# 安全方面的提示
本文中的提示和技巧有些是针对网络服务器的建立的,有些是综合性的,其余的则是针对Apache的。
## 保持不断更新和升级
Apache HTTP服务器有一个很好的安全记录和一个高度关注安全问题的开发社团。但是这仍然不能避免在发行版中存在或大或小的问题。所以知道这个软件的版本更新和升级补丁是至关重要的。如果你是直接从Apache组织得到Apache HTTP服务器的,我们强烈建议你订阅[Apache HTTP服务器通告邮件列表](http://httpd.apache.org/lists.html#http-announce)以保证能够在第一时间得知软件的版本更新和升级补丁。许多第三方Apache软件发行版也有类似的服务。
当然,Web服务器出现的问题在绝大多数时候不是由Apache源代码引起的,而是由附加的代码、CGI脚本、底层操作系统引起的。因此你必须保持机器上所有软件的及时更新。
## ServerRoot目录的权限
通常,Apache由root用户启动,在提供服务时切换为由`User`指令所指定的用户。正如root所执行的任何命令那样,你必须保证`ServerRoot`下的文件是受保护的,不允许非root用户对它修改。不仅文件本身,而且目录及其父目录都必须只能由root来改写。例如,如果将`ServerRoot`指定为`/usr/local/apache` ,则推荐以root身份来建立此目录,如:
```
mkdir /usr/local/apache
cd /usr/local/apache
mkdir bin conf logs
chown 0 . bin conf logs
chgrp 0 . bin conf logs
chmod 755 . bin conf logs
```
这里已经假定了"/"、"/usr"、"/usr/local"只能由root来改写。在安装`httpd`可执行文件时,应该确保它也受到了同样的保护:
```
cp httpd /usr/local/apache/bin
chown 0 /usr/local/apache/bin/httpd
chgrp 0 /usr/local/apache/bin/httpd
chmod 511 /usr/local/apache/bin/httpd
```
你可以在其中建立htdocs子目录,该子目录可以允许其他用户改写 -- root不会执行其中任何文件,也不应该在其中建立文件。
如果允许非root用户对由root执行或读写的文件有写权限,则会危及系统。比如,别人有可能会覆盖`httpd`可执行文件,那么下一次启动时,就会执行恶意代码。如果日志目录(对非root用户)是可写的,别人就有可能用一个指向其他敏感文件的连接来覆盖日志文件,使那个文件被改写为杂乱的数据。如果日志文件本身(对非root用户)是可写的,别人就可能伪造日志。
## 服务器端包含
服务器端包含(SSI)会带来一些潜在的安全隐患。
首先是增加了服务器的负载。Apache必须解析所有允许SSI的文件,而无论其中是否包含SSI指令。虽然增加的负载较小,但是在共享服务器环境中会变得很显著。
SSI文件与CGI脚本一样存在风险。使用"exe ccmd"元素,允许SSI的文件可以执行任何CGI脚本,以及由httpd.conf设置的执行Apache的用户或组所允许执行的任何程序。
有若干方法可以在得到SSI好处的同时提高SSI文件的安全性。
服务器管理员可以使用[关于CGI](#calibre_link-550)中所描述的[suexec](#calibre_link-230) ,以隔离野蛮SSI文件所造成的破坏。
对.html或.htm后缀的文件允许SSI是危险的,尤其是在一个共享的或者高流量的服务器环境中。被允许SSI的文件应该有一个单独的后缀,比如常规的.shtml ,使服务器的负载保持在最低水平,并使风险管理更容易。
另一个方案是,关闭SSI页面执行脚本和程序的功能,即在用`Options`指令中,用`IncludesNOEXEC`替换`Includes` 。注意,用户仍然可以使用 <--#include virtual="..." -->来执行位于`ScriptAlias`指令指定的目录中的CGI脚本。
## 关于CGI
首先,你不得不信任CGI程序的作者以及你自己发现CGI中潜在安全漏洞的能力,无论这些漏洞是有预谋的或者仅仅是意外。CGI脚本可以执行web服务器用户所允许执行的任意系统命令,如果没有经过仔细的检查,这可能是极其危险的。
由于所有CGI脚本都以相同的身份执行,所以可能会和其他脚本(有意或无意地)冲突。比如,用户A憎恨用户B,因此他就可能写一个脚本去破坏用户B的数据库。[suEXEC](#calibre_link-230)是一个允许脚本以不同的身份运行的程序,它包含在Apache1.2以后的版本中,并被Apache服务器代码中特殊的挂钩所调用。还有一种常用的方法是使用[CGIWrap](http://cgiwrap.unixtools.org/) 。
## 未指定为脚本的CGI
仅在下列情况下,可以考虑允许用户执行位于任意目录中的CGI脚本:
* 你绝对信任用户不会写一些有意无意会使系统遭受攻击的脚本。
* 你认为安全因素与其他因素相比显得不那么重要,存在一两个潜在漏洞也无关紧要。
* 你没有用户,而且没人会来访问你的服务器。
## 指定为脚本的CGI
把CGI集中在特定的目录中,并由管理员决定其中的内容。这样绝对比使用不作为脚本的CGI来得安全,除非对这些目录有写权限的用户被信任,或者管理员希望对每个CGI脚本/程序进行潜在安全漏洞测试。
大多数站点都选择这种方案,而不使用未指定为脚本的CGI。
