Apache Web安全分析與增強 - Apache Web概述

阿帕奇是一個用于搭建WEB服務(wù)器的應(yīng)用程序，它是開源的，它的配置文件主要有四個，httpd.conf，這個文件是最核心最主要的，它是我們的主配置文件，里面存的是網(wǎng)站的一些屬性端口，還有執(zhí)行者的身份等等

conf/srm.conf是一個數(shù)據(jù)配置文件，這塊其實用的比較少，其實實際項目當中基本上不怎么用它，它不是必須的，很多東西都是直接可以在主配置文件里面配

conf/access.conf是負責基本的讀取文件控制，就是那些用戶能讀，那些用戶不能讀，它跟我們網(wǎng)絡(luò)安全關(guān)聯(lián)比較大

conf/mime.config，這是配置我們的網(wǎng)頁，它能識別的后綴格式，一般來講這個文件是不需要動的，比如說你里面配置我們的網(wǎng)頁能識別HTML，還能識別PDF等等，這些文件配置了之后，你的網(wǎng)頁才能夠識別

阿帕奇的四個配置文件最主要，最核心的就是httpd.conf，其他三個配置文件的功能，簡單了解一下就可以了，特別是conf/access.conf跟網(wǎng)絡(luò)安全相關(guān)，跟用戶接入控制相關(guān)

Apache Web安全分析與增強 - Apache Web安全威脅

阿帕奇web軟件程序漏洞，是軟件就可能有漏洞，攻擊者可能針對這些漏洞來發(fā)起攻擊，攻擊者利用阿帕奇軟件漏洞去攻擊我們的網(wǎng)站，基本上所有的網(wǎng)站，所有的軟件都有這樣的問題，這個不存在什么特殊

軟件配置問題，第一個是寫程序的時候出了問題，第二個是程序?qū)懞弥?#xff0c;后期運營管理等等時候可能沒有配好，比如說你的用戶名密碼配的很簡單，如果用戶名密碼比較簡單相當于后臺管理員存在弱口令，很容易被黑客攻擊，然后訪問我們網(wǎng)站的一些敏感信息

安全機制威脅，比如說有口令暴力攻擊，授權(quán)不當，弱口令等等

服務(wù)通信威脅，默認情況下，我們的網(wǎng)頁都是HTTP協(xié)議傳送的，這是明文傳送，不安全

服務(wù)內(nèi)容威脅，就是你的網(wǎng)站上有沒有發(fā)一些非法的敏感內(nèi)容

拒絕服務(wù)，WEB網(wǎng)站經(jīng)常會被攻擊，其中要么是把你的后臺拿下，要么他拿不下，他用DOS或者ddos來攻擊你的可用性，消耗網(wǎng)站服務(wù)器的CPU、內(nèi)存，讓你無法為正常的用戶提供服務(wù)

Apache Web安全機制

針對如上的一些安全攻擊、安全威脅。阿帕奇本身有一些安全機制，第一個就是本地文件安全，阿帕奇安裝之后默認設(shè)置的文件屬組和權(quán)限是比較合理，比較安全的，我們不必要去修改，當然，如果你想修改的話，也可以通過命令去修改

阿帕奇web模塊管理機制，阿帕奇采用模塊化的結(jié)構(gòu)，使得阿帕奇的功能會比較靈活，當你不需要一些模塊的時候，你就把它禁止掉，跟我們前面講操作系統(tǒng)是一樣的，不需要的服務(wù)，把它給禁用掉

阿帕奇認證機制，提供了簡單的用戶認證

針對連接耗盡，它也有一系列的應(yīng)對機制，第一個就是減小超時的時間或者增大最大的一個連接設(shè)置，如果你0分鐘或者是多久沒有相應(yīng)的流量，我可以把你這個連接給踢掉。還有最大的客戶端，以前本來默認可能設(shè)置256個，給它設(shè)大一點，設(shè)成500，當然你設(shè)的更大，你對服務(wù)器的內(nèi)存消耗也就更大了。還有就是限制同IP的最大連接數(shù)，一般來講一個IP去連接我們服務(wù)器，不會超過200個連接，超過200個連接之后，可能就會有異常。所以我們把它限制一下，比如一個人給你搞了十萬個連接，那肯定是攻擊了

多線程下載保護技術(shù)，就是我們通過網(wǎng)頁去下載一些資源的時候，速度比較慢，很可能是對端服務(wù)器開了多線程下載保護機制，就是我們?nèi)ハ螺d它不允許你開很多線程，因為開很多線程會浪費服務(wù)器的資源，所以你的下載速度就會比較慢，而迅雷這一類的下載軟件基本上都是多線程下載

阿帕奇自帶訪問控制機制，它里面有一個文件就是access.conf限制我們對文件的訪問權(quán)限，哪些用戶可以訪問，哪些IP可以訪問都在里面都可以設(shè)置

它有兩個訪問控制文件，deny和allow，首先deny是deny from all就所有的都把你deny掉，那最后只允許這樣的一個網(wǎng)段，能夠訪問我們的服務(wù)器，相當于是一個訪問控制。

審計機制，所有的應(yīng)用程序和操作系統(tǒng)都在審計機制里面，有兩個，access.log是接入審計日志，error.log是錯誤信息審計日志

阿帕奇WEB服務(wù)器還具有防dos功能，它本身有一個防dos的模塊，但是說實話，它本身的這個東西是防不住的，基礎(chǔ)的簡單的能防得住，如果他能夠防得住，我們還用流量清洗干啥，完全不用了，這就是阿帕奇本身的一些安全機制

Apache Web安全增強

及時安裝補丁，這個什么程序都一樣，第二個啟用.htaccess文件保護網(wǎng)頁，第三設(shè)置專門的用戶組，并且按照組設(shè)置最小特權(quán)原則，每個用戶組給予他執(zhí)行任務(wù)的合適權(quán)限就行了，第四個隱藏阿帕奇的版本號，因為我們要攻擊你，首先要找到你的漏洞，如果我知道通過端口掃描或者是其他掃描方式知道了你的版本號，那么我就可以找這個版本號相應(yīng)的一些漏洞來攻擊你

第五個目錄訪問增強，因為我們用戶訪問網(wǎng)站，本質(zhì)上你是訪問在WEB服務(wù)器上的某個文件，我們把這個文件或者這個文件的目錄做了一些安全設(shè)置，不是所有用戶能訪問，這時候也能夠提升Apache的安全性

第六個文件目錄保護，阿帕奇的web文件目錄設(shè)置可以通過操作系統(tǒng)來實現(xiàn)，這就是文件目錄的功能和訪問權(quán)限，它本質(zhì)上就是操作系統(tǒng)的一個文件夾，我們在操作系統(tǒng)上去設(shè)置哪些用戶可以訪問

第七個刪除一些不必要的一些組件和目錄，第八個使用第三方的安全軟件來增強我們的阿帕奇服務(wù)，或者硬件也行，典型的就是WAF