如下所示。該命令將chroot目錄建立在路徑/root/chroot/httpd下:

#servicehttpdstop

#mkjailenv/root/chroot/httpd

kjailenv

AcomponentofJail(version1.9forlinux)

http://www.gsyc.inf.uc3m.es/~assman/jail/

JuanM.Casillas<assman@gsyc.inf.uc3m.es>

Makingchrootedenvironmentinto/root/chroot/httpd

Doingpreinstall()

Doingspecial_devices()

Doinggen_template_password()

Doingpostinstall()

Done.

(2)為“監牢”添加httpd程序,命令如下:

#./addjailsw/root/chroot/httpd/-P/usr/sbin/httpd

addjailsw

AcomponentofJail(version1.9forlinux)

http://www.gsyc.inf.uc3m.es/~assman/jail/

JuanM.Casillas<assman@gsyc.inf.uc3m.es>

Guessing/usr/sbin/httpdargs(0)

Warning:can'tcreate/proc/mountsfromthe/procfilesystem

Done.

在上述過程中,用戶不需要在意那些警告信息,因為jail會調用ldd檢查httpd用到的庫文件。而幾乎所有基于共享庫的二進制可執行文件都需要上述的幾個庫文件。

(3)然后,將httpd的相關文件拷貝到“監牢”的相關目錄中,命令如下所示:

#mkdir-p/root/chroot/httpd/etc

#cp–a/etc/httpd/root/chroot/httpd/etc/

。。。。。。

添加后的目錄結構如下所示:

#ll

總計56

drwxr-xr-x2rootroot409603-2313:44dev

drwxr-xr-x3rootroot409603-2313:46etc

drwxr-xr-x2rootroot409603-2313:46lib

drwxr-xr-x2rootroot409603-2313:46selinux

drwsrwxrwx2rootroot409603-2313:46tmp

drwxr-xr-x4rootroot409603-2313:46usr

drwxr-xr-x3rootroot409603-2313:46var

(4)重新啟動httpd,并使用ps命令檢查httpd進程,發現該進程已經運行在監牢中,如下所示:

#ps-aux|grephttpd

Warning:badsyntax,perhapsabogus'-'?See/usr/share/doc/procps-3.2.7/FAQ

root35460.60.338281712pts/2S13:570:00/usr/sbin/nss_pcacheoff/etc/httpd/alias

root355014.23.64938817788?Rsl13:570:00/root/chroot/httpd/httpd

apache35590.21.4493886888?S13:570:00/root/chroot/httpd/httpd

apache35600.21.4493886888?S13:570:00/root/chroot/httpd/httpd

apache35610.21.4493886888?S13:570:00/root/chroot/httpd/httpd

apache35620.21.4493886888?S13:570:00/root/chroot/httpd/httpd

apache35630.21.4493886888?S13:570:00/root/chroot/httpd/httpd

apache35640.21.4493886888?S13:570:00/root/chroot/httpd/httpd

apache35650.21.4493886888?S13:570:00/root/chroot/httpd/httpd

apache35660.21.4493886888?S13:570:00/root/chroot/httpd/httpd

root35680.00.14124668pts/2R+13:570:00grephttpd


本文出自:億恩科技【www.ibaoshan.net】

服務器租用/服務器托管中國五強!虛擬主機域名注冊頂級提供商!15年品質保障!--億恩科技[ENKJ.COM]

  • 您可能在找
  • 億恩北京公司:
  • 經營性ICP/ISP證:京B2-20150015
  • 億恩鄭州公司:
  • 經營性ICP/ISP/IDC證:豫B1.B2-20060070
  • 億恩南昌公司:
  • 經營性ICP/ISP證:贛B2-20080012
  • 服務器/云主機 24小時售后服務電話:0371-60135900
  • 虛擬主機/智能建站 24小時售后服務電話:0371-60135900
  • 專注服務器托管17年
    掃掃關注-微信公眾號
    0371-60135900
    Copyright© 1999-2019 ENKJ All Rights Reserved 億恩科技 版權所有  地址:鄭州市高新區翠竹街1號總部企業基地億恩大廈  法律顧問:河南亞太人律師事務所郝建鋒、杜慧月律師   京公網安備41019702002023號
      0
     
