正確配置與維護Apache安全性設置方法

2024-08-27 18:23:31

字體：大中小

來源：轉載

供稿：網友

Apache Server是一個非常優秀，非常棒的服務器，只要你正確配置和維護好Apache服務器，你就會感受到Apache Server 所帶來的好處，同樣希望你能夠通過閱讀本文達到理論和實踐雙豐收的目的。 一，Apache服務器的介紹

Apache服務器它是Internet網上應用最為廣泛的Web服務器軟件之一。Apache服務器源自美國國家超級技術計算應用中心（NCSA）的 Web服務器項目中。目前已在互聯網中占據了領導地位。Apache服務器得經過精心配置之后，才能使它適應高負荷，大吞吐量的互聯網工作?？焖佟⒖煽?、通過簡單的API擴展，Perl/Python解釋器可被編譯到服務器中，且完全免費，完全源代碼開放。如果你需要創建一個每天有數百萬人訪問的Web服務器，Apache可能是最佳選擇。

二，Apache服務器的主要安全缺陷

正如我們前言所說盡管Apache服務器應用最為廣泛，設計上非常安全的程序。但是同其它應用程序一樣，Apache也存在安全缺陷。畢竟它是完全源代碼，Apache服務器的安全缺陷主要是使用HTTP協議進行的拒絕服務攻擊(denial of service)、緩沖區溢出攻擊以及被攻擊者獲得 root權限三缺陷和最新的惡意的攻擊者進行“拒絕服務”(DoS)攻擊。合理的網絡配置能夠保護Apache服務器免遭多種攻擊。我們來介紹一下主要的安全缺陷：

（1）使用HTTP協議進行的拒絕服務攻擊(denial of service)的安全缺陷

這種方法攻擊者會通過某些手段使服務器拒絕對HTTP應答。這樣會使Apache對系統資源(CPU時間和內存)需求的劇增，最終造成Apache系統變慢甚至完全癱瘓。

（2）緩沖區溢出的安全缺陷

該方法攻擊者利用程序編寫的一些缺陷，使程序偏離正常的流程。程序使用靜態分配的內存保存請求數據，攻擊者就可以發送一個超長請求使緩沖區溢出。比如一些Perl編寫的處理用戶請求的網關腳本。一旦緩沖區溢出，攻擊者可以執行其惡意指令或者使系統宕機。

（3）被攻擊者獲得root權限的安全缺陷

該安全缺陷主要是因為Apache服務器一般以root權限運行(父進程)，攻擊者會通過它獲得root權限，進而控制整個Apache系統。

（4）惡意的攻擊者進行“拒絕服務”(DoS)攻擊的安全缺陷

這個最新在6月17日發現的漏洞，它主要是存在于Apache的chunk encoding中，這是一個HTTP協議定義的用于接受web用戶所提交數據的功能。利用黑客程序可以對于運行在FreeBSD 4.5, OpenBSD 3.0 / 3.1, NetBSD 1.5.2平臺上的 Apache服務器均可進行有效的攻擊.

所有說使用最高和最新安全版本對于加強Apache Web服務器的安全是至關重要的。請廣大Apache服務器管理員去http://www.apache.org/dist/httpd/下載補丁程序以確保其WEB服務器安全！

三，正確維護和配置Apache服務器

雖然Apache服務器的開發者非常注重安全性，由于Apache服務器其龐大的項目，難免會存在安全隱患。正確維護和配置Apache WEB服務器就很重要了。我們應注意的一些問題：

（1）Apache服務器配置文件

Apache Web服務器主要有三個配置文件，位于/usr/local/apache/conf目錄下。這三個文件是：

httpd.con-----〉主配置文件

srm.conf------〉填加資源文件

access.conf---〉設置文件的訪問權限

注：具體配置可以參考：http://httpd.apache.org/docs/mod/core.html

（2）Apache服務器的日志文件

我們可以使用日志格式指令來控制日志文件的信息。使用Logformat “%a %l“指令，可以把發出HTTP請求瀏覽器的IP地址和主機名記錄到日志文件。出于安全的考慮，在日志中我們應知道至少應該那些驗證失敗的WEB用戶，在http.conf文件中加入Logformat “%401u“指令可以實現這個目的。這個指令還有其它的許多參數，用戶可以參考Apache的文檔。另外，Apache的錯誤日志文件對于系統管理員來說也是非常重要的，錯誤日志文件中包括服務器的啟動、停止以及CGI執行失敗等信息。更多請參看Apache日志系列1-5。

上一篇：智能監測自動重啟Apache服務器的Shell腳本

下一篇：令Apache中沉睡的無用進程自動退出的方法