Apache 安全配置方法

2024-08-27 18:29:51

字體：大中小

供稿：網(wǎng)友

令A(yù)pache占領(lǐng)Web服務(wù)器半壁江山的一個(gè)重要原因就是它可以提供一個(gè)安全的Web操作環(huán)境。Apache團(tuán)體為保證其安全性做了大量的工作。想當(dāng)年，在此產(chǎn)品被發(fā)現(xiàn)存在一個(gè)安全缺陷時(shí)，Apache的開發(fā)人員就盡快地搞出了一個(gè)補(bǔ)丁。

然而，即管Apache已經(jīng)堪稱安全的產(chǎn)品，如果你在構(gòu)建你的服務(wù)器時(shí)沒有采取一些安全預(yù)防措施，這種Web服務(wù)器仍易于受到很多攻擊。

在本文中，筆者將為你提供10個(gè)技巧，借此你可以保護(hù)自己的Apache Web服務(wù)器免于受到許多攻擊。不過(guò)，必須謹(jǐn)記，你需要仔細(xì)地評(píng)估每一個(gè)技巧，以確保其適合于你的組織。

只安裝所需要的

Apache的一個(gè)最大的特點(diǎn)是其靈活性和大量的可選擇安裝模塊，這在涉及到安全問題時(shí)可成為一個(gè)極大的弱點(diǎn)。你安裝的越多，也就為潛在的攻擊者創(chuàng)造了越大的攻擊面。一個(gè)標(biāo)準(zhǔn)的Apache安裝包含20多個(gè)模塊，包括CGI特性，以及一些身份驗(yàn)證機(jī)制。如果你不打算采用CGI，并且你只想采用靜態(tài)的Web 站點(diǎn)，不需要用戶身份驗(yàn)證，你可能就不需要這些模塊所提供的任何服務(wù)，因此在安裝Apache時(shí)請(qǐng)禁用這些模塊。

如果你沿用了一個(gè)正在運(yùn)行的Apache服務(wù)器，并且不想重新安裝它，就應(yīng)當(dāng)仔細(xì)檢查httpd.conf配置文件，查找以LoadModule開頭的行。請(qǐng)檢查Apache的文檔（也可以用Google、Yahoo等搜索），查找每個(gè)模塊的目的信息，找出那些你并不需要的模塊。然后，重新啟動(dòng) Apache。

暴露程度最小化

Apache易于安裝并且相當(dāng)容易管理。不幸的是，許多Apache的安裝由于為完全的陌生者提供了關(guān)于自己服務(wù)器的太多"有幫助”的信息，例如 Apache的版本號(hào)和與操作系統(tǒng)相關(guān)的信息。通過(guò)這種信息，一個(gè)潛在的攻擊者就可以追蹤特定的可以影響你的系統(tǒng)的破壞性漏洞，特別是你沒有能夠保持所有補(bǔ)丁的更新的話情況更為嚴(yán)重。如此一來(lái)，攻擊者無(wú)需反復(fù)試驗(yàn)就可以確切地知道你在運(yùn)行什么，從而可以調(diào)整其攻擊方法。

要防止服務(wù)器廣播敏感信息，一定要保證將httpd.conf中的"ServerSignature”指令設(shè)置為"off”。一次默認(rèn)的Apache安裝會(huì)將此指令設(shè)置為"off”，不過(guò)許多管理員卻啟用了它。

同樣地，禁用目錄瀏覽也是一個(gè)不錯(cuò)的注意。在目錄瀏覽被啟用時(shí)，訪問一個(gè)并不包含其所需要文檔的目錄的用戶，會(huì)看到此目錄中完整的內(nèi)容列表。無(wú)疑，你不應(yīng)當(dāng)將敏感材料以純文本的形式存儲(chǔ)到一個(gè)Web服務(wù)器上，除非你必須這樣做，你也不應(yīng)該允許人們看到超過(guò)其需要的內(nèi)容。

目錄瀏覽默認(rèn)地是被啟用的。要禁用這個(gè)特性，應(yīng)編輯http.conf文件，而且對(duì)每一個(gè)"Directory”指令，應(yīng)清除"Indexs”。

