Chinaunix首页 | 论坛 | 博客
  • 博客访问: 658253
  • 博文数量: 780
  • 博客积分: 10000
  • 博客等级: 上将
  • 技术积分: 4885
  • 用 户 组: 普通用户
  • 注册时间: 2008-08-22 16:14
文章分类

全部博文(780)

文章存档

2008年(780)

我的朋友

分类: LINUX

2008-08-22 16:19:21


一、Apache服务器的功能
  
  ApacheServe的前身是NCSA的httpd,曾经在1995年成为最为流行的万维网的服务器。因为强大的功能和灵活的设置及平台移植性,ApacheServer取得了广泛的信赖。ApacheServer的主要功能有:

  1、支持最新的HTTP1.1协议(RFC2616)。
  2、极强的可配置和可扩展性,充分利用第三方模快的功能。
  3、提供全部的源代码和不受限制的使用许可(License)。
  4、广泛应用于Windows2000/NT/9x、Netware5.x,OS/2和UNIX家族极其他操作系统,所支持的平台多达17余种。
  5、强大的功能,涵盖了用户的需求,包括:认证中的DBM数据库支持;错误和问题的可定制响应的目录导向功能;不受限的灵活的URL别名机制和重定向功能;虚拟主机(多宿主主机)支持多个域主页共存一台主机;超强的日志文件功能;利用站点的分析;拓展于维护等等。

  正因为这些强大的优势,使ApacheServer与其他的Web服务器相比,充分展示了高效、稳定及功能丰富的特点。ApacheServer已用于超过600万个Internet站点。

  二、Apache服务器的安全特性

  作为最流行的Web服务器,ApacheServer提供了较好的安全特性,使其能够应对可能的安全威胁和信息泄漏。

1、采用选择性访问控制和强制性访问控制的安全策略

  从Apache或Web的角度来讲,选择性访问控制DAC(DiscretionaryAccessControl)仍是基于用户名和密码的,强制性访问控制MAC(MandatoryAccessControl)则是依据发出请求的客户端的IP地址或所在的域号来进行界定的。对于DAC方式,如输入错误,那么用户还有机会更正,从新输入正确的的密码;如果用户通过不了MAC关卡,那么用户将被禁止做进一步的操作,除非服务器作出安全策略调整,否则用户的任何努力都将无济于事。

  2、Apache的安全模块

  Apache的一个优势便是其灵活的模块结构,其设计思想也是围绕模块(Modules)概念而展开的。安全模块是ApacheServer中的极其重要的组成部分。这些安全模块负责提供ApacheServer的访问控制和认证、授权等一系列至关重要的安全服务。

  mod_access模块能够根据访问者的IP地址(或域名,主机名等)来控制对Apache服务器的访问,称之为基于主机的访问控制。

  mod_auth模块用来控制用户和组的认证授权(Authentication)。用户名和口令存于纯文本文件中。mod_auth_db和mod_auth_dbm模块则分别将用户信息(如名称、组属和口令等)存于Berkeley-DB及DBM型的小型数据库中,便于管理及提高应用效率。

  mod_auth_digest模块则采用MD5数字签名的方式来进行用户的认证,但它相应的需要客户端的支持。

  mod_auth_anon模块的功能和mod_auth的功能类似,只是它允许匿名登录,将用户输入的E-mail地址作为口令。

  SSL(SecureSocketLager),被Apache所支持的安全套接字层协议,提供Internet上安全交易服务,如电子商务中的一项安全措施。通过对通讯字节流的加密来防止敏感信息的泄漏。但是,Apache的这种支持是建立在对Apache的API扩展来实现的,相当于一个外部模块,通过与第三方程序的结合提供安全的网上交易支持。

 三、Apache服务器的安全配置

  在前面的内容中提到过,Apache具有灵活的设置。所有Apache的安全特性都要经过周密的设计与规划,进行认真地配置才能够实现。Apache服务器的安全配置包括很多层面,有运行环境、认证与授权设置及建立安全的电子交易链接等。

  1、Apache的安装配置和运行

  (1)以Nobody用户运行一般情况下,Apache是由Root来安装和运行的。如果ApacheServer进程具有Root用户特权,那么它将给系统的安全构成很大的威胁,应确保ApacheServer进程以最可能低的权限用户来运行。通过修改httpd.conf文件中的下列选项,以Nobody用户运行Apache达到相对安全的目的。

