|
【摘要】作為網(wǎng)管人員最擔(dān)心Web服務(wù)器遭到攻擊,一旦遭到攻擊,網(wǎng)站的所有信息可能面目全非,直到整個(gè)Web系統(tǒng)全面癱瘓。因此,選擇安全性能好的Web服務(wù)器軟件尤其重要。作為Internet 上最流行的Web服務(wù)器軟件,Apache的安全性經(jīng)受了時(shí)間和市場(chǎng)的雙重檢驗(yàn)。取得了驚人的成功。了解Apache Server的特性,并進(jìn)行合理的配置將是每一個(gè)站點(diǎn)管理維護(hù)或開發(fā)人員必須關(guān)注的問題。
一、Apache 服務(wù)器的功能
Apache Serve的前身是NCSA的httpd,曾經(jīng)在1995年成為最為流行的萬維網(wǎng)的服務(wù)器。因?yàn)閺?qiáng)大的功能和靈活的設(shè)置及平臺(tái)移植性,Apache Server取得了廣泛的信賴。Apache Server的主要功能有:
1、支持最新的HTTP1.1協(xié)議(RFC2616)。
2、極強(qiáng)的可配置和可擴(kuò)展性,充分利用第三方模快的功能。
3、提供全部的源代碼和不受限制的使用許可(License)。
4、廣泛應(yīng)用于Windows 2000/NT/9x、Netware 5.x,OS/2 和UNIX家族極其他操作系統(tǒng),所支持的平臺(tái)多達(dá)17余種。
5、強(qiáng)大的功能,涵蓋了用戶的需求,包括:認(rèn)證中的DBM數(shù)據(jù)庫支持;錯(cuò)誤和問題的可定制響應(yīng)的目錄導(dǎo)向功能;不受限的靈活的URL別名機(jī)制和重定向功能;虛擬主機(jī)(多宿主主機(jī))支持多個(gè)域主頁共存一臺(tái)主機(jī);超強(qiáng)的日志文件功能;利用站點(diǎn)的分析;拓展于維護(hù)等等。
正因?yàn)檫@些強(qiáng)大的優(yōu)勢(shì),使Apache Server與其他的Web服務(wù)器相比,充分展示了高效、穩(wěn)定及功能豐富的特點(diǎn)。Apache Server 已用于超過600萬個(gè)Internet站點(diǎn)。
二、Apache 服務(wù)器的安全特性
作為最流行的Web服務(wù)器,Apache Server提供了較好的安全特性,使其能夠應(yīng)對(duì)可能的安全威脅和信息泄漏。
1、采用選擇性訪問控制和強(qiáng)制性訪問控制的安全策略
從Apache 或Web的角度來講,選擇性訪問控制DAC(Discretionary Access Control)仍是基于用戶名和密碼的,強(qiáng)制性訪問控制MAC(Mandatory Access Control)則是依據(jù)發(fā)出請(qǐng)求的客戶端的IP地址或所在的域號(hào)來進(jìn)行界定的。對(duì)于DAC方式,如輸入錯(cuò)誤,那么用戶還有機(jī)會(huì)更正,從新輸入正確的的密碼;如果用戶通過不了MAC關(guān)卡,那么用戶將被禁止做進(jìn)一步的操作,除非服務(wù)器作出安全策略調(diào)整,否則用戶的任何努力都將無濟(jì)于事。
2、Apache 的安全模塊
Apache 的一個(gè)優(yōu)勢(shì)便是其靈活的模塊結(jié)構(gòu),其設(shè)計(jì)思想也是圍繞模塊(Modules)概念而展開的。安全模塊是Apache Server中的極其重要的組成部分。這些安全模塊負(fù)責(zé)提供Apache Server的訪問控制和認(rèn)證、授權(quán)等一系列至關(guān)重要的安全服務(wù)。
mod_access模塊能夠根據(jù)訪問者的IP地址(或域名,主機(jī)名等)來控制對(duì)Apache服務(wù)器的訪問,稱之為基于主機(jī)的訪問控制。
mod_auth模塊用來控制用戶和組的認(rèn)證授權(quán)(Authentication)。用戶名和口令存于純文本文件中。mod_auth_db和mod_auth_dbm模塊則分別將用戶信息(如名稱、組屬和口令等)存于Berkeley-DB及DBM型的小型數(shù)據(jù)庫中,便于管理及提高應(yīng)用效率。
mod_auth_digest模塊則采用MD5數(shù)字簽名的方式來進(jìn)行用戶的認(rèn)證,但它相應(yīng)的需要客戶端的支持。
mod_auth_anon模塊的功能和mod_auth的功能類似,只是它允許匿名登錄,將用戶輸入的E-mail地址作為口令。
