Apache安全和強(qiáng)化的十三個技巧
Apache是一個很受歡迎的web服務(wù)器軟件,其安全性對于網(wǎng)站的安全運(yùn)營可謂生死攸關(guān)。下面介紹一些可幫助管理員在Linux上配置Apache確保其安全的方法和技巧。
本文假設(shè)你知道這些基本知識:
文檔的根目錄: /var/www/html or /var/www
主配置文件: /etc/httpd/conf/httpd.conf (RHEL/CentOS/Fedora等系統(tǒng)) 或/etc/apache/apache2.conf (Debian/Ubuntu).
默認(rèn)HTTP 端口: 80 TCP
默認(rèn) HTTPS 端口: 443 TCP
測試配置文件設(shè)置及語法: httpd -t
對Web服務(wù)器的日志文件的訪問: /var/log/httpd/access_log
Web服務(wù)器錯誤日志文件: /var/log/httpd/error_log
1、避免在錯誤中顯示Apache版本和操作系統(tǒng)的ID
一般情況下,在用源代碼安裝或用yum等包安裝程序安裝Apache時,Apache服務(wù)器的版本號和服務(wù)器操作系統(tǒng)的名稱都可以在錯誤消息中顯示,而且還會顯示安裝在服務(wù)器上的Apache模塊信息。
在上圖中,可以看出錯誤頁面顯示了Apache的版本以及服務(wù)器所安裝的操作系統(tǒng)版本。這有可能成為Web服務(wù)器和Linux系統(tǒng)的一個重要威脅。為防止Apache把這些信息泄露出來,我們需要在Apache的主要配置文件中進(jìn)行更改:
用vim編輯器打開配置文件,查找“ServerSignature”,默認(rèn)情況下它是打開狀態(tài)。我們需要關(guān)閉服務(wù)器簽名。ServerTokens Prod告訴Apache只在每一個請求網(wǎng)頁的服務(wù)器響應(yīng)的頭部,僅返回Apache產(chǎn)品名稱。
# vim /etc/httpd/conf/httpd.conf (RHEL/CentOS/Fedora) # vim /etc/apache/apache2.conf (Debian/Ubuntu) ServerSignature Off ServerTokens Prod # service httpd restart (RHEL/CentOS/Fedora) # service apache2 restart (Debian/Ubuntu)
2、禁用目錄列表
默認(rèn)情況下,在缺少index文件時,Apache會列示root目錄的所有內(nèi)容。如下圖所示:
對于某個特定目錄,我們可以在配置文件中用“Options directive”關(guān)閉目錄列示。可以在httpd.conf或apache2.conf文件中加入如下項(xiàng)目:
Options -Indexes
其效果類似于下圖:
3、經(jīng)常更新Apache
Apache的開發(fā)社區(qū)一直在不斷地改善安全問題,并經(jīng)常發(fā)布帶有新的安全特性的最新版本。所以我們建議你使用最新的Apache作為自己的web服務(wù)器。為檢查Apache的版本,我們可以用httpd –v命令來檢查最新的版本。
# httpd -v Server version: Apache/2.2.15 (Unix) Server built: Aug 13 2013 17:29:28
可以用下面的命令更新Apache版本。
# yum update httpd # apt-get install apache2
如果你并不是在特定操作系統(tǒng)或內(nèi)核上運(yùn)行某個特別的軟件,建議你保持內(nèi)核和Linux操作系統(tǒng)為最新版本。
4、禁用不必要的模塊
為了盡量減少網(wǎng)站遭受Web攻擊的機(jī)會,管理員最好禁用目前不用的所有模塊。你可以使用下面的命令,列示W(wǎng)eb服務(wù)器所有的已編譯模塊。
# grep LoadModule /etc/httpd/conf/httpd.conf # have to place corresponding `LoadModule' lines at this location so the # LoadModule foo_module modules/mod_foo.so LoadModule auth_basic_module modules/mod_auth_basic.so LoadModule auth_digest_module modules/mod_auth_digest.so LoadModule authn_file_module modules/mod_authn_file.so LoadModule authn_alias_module modules/mod_authn_alias.so LoadModule authn_anon_module modules/mod_authn_anon.so LoadModule authn_dbm_module modules/mod_authn_dbm.so LoadModule authn_default_module modules/mod_authn_default.so LoadModule authz_host_module modules/mod_authz_host.so LoadModule authz_user_module modules/mod_authz_user.so LoadModule authz_owner_module modules/mod_authz_owner.so LoadModule authz_groupfile_module modules/mod_authz_groupfile.so LoadModule authz_dbm_module modules/mod_authz_dbm.so LoadModule authz_default_module