阿帕奇服務(wù)器的安全防范

■周玉

阿帕奇服務(wù)器的安全防范

■周玉

Apache服務(wù)器走到那里，unix/linux就跟到那里，這足以說明在Web服務(wù)器領(lǐng)域Apache的優(yōu)良性能與市場占有率。在今天互聯(lián)網(wǎng)的大環(huán)境下，web服務(wù)已經(jīng)成為公司企業(yè)必不可少的業(yè)務(wù)，大多數(shù)的安全問題也跟隨而來，攻擊重點也轉(zhuǎn)移為web攻擊，許多web與頗有價值的客戶服務(wù)與電子商業(yè)活動結(jié)合在一起，這也是吸引惡意攻擊重要原因。

下面來了解下web所面臨的安全風(fēng)險

一、HTTP拒絕服務(wù)攻擊

攻擊者通過某些手段使服務(wù)器拒絕對http應(yīng)答，這使Apache對系統(tǒng)資源（cup時間與內(nèi)存）需求巨增，最終造成系統(tǒng)變慢甚至完全癱瘓，Apache服務(wù)器最大的缺點是，它的普遍性使它成為眾矢之的，Apache服務(wù)器無時無刻不受到DoS攻擊威脅，主要有下邊幾種：

1.數(shù)據(jù)包洪水攻擊

一種中斷服務(wù)器或本地網(wǎng)絡(luò)的方法是數(shù)據(jù)包洪水攻擊，它通常使用internet控制報文協(xié)議（ICMP，屬于網(wǎng)絡(luò)層協(xié)議）。包或是udp包，在最簡單的形式下，這些攻擊都是使服務(wù)器或網(wǎng)絡(luò)負載過重，這意味這攻擊者的網(wǎng)絡(luò)速度必須比目標主機網(wǎng)絡(luò)速度要快，使用udp包的優(yōu)勢是不會有任何包返回到黑客的計算機（udp效率要比tcp高17倍），而使用ICMP包的優(yōu)勢是攻擊者能讓攻擊更加富與變化，發(fā)送有缺陷的包會搞亂并鎖住受害者的網(wǎng)絡(luò)，目前流行的趨勢是攻擊者欺騙服務(wù)器，讓其相信正在受來自自身的洪水攻擊。

2.磁盤攻擊

這是一種很不道德的攻擊，它不僅影響計算機的通信，還破壞其硬件，偽造的用戶請求利用寫命令攻擊目標計算機硬盤，讓其超過極限，并強制關(guān)閉，結(jié)局很悲慘。

3.路由不可達

通常DoS攻擊，集中在路由器上，攻擊者首先獲得控制權(quán)并操縱目標機器，當攻擊者能更改路由表條目時候，會導(dǎo)致整個網(wǎng)絡(luò)無法通信，這種攻擊很陰險，隱蔽，因為網(wǎng)絡(luò)管理員需要排除的網(wǎng)絡(luò)不通原因很多，其中一些原因需要詳細分辨。

4.分布式拒絕服務(wù)攻擊

這也是最具有威脅的DDoS攻擊，名稱很容易理解，簡單說就是群歐，很多客戶機同時單條服務(wù)器，你會發(fā)現(xiàn)你將傷痕累累，Apache服務(wù)器特別容易受到攻擊，無論是DDos還是隱藏來源的攻擊，因為Apache無處不在，特別是為Apache特意打造的病毒（特選SSL蠕蟲），潛伏在許多主機上，攻擊者通過病毒可以操縱大量被感染的機器，對特定目標發(fā)動一次浩大的DDoS攻擊，通過將蠕蟲散播到大量主機，大規(guī)模的點對點攻擊得以進行，除非你不提供服務(wù)，要不然幾乎無法阻止這樣的攻擊，這種攻擊通常會定位到大型的網(wǎng)站上。

緩沖區(qū)溢出，這種攻擊很普遍，攻擊者利用CGI程序編寫一些缺陷程序偏離正常的流程，程序使用靜態(tài)的內(nèi)存分配，攻擊者就可以發(fā)送一個超長的請求使緩沖區(qū)溢出，比如，一些perl編寫的處理用戶請求的網(wǎng)關(guān)腳本，一但緩沖區(qū)溢出，攻擊者就可以執(zhí)行惡意指令。

二、非法獲取root權(quán)限

如果Apache以root權(quán)限運行，系統(tǒng)上一些程序的邏輯缺陷或緩沖區(qū)溢出漏洞，會讓攻擊者很容易在本地系統(tǒng)獲取linux服務(wù)器上的管理者權(quán)限，在一些遠程情況下，攻擊者會利用一些以root身份執(zhí)行的有缺陷的系統(tǒng)守護進程來取得root權(quán)限，或利用有缺陷的服務(wù)進程漏洞來取得普通用戶權(quán)限，以遠程登陸，進而控制整個系統(tǒng)。

這邊這些都是服務(wù)將會遇到的攻擊手段，下邊來說，如何打造安全的Apache服務(wù)器。如果你能遵守下邊這些建議，那么你將得到一臺相對安全的apache服務(wù)器。

三、勤打補丁

你必須要相信這個是最有用的手段，緩沖區(qū)溢出等漏洞都必須使用這種手段來防御，勤快點相信對你沒有壞處。在http:www.apache.org上最新的changelog中都寫有：bug fix, security bug fix的字樣，做為負責任的管理員要經(jīng)常關(guān)注相關(guān)漏洞，及時升級系統(tǒng)添加補丁。使用最新安全版本對加強apache至關(guān)重要。

