开源 Apache 服务器安全防护技术精要及实战（1）

look_w

Apache 服务简介Web 服务器也称为 WWW 服务器或 HTTP 服务器 (HTTP Server)，它是 Internet 上最常见也是使用最频繁的服务器之一，Web 服务器能够为用户提供网页浏览、论坛访问等等服务。
由于用户在通过 Web 浏览器访问信息资源的过程中，无须再关心一些技术性的细节，而且界面非常友好，因而 Web 在 Internet 上一推出就得到了爆炸性的发展。现在 Web 服务器已经成为 Internet 上最大的计算机群，Web 文档之多、链接的网络之广，也令人难以想像。因此，Web 服务器软件的数量也开始增加，Web 服务器软件市场的竞争也越来越激烈。本文所讨论的就是一款最常用的 Web 服务器软件—— Apache。
Apache 是一个免费的软件，用户可以免费从 Apache 的官方网站下载。任何人都可以参加其组成部分的开发。Apache 允许世界各地的人对其提供新特性。当新代码提交到 Apache Group 后，Apache Group 对其具体内容进行审查并测试和质量检查。如果他们满意，该代码就会被集成到 Apache 的主要发行版本中。
Apache 的其他主要特征有：

• 支持最新的 HTTP 协议：是最先支持 HTTP1.1 的 Web 服务器之一，其与新的 HTTP 协议完全兼容，同时与 HTTP1.0、HTTP1.1 向后兼容。Apache 还为支持新协议做好了准备。
• 简单而强大的基于文件的配置：该服务器没有为管理员提供图形用户界面，提供了三个简单但是功能异常强大的配置文件。用户可以根据需要用这三个文件随心所欲地完成自己希望的 Apache 配置。
• 支持通用网关接口（CGI）：采用 mod_cgi 模块支持 CGI。Apache 支持 CGI/1.1 标准，并且提供了一些扩充。
• 支持虚拟主机：是首批既支持 IP 虚拟主机又支持命名虚拟主机的 Web 服务器之一。
• 支持 HTTP 认证：支持基于 Web 的基本认证。它还有望支持基于消息摘要的认证。
• 内部集成 Perl：Perl 是 CGI 脚本编程的事实标准。Apache 对 Perl 提供了良好的支持，通过使用其 mod_perl 模块，还可以将 Perl 的脚本装入内存。
• 集成代理服务器：用户还可以选择 Apache 作为代理服务器。
• 支持 SSL：由于版本法和美国法律在进出口方面的限制，Apache 本身不支持 SSL。但是用户可以通过安装 Apache 的补丁程序集合（Apache－SSL）使得 Apache 支持 SSL。
• 支持 HTTP Cookie：通过支持 Cookie，可以对用户浏览 Web 站点进行跟踪。

Apache 服务面临的网络威胁一般说来，Apache 服务器主要面临如下几种网络威胁：

• 使用 HTTP 协议进行的拒绝服务攻击：攻击者会通过某些手段使服务器拒绝对 HTIP 应答。这样会使 Apache 对系统资源（CPU 时间和内存）需求巨增，造成 Apache 系统变慢甚至完全瘫痪，从而引起 HTTP 服务的中断或者合法用户的合法请求得不到及时地响应；
• 缓冲区溢出攻击：由于 Apache 源代码完全开放，攻击者就可以利用程序编写的一些缺陷，使程序偏离正常流程。程序使用静态分配的内存保存请求数据，攻击者就可以发送一个超长请求使缓冲区溢出，从而导致缓冲区溢出攻击；
• 被攻击者获得 root 权限，威胁系统安全：由于 Apache 服务器一般以 root 权限运行，攻击者通过它获得 root 权限，进而控制整个 Apache 系统；
• Apache 服务器与客户端通信安全：如果采用明文传输，则服务器与客户端的敏感通信信息将有可能被黑客或者不法用户获取；
• 由于 Apache 配置文件设置不当引起的安全问题：恶意者可以随意下载或修改删除系统文件。这主要涉及到对访问者的内容和权限的限制。