modules/mod_authz_default.so LoadModule ldap_module modules/mod_ldap.so LoadModule authnz_ldap_module modules/mod_authnz_ldap.so LoadModule include_module modules/mod_include.so LoadModule log_config_module modules/mod_log_config.so LoadModule logio_module modules/mod_logio.so LoadModule env_module modules/mod_env.so LoadModule ext_filter_module modules/mod_ext_filter.so ……
上述模塊在默認(rèn)情況下都是啟用的,但往往并不需要,特別是mod_imap,mod_include, mod_info, mod_userdir, mod_autoindex。要禁用特定的模塊,可以在該模塊所在行的開頭插入“#”注釋,并重新啟動服務(wù)。
5、用獨(dú)立的用戶和組運(yùn)行Apache
在默認(rèn)的安裝方式中,運(yùn)行Apache進(jìn)程時的用戶是“nobody”或daemon。為安全起見,我們建議用非特權(quán)賬戶運(yùn)行Apache,例如,我們要使用http-web,就需要創(chuàng)建該Apache 用戶和組:
# groupadd http-web # useradd -d /var/www/ -g http-web -s /bin/nologin http-web
現(xiàn)在你需要告訴Apache用這個新用戶運(yùn)行,為此,我們需要在/etc/httpd/conf/httpd.conf中加入一個新條目,并重新啟動服務(wù)。
用vim編輯器打開/etc/httpd/conf/httpd.conf ,查找關(guān)鍵字“User” 和 “Group”,然后將后面的用戶名和組名改為http-web:
User http-web Group http-web
6、對用戶的允許和禁止,限制對目錄的訪問
我們可以用httpd.conf文件中的“Allow” 和“Deny”限制對目錄的訪問。在本例中,我們要保證root目錄的安全,在httpd.conf文件中進(jìn)行如下的設(shè)置:
Options None Order deny,allow Deny from all
其中,Options “None”表示不允許用戶啟用任何可選特性。
Order deny, allow---在這里處理“Deny” 和 “Allow”指令,首先禁用,然后才是允許。
Deny from all,禁用所有人對root目錄的請求,任何人都不能訪問根(root)目錄。
7、使用mod_security和mod_evasive來保障Apache的安全
“mod_security”和“mod_evasive”是Apache在安全方面非常流行的兩個模塊。mod_security作為防火墻而運(yùn)行,它允許我們適時地監(jiān)視通信,還可以有助于我們保護(hù)網(wǎng)站或Web服務(wù)器免受暴力破解攻擊。借助默認(rèn)的包安裝程序,我們可以輕松地把mod_security安裝在服務(wù)器上。下例說明如何在Ubuntu或Debian系統(tǒng)上安裝mod_security:
$ sudo apt-get install libapache2-mod-security $ sudo a2enmod mod-security $ sudo /etc/init.d/apache2 force-reload
下面的命令可以在RHEL/CentOS/Fedora系統(tǒng)上安裝mod_security:
# yum install mod_security # /etc/init.d/httpd restart
另一個模塊mod_evasive的工作效率很高,它只采用一個請求就可以很好地工作,可以防止DDoS攻擊造成巨大危害。mod_evasive可以應(yīng)對http暴力破解攻擊和DoS(或DDoS)攻擊。該模塊可以在三種情況下檢測攻擊:一是在每秒鐘內(nèi)有太多請求到達(dá)同一個頁面時,二是在任何子進(jìn)程試圖發(fā)出超過50個并發(fā)請求時,三是在任何地址已經(jīng)被臨時列入黑名單時它仍試圖嘗試新的請求。
8、禁用Apache遵循符號鏈接
默認(rèn)情況下,Apache遵循符號鏈接,我們可以用options指令的FollowSymLinks來關(guān)閉這個特性。為此,我們需要在主配置文件中加入一條:
Options –FollowSymLinks
如果有一個特定的用戶或網(wǎng)站需要遵循符號連接,我們可以在那個網(wǎng)站的.htaccess文件中增加規(guī)則:
# Enable symbolic links Options +FollowSymLinks
注意:為將規(guī)則重新寫入到.htaccess文件中,在主配置文件中,應(yīng)當(dāng)全局防止“AllowOverride All”
9、關(guān)閉服務(wù)器端包含和CGI執(zhí)行
如果我們不需要,就可以關(guān)閉服務(wù)器端包含(mod_include)和CGI執(zhí)行。為此,我們需要修改主配置文件:
Options -Includes Options –ExecCGI
我們還可以用Directior標(biāo)記對特定目錄執(zhí)行這種操作。在本例中,我們關(guān)閉了/var/www/html/web1這個目錄的Includes和Cgi文件執(zhí)行:
Options -Includes -ExecCGI
下面列示的是其它一些可以用Options指令打開或關(guān)閉的值:
