基于LAMP技術(shù)平臺(tái)搭建的Web安全服務(wù)器架構(gòu)

◆宋 陽(yáng)

（天津國(guó)土資源和房屋職業(yè)學(xué)院 天津 300270）

基于LAMP技術(shù)平臺(tái)搭建的Web安全服務(wù)器架構(gòu)

◆宋 陽(yáng)

（天津國(guó)土資源和房屋職業(yè)學(xué)院 天津 300270）

本文介紹LAMP技術(shù)平臺(tái)以及可以選用的技術(shù)組合方案，進(jìn)而探討基于LAMP技術(shù)平臺(tái)搭建Web服務(wù)器的安全配置。

LAMP；架構(gòu)；Web服務(wù)器；數(shù)據(jù)庫(kù)服務(wù)器；緩存服務(wù)器；安全配置

1 LAMP技術(shù)平臺(tái)構(gòu)成

1.1 Linux操作系統(tǒng)

Linux是一種開(kāi)源的操作系統(tǒng)，它有著開(kāi)放性、多用戶、多任務(wù)和豐富的網(wǎng)絡(luò)功能的特性，并且系統(tǒng)安全可靠、良好的移植性和用戶界面、標(biāo)準(zhǔn)的兼容性、出色的速度性能。世界上大部分網(wǎng)站都將Web服務(wù)器部署在Linux上，正是因?yàn)樗姆€(wěn)定、安全、高效以及出色的性能。

1.2 Apache網(wǎng)頁(yè)服務(wù)器

Apache是非常流行的一款Web服務(wù)器軟件，受歡迎的原因是由于它良好的跨平臺(tái)性，幾乎在所有操作系統(tǒng)上都可以安裝使用它，再有就是它是一個(gè)開(kāi)源的項(xiàng)目，擴(kuò)展性很強(qiáng)，安全漏洞少，穩(wěn)定可靠。

1.3 MySQL關(guān)系型數(shù)據(jù)庫(kù)管理系統(tǒng)

MySQL是一種基于SQL語(yǔ)言的標(biāo)準(zhǔn)關(guān)系型數(shù)據(jù)庫(kù)系統(tǒng)。因其基于C和C++編寫，所以具有很強(qiáng)的可移植性。支持絕大多數(shù)操作系統(tǒng)，跨平臺(tái)性強(qiáng)。為大多數(shù)流行的編程語(yǔ)言提供了API接口，因此程序員可以使用各種語(yǔ)言為其編寫數(shù)據(jù)庫(kù)連接程序。以上的諸多優(yōu)點(diǎn)和特性導(dǎo)致了它的用戶很多。

1.4 PHP網(wǎng)站服務(wù)器端腳本語(yǔ)言

PHP是一種服務(wù)器端解釋型腳本語(yǔ)言，由于其開(kāi)源性的原因，使用者和維護(hù)者頗多，開(kāi)放的框架和源碼文檔資源也很多，便于開(kāi)發(fā)者學(xué)習(xí)和使用。它還具有面向?qū)ο蟮墓δ埽覀兛梢允褂肞HP為Web站點(diǎn)編寫出更多高級(jí)動(dòng)態(tài)功能，更高效的開(kāi)發(fā)代碼。

2 LAMP架構(gòu)分析

通過(guò)以上介紹，我們知道了LAMP網(wǎng)站架構(gòu)包括：Linux操作系統(tǒng)+Apache網(wǎng)絡(luò)服務(wù)器+MySQL關(guān)系型數(shù)據(jù)庫(kù)管理系統(tǒng)+PHP/Perl/Python解釋型腳本語(yǔ)言。因?yàn)長(zhǎng)AMP平臺(tái)中所包含的軟件產(chǎn)品均是開(kāi)源項(xiàng)目，意味著其免費(fèi)使用的特性，所以開(kāi)發(fā)維護(hù)者頗多，這樣就出現(xiàn)了很多第三方的成熟優(yōu)秀的免費(fèi)框架資源供開(kāi)發(fā)者使用，而且LAMP架構(gòu)開(kāi)發(fā)Web站點(diǎn)具有輕量、快速的特點(diǎn)，以及通用、跨平臺(tái)、高性能、低成本的優(yōu)勢(shì)，這些都是微軟的.NET架構(gòu)無(wú)法比擬的。下面我對(duì)架構(gòu)中的產(chǎn)品進(jìn)行系統(tǒng)分析討論：

2.1 操作系統(tǒng)