SSL(Secure Socket Lager),被Apache所支持的安全套接字層協(xié)議,提供Internet上安全交易服務(wù),如電子商務(wù)中的一項(xiàng)安全措施。通過對(duì)通訊字節(jié)流的加密來防止敏感信息的泄漏。但是,Apache的這種支持是建立在對(duì)Apache的API擴(kuò)展來實(shí)現(xiàn)的,相當(dāng)于一個(gè)外部模塊,通過與第三方程序的結(jié)合提供安全的網(wǎng)上交易支持。
三、Apache服務(wù)器的安全配置
在前面的內(nèi)容中提到過,Apache具有靈活的設(shè)置。所有Apache的安全特性都要經(jīng)過周密的設(shè)計(jì)與規(guī)劃,進(jìn)行認(rèn)真地配置才能夠?qū)崿F(xiàn)。Apache服務(wù)器的安全配置包括很多層面,有運(yùn)行環(huán)境、認(rèn)證與授權(quán)設(shè)置及建立安全的電子交易鏈接等。
1、Apache的安裝配置和運(yùn)行
(1)以Nobody用戶運(yùn)行一般情況下,Apache是由Root 來安裝和運(yùn)行的。如果Apache Server進(jìn)程具有Root用戶特權(quán),那么它將給系統(tǒng)的安全構(gòu)成很大的威脅,應(yīng)確保Apache Server進(jìn)程以最可能低的權(quán)限用戶來運(yùn)行。通過修改httpd.conf文件中的下列選項(xiàng),以Nobody用戶運(yùn)行Apache 達(dá)到相對(duì)安全的目的。
User nobody
Group# -1
(2) ServerRoot目錄的權(quán)限
為了確保所有的配置是適當(dāng)?shù)暮桶踩模枰獓?yán)格控制Apache 主目錄的訪問權(quán)限,使非超級(jí)用戶不能修改該目錄中的內(nèi)容。Apache 的主目錄對(duì)應(yīng)于Apache Server配置文件httpd.conf的Server Root控制項(xiàng)中,應(yīng)為:
Server Root /usr/local/apache
(3)SSI的配置
在配置文件access.conf 或httpd.conf中的確Options指令處加入IncludesNOEXEC選項(xiàng),用以禁用Apache Server 中的執(zhí)行功能。避免用戶直接執(zhí)行Apache 服務(wù)器中的執(zhí)行程序,而造成服務(wù)器系統(tǒng)的公開化。
<Directory /home/*/public_html>
Options Includes Noexec
</Directory>
(4)阻止用戶修改系統(tǒng)設(shè)置
在Apache 服務(wù)器的配置文件中進(jìn)行以下的設(shè)置,阻止用戶建立、修改 .htaccess文件,防止用戶超越能定義的系統(tǒng)安全特性。
<Directory />
AllowOveride None
Options None
Allow from all
</Directory>
然后再分別對(duì)特定的目錄進(jìn)行適當(dāng)?shù)呐渲谩?/P>
(5)Apache 服務(wù)器的確省訪問特性
Apache 的默認(rèn)設(shè)置只能保障一定程度的安全,如果服務(wù)器能夠通過正常的映射規(guī)則找到文件,那么客戶端便會(huì)獲取該文件,如http://local host/~ root/ 將允許用戶訪問整個(gè)文件系統(tǒng)。在服務(wù)器文件中加入如下內(nèi)容:
<Directory />
order deny,ellow
Deny from all
</Directory>
將禁止對(duì)文件系統(tǒng)的缺省訪問。
(6)CGI腳本的安全考慮
CGI腳本是一系列可以通過Web服務(wù)器來運(yùn)行的程序。為了保證系統(tǒng)的安全性,應(yīng)確保CGI的作者是可信的。對(duì)CGI而言,最好將其限制在一個(gè)特定的目錄下,如cgi-bin之下,便于管理;另外應(yīng)該保證CGI目錄下的文件是不可寫的,避免一些欺騙性的程序駐留或混跡其中;如果能夠給用戶提供一個(gè)安全性良好的CGI程序的模塊作為參考,也許會(huì)減少許多不必要的麻煩和安全隱患;除去CGI目錄下的所有非業(yè)務(wù)應(yīng)用的腳本,以防異常的信息泄漏。