Options All:立即啟用所有選項(xiàng)。如果你不想在Apache配置文件或.htaccess中明確地指定任何值,那么它就是默認(rèn)值。 Options IncludesNOEXEC:該選項(xiàng)允許服務(wù)器端包含文件但不執(zhí)行命令或CGI。 Options MultiViews:允許內(nèi)容協(xié)商多重視圖(使用mod_negotiation) Options SymLinksIfOwnerMatch:跟FollowSymLinks類似。但是要當(dāng)符號連接和被連接的原始目錄是同一所有者時才被允許。
10、限制請求的大小
Apache在默認(rèn)情況下對HTTP請求的總大小是沒有限制的。在你允許Web服務(wù)器可以接受大量請求時,你就有可能成為DoS攻擊的受害者。我們可以用directiory標(biāo)簽來限制 LimitRequestBody指令的請求大小。
你可以用字節(jié)來設(shè)置這個值(從0到2147483647,0表示無限制)。你可以根據(jù)自己的需要限制這個值。假設(shè)你要限制user_uploads這個目錄所包含的用戶上傳文件量,并且限制為500K,就應(yīng)當(dāng):
LimitRequestBody 512000
11、DDoS攻擊的防御和強(qiáng)化
你不可能完全阻止企業(yè)網(wǎng)站免受DdoS攻擊。下面這些命令便于你進(jìn)行控制。
TimeOut指令用于設(shè)置在特定事件失效之前,服務(wù)器等待事件完成的時間長度。其默認(rèn)值是300秒。對于容易遭受DDoS攻擊的網(wǎng)站,把這個值降低很有好處。這個值的大小取決于網(wǎng)站上的請求種類。注意,對于某些CGI腳本,這個設(shè)置可能會產(chǎn)生問題。
MaxClients:此指令允許用戶設(shè)置服務(wù)器可同時服務(wù)的連接限制。每一個新連接都要根據(jù)這個限制進(jìn)行排隊(duì)。它適用于Prefork和Worker。其默認(rèn)值為256。 KeepAliveTimeout:在關(guān)閉連接之前,服務(wù)器隨后的等待時間長度。默認(rèn)值是5秒。 LimitRequestFields:這個設(shè)置可以幫助我們限制可以接受的HTTP請求的頭部字段數(shù)量。其默認(rèn)值為100。 有時,由于http的請求頭部過多而導(dǎo)致發(fā)生DDoS攻擊,用戶不妨降低這個值。 LimitRequestFieldSize:幫助我們設(shè)置HTTP請求頭部的大小。
12、啟用Apache日志功能
Apache允許你獨(dú)立記錄操作系統(tǒng)的日志。例如,在用戶與Web服務(wù)器進(jìn)行交互時所輸入的命令信息就非常有用。
為此,你需要包含mod_log_config模塊。Apache有三個主要的與日志相關(guān)的指令:
TransferLog:創(chuàng)建日志文件 LogFormat :設(shè)置定制格式 CustomLog :創(chuàng)建并格式化一個日志文件
我們還可以在虛擬主機(jī)部分設(shè)置這些命令。例如,下面的例子是啟用了日志功能的一個網(wǎng)站的虛擬主機(jī)配置:
DocumentRoot /var/www/html/example.com/ ServerName www.example.com DirectoryIndex index.htm index.html index.php ServerAlias example.com ErrorDocument 404 /story.php ErrorLog /var/log/httpd/example.com_error_log CustomLog /var/log/httpd/example.com_access_log combined
13、用ssl證書保障Apache的安全
你還可以用SSL證書用加密的方式保障信息傳輸?shù)陌踩T陔娮由虅?wù)網(wǎng)站中,消費(fèi)者為了買東西,有時需要提供賬戶或信用卡的細(xì)節(jié),默認(rèn)情況下,Web服務(wù)器用明文發(fā)送這些信息。配置服務(wù)器使其借助于SSL證書就可以為用戶進(jìn)行加密傳輸。
企業(yè)可以從不同的SSL供應(yīng)商購買SSL證書。小型企業(yè)一般并不愿意購買SSL證書,此時,你仍可以為網(wǎng)站分配一個自簽名證書。Apache使用mod_ssl模塊來支持SSL證書。
# openssl genrsa -des3 -out example.com.key 1024 # openssl req -new -key example.com.key -out exmaple.csr # openssl x509 -req -days 365 -in example.com.com.csr -signkey example.com.com.key -out example.com.com.crt
在創(chuàng)建并簽署了證書后,你需要在Apache配置中增加這個證書。用vim編輯器打開主配置文件,并增加下面的內(nèi)容,然后重啟服務(wù):
SSLEngine on SSLCertificateFile /etc/pki/tls/certs/example.com.crt SSLCertificateKeyFile /etc/pki/tls/certs/example.com.key SSLCertificateChainFile /etc/pki/tls/certs/sf_bundle.crt ServerAdmin ravi.saive@example.com ServerName example.com DocumentRoot /var/www/html/example/ ErrorLog /var/log/httpd/example.com-error_log CustomLog /var/log/httpd/example.com-access_log common
此時,打開瀏覽器,并輸入https://example.com,就可以看到自簽名的證書。