     
     
     

    0371-60135900
    7*24小時客服服務熱線

     
     
    成在人线AV无码免费| 日本适合18岁以上的护肤品| 成熟人妻换╳╳╳╳Ⅹ| 亚洲日韩AA特黄毛片试看| 秋霞国产午夜伦午夜无码灬| 花色98堂新网名内容与理念| 白丝?扒腿自慰爽出白浆| 亚洲毛片ΑV无线播放一区| 日韩综合亚洲色在线影院| 久久久久久亚洲综合影院| 国产成人AV区一区二区三| 中国老B亂伦AV| 无码专区6080YY电影| 欧美黑人巨大XXXXX| 激情内射人妻1区2区3区| 成为人视频人的APP有哪些软件| 一炕四女被窝交换啪啪| 未满小14洗澡无码视频网站 | 色婷婷综合和线在线| 老男人久久青草AV高清| 国产精品你懂的在线播放| 99久久99久久精品国产片| 亚洲丰满熟妇浓毛XXXX| 日韩精品内射视频免费观看| 久久无码国产专区精品| 国产精品日日摸夜夜添夜夜添| 97婷婷狠狠成为人免费视频| 亚洲国产精品久久久久制服| 日韩欧美一区二区三区视频 | 国内精品久久久久久久97牛牛 | 中年国产丰满熟女乱子正在播放 | 国产精品久久久久久久久久直播| 9久9久女女免费视频精品| 亚洲国产AV玩弄放荡人妇| 日日噜噜夜夜狠狠视频免费| 看久久久久久A级毛片| 国产精品天干天干在线观看| JAPANESETUBE日本X| 亚洲日韩精品无码专区网站 | 久久99精品久久久久久蜜芽| 国产成人精品123区免费视频| 99精品国产成人一区二区| 亚洲国产一区二区三区在线观看 | 掀开老师的裙子挺进去| 人妻无码一区二区三区视频| 久久精品水蜜桃AV综合天堂| 国产精品99久久久久| WWXX在线观看免费| 一本大道香蕉在线精品| 香港经典A毛片免费观看变态| 人人妻人人澡人人爽精品日本| 老女人性饥渴XXXXⅩHD| 国内精品久久久久久中文字幕 | 亚洲国产精品无码中文字视| 糖心VLOG肉丝库水柚子猫| 欧美在线观看免费做受视频| 久久亚洲AV成人无码电影| 国产综合久久亚洲综合| 俄罗斯卖CSGO的网站| 91久人人做人人妻人人玩精品 | 午夜伦情电午夜伦情电影| 人物动物交互第LL0集| 麻豆╳╳╳乱女另类| 好爽好紧好大的免费视频国产| 国产SUV精品一区二区883| www啪啪小白浆内射无码| 夜夜高潮次次欢爽AV女| 亚洲AV日韩AV成人AV| 日文中字乱码一二三区别在哪| 哦┅┅快┅┅用力啊┅┅电影 | 宝贝腿开大一点你真湿H| 孕妇特级毛片WW无码内射| 亚洲国产成人一区二区三区 | 日本体内SHE精高潮| 奶酥1V2双C高| 久久久久久久精品成人热色戒| 国产婷婷色综合AV蜜臀AV| 二男一女一起日B| 7723影视大全在线观看| 亚洲自偷自拍熟女另类| 亚洲AV一二三四区四色婷婷| 脱岳裙子从后面挺进去电影| 日本无吗无卡V免费清高清| 欧美成人精品视频在线不卡| 久久久久亚洲AV无码专区桃色| 豪妇荡乳1一5潘金莲2在线| 国产精品久久国产三级国不卡顿| 成人综合激情另类小说| JAPONENSISFES中国| 中文字幕精品亚洲无线码一区应用 | 久久久久无码国产精品不卡| 国色精品卡一卡2卡3卡4卡在线 | 亚州AV综合色区无码一区| 少妇呻吟翘臀后进爆白浆| 人妻少妇精品无码专区动漫 | 91精品人妻一区二区三区| 一区二区三区AV高清免费波多| 亚洲国产成在人网站天堂| 