家电维修班,手机维修班,电脑维修班,电工班,焊工班,液晶电视维修班,电动工具维修班、电动车摩托车维修班、网络营销培训、网站设计培训、淘宝培训---全国招生 家电维修班,手机维修班,电脑维修班,电工班,焊工班,液晶电视维修班,电动工具维修班、电动车摩托车维修班、网络营销培训、网站设计培训、淘宝培训---全国招生
您的位置:网站首页 > 电器维修资料网 > 正文 >

为Apache Web服务器安全保驾护航

★★★★★【文章导读】:为Apache Web服务器安全保驾护航具体内容是:怎样在Linux、APAChe和PHP服务器端的安全性、生产力和易用性三者之间求得平衡。 好的解决办法取决于项目的具体需求,下面是为LAMP服务器保驾护航的一些 佳实践,涵盖服务器配置到PHP设置微调的诸多方面。为Web服务…

来源: 日期:2013-11-23 22:18:09 人气:标签:

为Apache Web服务器安全保驾护航

    怎样在 Linux、APAChe和PHP服务器端的安全性、生产力和易用性三者之间求得平衡。 好的解决办法取决于项目的具体需求,下面是为LAMP服务器保驾护航的一些 佳实践,涵盖服务器配置到PHP设置微调的诸多方面。
    为Web服务器保驾护航的任务应从加固Linux操作系统入手。加固Linux这个话题本身就可以写整整一篇文章,但是某些概念在提供Web内容方面显得特别重要:
◆Linux内核加固。内核是 经常被攻击者盯上的目标。要提升用户的权限,对内核获得访问权是 容易的方法。视操作系统而定,Apache在默认情况下以有限用户nobody(在CentOS等基于红帽的发行版上)或www-data用户(在基于的bian的发行版上,包括Ubuntu)来运行。每个攻击者企图突破有限用户的身份,利用内核存在的某个漏洞来获得访问root的权限。用grsecurity给内核打上补丁可以确保,你处于被保护状态,甚至可以防范零日漏洞。此外,KsplICe可以确保你及时打上了所有的内核更新版, 大限度地减小安全风险。
◆强制性访问控制(MAC)。在正常的Web服务器部署环境下,普通用户不需要访问编译器(gCC)、系统配置文件或者像find这样的实用工具。基于红帽的发行版可以使用名为SELinux的MAC策略软件;Ubuntu管理员可以使用类似的AppArmor。尽管这些MAC工具的功能特性各不一样,但它们都能帮你限制攻击者的破坏行动。说到不利因素,配置不当的MAC工具会削弱Web服务器的功能。这就是为什么所有MAC工具都有非执行模式,那样你就可以跟踪误报,并且针对你的特定环境来重新配置工具。不过,要是你觉得MAC工具太过复杂,只要将一些可执行文件的权限改成700,只允许root可以使用它们。
◆防火墙。你必须限制入站流量和出站流量,那样才能防止恶意连接进出服务器。对于各种类型的服务器来说,保护入站流量的安全是一种常见做法。然而对于Web服务器来说,限制出站连接以便限制恶意脚本在本地执行所带来的影响,这一点特别重要。为此, 可靠的办法就是将默认iptables链的策略设置成DROP。此外,你明确允许所需的入站连接和出站连接。不过在限制出站流量时一定要小心,因为许多Web脚本需要外部资源(RSS和外部应用编程接口)。如果你觉得iptables防火墙工具用起来不习惯,可以使用脚本来帮助生成和维护必要的规则,比如Shorewall和Firestarter。
Apache 佳安全实践
    一旦你确保了Linux操作系统的安全,就可以开始处理Apache Web服务器的安全问题了。下列指示专门针对Apache,但可能也适用于其他Web服务器,比如LiteSpeed和nginx。它们之间的差异常常就体现在模块名称或者配置指令上。
要加固Apache,就要完成这些步骤:
◆安装mod_security,这个Apache模块起到了应用防火墙的作用。它可以过滤Web请求的所有部分,并终结恶意代码。它在Web服务器进行任何实际处理之前发挥作用,因而与Web应用程序无关。Mod_security适用于过滤从SQL注入到XSS攻击的任何恶意流量。它也是保护易受攻击的Web应用程序的 快速、 容易的方法。该软件有众多随时可以使用的规则,但你也很容易自行编写规则。比如设想一下:你有一个过时的Joomla版本,担心会遭到SQL注入攻击。这个简单规则可以过滤含有jos_ (Joomla表的默认前缀): SecFiLTEr "jos_"的任何POST和GET内容。计算机
◆安装mod_evasive,这是另一个重要的Apache模块,可以保护Web应用程序远离拒绝服务(DOS)请求。它的效果受制于这个现实:它是在应用程序层面工作的,这意味着Apache无论如何都接受连接,因而耗用带宽和系统资源。不过,如果是源自少量远程主机的比较弱的DOS攻击,该模块能有所帮助。一旦mod_evasive装入,你需要这样来配置它:
  DOSPageCount 2    DOSSiteCount 30    DOSBLOCkingPeriod 120 这指示服务器阻止(默认情况下返回HTTP error 403 Forbid的n)两次访问同一页面,或者在一秒内(默认的时间间隔)共有30次请求的任何主机。入侵者会在外面被阻挡120秒。
