Linux Apache服务器安全建议

outlook

　　Linux Apache服务器安全建议
1、禁用不必要的模块 如果你打算源码编译安装apache，你应该禁用以下的模块。如果你运行./configure -help，你将会看到所有可用 的你可以禁用/开启的模块。userdir –用户特定用户的请求映射。例如：带用户名的URL会转化成服务器的一个目录。autoindex – 当没有默认首页（如index.html）时显示目录列表。status –显示服务器统计env – 清除或修改环境变量setenvif –根据客户端请求头字段设置环境变量cgi –CGI脚本actions – 根据特定的媒体类型或请求方法，激活特定的CGI脚本negotiation –提供内容协商支持alias – 提供从文件系统的不同部分到文档树的映射和URL重定向include –实现服务端包含文档(SSI)处理filter –根据上下文实际情况对输出过滤器进行动态配置version –提供基于版本的配置段支持asis – 发送自己包含HTTP头内容的文件当你执行./configure按照下面禁用以上的所有模块。./configure \--enable-ssl \--enable-so \--disable-userdir \--disable-autoindex \--disable-status \--disable-env \--disable-setenvif \--disable-cgi \--disable-actions \--disable-negotiation \--disable-alias \--disable-include \--disable-filter \--disable-version \--disable-asis如果激活ssl且禁用mod_setenv，你将会得到以下错误。错误: Syntax error on line 223 of /usr/local/apache2/conf/extra/httpd-ssl.conf: Invalid command  ‘BrowserMatch’, perhaps misspelled or defined by a module not included in the server  configuration解决方案：如果你使用ssl，不要禁用setenvif模块。或者你禁用setenvif模块，可以在httpd-ssl.conf注释 BrowserMatch。安装完成全，执行httpd -l,会列出所有已安装的模块。# /usr/local/apache2/bin/httpd -lCompiled in modules:  core.c  mod_authn_file.c  mod_authn_default.c  mod_authz_host.c  mod_authz_groupfile.c  mod_authz_user.c  mod_authz_default.c  mod_auth_basic.c  mod_log_config.c  mod_ssl.c  prefork.c  http_core.c  mod_mime.c  mod_dir.c  mod_so.c在这个例子里，我们安装了如下apache模块：core.c –Apache核心模块mod_auth* –各种身份验证模块mod_log_config.c –允许记录日志和定制日志文件格式mod_ssl.c – SSLprefork.c – 一个非线程型的、预派生的MPMhttpd_core.c – Apache核心模块mod_mime.c – 根据文件扩展名决定应答的行为(处理器/过滤器)和内容(MIME类型/语言/字符集/编码)mod_dir.c – 指定目录索引文件以及为目录提供”尾斜杠”重定向mod_so.c – 允许运行时加载DSO模块2、以单独的用户和用户组运行Apache Apache可能默认地以nobody或daemon运行。让Apache运行在自己没有特权的帐户比较好。例如：用户apache。创建apache用户组和用户。groupadd apacheuseradd -d /usr/local/apache2/htdocs -g apache -s /bin/false apache更改httpd.conf，正确地设置User和Group。# vi httpd.confUser apacheGroup apache之后重启apache，执行ps -ef命令你会看到apache以“apache”用户运行（除了第一个都是以root运行之外）。# ps -ef | grep -i http | awk '{print $1}'rootapacheapacheapacheapacheapache3、限制访问根目录（使用Allow和Deny） 在httpd.conf文件按如下设置来增强根目录的安全。    Options None    Order deny,allow    Deny from all在上面的：Options None –设置这个为None，是指不激活其它可有可无的功能。Order deny,allow – 这个是指定处理Deny和Allow的顺序。Deny from all –阻止所有请求。Deny的后面没有Allow指令，所以没人能允许访问。4、为conf和bin目录设置适当的权限 bin和conf目录应该只允许授权用户查看。创建一个组和把所有允许查看/修改apache配置文件的用户增加到这个 组是一个不错的授权方法。下面我们设置这个组为：apacheadmin创建组：groupadd apacheadmin允许这个组访问bin目录。chown -R root:apacheadmin /usr/local/apache2/binchmod -R 770 /usr/local/apache2/bin允许这个组访问conf目录。chown -R root:apacheadmin /usr/local/apache2/confchmod -R 770 /usr/local/apache2/conf增加合适的用户到这个组。