Apache Web安全分析與增強(qiáng) - Apache Web概述

阿帕奇是一個(gè)用于搭建WEB服務(wù)器的應(yīng)用程序，它是開(kāi)源的，它的配置文件主要有四個(gè)，httpd.conf，這個(gè)文件是最核心最主要的，它是我們的主配置文件，里面存的是網(wǎng)站的一些屬性端口，還有執(zhí)行者的身份等等

conf/srm.conf是一個(gè)數(shù)據(jù)配置文件，這塊其實(shí)用的比較少，其實(shí)實(shí)際項(xiàng)目當(dāng)中基本上不怎么用它，它不是必須的，很多東西都是直接可以在主配置文件里面配

conf/access.conf是負(fù)責(zé)基本的讀取文件控制，就是那些用戶能讀，那些用戶不能讀，它跟我們網(wǎng)絡(luò)安全關(guān)聯(lián)比較大

conf/mime.config，這是配置我們的網(wǎng)頁(yè)，它能識(shí)別的后綴格式，一般來(lái)講這個(gè)文件是不需要?jiǎng)拥?#xff0c;比如說(shuō)你里面配置我們的網(wǎng)頁(yè)能識(shí)別HTML，還能識(shí)別PDF等等，這些文件配置了之后，你的網(wǎng)頁(yè)才能夠識(shí)別

阿帕奇的四個(gè)配置文件最主要，最核心的就是httpd.conf，其他三個(gè)配置文件的功能，簡(jiǎn)單了解一下就可以了，特別是conf/access.conf跟網(wǎng)絡(luò)安全相關(guān)，跟用戶接入控制相關(guān)

Apache Web安全分析與增強(qiáng) - Apache Web安全威脅

阿帕奇web軟件程序漏洞，是軟件就可能有漏洞，攻擊者可能針對(duì)這些漏洞來(lái)發(fā)起攻擊，攻擊者利用阿帕奇軟件漏洞去攻擊我們的網(wǎng)站，基本上所有的網(wǎng)站，所有的軟件都有這樣的問(wèn)題，這個(gè)不存在什么特殊

軟件配置問(wèn)題，第一個(gè)是寫(xiě)程序的時(shí)候出了問(wèn)題，第二個(gè)是程序?qū)懞弥?#xff0c;后期運(yùn)營(yíng)管理等等時(shí)候可能沒(méi)有配好，比如說(shuō)你的用戶名密碼配的很簡(jiǎn)單，如果用戶名密碼比較簡(jiǎn)單相當(dāng)于后臺(tái)管理員存在弱口令，很容易被黑客攻擊，然后訪問(wèn)我們網(wǎng)站的一些敏感信息

安全機(jī)制威脅，比如說(shuō)有口令暴力攻擊，授權(quán)不當(dāng)，弱口令等等

服務(wù)通信威脅，默認(rèn)情況下，我們的網(wǎng)頁(yè)都是HTTP協(xié)議傳送的，這是明文傳送，不安全

服務(wù)內(nèi)容威脅，就是你的網(wǎng)站上有沒(méi)有發(fā)一些非法的敏感內(nèi)容

拒絕服務(wù)，WEB網(wǎng)站經(jīng)常會(huì)被攻擊，其中要么是把你的后臺(tái)拿下，要么他拿不下，他用DOS或者ddos來(lái)攻擊你的可用性，消耗網(wǎng)站服務(wù)器的CPU、內(nèi)存，讓你無(wú)法為正常的用戶提供服務(wù)

Apache Web安全機(jī)制

針對(duì)如上的一些安全攻擊、安全威脅。阿帕奇本身有一些安全機(jī)制，第一個(gè)就是本地文件安全，阿帕奇安裝之后默認(rèn)設(shè)置的文件屬組和權(quán)限是比較合理，比較安全的，我們不必要去修改，當(dāng)然，如果你想修改的話，也可以通過(guò)命令去修改

阿帕奇web模塊管理機(jī)制，阿帕奇采用模塊化的結(jié)構(gòu)，使得阿帕奇的功能會(huì)比較靈活，當(dāng)你不需要一些模塊的時(shí)候，你就把它禁止掉，跟我們前面講操作系統(tǒng)是一樣的，不需要的服務(wù)，把它給禁用掉

