I'n Blog 之萬象真藏

毋庸諱言，令Apache佔領Web服務器半壁江山的一個重要原因就是它可以提供一個安全的Web操作環境。Apache團體為保證其安全性做了大量的工作。想當年，在此產品被發現存在一個安全缺陷時，Apache的開發人員就盡快地搞出了一個補丁。

然而，即管Apache已經堪稱安全的產品，如果你在構建你的服務器時沒有採取一些安全預防措施，這種Web服務器仍易於受到很多攻擊。

在本文中，筆者將為你提供10個技巧，借此你可以保護自己的Apache Web服務器免於受到許多攻擊。不過，必須謹記，你需要仔細地評估每一個技巧，以確保其適合於你的組織。

只安裝所需要的

Apache的一個最大的特點是其靈活性和大量的可選擇安裝模塊，這在涉及到安全問題時可成 為一個極大的弱點。你安裝的越多，也就為潛在的攻擊者創造了越大的攻擊面。一個標準的Apache安裝包含20多個模塊，包括CGI特性，以及一些身份驗 證機制。如果你不打算採用CGI，並且你只想採用靜態的Web站點，不需要用戶身份驗證，你可能就不需要這些模塊所提供的任何服務，因此在安裝Apache時請禁用這些模塊。

如果你沿用了一個正在運行的Apache服務器，並且不想重新安裝它，就應當仔細檢查httpd.conf配置文件，查找以LoadModule開頭的行。請檢查Apache的文檔（也可以用Google、Yahoo等搜索），查找每個模塊的目的信息，找出那些你並不需要的模塊。然後，重新啟動Apache。

暴露程度最小化

Apache易於安裝並且相當容易管理。不幸的是，許多Apache的安裝由於為完全的陌生者提供了關於自己服務器的太多「有幫助」的信息，例如Apache的版本號和與操作系統相關的信息。通過這種信息，一個潛在的攻擊者就可以追蹤特定的可以影響你的系統的破壞性漏洞，特別是你沒有能夠保持所有補丁的更新的話情況更為嚴重。如此一來，攻擊者無需反覆試驗就可以確切地知道你在運行什麼，從而可以調整其攻擊方法。

要防止服務器廣播敏感信息，一定要保證將httpd.conf中的「ServerSignature」指令設置為「off」。一次默認的Apache安裝會將此指令設置為「off」，不過許多管理員卻啟用了它。

同樣地，禁用目錄瀏覽也是一個不錯的注意。在目錄瀏覽被啟用時，訪問一個並不包含其所需要文檔的目錄的用戶，會看到此目錄中完整的內容列表。無疑，你不應當將敏感材料以純文本的形式存儲到一個Web服務器上，除非你必須這樣做，你也不應該允許人們看到超過其需要的內容。

目錄瀏覽默認地是被啟用的。要禁用這個特性，應編輯http.conf文件，而且對每一個「Directory」指令，應清除「Indexs」引用。

例如，在筆者的做實驗用的Apache 2.2.4服務器上，這是默認的目錄命令：

<Directory "/usr/local/apache/htdocs">
           Options Indexes FollowSymLinks
           AllowOverrride None
           Order allow,deny
           Allow from all
</Directory>

清除Indexes引用後的樣子：

<Directory "/usr/local/apache/htdocs">
           Options FollowSymLinks
           AllowOverrride None
           Order allow,deny
           Allow from all
</Directory>

你也可以保留Indexes指令，並用一個破折號引導，從而禁用此指令（也就是「-Indexes」）。

禁用符號連接追蹤

如果你是唯一一個校對Web內容的人員，而你在創建新的符號連接時又幾乎不犯錯誤，你可能不 會擔心此措施。不過，如果你有很多人員能夠向你的站點增加內容，並非所有的人都像你一樣謹慎從事，那麼就會有一種風險，即某個用戶可能偶然會創建一個符號 連接指向你的文件系統的一部分，而你又確實不想讓人們看到這些文件。例如，如果你的Apache服務器的根目錄中的某人創建了一個指向 「/」文件夾的符號連接，你該怎麼辦？

為了取消Apache服務器允許用戶追蹤符號連接的請求，應該在Directory命令中清除FollowSymlinks指令。

例如，在筆者的試驗性的Apache 2.2.4服務器中，Directory命令如下：

<Directory "/usr/local/apache/htdocs">
           Options Indexes FollowSymLinks
           AllowOverrride None
           Order allow,deny
           Allow from all
</Directory>

在清除了FollowSymLinks引用後，就成為如下的樣子：

<Directory "/usr/local/apache/htdocs">
           Options Indexes
           AllowOverrride None
           Order allow,deny
           Allow from all
</Directory>

如果一些用戶需要跟蹤符號連接的能力，可以考慮使用SymLinksIfOwnerMatch代替。

Listen指令具體化

在你第一次安裝Apache時，httpd.conf包含一個「Listen 80」指令。應將其改變為「Listen mn.xx.yy.zz:80」，在這裡「mn.xx.yy.zz」是你想讓Apache監聽其請求的IP地址。如果你的Apache運行在一個擁有多個 IP地址的服務器上時，這一點尤其重要。如果你不採取預防措施，默認的「Listen 80」指令告訴Apache監聽每一個IP地址的80端口。

不過，這項措施有可能不適用於你的環境，應根據需要而定。

從httpd.conf中清除默認的註釋

Apache 2.2.4中默認的httpd.conf文件有400多行。在這400行中，只有一小部分是實際的Apache指令，其餘的僅是幫助用戶如何恰當地在 httpd.conf中放置指令的註釋。根據筆者的經驗，這些註釋有時起負面作用，甚至將危險的指令留存於文件中。筆者在所管理的許多Apache服務器上將httpd.conf文件複製為其它的文件，如httpd.conf.orig等，然後完全清除多餘的註釋。文件變得更加容易閱讀，從而更好地解決了潛在的安全問題或者錯誤地配置文件。

時間：2007-10-25 10:45:53 作者：安全培訓學院第一  出處：www.sec120.com