# vi /etc/groupapacheadmin:x:1121:user1,user25、禁止目录浏览 如果你不关闭目录浏览，用户就能看到你的根目录（或任何子目录）所有的文件（目录）。比如，当他们浏览http://{your-ip}/images/而images下没有默认首页，那么他们就会在浏览器中看到所有的 images文件（就像ls -l输出）。从这里他们通过点击就能看到私人的图片文件，或点点击子目录看到里面的内容 。为了禁止目录浏览，你可以设置Opitons指令为“None“或者是“-Indexes”。在选项名前加“-”会强制性地在 该目录删除这个特性。Indexes选项会在浏览器显示可用文件的列表和子目录（当没有默认首页在这个目录）。所以Indexes应该禁用。  Options None  Order allow,deny  Allow from all (or)   Options -Indexes  Order allow,deny  Allow from all6、禁用.htaccess 在htdocs目录下的特定子目录下使用.htaccess文件，用户能覆盖默认apache指令。在一些情况下，这样不好，应 该禁用这个功能。我们可以在配置文件中按如下设置禁用.htaccess文件来不允许覆盖apache默认配置。  Options None  AllowOverride None  Order allow,deny  Allow from all7、禁用其它选项 下面是一些Options指令的可用值。Options All –所有的选项被激活（除了MultiViews）。如果你不指定Options指令，这个是默认值。Options ExecCGI –执行CGI脚本（使用mod_cgi）。Options FollowSymLinks –如果在当前目录有符号链接，它将会被跟随。Options Includes –允许服务器端包含文件（使用mod_include）。Options IncludesNOEXEC –允许服务器端包含文件但不执行命令或cgi。Options Indexes –允许目录列表。Options MultiViews -允许内容协商多重视图（使用mod_negotiation）Options SymLinksIfOwnerMatch – 跟FollowSymLinks类似。但是要当符号连接和被连接的原始目录是同一所有 者是才被允许。绝不要指定“Options All”，通常指定上面的一个或多个的选项。你可以按下面代码把多个选项连接。Options Includes FollowSymLinks当你要嵌入多个Directory指令时，“+”和“-”是有用处的。也有可能会覆盖上面的Directory指令。如下面，/site目录，允许Includes和Indexes。  Options Includes Indexes  AllowOverride None  Order allow,deny  Allow from all对于/site/en目录，如果你需要继承/site目录的Indexes（不允许Includes），而且只在这个目录允许 FollowSymLinks，如下：  Options -Includes +FollowSymLink  AllowOverride None  Order allow,deny  Allow from all/site目录允许IncludesIndexes/site/en目录允许Indexes和FollowSymLink8、删除不需要的DSO模块 如果你加载了动态共享对象模块到apache，他们应该在httpd.conf文件在“LoadModule”指令下。请注意静态编译的Apache模块是不在“LoadModule”指令里的。在httpd.conf注释任何不需要的“LoadModules”指令。grep LoadModule /usr/local/apache2/conf/httpd.conf9、限制访问特定网络（或IP地址） 如果你需要只允许特定IP地址或网络访问你的网站，按如下操作：只允许特定网络访问你的网站，在Allow指令下给出网络地址。  Options None  AllowOverride None  Order deny,allow  Deny from all  Allow from 10.10.0.0/24只允许特定IP地址访问你的网站，在Allow指令下给出IP地址。  Options None  AllowOverride None  Order deny,allow  Deny from all  Allow from 10.10.1.2110、禁止显示或发送Apache版本号（设置ServerTokens） 默认地，服务器HTTP响应头会包含apache和php版本号。像下面的，这是有危害的，因为这会让***通过知道详细 的版本号而发起已知该版本的漏洞***。Server: Apache/2.2.17 (Unix) PHP/5.3.5为了阻止这个，需要在httpd.conf设置ServerTokens为Prod，这会在响应头中显示“Server:Apache”而不包含任 何的版本信息。# vi httpd.confServerTokens Prod下面是ServerTokens的一些可能的赋值：ServerTokens Prod 显示“Server: Apache”ServerTokens Major 显示 “Server: Apache/2″ServerTokens Minor 显示“Server: Apache/2.2″ServerTokens Min 显示“Server: Apache/2.2.17″ServerTokens OS 显示 “Server: Apache/2.2.17 (Unix)”ServerTokens Full 显示 “Server: Apache/2.2.17 (Unix) PHP/5.3.5″ (如果你这指定任何的值，这个是默认 的返回信息)除了上面10个apache的安全建议，你还必要确保你的UNIX/Linux操作系统的安全。如果你的操作系统不安全，那 么只是确保apache的安全就没有任何意义了。通常的我们要保持apache版本的更新，最新的apahce版本会修复所 有已知的安全问题。还有就是要确保时常查看apache日志文件。