阿帕奇服務(wù)器的安全防范

■周玉

阿帕奇服務(wù)器的安全防范

■周玉

Apache服務(wù)器走到那里，unix/linux就跟到那里，這足以說明在Web服務(wù)器領(lǐng)域Apache的優(yōu)良性能與市場(chǎng)占有率。在今天互聯(lián)網(wǎng)的大環(huán)境下，web服務(wù)已經(jīng)成為公司企業(yè)必不可少的業(yè)務(wù)，大多數(shù)的安全問題也跟隨而來，攻擊重點(diǎn)也轉(zhuǎn)移為web攻擊，許多web與頗有價(jià)值的客戶服務(wù)與電子商業(yè)活動(dòng)結(jié)合在一起，這也是吸引惡意攻擊重要原因。

下面來了解下web所面臨的安全風(fēng)險(xiǎn)

一、HTTP拒絕服務(wù)攻擊

攻擊者通過某些手段使服務(wù)器拒絕對(duì)http應(yīng)答，這使Apache對(duì)系統(tǒng)資源（cup時(shí)間與內(nèi)存）需求巨增，最終造成系統(tǒng)變慢甚至完全癱瘓，Apache服務(wù)器最大的缺點(diǎn)是，它的普遍性使它成為眾矢之的，Apache服務(wù)器無時(shí)無刻不受到DoS攻擊威脅，主要有下邊幾種：

1.數(shù)據(jù)包洪水攻擊

一種中斷服務(wù)器或本地網(wǎng)絡(luò)的方法是數(shù)據(jù)包洪水攻擊，它通常使用internet控制報(bào)文協(xié)議（ICMP，屬于網(wǎng)絡(luò)層協(xié)議）。包或是udp包，在最簡(jiǎn)單的形式下，這些攻擊都是使服務(wù)器或網(wǎng)絡(luò)負(fù)載過重，這意味這攻擊者的網(wǎng)絡(luò)速度必須比目標(biāo)主機(jī)網(wǎng)絡(luò)速度要快，使用udp包的優(yōu)勢(shì)是不會(huì)有任何包返回到黑客的計(jì)算機(jī)（udp效率要比tcp高17倍），而使用ICMP包的優(yōu)勢(shì)是攻擊者能讓攻擊更加富與變化，發(fā)送有缺陷的包會(huì)搞亂并鎖住受害者的網(wǎng)絡(luò)，目前流行的趨勢(shì)是攻擊者欺騙服務(wù)器，讓其相信正在受來自自身的洪水攻擊。

2.磁盤攻擊

這是一種很不道德的攻擊，它不僅影響計(jì)算機(jī)的通信，還破壞其硬件，偽造的用戶請(qǐng)求利用寫命令攻擊目標(biāo)計(jì)算機(jī)硬盤，讓其超過極限，并強(qiáng)制關(guān)閉，結(jié)局很悲慘。

3.路由不可達(dá)

通常DoS攻擊，集中在路由器上，攻擊者首先獲得控制權(quán)并操縱目標(biāo)機(jī)器，當(dāng)攻擊者能更改路由表?xiàng)l目時(shí)候，會(huì)導(dǎo)致整個(gè)網(wǎng)絡(luò)無法通信，這種攻擊很陰險(xiǎn)，隱蔽，因?yàn)榫W(wǎng)絡(luò)管理員需要排除的網(wǎng)絡(luò)不通原因很多，其中一些原因需要詳細(xì)分辨。

4.分布式拒絕服務(wù)攻擊

這也是最具有威脅的DDoS攻擊，名稱很容易理解，簡(jiǎn)單說就是群歐，很多客戶機(jī)同時(shí)單條服務(wù)器，你會(huì)發(fā)現(xiàn)你將傷痕累累，Apache服務(wù)器特別容易受到攻擊，無論是DDos還是隱藏來源的攻擊，因?yàn)锳pache無處不在，特別是為Apache特意打造的病毒（特選SSL蠕蟲），潛伏在許多主機(jī)上，攻擊者通過病毒可以操縱大量被感染的機(jī)器，對(duì)特定目標(biāo)發(fā)動(dòng)一次浩大的DDoS攻擊，通過將蠕蟲散播到大量主機(jī)，大規(guī)模的點(diǎn)對(duì)點(diǎn)攻擊得以進(jìn)行，除非你不提供服務(wù)，要不然幾乎無法阻止這樣的攻擊，這種攻擊通常會(huì)定位到大型的網(wǎng)站上。