以上這些常用的舉措可以給Apache Server 一個(gè)基本的安全運(yùn)行環(huán)境,顯然在具體實(shí)施上還要做進(jìn)一步的細(xì)化分解,制定出符合實(shí)際應(yīng)用的安全配置方案。
四、Apache Server基于主機(jī)的訪問控制
Apache Server默認(rèn)情況下的安全配置是拒絕一切訪問。假定Apache Server內(nèi)容存放在/usr/local/apache/share 目錄下,下面的指令將實(shí)現(xiàn)這種設(shè)置:
<Directory /usr/local/apache/share>
Deny from all
AllowOverride None
</Directory>
則禁止在任一目錄下改變認(rèn)證和訪問控制方法。
同樣,可以用特有的命令Deny、Allow指定某些用戶可以訪問,哪些用戶不能訪問,提供一定的靈活性。當(dāng)Deny、Allow一起用時(shí),用命令Order決定Deny和Allow合用的順序。
1、拒絕某類地址的用戶對(duì)服務(wù)器的訪問權(quán)(Deny)
如:Deny from all
Deny from test.cnn.com
Deny from 204.168.190.13
Deny from 10.10.10.0/255.255.0.0
2、允許某類地址的用戶對(duì)服務(wù)器的訪問權(quán)(Allow)
如:Allow from all
Allow from test.cnn.com
Allow from 204.168.190.13
Allow from 10.10.10.0/255.255.0.0
Deny和Allow指令后可以輸入多個(gè)變量。
3、實(shí)例:
Order Allow, Deny
Allow from all
Deny from www.***.com
則,想讓所有的人訪問Apache服務(wù)器,但不希望來自www.***.com的任何訪問。
Order Deny, Allow
Deny from all
Allow from test.cnn.com
則,不想讓所有人訪問,但希望給test.cnn.com網(wǎng)站的來訪。
有關(guān)訪問控制的高級(jí)設(shè)置請(qǐng)閱讀UNIX系統(tǒng)管理書籍。
五、Apache Sever的用戶認(rèn)證與授權(quán)
概括的講,用戶認(rèn)證就是驗(yàn)證用戶的身份的真實(shí)性,如用戶帳號(hào)是否在數(shù)據(jù)庫中,及用戶帳號(hào)所對(duì)應(yīng)的密碼是否正確;用戶授權(quán)表示檢驗(yàn)有效用戶是否被許可訪問特定的資源。在Apache中,幾乎所有的安全模塊實(shí)際上兼顧這兩個(gè)方面。從安全的角度來看,用戶的認(rèn)證和授權(quán)相當(dāng)于選擇性訪問控制。
建立用戶的認(rèn)證授權(quán)需要三個(gè)步驟:
(1)建立用戶庫
用戶名和口令列表需要存在于文件(mod_auth模塊)或數(shù)據(jù)庫(mod_auth_dbm模塊)中。基于安全的原因,該文件不能存放在文擋的根目錄下。如,存放在/usr/local/etc/httpd下的users文件,其格式與UNIX口令文件格式相似,但口令是以加密的形式存放的。應(yīng)用程序htpasswd可以用來添加或更改程序:
htpasswd –c /usr/local/etc/httpd/users martin
-c表明添加新用戶,martin為新添加的用戶名,在程序執(zhí)行過程中,兩次輸入口令回答。用戶名和口令添加到users文件中。產(chǎn)生的用戶文件有如下的形式:
martin:WrU808BHQai36
jane:iABCQFQs40E8M
art:FadHN3W753sSU
第一域是用戶名,第二個(gè)域是用戶密碼。
(2)配置服務(wù)器的保護(hù)域
為了使Apache服務(wù)器能夠利用用戶文件中的用戶名和口令信息,需要設(shè)置保護(hù)域(Realm)。一個(gè)域?qū)嶋H上是站點(diǎn)的一部分(如一個(gè)目錄、文檔等)或整個(gè)站點(diǎn)只供部分用戶訪問。在相關(guān)目錄下的.htaccess文件或httpd.conf(acces.conf)中的<Directory>段中,由AuthName來指定被保護(hù)層的域。在.htaccess文件中對(duì)用戶文件有效用戶的授權(quán)訪問及指定域保護(hù)有如下指定:
AuthName “restricted stuff”
