企業級Apache服務器安全防護要點剖析(1)

Apache一直是世界上使用率排名前三的Web服務器軟件。企業使用其構建Web應用，從很大程度上都需要對其安全性進行綜合考慮，以保證能夠應對拒絕服務攻擊、流量竊聽、數據泄漏等網絡威脅，從而保證企業門戶網站的安全。

除了使用業界流行的防火墻、IDS/IPS（入侵檢測系統/入侵防御系統）、WAF（Web應用防火墻）、UTM（統一威脅管理）等外部安全設備對 Apache服務進行安全防護外，作為一種優秀的開源服務器軟件，Apache本身就具有很多優秀的特性可以為服務器管理員提供安全配置，以防范各種網絡攻擊。因此，充分、高效地挖掘Apache服務器的自身安全能力也是企業安全工作者一個必備的技能。基于此，本文將從4個方面詳細剖析Apache服務器的安全防護要點。

策略一：服務器端安全設置

1．限制root用戶運行Apache服務器

一般情況下，在Linux下啟動Apache服務器的進程httpd需要root權限。由于root權限太大，存在許多潛在的安全威脅。一些管理員為了安全起見，認為httpd服務器不可能沒有安全漏洞，因而更愿意使用普通用戶的權限來啟動服務器。http.conf主配置文件里面有如下兩個配置是 Apache的安全保證，Apache在啟動后，就將其本身設置為這兩個選項設置的用戶和組權限進行運行，降低了服務器的危險性。

Userapache

Groupapache

需要特別指出的是：以上兩個配置在主配置文件里面是默認選項，當采用root用戶身份運行httpd進程后，系統將自動將該進程的用戶組和權限改為apache，這樣，httpd進程的權限就被限制在apache用戶和組范圍內，因而保證了安全。

2．向客戶端隱藏Apache服務器的相關信息

Apache服務器的版本號可作為黑客入侵的重要信息被利用，通常他們在獲得版本號后，通過網上搜索針對該版本服務器的漏洞，從而使用相應的技術和工具有針對性的入侵，這也是滲透測試的一個關鍵步驟。因此，為了避免一些不必要的麻煩和安全隱患，可以通過主配置文件httpd.conf下的如下兩個選項進行：

（1）ServerTokens：該選項用于控制服務器是否響應來自客戶端的請求，向客戶端輸出服務器系統類型或者相應的內置模塊等重要信息。RedHatEnterpriseLinux5操作系統在主配置文件中提供全局默認控制閾值為OS，即 ServerTokensOS。它們將向客戶端公開操作系統信息和相關敏感信息，所以保證安全情況下需要在該選項后使用“ProductOnly”，即 ServerTokensProductOnly。

（2）ServerSignature：該選項控制由系統生成的頁面（錯誤信息等）。默認情況下為off，即 ServerSignatureoff，該情況下不輸出任何頁面信息。另一情況為on，即ServerSignatureon，該情況下輸出一行關于版本號等相關信息。安全情況下應該將其狀態設為off。

圖1和圖2為安全設定這兩個選項前后正常情況下和錯誤情況下的輸出頁面（通過Rhel5中的MozillaFirefox瀏覽器訪問Rhel5中的 Apache服務器）的詳細對比。可以清楚看到，安全設定選項后，可以充分地向客戶端用戶隱藏Linux操作系統信息和Apache服務器版本信息。

圖1錯誤情況下未設定安全選項前示意

圖2操作情況下使用安全設定后的對比

3．設置虛擬目錄和目錄權限

要從主目錄以外的其他目錄中進行發布，就必須創建虛擬目錄。虛擬目錄是一個位于Apache的主目錄外的目錄，它不包含在Apache的主目錄中，但在訪問Web站點的用戶看來，它與主目錄中的子目錄是一樣的。每個虛擬目錄都有一個別名，用戶Web瀏覽器中可以通過此別名來訪問虛擬目錄，如 http://服務器IP地址/別名/文件名，就可以訪問虛擬目錄下面的任何文件了。

使用Alias選項可以創建虛擬目錄。在主配置文件中，Apache默認已經創建了兩個虛擬目錄。這兩條語句分別建立了“/icons/”和“ /manual”兩個虛擬目錄，它們對應的物理路徑分別是“/var/www/icons/”和“/var/www/manual”。在主配置文件中，用戶可以看到如下配置語句：

Alias/icons/"/var/www/icons/"

Alias/manual"/var/www/manual"

在實際使用過程中，用戶可以自己創建虛擬目錄。比如，創建名為/user的虛擬目錄，它所對應的路徑為上面幾個例子中常用的/var/www/html/rhel5：

Alias/test"/var/www/html/rhel5"

如果需要對其進行權限設置，可以加入如下語句：

<Directory“/var/www/html/rhel5”>

AllowOverrideNone

OptionsIndexes

Orderallow,deny

Allowfromall

</Directory>

設置該虛擬目錄和目錄權限后，可以使用客戶端瀏覽器進行測試驗證，采用別名對該目錄中的文件進行訪問，瀏覽結果如圖3所示。

圖3使用虛擬目錄的測試結果

策略二：限制Apache服務的運行環境

Apache服務器需要綁定到80端口上來監聽請求，而root是唯一有這種權限的用戶，隨著攻擊手段和強度的增加，服務器受到相當大的威脅，一旦緩沖區溢出漏洞被利用，就可以控制整個系統。為了進一步提高系統安全性，Linux內核引入chroot機制，chroot是內核中的一個系統調用，軟件可以通過調用函數庫的chroot函數，來更改某個進程所能見到的根目錄。

chroot機制是將某軟件運行限制在指定目錄中，保證該軟件只能對該目錄及其子目錄的文件有所動作，從而保證整個服務器的安全。在這種情況下，即使出現黑客或者不法用戶通過該軟件破壞或侵入系統，Linux系統所受的損壞也僅限于該設定的根目錄，而不會影響到系統的其他部分。

