分类:
2010-05-06 15:32:08
建立测试网页。
# #mkdir /var/www/html/ldap
#echo “LDAP Auth Test Page” > /var/www/html/ldap/index.html
安装mod_authz_ldap模块。
要让Apache服务器可以存取LDAP服务器上的资料,必须利用mod_authz_ldap模块作为Apache和LDAP服务器之间认证的接口,所以必须安装mod_authz_ldap模块。
# rpm -ivh mod_authz_ldap*.rpm
修改/etc/httpd/conf.d/auth_mysql.conf。
若之前曾安装mod_auth_mysql认证模块,则必须将mod_auth_mysql模块功能关闭。
#LoadModule mysql_auth_module modules/mod_auth_mysql.so
修改/etc/httpd/conf.d/authz_ldap.conf。
#
#
# AuthzLDAPEngine on
# AuthzLDAPServer localhost
# AuthzLDAPUserBase ou=People,dc=example,dc=com
# AuthzLDAPUserKey uid
# AuthzLDAPUserScope base
# AuthType basic
# AuthName "ldap@example.com"
# require valid-user
#
修改为以下文字:
# LoadModule authz_ldap_module modules/mod_authz_ldap.so
AuthzLDAPServer localhost
AuthzLDAPUserBase ou=People,dc=example,dc=com
AuthzLDAPUserKey uid
AuthzLDAPUserScope base
AuthType basic
AuthName "ldap@example.com"
require valid-user
重新启动Apache服务器。
# #service httpd restart
停止 httpd: [ 确定 ]
启动 httpd: [ 确定 ]
使用tcp_wrappers和AIDE可以为系统提供额外的保护。使用tcp_wrappers可以进一部控制访问权限。AIDE是一个数据完整性检测工具,可以帮助系统管理员监视系统是否被改动过,你可以在AIDE的配置文件中编制特定的策略,监视Web服务器的配置文件、数据和CGI文件是否被修改。另外Selinux也可以保护Apache服务器(第16章将会介绍)。如果对目录服务比较熟悉,还可以使用LDAP服务器对Apache服务器进行访问认证。
在Apache配置文件中,有一些安全相关的指令可以使用。这些指令的详细用法可以参考 apache.org/docs/mod/directives.html。
使用以下指令可以帮助你减小拒绝服务攻击的威胁。
— LimitRequestbody:数字参数,控制HTTP请求的大小。
— LimitRequestFields:数字参数,控制请求头的数目。
— KeepAlive:设置连接的生存期。
— KeepAliveTimeout:限制等待请求的时间。
使用以下指令可以帮助你减少缓冲区溢出的危险。
— LimitRequestFieldSize:限制每个请求头的大小。
— LimitRequestLine:限制每个请求行的大小。
实际上,大部分Web站点被破坏者恶意攻击是因为应用程序或脚本中的漏洞。Web安全专家认为,运行在Web服务器上的脚本或应用程序是最大的危险因素。因为CGI脚本通常产生动态内容,它们经常导致很大损害。对于大部分Web服务器来说,首先应该考虑如何加强安全配置。