阿帕奇認(rèn)證機(jī)制，提供了簡(jiǎn)單的用戶認(rèn)證

針對(duì)連接耗盡，它也有一系列的應(yīng)對(duì)機(jī)制，第一個(gè)就是減小超時(shí)的時(shí)間或者增大最大的一個(gè)連接設(shè)置，如果你0分鐘或者是多久沒(méi)有相應(yīng)的流量，我可以把你這個(gè)連接給踢掉。還有最大的客戶端，以前本來(lái)默認(rèn)可能設(shè)置256個(gè)，給它設(shè)大一點(diǎn)，設(shè)成500，當(dāng)然你設(shè)的更大，你對(duì)服務(wù)器的內(nèi)存消耗也就更大了。還有就是限制同IP的最大連接數(shù)，一般來(lái)講一個(gè)IP去連接我們服務(wù)器，不會(huì)超過(guò)200個(gè)連接，超過(guò)200個(gè)連接之后，可能就會(huì)有異常。所以我們把它限制一下，比如一個(gè)人給你搞了十萬(wàn)個(gè)連接，那肯定是攻擊了

多線程下載保護(hù)技術(shù)，就是我們通過(guò)網(wǎng)頁(yè)去下載一些資源的時(shí)候，速度比較慢，很可能是對(duì)端服務(wù)器開(kāi)了多線程下載保護(hù)機(jī)制，就是我們?nèi)ハ螺d它不允許你開(kāi)很多線程，因?yàn)殚_(kāi)很多線程會(huì)浪費(fèi)服務(wù)器的資源，所以你的下載速度就會(huì)比較慢，而迅雷這一類(lèi)的下載軟件基本上都是多線程下載

阿帕奇自帶訪問(wèn)控制機(jī)制，它里面有一個(gè)文件就是access.conf限制我們對(duì)文件的訪問(wèn)權(quán)限，哪些用戶可以訪問(wèn)，哪些IP可以訪問(wèn)都在里面都可以設(shè)置

它有兩個(gè)訪問(wèn)控制文件，deny和allow，首先deny是deny from all就所有的都把你deny掉，那最后只允許這樣的一個(gè)網(wǎng)段，能夠訪問(wèn)我們的服務(wù)器，相當(dāng)于是一個(gè)訪問(wèn)控制。

審計(jì)機(jī)制，所有的應(yīng)用程序和操作系統(tǒng)都在審計(jì)機(jī)制里面，有兩個(gè)，access.log是接入審計(jì)日志，error.log是錯(cuò)誤信息審計(jì)日志

阿帕奇WEB服務(wù)器還具有防dos功能，它本身有一個(gè)防dos的模塊，但是說(shuō)實(shí)話，它本身的這個(gè)東西是防不住的，基礎(chǔ)的簡(jiǎn)單的能防得住，如果他能夠防得住，我們還用流量清洗干啥，完全不用了，這就是阿帕奇本身的一些安全機(jī)制

Apache Web安全增強(qiáng)

及時(shí)安裝補(bǔ)丁，這個(gè)什么程序都一樣，第二個(gè)啟用.htaccess文件保護(hù)網(wǎng)頁(yè)，第三設(shè)置專(zhuān)門(mén)的用戶組，并且按照組設(shè)置最小特權(quán)原則，每個(gè)用戶組給予他執(zhí)行任務(wù)的合適權(quán)限就行了，第四個(gè)隱藏阿帕奇的版本號(hào)，因?yàn)槲覀円裟?#xff0c;首先要找到你的漏洞，如果我知道通過(guò)端口掃描或者是其他掃描方式知道了你的版本號(hào)，那么我就可以找這個(gè)版本號(hào)相應(yīng)的一些漏洞來(lái)攻擊你

第五個(gè)目錄訪問(wèn)增強(qiáng)，因?yàn)槲覀冇脩粼L問(wèn)網(wǎng)站，本質(zhì)上你是訪問(wèn)在WEB服務(wù)器上的某個(gè)文件，我們把這個(gè)文件或者這個(gè)文件的目錄做了一些安全設(shè)置，不是所有用戶能訪問(wèn)，這時(shí)候也能夠提升Apache的安全性

第六個(gè)文件目錄保護(hù)，阿帕奇的web文件目錄設(shè)置可以通過(guò)操作系統(tǒng)來(lái)實(shí)現(xiàn)，這就是文件目錄的功能和訪問(wèn)權(quán)限，它本質(zhì)上就是操作系統(tǒng)的一個(gè)文件夾，我們?cè)诓僮飨到y(tǒng)上去設(shè)置哪些用戶可以訪問(wèn)

第七個(gè)刪除一些不必要的一些組件和目錄，第八個(gè)使用第三方的安全軟件來(lái)增強(qiáng)我們的阿帕奇服務(wù)，或者硬件也行，典型的就是WAF