將軟件chroot化的一個問題是該軟件運行時需要的所有程序、配置文件和庫文件都必須事先安裝到chroot目錄中，通常稱這個目錄為 chroot“監牢”。如果在“監牢”中運行httpd，那么用戶根本看不到Linux文件系統中那個真正的目錄，從而保證了Linux系統的安全。

在使用該技術的時候，一般情況下需要事先創建目錄，并將守護進程的可執行文件httpd復制到其中。同時，由于httpd需要幾個庫文件，所以需要把httpd程序依賴的幾個lib文件同時也拷貝到同一個目錄下，因此手工完成這一工作是非常麻煩的。幸運的是，用戶可以通過使用開源的jail軟件包來幫助簡化chroot“監牢”建立的過程，具體步驟如下所示：

Jail官方網站是http://www.jmcresearch.com/projects/。首先將其下載，然后執行如下命令進行源代碼包的編譯和安裝：

#tarxzvfjail_1.9a.tar.gz

#cdjail/src

#make

jail軟件包提供了幾個Perl腳本作為其核心命令，包括mkjailenv、addjailuser和addjailsw，他們位于解壓后的目錄jail/bin中。這幾個命令的基本用途如下所示：

mkjailenv：用于創建chroot“監牢”目錄，并且從真實文件系統中拷貝基本的軟件環境。

addjailsw：用于從真實文件系統中拷貝二進制可執行文件及其相關的其它文件（包括庫文件、輔助性文件和設備文件）到該“監牢”中。

addjailuser：創建新的chroot“監牢”用戶。

采用jail創建監牢的步驟如下所示；

（1）首先需要停止目前運行的httpd服務，然后建立chroot目錄，命令如下所示。該命令將chroot目錄建立在路徑/root/chroot/httpd下：

#servicehttpdstop

#mkjailenv/root/chroot/httpd

kjailenv

AcomponentofJail(version1.9forlinux)

http://www.gsyc.inf.uc3m.es/~assman/jail/

JuanM.Casillas<assman@gsyc.inf.uc3m.es>

Makingchrootedenvironmentinto/root/chroot/httpd

Doingpreinstall()

Doingspecial_devices()

Doinggen_template_password()

Doingpostinstall()

Done.

（2）為“監牢”添加httpd程序，命令如下：

#./addjailsw/root/chroot/httpd/-P/usr/sbin/httpd

addjailsw

AcomponentofJail(version1.9forlinux)

http://www.gsyc.inf.uc3m.es/~assman/jail/

JuanM.Casillas<assman@gsyc.inf.uc3m.es>

Guessing/usr/sbin/httpdargs(0)

Warning:can'tcreate/proc/mountsfromthe/procfilesystem

Done.

在上述過程中，用戶不需要在意那些警告信息，因為jail會調用ldd檢查httpd用到的庫文件。而幾乎所有基于共享庫的二進制可執行文件都需要上述的幾個庫文件。

（3）然后，將httpd的相關文件拷貝到“監牢”的相關目錄中，命令如下所示：

#mkdir-p/root/chroot/httpd/etc

#cp–a/etc/httpd/root/chroot/httpd/etc/

。。。。。。

添加后的目錄結構如下所示：

#ll

總計56

drwxr-xr-x2rootroot409603-2313:44dev

drwxr-xr-x3rootroot409603-2313:46etc

drwxr-xr-x2rootroot409603-2313:46lib

drwxr-xr-x2rootroot409603-2313:46selinux

drwsrwxrwx2rootroot409603-2313:46tmp

drwxr-xr-x4rootroot409603-2313:46usr

drwxr-xr-x3rootroot409603-2313:46var

（4）重新啟動httpd，并使用ps命令檢查httpd進程，發現該進程已經運行在監牢中，如下所示：

#ps-aux|grephttpd

Warning:badsyntax,perhapsabogus'-'?See/usr/share/doc/procps-3.2.7/FAQ

root35460.60.338281712pts/2S13:570:00/usr/sbin/nss_pcacheoff/etc/httpd/alias

root355014.23.64938817788?Rsl13:570:00/root/chroot/httpd/httpd

apache35590.21.4493886888?S13:570:00/root/chroot/httpd/httpd

apache35600.21.4493886888?S13:570:00/root/chroot/httpd/httpd

apache35610.21.4493886888?S13:570:00/root/chroot/httpd/httpd

apache35620.21.4493886888?S13:570:00/root/chroot/httpd/httpd

apache35630.21.4493886888?S13:570:00/root/chroot/httpd/httpd

apache35640.21.4493886888?S13:570:00/root/chroot/httpd/httpd

apache35650.21.4493886888?S13:570:00/root/chroot/httpd/httpd

apache35660.21.4493886888?S13:570:00/root/chroot/httpd/httpd

root35680.00.14124668pts/2R+13:570:00grephttpd

服務器租用/服務器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質保障！--億恩科技[ENKJ.COM]