緩沖區(qū)溢出，這種攻擊很普遍，攻擊者利用CGI程序編寫一些缺陷程序偏離正常的流程，程序使用靜態(tài)的內(nèi)存分配，攻擊者就可以發(fā)送一個(gè)超長(zhǎng)的請(qǐng)求使緩沖區(qū)溢出，比如，一些perl編寫的處理用戶請(qǐng)求的網(wǎng)關(guān)腳本，一但緩沖區(qū)溢出，攻擊者就可以執(zhí)行惡意指令。

二、非法獲取root權(quán)限

如果Apache以root權(quán)限運(yùn)行，系統(tǒng)上一些程序的邏輯缺陷或緩沖區(qū)溢出漏洞，會(huì)讓攻擊者很容易在本地系統(tǒng)獲取linux服務(wù)器上的管理者權(quán)限，在一些遠(yuǎn)程情況下，攻擊者會(huì)利用一些以root身份執(zhí)行的有缺陷的系統(tǒng)守護(hù)進(jìn)程來取得root權(quán)限，或利用有缺陷的服務(wù)進(jìn)程漏洞來取得普通用戶權(quán)限，以遠(yuǎn)程登陸，進(jìn)而控制整個(gè)系統(tǒng)。

這邊這些都是服務(wù)將會(huì)遇到的攻擊手段，下邊來說，如何打造安全的Apache服務(wù)器。如果你能遵守下邊這些建議，那么你將得到一臺(tái)相對(duì)安全的apache服務(wù)器。

三、勤打補(bǔ)丁

你必須要相信這個(gè)是最有用的手段，緩沖區(qū)溢出等漏洞都必須使用這種手段來防御，勤快點(diǎn)相信對(duì)你沒有壞處。在http:www.apache.org上最新的changelog中都寫有：bug fix, security bug fix的字樣，做為負(fù)責(zé)任的管理員要經(jīng)常關(guān)注相關(guān)漏洞，及時(shí)升級(jí)系統(tǒng)添加補(bǔ)丁。使用最新安全版本對(duì)加強(qiáng)apache至關(guān)重要。

四、隱藏和偽裝Apache的版本

打亂攻擊者的步驟，給攻擊者帶來麻煩，相信是管理員愿意看到的。軟件的漏洞信息和版本是相關(guān)的，在攻擊者收集你服務(wù)軟件信息時(shí)候給與迷惑是個(gè)不錯(cuò)的選擇，何況版本號(hào)，對(duì)攻擊者來說相當(dāng)與GPS定位一樣重要。

默認(rèn)情況，系統(tǒng)會(huì)把a(bǔ)pache版本模塊都顯示出來（http返回頭），如果列舉目錄的話，會(huì)顯示域名信息（文件列表正文），去除Apache版本號(hào)的方法是修改配置文件，找到關(guān)鍵字,修改為：

ServerSignature off

ServerTokens prod

通過分析web服務(wù)器類型，大致可以推測(cè)操作系統(tǒng)類型，win使用iis,linux普遍apache，默認(rèn)的Apache配置里沒有任何信息保護(hù)機(jī)制，并且允許目錄瀏覽，通過目錄瀏覽，通常可以得到類似“apache/1.37 Server at apache.linuxforum.net Port 80”或“apache/2.0.49(unix)PHP/4.3.8”的信息。通過修改配置文件中的ServerTokens參數(shù)，可以將Apache的相關(guān)信息隱藏起來，如果不行的話，可能是提示信息被編譯在程序里了，要隱藏需要修改apache的源代碼，然后重新編譯程序替換內(nèi)容。

修改完成后，重新編譯，安裝apache,在修改配置文件為上邊做過的，再次啟動(dòng)apache后，用工具掃描，發(fā)現(xiàn)提示信息中已經(jīng)顯示為windows操作系統(tǒng)了。

五、建立安全的目錄結(jié)構(gòu)

apache服務(wù)器包括四個(gè)目錄結(jié)構(gòu)