  Usernobody
  Group#-1

  (2)ServerRoot目录的权限

  为了确保所有的配置是适当的和安全的,需要严格控制Apache主目录的访问权限,使非超级用户不能修改该目录中的内容。Apache的主目录对应于ApacheServer配置文件httpd.conf的ServerRoot控制项中,应为:

  ServerRoot/usr/local/apache

  (3)SSI的配置

  在配置文件access.conf或httpd.conf中的确Options指令处加入IncludesNOEXEC选项,用以禁用ApacheServer中的执行功能。避免用户直接执行Apache服务器中的执行程序,而造成服务器系统的公开化。

  
  OptionsIncludesNoexec
  

  (4)阻止用户修改系统设置

  在Apache服务器的配置文件中进行以下的设置,阻止用户建立、修改.htaccess文件,防止用户超越能定义的系统安全特性。

  
  AllowOverideNone
  OptionsNone
  Allowfromall
  

  然后再分别对特定的目录进行适当的配置。

  (5)Apache服务器的确省访问特性

  Apache的默认设置只能保障一定程度的安全,如果服务器能够通过正常的映射规则找到文件,那么客户端便会获取该文件,如~root/将允许用户访问整个文件系统。在服务器文件中加入如下内容:

  
  orderdeny,ellow
  Denyfromall
  

  将禁止对文件系统的缺省访问。

  (6)CGI脚本的安全考虑

  CGI脚本是一系列可以通过Web服务器来运行的程序。为了保证系统的安全性,应确保CGI的作者是可信的。对CGI而言,最好将其限制在一个特定的目录下,如cgi-bin之下,便于管理;另外应该保证CGI目录下的文件是不可写的,避免一些欺骗性的程序驻留或混迹其中;如果能够给用户提供一个安全性良好的CGI程序的模块作为参考,也许会减少许多不必要的麻烦和安全隐患;除去CGI目录下的所有非业务应用的脚本,以防异常的信息泄漏。

  以上这些常用的举措可以给ApacheServer一个基本的安全运行环境,显然在具体实施上还要做进一步的细化分解,制定出符合实际应用的安全配置方案。

  四、ApacheServer基于主机的访问控制

  ApacheServer默认情况下的安全配置是拒绝一切访问。假定ApacheServer内容存放在/usr/local/apache/share目录下,下面的指令将实现这种设置:

  
  Denyfromall
  AllowOverrideNone
  

  则禁止在任一目录下改变认证和访问控制方法。

  同样,可以用特有的命令Deny、Allow指定某些用户可以访问,哪些用户不能访问,提供一定的灵活性。当Deny、Allow一起用时,用命令Order决定Deny和Allow合用的顺序。

  1、拒绝某类地址的用户对服务器的访问权(Deny)

  如:Denyfromall
  Denyfromtest.cnn.com
  Denyfrom204.168.190.13
  Denyfrom10.10.10.0/255.255.0.0

  2、允许某类地址的用户对服务器的访问权(Allow)

  如:Allowfromall
  Allowfromtest.cnn.com
  Allowfrom204.168.190.13
  Allowfrom10.10.10.0/255.255.0.0
  Deny和Allow指令后可以输入多个变量。

  3、实例:

  OrderAllow,Deny
  Allowfromall
  Denyfromwww.***.com

  则,想让所有的人访问Apache服务器,但不希望来自www.***.com的任何访问。

  OrderDeny,Allow
  Denyfromall
  Allowfromtest.cnn.com

  则,不想让所有人访问,但希望给test.cnn.com网站的来访。

  有关访问控制的高级设置请阅读UNIX系统管理书籍。

  五、ApacheSever的用户认证与授权

  概括的讲,用户认证就是验证用户的身份的真实性,如用户帐号是否在数据库中,及用户帐号所对应的密码是否正确;用户授权表示检验有效用户是否被许可访问特定的资源。在Apache中,几乎所有的安全模块实际上兼顾这两个方面。从安全的角度来看,用户的认证和授权相当于选择性访问控制。

  建立用户的认证授权需要三个步骤:

  (1)建立用户库

  用户名和口令列表需要存在于文件(mod_auth模块)或数据库(mod_auth_dbm模块)中。基于安全的原因,该文件不能存放在文挡的根目录下。如,存放在/usr/local/etc/httpd下的users文件,其格式与UNIX口令文件格式相似,但口令是以加密的形式存放的。应用程序htpasswd可以用来添加或更改程序:

  htpasswd–c/usr/local/etc/httpd/usersmartin

  -c表明添加新用户,martin为新添加的用户名,在程序执行过程中,两次输入口令回答。用户名和口令添加到users文件中。产生的用户文件有如下的形式:

  martin:WrU808BHQai36
  jane:iABCQFQs40E8M
  art:FadHN3W753sSU

  第一域是用户名,第二个域是用户密码。
  (2)配置服务器的保护域

  为了使Apache服务器能够利用用户文件中的用户名和口令信息,需要设置保护域(Realm)。一个域实际上是站点的一部分(如一个目录、文档等)或整个站点只供部分用户访问。在相关目录下的.htaccess文件或httpd.conf(acces.conf)中的段中,由AuthName来指定被保护层的域。在.htaccess文件中对用户文件有效用户的授权访问及指定域保护有如下指定:

  AuthName “restrictedstuff”
  AuthtypeBasic
  AuthUserFile/usr/local/etc/httpd/users
  Requirevalid-user

  其中,AuthName指出了保护域的域名(RealmName)。valid-user参数意味着user文件中的所有用户都是可用的。一旦用户输入了一个有效的用户/口令时,同一个域内的其他资源都可以利用同样的用户/口令来进行访问,同样可以使两个不同的区域共用同样的用户/口令。

  (3)告诉服务器哪些用户拥有资源的访问权限

  如果想将一资源的访问权限授予一组客户,可以将他们的名字都列在Require之后。最好的办法是利用组(group)文件。组的操作和标准的UNIX的组的概念类似,任一个用户可以属于一个和数个组。这样就可以在配置文件中利用Require对组赋予某些权限。如:

  Requiregroupstaff
  Requiregroupstaffadmin
  Requireuseradminuser

  指定了一个组、几个组或一个用户的访问权限。

  需要指出的是,当需要建立大批用户帐号时,那么Apache服务器利用用户文件数据库将会极大地降低效率。这种情况下,最好采用数据库格式的帐号文件,譬如DBM数据库格式的文件。还可以根据需要利用db格式(mod_auth_db)的数据文件,或者直接利用数据库,如:mSQL(mod_auth_msql)或DBI兼容的数据库(mod_auth_dbi)。

  六、在Apache中使用DBM用户认证

  DBM文件是一种简单而标准的用于加快读取效率的保存信息的方法。文件中存放的每一个记录由两个部分组成部分:键和值。由于DBM的格式,使得与键相关的信息非常有效。在Web用户认证中,这里的键将是用户名,而与该键相关的值将是该用户经过加密的口令信息。从DBM文件中查找用户名和口令,要比从一个纯文本文件中查找有效得多。对于有很多用户的站点,这种方法将大大提高用户认证的效率。

  (1)在Apache服务器中增加DBM模块

  在默认的条件下,Apache不使用DBM文件来完成用户认证,因此编译时一定要加入可选的DBM认证模块。重新配置Apache服务器文件,去掉其中的注释行

  #Moduledbm_auth_modulemod_auth_dbm.o

  前的“#”,并重新编译。但是,在编译之前,需要指出ApacheDBM函数的位置。

  (2)创建DBM用户文件(假设文件名为users)

  Apache提供了一个“dbmmanage”的程序,用于创建和管理DBM文件。其中:

  Dbmmanage/usr/local/etc/httpd/usersdbm     创建DBM文件
  Dbmmanage/usr/local/etc/httpd/usersaddusermartinhamster新增用户
  Dbmmanage/usr/local/etc/httpd/usersdbmdeletemartin   删除用户
  Dbmmanage/usr/local/etc/httpd/usersdbmview 显示DBM中所有用户

  有了DBM数据库文件,还要替换目录访问控制,即将Apache配置文件(access.conf)中的AuthUserFile部分替换成:AuthUserFile/usr/local/etc/usersdbm告诉Apache现在的用户文件是DBM的格式。

  以上内容,是作者在长期的网站管理工作中的一点积累。由于篇幅的关系,只能作粗略的描述,远不能表达清楚Apache服务器的安全使用。安全是相对的,严防是绝对的。只有及时了解最新的安全信息,掌握最新的安全技术、工具,根据实际情况,制定安全策略,才能及时有效地抵御各种各样的网上“侵略者”。

下载本文示例代码
阅读(227) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~