小洁和公H文翁17| 四虎一区二区成人免费影院网址| 人人婷婷色综合五月第四人色阁| 女人两个奶被揉到高潮就不想了 | 大胆人体艺术视频| YSL小金管水蜜桃色| 18国产精品白浆在线观看免费| 一本加勒比HEZYO无码资源网| 亚洲精品第一国产综合亚AV| 亚洲AV嫩草AV极品在线观看| 污污污污污WWW网站免费| 肉体XXXXXⅠ8XXXX| 人与畜禽CORPORATION| 欧美黑人巨大手机在线观看| 乱人伦人妻中文字幕不卡| 久久久久精品少妇9999| 娇妻系列交换27部多P小| 国精产品一区一区三区| 国产伦精品一区二区三区免费| 国产成人AⅤ片在线观看免费| 大炕上的肉体交换| 宝贝乖女你的奶真大水真多小说| 99久久久国产精品消防器材| 中文字幕无码家庭乱欲| 欲しがる人妻 波多野结衣| 亚洲综合熟女久久久30P| 亚洲精品沙发午睡系列| 亚洲AV永久中文无码精品综合| 小浪货腿张开水好多呀H| 无码国产精品一区二区免费模式| 少妇与亲子伦系列小说| 色综合久久久久久久久五月| 日韩精品久久无码中文字幕| 日本XXX色视频在线观看| 欧美最猛性XXXXX大叫| 欧美国产成人精品二区芒果视频| 男男黄Gay片免费网站www| 麻豆一二三四区乱码| 老师上课没戴奶罩看到奶头| 久久人午夜亚洲精品无码区| 久久久久无码精品国产H动漫| 久久AV高潮AV无码AV喷吹| 九色综合狠狠综合久久| 精品无码人妻被多人侵犯AV| 精产国品一二三产区区别在哪儿呢| 好男人好社区好资源在线| 好男人网官网在线观看2019| 好男人日本社区WWW| 黑人与中国娇小美女AV在线| 黑人巨大无码中文字幕无码| 黑人强伦姧人妻完整版| 狠狠爱ADY亚洲色| 精产国品一二三产品区别在哪| 护士扒下内裤让我爽一夜| 狠狠爱俺也去去就色| 精产国品一二三产区区別| 极品AV麻豆国产在线观看| 娇喘潮喷抽搐高潮在线视频| 精品久久久久国产免费| 精品国产一二三产品区别在哪| 精品国产亚洲AV麻豆| 久久99国产精品久久99蜜桃 | VPSWINDOWS另类乱| しぼっちうぞ2在线观看1一| 波多野结衣AV一区二区三区中文| 成年无码动漫AV片在线尤物| 东北妇女精品BBWBBW| 福利 无码 三级 视频| 国产成人MV在线播放| 国产精品国产三级国产AV浪潮| 国产精品久久久久9999不卡| 国产精品自产拍在线18禁 | 精品深夜AV无码一区二区老年| 久久国产免费直播| 久久综合给合久久狠狠狠88| 免费A级毛片18禁| 欧美XXXX做受欧美1314| 欧洲北美性爱逼逼视频图片| 人妻无码熟妇乱又伦精品| 日韩精品视频三区| 色翁荡息又大又硬又粗视频| 天美传媒在线观看果冻传媒视频 | 国产精品久久久久久AV| 国产男男GaYGaY无套| 好男人好资源神马在线观看| 精品无人区一线二线三线区别 | 夜夜添夜夜添夜夜摸夜夜摸| 在线观看国产一区二区三区| 中文字幕在线不卡精品视频99| 99精产国电影品一二三产区区别| XOXOXO性ⅩYY欧美人与人| 成人欧美一区二区三区在线| 国产成年女人特黄特色毛片免| 国产伦精品一区二区三区免.费 | 看全色黄大色黄大片 视频| 男女高潮又爽又黄又无遮挡| 欧美亚洲国产片在线播放| 日韩欧无码一区二区三区免费不卡 | 国精产品一二三四区产品| 精品粉嫩BBWBBZBBW| 久久久久久精品免费免费WER| 蜜桃久久精品成人无码AV|