要应对上述这些安全威胁，要从 Apache 服务器端配置、运行环境、通信链路安全保障、安全模块使用、日志管理等各方面、全方位的进行保障，下面将进行分门别类的详细介绍。
Apache 服务器端安全设置限制 root 用户运行 Apache 服务器一般情况下，在 Linux 下启动 Apache 服务器的进程 httpd 需要 root 权限。由于 root 权限太大，存在许多潜在的对系统的安全威胁。一些管理员为了安全的原因，认为 httpd 服务器不可能没有安全漏洞，因而更愿意使用普通用户的权限来启动服务器。http.conf 主配置文件里面有如下 2 个配置是 Apache 的安全保证，Apache 在启动之后，就将其本身设置为这两个选项设置的用户和组权限进行运行，这样就降低了服务器的危险性。
User apache
Group apache
需要特别指出的是：以上 2 个配置在主配置文件里面是默认选项，当采用 root 用户身份运行 httpd 进程后，系统将自动将该进程的用户组和权限改为 apache，这样，httpd 进程的权限就被限制在 apache 用户和组范围内，因而保证了安全。
向客户端隐藏 Apache 服务器的相关信息Apache 服务器的版本号可以作为黑客入侵的重要信息进行利用，他们通常在获得版本号后，通过网上搜索针对该版本服务器的漏洞，从而使用相应的技术和工具有针对性的入侵，这也是渗透测试的一个关键步骤。因此，为了避免一些不必要的麻烦和安全隐患，可以通过主配置文件 httpd.conf 下的如下两个选项进行：
（1）ServerTokens：该选项用于控制服务器是否响应来自客户端的请求，向客户端输出服务器系统类型或者相应的内置模块等重要信息。Red Hat Enterprise Linux 5 操作系统在主配置文件中提供全局默认控制阈值为 OS，即 ServerTokens OS。它们将向客户端公开操作系统信息和相关敏感信息，所以保证安全情况下需要在该选项后使用“ProductOnly”，即 ServerTokens ProductOnly。
（2）ServerSignature：该选项控制由系统生成的页面（错误信息等）。默认情况下为 off，即 ServerSignature off，该情况下不输出任何页面信息。另一情况为 on，即 ServerSignature on，该情况下输出一行关于版本号等相关信息。安全情况下应该将其状态设为 off。
图 1 和图 2 为安全设定这两个选项前后正常情况下和错误情况下的输出页面（通过 Rhel5 中的 Mozilla Firefox 浏览器访问 Rhel5 中的 Apache 服务器）的详细对比。可以清楚看到，安全设定选项后，可以充分地向客户端用户隐藏 Linux 操作系统信息和 Apache 服务器版本信息。
图 1. 错误情况下未设定安全选项前示意图 2. 操作情况下使用安全设定后的对比设置虚拟目录和目录权限要从主目录以外的其他目录中进行发布，就必须创建虚拟目录。虚拟目录是一个位于 Apache 的主目录外的目录，它不包含在 Apache 的主目录中，但在访问 Web 站点的用户看来，它与位于主目录中的子目录是一样的。每个虚拟目录都有一个别名，用户 Web 浏览器中可以通过此别名来访问虚拟目录，如 http:// 服务器 IP 地址 / 别名 / 文件名，就可以访问虚拟目录下面的任何文件了。
使用 Alias 选项可以创建虚拟目录。在主配置文件中，Apache 默认已经创建了两个虚拟目录。这两条语句分别建立了“/icons/”和“/manual”两个虚拟目录，它们对应的物理路径分别是“/var/www/icons/”和“/var/www/manual”。在主配置文件中，用户可以看到如下配置语句：
Alias /icons/ "/var/www/icons/"
Alias /manual "/var/www/manual"
在实际使用过程中，用户可以自己创建虚拟目录。比如，创建名为 /user 的虚拟目录，它所对应的路径为上面几个例子中常用的 /var/www/html/rhel5：
Alias /test "/var/www/html/rhel5"
如果需要对其进行权限设置，可以加入如下语句：

1 2 3 4 5 6

<Directory “/var/www/html/rhel5”>     AllowOverride None     Options Indexes     Order allow,deny     Allow from all </Directory>

设置该虚拟目录和目录权限后，可以使用客户端浏览器进行测试验证，采用别名对该目录中的文件进行访问，浏览结果如图 3 所示。
图 3. 使用虚拟目录的测试结果