开源 Apache 服务器安全防护技术精要及实战

Apache 一直是世界上使用率排名前三的 Web 服务器软件。企业使用其构建 Web 应用，从很大程度上都需要对其安全性进行综合考虑，以保证能够应对拒绝服务攻击、流量窃听、数据泄漏等网络威胁，从而保证企业门户网站的安全。除了使用业界流行的防火墙、IDS/IPS（入侵检测系统 / 入侵防御系统）、WAF（Web 应用防火墙）、UTM（统一威胁管理）等外部安全设备对 Apache 服务进行安全防护外，作为一种优秀的开源服务器软件，Apache 本身就具有很多优秀的特性可以为服务器管理员提供安全配置，以防范各种网络攻击。因此，充分、高效地挖掘 Apache 服务器的自身安全能力也是企业安全工作者一个必备的技能。基于此，本文将通过大量的实例，从服务器安全设置、运行环境安全保障、安全模块保护、日志管理等 6 个方面详细剖析 Apache 服务器的安全防护要点。

Apache 服务简介

Web 服务器也称为 WWW 服务器或 HTTP 服务器 (HTTP Server)，它是 Internet 上最常见也是使用最频繁的服务器之一，Web 服务器能够为用户提供网页浏览、论坛访问等等服务。

由于用户在通过 Web 浏览器访问信息资源的过程中，无须再关心一些技术性的细节，而且界面非常友好，因而 Web 在 Internet 上一推出就得到了爆炸性的发展。现在 Web 服务器已经成为 Internet 上最大的计算机群，Web 文档之多、链接的网络之广，也令人难以想像。因此，Web 服务器软件的数量也开始增加，Web 服务器软件市场的竞争也越来越激烈。本文所讨论的就是一款最常用的 Web 服务器软件—— Apache。

Apache 是一个免费的软件，用户可以免费从 Apache 的官方网站下载。任何人都可以参加其组成部分的开发。Apache 允许世界各地的人对其提供新特性。当新代码提交到 Apache Group 后，Apache Group 对其具体内容进行审查并测试和质量检查。如果他们满意，该代码就会被集成到 Apache 的主要发行版本中。

Apache 的其他主要特征有：

• 支持最新的 HTTP 协议：是最先支持 HTTP1.1 的 Web 服务器之一，其与新的 HTTP 协议完全兼容，同时与 HTTP1.0、HTTP1.1 向后兼容。Apache 还为支持新协议做好了准备。
• 简单而强大的基于文件的配置：该服务器没有为管理员提供图形用户界面，提供了三个简单但是功能异常强大的配置文件。用户可以根据需要用这三个文件随心所欲地完成自己希望的 Apache 配置。
• 支持通用网关接口（CGI）：采用 mod_cgi 模块支持 CGI。Apache 支持 CGI/1.1 标准，并且提供了一些扩充。
• 支持虚拟主机：是首批既支持 IP 虚拟主机又支持命名虚拟主机的 Web 服务器之一。
• 支持 HTTP 认证：支持基于 Web 的基本认证。它还有望支持基于消息摘要的认证。
• 内部集成 Perl：Perl 是 CGI 脚本编程的事实标准。Apache 对 Perl 提供了良好的支持，通过使用其 mod_perl 模块，还可以将 Perl 的脚本装入内存。
• 集成代理服务器：用户还可以选择 Apache 作为代理服务器。
• 支持 SSL：由于版本法和美国法律在进出口方面的限制，Apache 本身不支持 SSL。但是用户可以通过安装 Apache 的补丁程序集合（Apache－SSL）使得 Apache 支持 SSL。
• 支持 HTTP Cookie：通过支持 Cookie，可以对用户浏览 Web 站点进行跟踪。

Apache 服务面临的网络威胁

一般说来，Apache 服务器主要面临如下几种网络威胁：

1. 使用 HTTP 协议进行的拒绝服务攻击：攻击者会通过某些手段使服务器拒绝对 HTIP 应答。这样会使 Apache 对系统资源（CPU 时间和内存）需求巨增，造成 Apache 系统变慢甚至完全瘫痪，从而引起 HTTP 服务的中断或者合法用户的合法请求得不到及时地响应；
2. 缓冲区溢出攻击：由于 Apache 源代码完全开放，攻击者就可以利用程序编写的一些缺陷，使程序偏离正常流程。程序使用静态分配的内存保存请求数据，攻击者就可以发送一个超长请求使缓冲区溢出，从而导致缓冲区溢出攻击；
3. 被攻击者获得 root 权限，威胁系统安全：由于 Apache 服务器一般以 root 权限运行，攻击者通过它获得 root 权限，进而控制整个 Apache 系统；
4. Apache 服务器与客户端通信安全：如果采用明文传输，则服务器与客户端的敏感通信信息将有可能被黑客或者不法用户获取；
5. 由于 Apache 配置文件设置不当引起的安全问题：恶意者可以随意下载或修改删除系统文件。这主要涉及到对访问者的内容和权限的限制。

要应对上述这些安全威胁，要从 Apache 服务器端配置、运行环境、通信链路安全保障、安全模块使用、日志管理等各方面、全方位的进行保障，下面将进行分门别类的详细介绍。

Apache 服务器端安全设置

限制 root 用户运行 Apache 服务器

一般情况下，在 Linux 下启动 Apache 服务器的进程 httpd 需要 root 权限。由于 root 权限太大，存在许多潜在的对系统的安全威胁。一些管理员为了安全的原因，认为 httpd 服务器不可能没有安全漏洞，因而更愿意使用普通用户的权限来启动服务器。http.conf 主配置文件里面有如下 2 个配置是 Apache 的安全保证，Apache 在启动之后，就将其本身设置为这两个选项设置的用户和组权限进行运行，这样就降低了服务器的危险性。

User apache

Group apache

需要特别指出的是：以上 2 个配置在主配置文件里面是默认选项，当采用 root 用户身份运行 httpd 进程后，系统将自动将该进程的用户组和权限改为 apache，这样，httpd 进程的权限就被限制在 apache 用户和组范围内，因而保证了安全。

向客户端隐藏 Apache 服务器的相关信息

Apache 服务器的版本号可以作为黑客入侵的重要信息进行利用，他们通常在获得版本号后，通过网上搜索针对该版本服务器的漏洞，从而使用相应的技术和工具有针对性的入侵，这也是渗透测试的一个关键步骤。因此，为了避免一些不必要的麻烦和安全隐患，可以通过主配置文件 httpd.conf 下的如下两个选项进行：

（1）ServerTokens：该选项用于控制服务器是否响应来自客户端的请求，向客户端输出服务器系统类型或者相应的内置模块等重要信息。Red Hat Enterprise Linux 5 操作系统在主配置文件中提供全局默认控制阈值为 OS，即 ServerTokens OS。它们将向客户端公开操作系统信息和相关敏感信息，所以保证安全情况下需要在该选项后使用“ProductOnly”，即 ServerTokens ProductOnly。

（编辑：佛山站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!