Linux操作系統(tǒng)版本發(fā)布很多，每個(gè)版本都有其特色，我們?cè)谶x用時(shí)首先要考慮其功能性要符合所建網(wǎng)站的規(guī)模和性能，其次還要考慮成本，因?yàn)橛行㎜inux系統(tǒng)版本是企業(yè)級(jí)的，升級(jí)需要收費(fèi)，這會(huì)大大增加建站成本，而往往這些版本中的很多功能是我們建站所用不到的，因此我們可以選擇一些免費(fèi)的版本系統(tǒng)。一般情況下，中小型企業(yè)選用CentOS這個(gè)版本居多，它是Linux發(fā)行版之一，是RHEL/Red Hat Enterprise Linux的精簡(jiǎn)免費(fèi)版，和RHEL具有相同的源代碼，只不過(guò)重新編譯了，有很高的穩(wěn)定性。

2.2 Web服務(wù)器

Apache是Web服務(wù)器上發(fā)布網(wǎng)站用的軟件，其開(kāi)源的特性使其運(yùn)行時(shí)非常穩(wěn)定、安全。由于其模塊豐富導(dǎo)致其比較臃腫，運(yùn)行時(shí)占用的硬件資源大，不可避免的損耗性能，所以我們?cè)谑褂肁pache的同時(shí)還可以考慮選用一些輕量級(jí)的服務(wù)器軟件輔助處理Web請(qǐng)求。具體的方案是我們可以使用Apache服務(wù)器來(lái)處理PHP腳本程序提交的動(dòng)態(tài)數(shù)據(jù)，而使用Nginx輕量級(jí)服務(wù)器處理非PHP腳本程序提交的靜態(tài)頁(yè)面數(shù)據(jù)。Apache提供了兩種解決Web服務(wù)器緩存的方式，一種是使用Apache自帶的緩存模塊，另一種是外加Squid模塊進(jìn)行緩存。加入Squid模塊其實(shí)是做一個(gè)Squid緩存服務(wù)器，單獨(dú)應(yīng)對(duì)cache服務(wù)器緩存相關(guān)請(qǐng)求以此提高Web服務(wù)器的響應(yīng)速度。隨著服務(wù)器數(shù)據(jù)訪問(wèn)量變大，我們還可以考慮使用memcache做分布式高速緩存。

2.3 腳本代碼優(yōu)化

為了提高PHP腳本緩存性能，我們可以使用eAccelerator加速器，優(yōu)化動(dòng)態(tài)內(nèi)容緩存。加速器可以使PHP腳本在解釋狀態(tài)下，優(yōu)化腳本代碼，加快其執(zhí)行效率，對(duì)服務(wù)器的性能開(kāi)銷完全消除。

3 基于LAMP的Web安全配置

3.1 Web服務(wù)器和PHP的安全性

Web服務(wù)器和PHP的安裝和配置是一個(gè)大的安全問(wèn)題。在計(jì)算機(jī)和服務(wù)器上安裝的大多數(shù)軟件都有配置文件和默認(rèn)的特性，這些都是用來(lái)“炫耀”軟件功能和可用性的。假設(shè)需要禁用軟件的某些不需要的或者安全性較低的功能選項(xiàng)。通常，人們不會(huì)考慮這么做，或者花費(fèi)時(shí)間來(lái)正確處理它。作為考慮整體安全性的部分方法，我們需要確保Web服務(wù)器和PHP是被真正正確的配置。

3.1.1 保持軟件更新

提高系統(tǒng)安全性的一個(gè)最簡(jiǎn)單辦法就是確保你所使用的軟件是最新和最安全的版本。對(duì)于PHP，Apache HTTP服務(wù)器，可以通過(guò)定期訪問(wèn)這些網(wǎng)站，查看是否有安全建議，新的發(fā)布版本，以及與安全相關(guān)的缺陷修復(fù)的新特性。

3.1.2 查看php.ini文件

3.1.3 Web服務(wù)器配置

（1）Httpd服務(wù)器所有配置選項(xiàng)都保存在httpd.conf文件里，該文件存在于httpd基本安裝的/conf子目錄中。

（2）確認(rèn)httpd不是以超級(jí)用戶權(quán)限執(zhí)行的。這可以通過(guò)httpd.conf文件下的“用戶和組”設(shè)置實(shí)現(xiàn)。

（3）確認(rèn)Apache安裝目錄的文件權(quán)限是否正確設(shè)置。在UNIX系統(tǒng)中，這包括了文檔根目錄以外的所有目錄屬主都是“root”，并且具有755權(quán)限。