四、隱藏和偽裝Apache的版本

打亂攻擊者的步驟，給攻擊者帶來麻煩，相信是管理員愿意看到的。軟件的漏洞信息和版本是相關(guān)的，在攻擊者收集你服務(wù)軟件信息時候給與迷惑是個不錯的選擇，何況版本號，對攻擊者來說相當與GPS定位一樣重要。

默認情況，系統(tǒng)會把apache版本模塊都顯示出來（http返回頭），如果列舉目錄的話，會顯示域名信息（文件列表正文），去除Apache版本號的方法是修改配置文件，找到關(guān)鍵字,修改為：

ServerSignature off

ServerTokens prod

通過分析web服務(wù)器類型，大致可以推測操作系統(tǒng)類型，win使用iis,linux普遍apache，默認的Apache配置里沒有任何信息保護機制，并且允許目錄瀏覽，通過目錄瀏覽，通?？梢缘玫筋愃啤癮pache/1.37 Server at apache.linuxforum.net Port 80”或“apache/2.0.49(unix)PHP/4.3.8”的信息。通過修改配置文件中的ServerTokens參數(shù)，可以將Apache的相關(guān)信息隱藏起來，如果不行的話，可能是提示信息被編譯在程序里了，要隱藏需要修改apache的源代碼，然后重新編譯程序替換內(nèi)容。

修改完成后，重新編譯，安裝apache,在修改配置文件為上邊做過的，再次啟動apache后，用工具掃描，發(fā)現(xiàn)提示信息中已經(jīng)顯示為windows操作系統(tǒng)了。

五、建立安全的目錄結(jié)構(gòu)

apache服務(wù)器包括四個目錄結(jié)構(gòu)

ServerRoot#保存配置文件，二進制文件與其他服務(wù)器配置文件

DocumentRoot#保存web站點內(nèi)容，包括HTML文件和圖片等

ScripAlias#保存CGI腳本

Customlog和Errorlog#保存日志和錯誤日志

建議的目錄結(jié)構(gòu)為，以上四種目錄相互獨立并且不存在父子邏輯關(guān)系。

六、為apache使用專門的用戶與組

按照最小特權(quán)的原則，需要給apache分配一個合適的權(quán)限，讓其能夠完成web服務(wù)。

必須保證apache使用一個專門的用戶與組，不要使用系統(tǒng)預(yù)定的帳戶，比如nobody用戶與nogroup組。

因為只有root用戶可以運行apache，DocumentRoot應(yīng)該能夠被管理web站點內(nèi)容的用戶訪問和使用apache服務(wù)器的apache用戶與組訪問，例如，希望“test”用戶在web站點發(fā)布內(nèi)容，并且可以以httpd身份運行apache服務(wù)器，可以這樣設(shè)定：

groupadd webteam

usermod-G webteam test

chown-R httpd.webteam/www/html

chmod-R 2570/www/htdocs

只有root能訪問日志，推薦這樣的權(quán)限

chown-R root.root/etc/logs

chown-R 700/etc/logs

七、web目錄的訪問策略

對于可以訪問的web目錄，要使用相對保守的途徑進行訪問，不要讓用戶查看任何目錄索引列表。

八、apache服務(wù)器訪問控制

apache的access.conf文件負責設(shè)置文件的訪問權(quán)限，可以實現(xiàn)互聯(lián)網(wǎng)域名和ip地址的訪問控制。

如允許192.168.1.1到192.168.1.254的主機訪問，可以這樣設(shè)定：

order deny,allow

deny from all

allow from pair 192.168.1.0/255.255.255.0

九、apache服務(wù)器的密碼保護

.htaccess文件是apache上的一個設(shè)置文件，它是一個文本文件，.htaccess文件提供了針對目錄改變配置的方法。既通過在一個特定的文檔目錄中放置一個包含一個或多個指令的文件（.htaccess文件），以作用于此目錄和子目錄。

.htaccess的功能包括設(shè)置網(wǎng)頁密碼，設(shè)置發(fā)生錯誤時出現(xiàn)的文件，改變首業(yè)的文件名（如，index.html）,禁止讀取文件名，重新導(dǎo)向文件，加上MIME類別，禁止目錄下的文件等。

十、讓apache運行在“監(jiān)牢”中

“監(jiān)牢”的意思是指通過chroot機制來更改某個軟件運行時所能看到的根目錄，簡單說，就是被限制在指定目錄中，保證軟件只能對該目錄與子目錄文件有所動作，從而保證整個服務(wù)器的安全，即使被破壞或侵入，損傷也不大。

為了進一步提高系統(tǒng)安全性，linux內(nèi)核引入chroot機制，chroot是內(nèi)核中的一個系統(tǒng)調(diào)用，軟件可以通過調(diào)用函數(shù)庫的chroot函數(shù)，來更改某個進程所能見到的跟目錄，比如，apache軟件安裝在/usr/local/httpd目錄，以root啟動apache,這個root權(quán)限的父進程會派生數(shù)個以nobody權(quán)限運行的子進程，父進程監(jiān)聽80端口，然后交給某個子進程處理，這時候子進程所處的目錄續(xù)承父進程，即/usr/local/httpd目錄，但是一但目錄權(quán)限設(shè)定錯誤，被攻擊的apache子進程可以訪問/usr/local,/usr,/tmp甚至整個文件系統(tǒng)，因為apache進程所處的跟目錄仍然是整個文件系統(tǒng)的跟目錄，如果可以用chroot將apache限制在/usr/local/httpd/下，那么apache所存取的文件都被限制在/usr/local/httpd下，創(chuàng)建chroot監(jiān)牢的作用就是將進程權(quán)限限制在文件目錄樹下，保證安全。