广州网站建设骏域网站seo教学实体培训班
目录
- Apache Web安全分析与增强 - Apache Web概述
- Apache Web安全分析与增强 - Apache Web安全威胁
- Apache Web安全机制
- Apache Web安全增强
Apache Web安全分析与增强 - Apache Web概述
阿帕奇是一个用于搭建WEB服务器的应用程序,它是开源的,它的配置文件主要有四个,httpd.conf,这个文件是最核心最主要的,它是我们的主配置文件,里面存的是网站的一些属性端口,还有执行者的身份等等
conf/srm.conf是一个数据配置文件,这块其实用的比较少,其实实际项目当中基本上不怎么用它,它不是必须的,很多东西都是直接可以在主配置文件里面配
conf/access.conf是负责基本的读取文件控制,就是那些用户能读,那些用户不能读,它跟我们网络安全关联比较大
conf/mime.config,这是配置我们的网页,它能识别的后缀格式,一般来讲这个文件是不需要动的,比如说你里面配置我们的网页能识别HTML,还能识别PDF等等,这些文件配置了之后,你的网页才能够识别
阿帕奇的四个配置文件最主要,最核心的就是httpd.conf,其他三个配置文件的功能,简单了解一下就可以了,特别是conf/access.conf跟网络安全相关,跟用户接入控制相关
Apache Web安全分析与增强 - Apache Web安全威胁
阿帕奇web软件程序漏洞,是软件就可能有漏洞,攻击者可能针对这些漏洞来发起攻击,攻击者利用阿帕奇软件漏洞去攻击我们的网站,基本上所有的网站,所有的软件都有这样的问题,这个不存在什么特殊
软件配置问题,第一个是写程序的时候出了问题,第二个是程序写好之后,后期运营管理等等时候可能没有配好,比如说你的用户名密码配的很简单,如果用户名密码比较简单相当于后台管理员存在弱口令,很容易被黑客攻击,然后访问我们网站的一些敏感信息
安全机制威胁,比如说有口令暴力攻击,授权不当,弱口令等等
服务通信威胁,默认情况下,我们的网页都是HTTP协议传送的,这是明文传送,不安全
服务内容威胁,就是你的网站上有没有发一些非法的敏感内容
拒绝服务,WEB网站经常会被攻击,其中要么是把你的后台拿下,要么他拿不下,他用DOS或者ddos来攻击你的可用性,消耗网站服务器的CPU、内存,让你无法为正常的用户提供服务
Apache Web安全机制
针对如上的一些安全攻击、安全威胁。阿帕奇本身有一些安全机制,第一个就是本地文件安全,阿帕奇安装之后默认设置的文件属组和权限是比较合理,比较安全的,我们不必要去修改,当然,如果你想修改的话,也可以通过命令去修改
阿帕奇web模块管理机制,阿帕奇采用模块化的结构,使得阿帕奇的功能会比较灵活,当你不需要一些模块的时候,你就把它禁止掉,跟我们前面讲操作系统是一样的,不需要的服务,把它给禁用掉
阿帕奇认证机制,提供了简单的用户认证
针对连接耗尽,它也有一系列的应对机制,第一个就是减小超时的时间或者增大最大的一个连接设置,如果你0分钟或者是多久没有相应的流量,我可以把你这个连接给踢掉。还有最大的客户端,以前本来默认可能设置256个,给它设大一点,设成500,当然你设的更大,你对服务器的内存消耗也就更大了。还有就是限制同IP的最大连接数,一般来讲一个IP去连接我们服务器,不会超过200个连接,超过200个连接之后,可能就会有异常。所以我们把它限制一下,比如一个人给你搞了十万个连接,那肯定是攻击了
多线程下载保护技术,就是我们通过网页去下载一些资源的时候,速度比较慢,很可能是对端服务器开了多线程下载保护机制,就是我们去下载它不允许你开很多线程,因为开很多线程会浪费服务器的资源,所以你的下载速度就会比较慢,而迅雷这一类的下载软件基本上都是多线程下载
阿帕奇自带访问控制机制,它里面有一个文件就是access.conf限制我们对文件的访问权限,哪些用户可以访问,哪些IP可以访问都在里面都可以设置
它有两个访问控制文件,deny和allow,首先deny是deny from all就所有的都把你deny掉,那最后只允许这样的一个网段,能够访问我们的服务器,相当于是一个访问控制。
审计机制,所有的应用程序和操作系统都在审计机制里面,有两个,access.log是接入审计日志,error.log是错误信息审计日志
阿帕奇WEB服务器还具有防dos功能,它本身有一个防dos的模块,但是说实话,它本身的这个东西是防不住的,基础的简单的能防得住,如果他能够防得住,我们还用流量清洗干啥,完全不用了,这就是阿帕奇本身的一些安全机制
Apache Web安全增强
及时安装补丁,这个什么程序都一样,第二个启用.htaccess文件保护网页,第三设置专门的用户组,并且按照组设置最小特权原则,每个用户组给予他执行任务的合适权限就行了,第四个隐藏阿帕奇的版本号,因为我们要攻击你,首先要找到你的漏洞,如果我知道通过端口扫描或者是其他扫描方式知道了你的版本号,那么我就可以找这个版本号相应的一些漏洞来攻击你
第五个目录访问增强,因为我们用户访问网站,本质上你是访问在WEB服务器上的某个文件,我们把这个文件或者这个文件的目录做了一些安全设置,不是所有用户能访问,这时候也能够提升Apache的安全性
第六个文件目录保护,阿帕奇的web文件目录设置可以通过操作系统来实现,这就是文件目录的功能和访问权限,它本质上就是操作系统的一个文件夹,我们在操作系统上去设置哪些用户可以访问
第七个删除一些不必要的一些组件和目录,第八个使用第三方的安全软件来增强我们的阿帕奇服务,或者硬件也行,典型的就是WAF