## 其他动态内容的来源
嵌入在Apache中作为模块运行的脚本解释器,比如:mod_php, mod_perl, mod_tcl, mod_python 将会使用和Apache一样的用户身份运行(参见`User`指令),所以被这些模块执行的脚本可能访问任何Apache服务器能够访问的对象。一些脚本引擎可能提供了某些方面的限制,但是最好在假定他们并不存在的前提下做好安全防护。
## 系统设置的保护
为了得到真正严密的保护,应该禁止用户使用可能导致安全特性被覆盖的`.htaccess`文件,方法是在服务器配置文件中设置:
```
<Directory />
AllowOverride None
</Directory>
```
使所有目录无法使用`.htaccess`文件,明确指定可以使用的目录除外。
## 默认配置下服务器文件的保护
默认访问是偶尔会被误解的Apache特性之一。也就是,除非你采取措施,否则,如果服务器能够通过标准URL映射规则找到一个文件,那么就可能把它提供给客户端。比如下例:
```
# cd /; ln -s / public_html
Accessing http://localhost/~root/
```
它会允许客户端遍历整个文件系统。其解决方法是,在服务器配置中增加下列指令:
```
<Directory />
Order Deny,Allow
Deny from all
</Directory>
```
这样,对文件系统的默认访问被禁止。而对需要访问的区域,可以增加正确的`Directory`块,比如:
```
<Directory /usr/users/*/public_html>
Order Deny,Allow
Allow from all
</Directory>
<Directory /usr/local/httpd>
Order Deny,Allow
Allow from all
</Directory>
```
必须特别注意`Location`和`Directory`指令的相互作用,比如,即使`<Directory />`拒绝访问,`<Location />`指令仍然可能推翻其设置。
还必须留意`UserDir`指令,此设置如果类似"./",则与上述例子有相同的风险。如果你使用的是1.3或更高版本,我们强烈建议在服务器配置文件中包含以下指令:
```
UserDir disabled root
```
## 观察日志文件
要了解服务器上发生了什么,就必须检查[日志文件](#calibre_link-260)。虽然日志文件只是记录已经发生的事件,但是它会让你知道服务器遭受的攻击,并帮助你判断是否提达到了必要的安全等级。
一些例子:
```
grep -c "/jsp/source.jsp?/jsp/ /jsp/source.jsp??" access_log
grep "client denied" error_log | tail -n 10
```
上例会列出试图使用[Apache Tomcat Source.JSP Malformed Request Information Disclosure Vulnerability](http://online.securityfocus.com/bid/4876/info/)的攻击次数。下例会列出最后十个被拒绝的客户端:
```
[Thu Jul 11 17:18:39 2002] [error] [client foo.bar.com] client denied
by server configuration: /usr/local/apache/htdocs/.htpasswd
```
可见,日志文件只是记录已经发生的事件,所以,如果客户端可以访问`.htpasswd`文件,而且在[访问日志](#calibre_link-492)中发现类似如下的记录:
```
foo.bar.com - - [12/Jul/2002:01:59:13 +0200] "GET /.htpasswd HTTP/1.1"
```
这可能表示服务器配置文件中的下列指令已经被注解了:
```
<Files ~ "^\.ht">
Order allow,deny
Deny from all
</Files>
```
- Apache HTTP Server Version 2.2 文档 [最后更新:2006年3月21日]
- 版本说明
- 从1.3升级到2.0
- 从2.0升级到2.2
- Apache 2.2 新特性概述
- Apache 2.0 新特性概述
- The Apache License, Version 2.0
- 参考手册
- 编译与安装
- 启动Apache
- 停止和重启
- 配置文件
- 配置段(容器)
- 缓冲指南
- 服务器全局配置
- 日志文件
- 从URL到文件系统的映射
- 安全方面的提示
- 动态共享对象(DSO)支持
- 内容协商
- 自定义错误响应
- 地址和端口的绑定(Binding)
- 多路处理模块
- Apache的环境变量
- Apache处理器的使用
- 过滤器(Filter)
- suEXEC支持
- 性能方面的提示
- URL重写指南
- Apache虚拟主机文档
- 基于主机名的虚拟主机
- 基于IP地址的虚拟主机
- 大批量虚拟主机的动态配置
- 虚拟主机示例
- 深入研究虚拟主机的匹配
- 文件描述符限制
- 关于DNS和Apache
- 常见问题
- 经常问到的问题
- Apache的SSL/TLS加密
- SSL/TLS高强度加密:绪论
- SSL/TLS高强度加密:兼容性
- SSL/TLS高强度加密:如何...?