例如，在筆者的做實(shí)驗(yàn)用的Apache 2.2.4服務(wù)器上，這是默認(rèn)的目錄命令：

復(fù)制代碼代碼如下:

<Directory "/usr/local/apache/htdocs">
Options Indexes FollowSymLinks
AllowOverrride None
Order allow,deny
Allow from all
</Directory>

清除Indexes后的樣子：

復(fù)制代碼代碼如下:

<Directory "/usr/local/apache/htdocs">
Options FollowSymLinks
AllowOverrride None
Order allow,deny
Allow from all
</Directory>

你也可以保留Indexes指令，并用一個(gè)破折號(hào)引導(dǎo)，從而禁用此指令（也就是"-Indexes”）。

禁用符號(hào)連接追蹤

如果你是唯一一個(gè)校對(duì)Web內(nèi)容的人員，而你在創(chuàng)建新的符號(hào)連接時(shí)又幾乎不犯錯(cuò)誤，你可能不會(huì)擔(dān)心此措施。不過(guò)，如果你有很多人員能夠向你的站點(diǎn)增加內(nèi)容，并非所有的人都像你一樣謹(jǐn)慎從事，那么就會(huì)有一種風(fēng)險(xiǎn)，即某個(gè)用戶可能偶然會(huì)創(chuàng)建一個(gè)符號(hào)連接指向你的文件系統(tǒng)的一部分，而你又確實(shí)不想讓人們看到這些文件。例如，如果你的Apache服務(wù)器的根目錄中的某人創(chuàng)建了一個(gè)指向 "/”文件夾的符號(hào)連接，你該怎么辦？

為了取消Apache服務(wù)器允許用戶追蹤符號(hào)連接的請(qǐng)求，應(yīng)該在Directory命令中清除FollowSymlinks指令。

例如，在筆者的試驗(yàn)性的Apache 2.2.4服務(wù)器中，Directory命令如下：

復(fù)制代碼代碼如下:

<Directory "/usr/local/apache/htdocs">
Options Indexes FollowSymLinks
AllowOverrride None
Order allow,deny
Allow from all
</Directory>

在清除了FollowSymLinks后，就成為如下的樣子：

復(fù)制代碼代碼如下:

<Directory "/usr/local/apache/htdocs">
Options Indexes
AllowOverrride None
Order allow,deny
Allow from all
</Directory>

如果一些用戶需要跟蹤符號(hào)連接的能力，可以考慮使用SymLinksIfOwnerMatch代替。

Listen指令具體化

在你第一次安裝Apache時(shí)，httpd.conf包含一個(gè)"Listen 80”指令。應(yīng)將其改變?yōu)?"Listen mn.xx.yy.zz:80”，在這里"mn.xx.yy.zz”是你想讓Apache監(jiān)聽其請(qǐng)求的IP地址。如果你的Apache運(yùn)行在一個(gè)擁有多個(gè)IP地址的服務(wù)器上時(shí)，這一點(diǎn)尤其重要。如果你不采取預(yù)防措施，默認(rèn)的"Listen 80”指令告訴Apache監(jiān)聽每一個(gè)IP地址的 80端口。

不過(guò)，這項(xiàng)措施有可能不適用于你的環(huán)境，應(yīng)根據(jù)需要而定。

從httpd.conf中清除默認(rèn)的注釋

Apache 2.2.4中默認(rèn)的httpd.conf文件有400多行。在這400行中，只有一小部分是實(shí)際的Apache指令，其余的僅是幫助用戶如何恰當(dāng)?shù)卦趆ttpd.conf中放置指令的注釋。根據(jù)筆者的經(jīng)驗(yàn)，這些注釋有時(shí)起負(fù)面作用，甚至將危險(xiǎn)的指令留存于文件中。筆者在所管理的許多 Apache服務(wù)器上將httpd.conf文件復(fù)制為其它的文件，如httpd.conf.orig等，然后完全清除多余的注釋。文件變得更加容易閱讀，從而更好地解決了潛在的安全問題或者錯(cuò)誤地配置文件。