◆过滤访客的IP地址。这可能被认为是很极端的措施,但结果很好。首先,考虑安装mod_httpbl,这是用Apache实现的Project Honeypot。一旦该模块安装并被启用,它可以阻止有恶意活动"前科"的IP地址。另一个办法是使用mod_geoip,它可以用来允许只有来自某些国家的访客才可以访问接受留言、注册和登录信息等输入内容的页面。它甚至可以阻止和允许来自某些国家的服务器端访客。
    其他推荐的Apache选项包括将Timeout(超时)选项设置得低些,比如15秒。这缩短了Web服务器等待某些事件的时间,从而限制了DOS攻击的影响。值得进一步阅读的是官方的Apache说明文档及安全提示。
PHP安全
    PHP是开源领域 流行的服务器端语言。PHP是服务器端,这意味着你需要通过某些指令,比如memory_limit、execution_timeout和dISAble_functions,对它访问服务器资源设置明确的规则和限制。然而,PHP配置指令可以在各个地方来定义和重新定义,这里作了解释。你在全局范围执行这些规则时,确保已清楚它们的范围。
    如果你安装了 新版本的PHP,又使用默认设置,你的环境已经符合还算可以的安全标准。危险的选项在默认情况下已被禁用,比如register_globals和allow_url_inclu的。不过,光这还不够。要考虑调整的 重要的选项之一是disable_functions;顾名思义,它的作用就是禁用PHP函数。下面这个示例演示了如何防止危险的外壳代码执行:                            disable_functions=exec,passthru,shell_exec,system,proc_open,popen 之前为PHP引入额外的安全机制方面有过许多尝试,无论从开发小组里面还是从外面来进行尝试。一个不成功的尝试就是PHP的安全模式(Safe Mo的 ),其主要想法是根据文件的所有者来限制文件的访问权。结果证明,这项功能设计不正确,自PHP 5.3以后就被废弃了。不过,一个名为Suhosin的外部安全项目证明了其价值。它与PHP一起捆绑在基于的bian的流行发行版中。
    Suhosin有两种安装方法。一种是在PHP实际编译之前给原始的PHP源代码打上补丁。建议采用这种方法,因为它使得Suhosin成为PHP的一个必要组成部分,让Suhosin可以通过其引擎保护功能来保护PHP核心。第二种方法比较容易,就是把它作为普通的PHP扩展来添加。Suhosin的丰富功能适用于许多安全方面,比如会议安全数据加密、请求有效载荷限制,甚至还有SQL注入预防这项试验性功能。
    默认情况下,PHP作为Apache模块在Apache用户下运行,这确保了性能 佳、 符合应用程序的需求。然而,如果网站有不止一个虚拟主机(vhost),它可能会带来严重的安全问题,如果虚拟主机属于不同的用户,那就更危险了。在这种情况下,来自一个虚拟主机的脚本也许能读取、写入和执行来自其他虚拟主机的脚本,这危及了安全,更不用说危及隐私了。
为了缓解这个问题,你可以使用另一个Apache模块:mod_suphp,该模块允许PHP脚本在预先定义的用户下运行。这种模块对于共享的主机托管服务器来说必不可少。如果使用mod_suphp,来自某个虚拟主机的脚本甚至无法读取来自其他虚拟主机的文件,更不用说写入了。禁止读取外来虚拟主机的文件对于配置文件来说极其重要,这就是为什么这类文件必须要有600个文件的许可权。要是不这么设置,你的数据库详细资料很容易被发现,而这是你 不想遇到的麻烦。
    在mod_suphp的配置文件(默认情况下是/etc/suphp.conf)中,你可以使用allow_file_group_writeable、 allow_file_others_writeable、allow_directory_group_writeable和allow_directory_others_writeable等选项,执行全局安全文件的许可策略。在正常情况下,它们都应该被定义为false。执行不遵守这些限制的脚本会得出HTTP Error 500 Internal server error(HTTP错误:500,服务器内部错误)。
一般建议
为Web服务器保驾护航时,还要考虑下列措施:
◆把同一台服务器上的不同Web应用程序分隔到不同的虚拟主机上,让它们在不同的用户下运行。
◆传输密码或信用卡信息等敏感信息时,安装SSL。你可以用免费、自己生成的非商业证书来保护管理面板。
◆不要单单依赖一种方法来限制管理员访问。数量众多的互联网漏洞避开了管理员登录要求。只要限制远程IP地址对管理员区域的访问,并且更改默认的管理员URL或端口,就可以限制这类威胁。
◆定期对服务器执行安全审查工作。
◆订阅关于你已部署的Web服务和应用程序的安全新闻组。
    所以上述信息充当了确保Web服务器安全的路线图。做好这项工作需要投入大量的时间和精力。如果你没有准备好投入这样的时间, 好还是使用共享的主机托管服务器或完全托管的服务器。
总结
    上面的这些重点就是很详细的给我们讲解了关于Web服务器的维护并非易事,但是还是需要大家注意的这上面的一些问题的。
【看看这篇文章在百度的收录情况】