ServerRoot#保存配置文件，二進(jìn)制文件與其他服務(wù)器配置文件

DocumentRoot#保存web站點(diǎn)內(nèi)容，包括HTML文件和圖片等

ScripAlias#保存CGI腳本

Customlog和Errorlog#保存日志和錯(cuò)誤日志

建議的目錄結(jié)構(gòu)為，以上四種目錄相互獨(dú)立并且不存在父子邏輯關(guān)系。

六、為apache使用專門的用戶與組

按照最小特權(quán)的原則，需要給apache分配一個(gè)合適的權(quán)限，讓其能夠完成web服務(wù)。

必須保證apache使用一個(gè)專門的用戶與組，不要使用系統(tǒng)預(yù)定的帳戶，比如nobody用戶與nogroup組。

因?yàn)橹挥衦oot用戶可以運(yùn)行apache，DocumentRoot應(yīng)該能夠被管理web站點(diǎn)內(nèi)容的用戶訪問和使用apache服務(wù)器的apache用戶與組訪問，例如，希望“test”用戶在web站點(diǎn)發(fā)布內(nèi)容，并且可以以httpd身份運(yùn)行apache服務(wù)器，可以這樣設(shè)定：

groupadd webteam

usermod-G webteam test

chown-R httpd.webteam/www/html

chmod-R 2570/www/htdocs

只有root能訪問日志，推薦這樣的權(quán)限

chown-R root.root/etc/logs

chown-R 700/etc/logs

七、web目錄的訪問策略

對(duì)于可以訪問的web目錄，要使用相對(duì)保守的途徑進(jìn)行訪問，不要讓用戶查看任何目錄索引列表。

八、apache服務(wù)器訪問控制

apache的access.conf文件負(fù)責(zé)設(shè)置文件的訪問權(quán)限，可以實(shí)現(xiàn)互聯(lián)網(wǎng)域名和ip地址的訪問控制。

如允許192.168.1.1到192.168.1.254的主機(jī)訪問，可以這樣設(shè)定：

order deny,allow

deny from all

allow from pair 192.168.1.0/255.255.255.0

九、apache服務(wù)器的密碼保護(hù)

.htaccess文件是apache上的一個(gè)設(shè)置文件，它是一個(gè)文本文件，.htaccess文件提供了針對(duì)目錄改變配置的方法。既通過在一個(gè)特定的文檔目錄中放置一個(gè)包含一個(gè)或多個(gè)指令的文件（.htaccess文件），以作用于此目錄和子目錄。

.htaccess的功能包括設(shè)置網(wǎng)頁密碼，設(shè)置發(fā)生錯(cuò)誤時(shí)出現(xiàn)的文件，改變首業(yè)的文件名（如，index.html）,禁止讀取文件名，重新導(dǎo)向文件，加上MIME類別，禁止目錄下的文件等。

十、讓apache運(yùn)行在“監(jiān)牢”中

“監(jiān)牢”的意思是指通過chroot機(jī)制來更改某個(gè)軟件運(yùn)行時(shí)所能看到的根目錄，簡(jiǎn)單說，就是被限制在指定目錄中，保證軟件只能對(duì)該目錄與子目錄文件有所動(dòng)作，從而保證整個(gè)服務(wù)器的安全，即使被破壞或侵入，損傷也不大。

為了進(jìn)一步提高系統(tǒng)安全性，linux內(nèi)核引入chroot機(jī)制，chroot是內(nèi)核中的一個(gè)系統(tǒng)調(diào)用，軟件可以通過調(diào)用函數(shù)庫的chroot函數(shù)，來更改某個(gè)進(jìn)程所能見到的跟目錄，比如，apache軟件安裝在/usr/local/httpd目錄，以root啟動(dòng)apache,這個(gè)root權(quán)限的父進(jìn)程會(huì)派生數(shù)個(gè)以nobody權(quán)限運(yùn)行的子進(jìn)程，父進(jìn)程監(jiān)聽80端口，然后交給某個(gè)子進(jìn)程處理，這時(shí)候子進(jìn)程所處的目錄續(xù)承父進(jìn)程，即/usr/local/httpd目錄，但是一但目錄權(quán)限設(shè)定錯(cuò)誤，被攻擊的apache子進(jìn)程可以訪問/usr/local,/usr,/tmp甚至整個(gè)文件系統(tǒng)，因?yàn)閍pache進(jìn)程所處的跟目錄仍然是整個(gè)文件系統(tǒng)的跟目錄，如果可以用chroot將apache限制在/usr/local/httpd/下，那么apache所存取的文件都被限制在/usr/local/httpd下，創(chuàng)建chroot監(jiān)牢的作用就是將進(jìn)程權(quán)限限制在文件目錄樹下，保證安全。