沒作任何設(shè)置前，查看web服務(wù)器請(qǐng)求文件頭

HTTP/1.1 200 OK
Date: Sun, 27 Apr 2008 11:56:46 GMT
Server: Apache/2.2.8 (Unix) DAV/2 PHP/5.2.5 with Suhosin-Patch
Last-Modified: Sat, 20 Nov 2004 20:16:24 GMT
ETag: "387a5-2c-3e9564c23b600"
Accept-Ranges: bytes
Content-Length: 44
Content-Type: text/html

幾乎把web服務(wù)器詳細(xì)信息都暴出來(lái)了，如果沒個(gè)版本的apache和php爆出嚴(yán)重漏洞，會(huì)給攻擊者提供最有攻擊價(jià)值的安全信息，這是非常危險(xiǎn)的

將apache的配置文件加上兩行

ServerTokens ProductOnly
ServerSignature Off
重啟apache讓設(shè)置生效
再次發(fā)出apache頭信息請(qǐng)求

HTTP/1.1 200 OK
Date: Sun, 27 Apr 2008 11:57:40 GMT
Server: Apache
Last-Modified: Sat, 20 Nov 2004 20:16:24 GMT
ETag: "387a5-2c-3e9564c23b600"
Accept-Ranges: bytes
Content-Length: 44
Content-Type: text/html

可以看到apache版本號(hào)于已經(jīng)沒有了

做到這點(diǎn)，我們還可以改變apache的版本，這就要修改apache的源代碼了，在apache的源碼包中找到ap_release.h 將#define AP_SERVER_BASEPRODUCT "Apache" 修改為#define AP_SERVER_BASEPRODUCT "Microsoft-IIS/5.0”
或者#define AP_SERVER_BASEPRODUCT "Microsoft-IIS/6.0”

然后找到os/unix下的os.h文件，將其#define PLATFORM "Unix"修改為#define PLATFORM "Win32"

然后重新編譯，安裝apache。
最后修改httpd.conf配置文件，添加兩行ServerTokens Prod
ServerSignature Off
在發(fā)送頭請(qǐng)求，會(huì)有什么，就不用我說(shuō)了吧，嘿嘿，這叫偷天換日，從這點(diǎn)來(lái)說(shuō)，php也是一樣，同樣可以通過(guò)這種方式改變一些系統(tǒng)信息，不過(guò)根據(jù)GPL開源的精神，這樣做貌似不太好，還是保留apache和php版權(quán)信息吧。

附：
ServerSignature 三個(gè)選項(xiàng)
On|Off|EMai 主要起開關(guān)作用

ServerTokens 四個(gè)選項(xiàng)
Minimal|ProductOnly|OS|Full 四個(gè)選項(xiàng)隱藏信息依次增加

下面對(duì)php的配置文件php.ini進(jìn)行配置

默認(rèn)情況下expose_php = On
將其改為 expose_php = Off

為什么，可以看這段解釋

; Decides whether PHP may expose the fact that it is installed on the server
; (e.g. by adding its signature to the Web server header). It is no security
; threat in any way, but it makes it possible to determine whether you use PHP
; on your server or not.

然后禁止一些涉及php安全的函數(shù)

disable_functions = phpinfo, get_cfg_var //禁止phpinfo和get_cfg_var等函數(shù)
display_errors = Off //禁止爆出錯(cuò)誤
allow_url_fopen = Off //這個(gè)關(guān)閉，就沒有辦法取遠(yuǎn)程內(nèi)容了，但是可以用變通，用curl遠(yuǎn)程讀取的方法做到
safe_mode = On //開啟安全模式，這個(gè)開了，可能會(huì)有些php功能沒辦法使用了

無(wú)論如何，還是要我們的程序設(shè)計(jì)的完美，一般來(lái)說(shuō)，單純更具對(duì)系統(tǒng)攻擊很難，如果是程序有漏洞，那攻擊就簡(jiǎn)單了。

上一篇：正確配置與維護(hù)Apache安全性設(shè)置方法

下一篇：優(yōu)化Apache服務(wù)器性能的方法小結(jié)