（4）確認(rèn)服務(wù)器設(shè)置了正確的并發(fā)連接數(shù)。

（5）通過(guò)在httpd.conf引入適當(dāng)?shù)闹噶睿[藏一些不希望被看到的文件。

3.2 數(shù)據(jù)庫(kù)服務(wù)器的安全性

3.2.1 用戶和權(quán)限系統(tǒng)

花費(fèi)一些時(shí)間來(lái)了解你選擇使用的數(shù)據(jù)庫(kù)服務(wù)器的用戶認(rèn)證和權(quán)限系統(tǒng)。請(qǐng)確認(rèn)所有賬戶都有密碼對(duì)于任何數(shù)據(jù)庫(kù)服務(wù)器，你要做的第一件事就是確保數(shù)據(jù)庫(kù)超級(jí)用戶具有密碼。許多數(shù)據(jù)庫(kù)將會(huì)以匿名用戶身份安裝，并且具有比你期望的更多權(quán)限。在了解和確認(rèn)權(quán)限系統(tǒng)后，請(qǐng)確認(rèn)任何默認(rèn)賬戶的權(quán)限都是你期望的，刪除任何不是你所期望的權(quán)限。

3.2.2 發(fā)送數(shù)據(jù)至服務(wù)器

不要發(fā)送任何未經(jīng)過(guò)濾的數(shù)據(jù)至服務(wù)器。使用數(shù)據(jù)庫(kù)擴(kuò)展提供的各種函數(shù)對(duì)輸入的字符串進(jìn)行轉(zhuǎn)義，為自身提供基本保護(hù)。除了依賴于函數(shù)，我們還可以對(duì)輸入表單的每個(gè)域執(zhí)行數(shù)據(jù)類型檢查。

3.2.3 連接服務(wù)器

可以控制與數(shù)據(jù)庫(kù)服務(wù)器的連接來(lái)保證數(shù)據(jù)庫(kù)的安全性。一個(gè)最簡(jiǎn)單的方法就是限制允許連接數(shù)據(jù)庫(kù)的用戶。有些數(shù)據(jù)庫(kù)服務(wù)器提供了加密連接特性來(lái)連接數(shù)據(jù)庫(kù)，這也是提高數(shù)據(jù)庫(kù)安全性的可靠途徑之一。最后必須確保數(shù)據(jù)庫(kù)服務(wù)器在任何時(shí)候能夠處理的連接數(shù)大于或超過(guò)Web服務(wù)器和PHP的連接數(shù)。

3.2.4 運(yùn)行服務(wù)器

首先，我們不應(yīng)該以超級(jí)用戶身份運(yùn)行它。其次，在設(shè)置好數(shù)據(jù)庫(kù)軟件后，大多數(shù)程序?qū)⒃试S你修改數(shù)據(jù)庫(kù)目錄和文件的屬主和權(quán)限，這樣可以防止非法讀操作。最后，當(dāng)應(yīng)用權(quán)限和驗(yàn)證系統(tǒng)時(shí)，盡量創(chuàng)建只有最少權(quán)限的用戶。

圖1 LAMP網(wǎng)站架構(gòu)圖

3.3 保護(hù)網(wǎng)絡(luò)

3.3.1 安裝防火墻

在網(wǎng)絡(luò)中，設(shè)計(jì)防火墻的目的是將本地網(wǎng)絡(luò)與外部網(wǎng)絡(luò)相分離，用于保護(hù)內(nèi)部網(wǎng)絡(luò)中的機(jī)器以防外來(lái)攻擊。它過(guò)濾和拒絕不符合標(biāo)準(zhǔn)的消息，限制防火墻之外的個(gè)人和機(jī)器行為。再有就是構(gòu)建互聯(lián)網(wǎng)的TCP/IP協(xié)議，這個(gè)是基于端口的，不同的端口專門用于不同類型的流量。對(duì)于內(nèi)部網(wǎng)絡(luò)流量，大量端口的使用是非常嚴(yán)格的，很少用來(lái)與外部網(wǎng)絡(luò)的交流。如果禁止在這些端口上發(fā)送和接收網(wǎng)絡(luò)流量，我們可以降低計(jì)算機(jī)或服務(wù)器以及Web應(yīng)用被攻破的風(fēng)險(xiǎn)。