联系方式

  • 0731-85579057 , 0731-85569651
  • 点击这里给我发消息点击这里给我发消息点击这里给我发消息
网站栏目导航: 培训课程 手机硬件 手机软件 综合维修 学校资讯 考证指南 就业导航 招生指南 教学管理 入学须知 学校图片 教学大纲 师资力量 学生感言 学校概况 教学实景 手机维修培训资讯 电脑维修培训 维修间故事 手机维修培训 液晶电视维修培训 家电维修资料网 电器维修资料网 招生地区 刷机教程 家电维修 手机技巧 老版网站 招生平台网络工程
友情链接: 监控安装培训 电动工具维修 家电维修学校 电工培训学校 液晶电视维修 焊工培训学校 电工焊工学校 电脑维修学校 家电维修培训 电脑维修培训 家装电工培训网络安装维护 主板维修 液晶显示器 笔记本电脑维修 电脑组装维护 电脑硬件维修 电脑维修 电工考证 电工证 装修电工 水电工 维修电工 电工 焊接技术 电焊工 焊工 电动设备维修 电动工具维修 制冷维修 空调维修 冰箱维修  更多>>
阳光-手机维修教育品牌学校
点击这里给我发消息 点击这里给我发消息 点击这里给我发消息
电工培训学校 电动车维修学校 摩托车维修学校 摩托车维修培训 手机维修培训 家电维修培训 电脑维修培训 电动工具维修培训 液晶电视维修培训 安防监控培训 空调维修培训 网络营销培训 网站设计培训 淘宝网店培训 电器维修培训 家电维修学校 电工培训 焊工培训 电工学校 电工培训学校 电动车维修学校 摩托车维修学校 摩托车维修培训 手机维修培训 家电维修培训 电脑维修培训 电动工具维修培训 液晶电视维修培训 安防监控培训 空调维修培训 网络营销培训 网站设计培训 淘宝网店培训 电器维修培训 家电维修学校 电工培训 焊工培训 电工学校 电工培训学校 电动车维修学校 摩托车维修学校 摩托车维修培训 手机维修培训 家电维修培训 电脑维修培训 电动工具维修培训 液晶电视维修培训 安防监控培训 空调维修培训 网络营销培训 网站设计培训 淘宝网店培训 电器维修培训 家电维修学校 电工培训 焊工培训 电工学校 电工培训学校 电动车维修学校 摩托车维修学校 摩托车维修培训 手机维修培训 家电维修培训 电脑维修培训 电动工具维修培训 液晶电视维修培训 安防监控培训 空调维修培训 网络营销培训 网站设计培训 淘宝网店培训 电器维修培训 家电维修学校 电工培训 焊工培训 电工学校
中山市,固原市,银川市,玉树,海东,陇南市,酒泉市,张掖市,天水市,金昌市,兰州市,榆林市,延安市,渭南市,铜川市,阿里,山南,拉萨市,怒江,文山州,楚雄州,普洱市,昭通市,玉溪市,昆明市,毕节,铜仁,遵义市,贵阳市,甘孜州,资阳市,达州市,宜宾市,南充市,遂宁市,绵阳市,泸州市,自贡市,三亚市,崇左市,河池市,玉林市,钦州市,梧州市,柳州市,梅州市,肇庆市,湛江市,佛山市,珠海市,