Authtype Basic
AuthUserFile /usr/local/etc/httpd/users
Require valid-user
其中,AuthName指出了保護(hù)域的域名(Realm Name)。valid-user參數(shù)意味著user文件中的所有用戶都是可用的。一旦用戶輸入了一個(gè)有效的用戶/口令時(shí),同一個(gè)域內(nèi)的其他資源都可以利用同樣的用戶/口令來進(jìn)行訪問,同樣可以使兩個(gè)不同的區(qū)域共用同樣的用戶/口令。
(3)告訴服務(wù)器哪些用戶擁有資源的訪問權(quán)限
如果想將一資源的訪問權(quán)限授予一組客戶,可以將他們的名字都列在Require之后。最好的辦法是利用組(group)文件。組的操作和標(biāo)準(zhǔn)的UNIX的組的概念類似,任一個(gè)用戶可以屬于一個(gè)和數(shù)個(gè)組。這樣就可以在配置文件中利用Require對(duì)組賦予某些權(quán)限。如:
Require group staff
Require group staff admin
Require user adminuser
指定了一個(gè)組、幾個(gè)組或一個(gè)用戶的訪問權(quán)限。
需要指出的是,當(dāng)需要建立大批用戶帳號(hào)時(shí),那么Apache服務(wù)器利用用戶文件數(shù)據(jù)庫將會(huì)極大地降低效率。這種情況下,最好采用數(shù)據(jù)庫格式的帳號(hào)文件,譬如 DBM數(shù)據(jù)庫格式的文件。還可以根據(jù)需要利用db格式(mod_auth_db)的數(shù)據(jù)文件,或者直接利用數(shù)據(jù)庫,如:mSQL(mod_auth_msql)或DBI兼容的數(shù)據(jù)庫(mod_auth_dbi)。
六、在Apache中使用DBM用戶認(rèn)證
DBM 文件是一種簡(jiǎn)單而標(biāo)準(zhǔn)的用于加快讀取效率的保存信息的方法。文件中存放的每一個(gè)記錄由兩個(gè)部分組成部分:鍵和值。由于DBM的格式,使得與鍵相關(guān)的信息非常有效。在Web用戶認(rèn)證中,這里的鍵將是用戶名,而與該鍵相關(guān)的值將是該用戶經(jīng)過加密的口令信息。從DBM文件中查找用戶名和口令,要比從一個(gè)純文本文件中查找有效得多。對(duì)于有很多用戶的站點(diǎn),這種方法將大大提高用戶認(rèn)證的效率。
(1) 在Apache服務(wù)器中增加DBM模塊
在默認(rèn)的條件下,Apache不使用DBM文件來完成用戶認(rèn)證,因此編譯時(shí)一定要加入可選的DBM認(rèn)證模塊。重新配置Apache服務(wù)器文件,去掉其中的注釋行
#Module dbm_auth_module mod_auth_dbm.o
前的“#”,并重新編譯。但是,在編譯之前,需要指出Apache DBM函數(shù)的位置。
(2) 創(chuàng)建DBM用戶文件(假設(shè)文件名為users)
Apache提供了一個(gè)“dbmmanage”的程序,用于創(chuàng)建和管理DBM文件。其中:
Dbmmanage /usr/local/etc/httpd/usersdbm 創(chuàng)建DBM文件
Dbmmanage /usr/local/etc/httpd/users adduser martin hamster 新增用戶
Dbmmanage /usr/local/etc/httpd/usersdbm delete martin 刪除用戶
Dbmmanage /usr/local/etc/httpd/usersdbm view 顯示DBM中所有用戶
有了DBM數(shù)據(jù)庫文件,還要替換目錄訪問控制,即將Apache配置文件(access.conf)中的AuthUserFile部分替換成:AuthUserFile /usr/local/etc/usersdbm 告訴Apache現(xiàn)在的用戶文件是DBM的格式。
以上內(nèi)容,是作者在長(zhǎng)期的網(wǎng)站管理工作中的一點(diǎn)積累。由于篇幅的關(guān)系,只能作粗略的描述,遠(yuǎn)不能表達(dá)清楚Apache服務(wù)器的安全使用。安全是相對(duì)的,嚴(yán)防是絕對(duì)的。只有及時(shí)了解最新的安全信息,掌握最新的安全技術(shù)、工具,根據(jù)實(shí)際情況,制定安全策略,才能及時(shí)有效地抵御各種各樣的網(wǎng)上“侵略者”。 |