3.3.2 使用隔離區(qū)域（DMZ）

為了防御內(nèi)部惡意用戶攻擊的可能，我們可以實(shí)現(xiàn)隔離區(qū)域，在隔離區(qū)域中，我們可以將運(yùn)行Web應(yīng)用的服務(wù)器與外部互聯(lián)網(wǎng)以及內(nèi)部公司網(wǎng)絡(luò)相隔離。

3.3.3 應(yīng)對(duì)DoS和DDoS攻擊

由于這兩種攻擊很難防范和響應(yīng)，目前還沒(méi)有有限的全面解決方案，所以要求網(wǎng)絡(luò)管理員必須研究和理解這兩種攻擊的本質(zhì)以及特定網(wǎng)絡(luò)和安裝情況下面臨的風(fēng)險(xiǎn)，有助于防范和準(zhǔn)備。

3.3.4 備份數(shù)據(jù)

我們必須定期備份網(wǎng)站的所有組件，包括靜態(tài)網(wǎng)頁(yè)、腳本和數(shù)據(jù)庫(kù)。備份的頻率取決于網(wǎng)站的動(dòng)態(tài)程度。如果它完全是靜態(tài)的，可以只在修改網(wǎng)站時(shí)對(duì)其進(jìn)行備份。大多數(shù)規(guī)模適當(dāng)?shù)木W(wǎng)站都需要在服務(wù)器上使用RAID，它可以支持鏡像。RAID考慮了可能有一個(gè)硬盤出現(xiàn)故障的情況。如果整個(gè)磁盤陣列出現(xiàn)問(wèn)題，我們可以根據(jù)更新量的大小以一定的頻率進(jìn)行獨(dú)立的備份。這些備份應(yīng)該保存在獨(dú)立的介質(zhì)上，將其放置于一個(gè)安全的、獨(dú)立的地方，以防火災(zāi)、盜竊或自然災(zāi)害。

3.4 計(jì)算機(jī)和操作系統(tǒng)安全性

3.4.1 保持操作系統(tǒng)的更新

保持計(jì)算機(jī)安全的一個(gè)簡(jiǎn)單方法是盡可能保持操作系統(tǒng)軟件為最新的。只要選擇了特定的操作系統(tǒng)作為產(chǎn)品環(huán)境，你就必須制定一個(gè)定期執(zhí)行更新和操作系統(tǒng)應(yīng)用安全補(bǔ)丁的方案。此外，還應(yīng)該有專門人員定期查看是否存在新的安全警告、補(bǔ)丁或更新。

3.4.2 只運(yùn)行必須的軟件

不需要的軟件最好禁用，這樣就不用擔(dān)心這些軟件的安全性。

3.4.3 服務(wù)器的物理安全性

將運(yùn)行Web應(yīng)用的服務(wù)器保存在一個(gè)安全的環(huán)境是至關(guān)重要的，只有授權(quán)人員才可以訪問(wèn)，而且必須有特定流程對(duì)不同的人授予或收回權(quán)限。

4 結(jié)語(yǔ)

LAMP平臺(tái)由于其開(kāi)源的環(huán)境，豐富的源碼、文檔資源，使其成為高效、穩(wěn)定、安全并且低成本的網(wǎng)站架構(gòu)平臺(tái)，符合中小型企業(yè)對(duì)于網(wǎng)站服務(wù)器架構(gòu)的特定需求。本文結(jié)合LAMP平臺(tái)的架構(gòu)，主要分析了Web服務(wù)器安全性威脅，從不同的方面提出了相應(yīng)的解決方案，可以確保Web服務(wù)器的安全運(yùn)行。

[1]石堅(jiān)．校園網(wǎng)絡(luò)運(yùn)維系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)．南京理工大學(xué)碩士論文，2013．

[2]李玉聰．基于LAMP高校集成辦公系統(tǒng)的研發(fā)．吉林大學(xué)碩士論文，2010．

[3]李昕．基于LAMP開(kāi)源框架的中小外貿(mào)企業(yè)信息系統(tǒng)研究與開(kāi)發(fā)．中南大學(xué)碩士論文，2011．

[4]馮文熠．基于XML和XAJAX模式的高校教務(wù)子系統(tǒng)研究與實(shí)現(xiàn)．蘭州理工大學(xué)碩士論文，2013．

[5]胡二彪．基于SEO的教學(xué)資源網(wǎng)站設(shè)計(jì)與開(kāi)發(fā)．河南師范大學(xué)碩士論文，2012．

[6]李金龍．基于Drupal網(wǎng)絡(luò)教育平臺(tái)的設(shè)計(jì)與實(shí)現(xiàn)．中國(guó)海洋大學(xué)碩士論文，2014．