韶关市,湘西州,怀化市,郴州市,张家界市,邵阳市,株洲市,仙桃市,随州市,荆州市,荆门市,襄樊市,黄石市,驻马店市,信阳市,南阳市,漯河市,中卫市,石嘴山市,海西,海南藏州,黄南州,海北,甘南,庆阳市,平凉市,武威市,白银市,嘉峪关市,安康市,汉中市,咸阳市,宝鸡市,林芝,日喀则,昌都,迪庆,德宏,大理,西双版纳,红河州,临沧市,丽江市,保山市,曲靖市,黔东州,黔西州,安顺市,六盘水市,凉山州,阿坝州,雅安市,广安市,眉山市,内江市,广元市,德阳市,攀枝花市,成都市,海口市,来宾市,百色市,贵港市,北海市,桂林市,南宁市,云浮市,揭阳市,潮州市,清远市,阳江市,汕尾市,惠州市,茂名市,江门市,汕头市,深圳市,广州市,娄底市,永州市,益阳市,岳阳市,湘潭市,长沙市,恩施州,黄冈市,孝感市,鄂州市,十堰市,武汉市,周口市,商丘市,三门峡市,许昌市,焦作市,安阳市,鹤壁市,平顶山市,开封市,郑州市,聊城市,滨州市,德州市,莱芜市,日照市,泰安市,烟台市,潍坊市,东营市,淄博市,上饶市,济南市,抚州市,宜春市,赣州市,新余市,九江市,景德镇市,宁德市,南平市,泉州市,莆田市,厦门市,宣城市,亳州市,六安市,宿州市,黄山市,滁州市,安庆市,淮北市,马鞍山市,蚌埠市,芜湖市,合肥市,丽水市,舟山市,衢州市,金华市,湖州市,嘉兴市,宁波市,宿迁市,镇江市,盐城市,连云港市,苏州市,徐州市,南京市,绥化市,牡丹江市,佳木斯市,大庆市,鹤岗市,哈尔滨市,白城市,白山市,辽源市,吉林市,葫芦岛市,铁岭市,盘锦市,阜新市,锦州市,本溪市,鞍山市,沈阳市,锡林郭勒盟,通辽市,乌海市,吕梁市,忻州市,晋中市,晋城市,阳泉市,太原市,廊坊市,承德市,保定市,邯郸市,唐山市,宁夏,甘肃省,西藏,贵州省,重庆市,广西,湖南省,河南省,江西省,安徽省,江苏省,黑龙江省,辽宁省,山西省,天津市,四平市,内蒙古,吴忠市,果洛,西宁市,定西市,商洛市,西安市,那曲,黔南州,巴中市,乐山市,贺州市,防城港市,东莞市,河源市,常德市,衡阳市,咸宁市,宜昌市,濮阳市,新乡市,洛阳市,菏泽市,临沂市,威海市,济宁市,枣庄市,青岛市,吉安市,鹰潭市,萍乡市,南昌市,龙岩市,漳州市,三明市,福州市,池州市,巢湖市,阜阳市,铜陵市,淮南市,台州市,绍兴市,温州市,杭州市,泰州市,扬州市,淮安市,南通市,常州市,无锡市,大兴安岭,黑河市,七台河市,伊春市,双鸭山市,鸡西市,齐齐哈尔市,延边,松原市,通化市,长春市,朝阳市,辽阳市,营口市,丹东市,抚顺市,大连市,阿拉善盟,兴安盟,乌兰察布市,巴彦淖尔市,呼伦贝尔市,鄂尔多斯市,赤峰市,包头市,呼和浩特市,临汾市,运城市,朔州市,长治市,大同市,衡水市,沧州市,张家口市,邢台市,秦皇岛市,石家庄市,青海省,陕西省,云南省,四川省,海南省,广东省,湖北省,山东省,福建省,浙江省,上海市,吉林省,河北省,北京市