- SSL/TLS Strong Encryption: FAQ
- 如何.../指南
- 认证、授权、访问控制
- CGI动态页面
- 服务器端包含入门
- .htaccess文件
- 用户网站目录
- 针对特定平台的说明
- 在Microsoft Windows中使用Apache
- 在Microsoft Windows上编译Apache
- Using Apache With Novell NetWare
- Running a High-Performance Web Server on HPUX
- The Apache EBCDIC Port
- 服务器和支持程序
- httpd - Apache超文本传输协议服务器
- ab - Apache HTTP服务器性能测试工具
- apachectl - Apache HTTP服务器控制接口
- apxs - Apache 扩展工具
- configure - 配置源代码树
- dbmmanage - 管理DBM格式的用户认证文件
- htcacheclean - 清理磁盘缓冲区
- htdbm - 操作DBM密码数据库
- htdigest - 管理用于摘要认证的用户文件
- httxt2dbm - 生成RewriteMap指令使用的dbm文件
- htpasswd - 管理用于基本认证的用户文件
- logresolve - 解析Apache日志中的IP地址为主机名
- rotatelogs - 滚动Apache日志的管道日志程序
- suexec - 在执行外部程序之前切换用户
- 其他程序
- 杂项文档
- 与Apache相关的标准
- Apache模块
- 描述模块的术语
- 描述指令的术语
- Apache核心(Core)特性
- Apache MPM 公共指令
- Apache MPM beos
- Apache MPM event
- Apache MPM netware
- Apache MPM os2
- Apache MPM prefork
- Apache MPM winnt
- Apache MPM worker
- Apache模块 mod_actions
- Apache模块 mod_alias
- Apache模块 mod_asis
- Apache模块 mod_auth_basic
- Apache模块 mod_auth_digest
- Apache模块 mod_authn_alias
- Apache模块 mod_authn_anon
- Apache模块 mod_authn_dbd
- Apache模块 mod_authn_dbm
- Apache模块 mod_authn_default
- Apache模块 mod_authn_file
- Apache模块 mod_authnz_ldap
- Apache模块 mod_authz_dbm
- Apache模块 mod_authz_default
- Apache模块 mod_authz_groupfile
- Apache模块 mod_authz_host
- Apache模块 mod_authz_owner
- Apache模块 mod_authz_user
- Apache模块 mod_autoindex
- Apache模块 mod_cache
- Apache模块 mod_cern_meta
- Apache模块 mod_cgi
- Apache模块 mod_cgid
- Apache模块 mod_charset_lite
- Apache模块 mod_dav
- Apache模块 mod_dav_fs
- Apache模块 mod_dav_lock
- Apache模块 mod_dbd
- Apache模块 mod_deflate
- Apache模块 mod_dir
- Apache模块 mod_disk_cache
- Apache模块 mod_dumpio
- Apache模块 mod_echo
- Apache模块 mod_env
- Apache模块 mod_example
- Apache模块 mod_expires
- Apache模块 mod_ext_filter
- Apache模块 mod_file_cache
- Apache模块 mod_filter
- Apache模块 mod_headers
- Apache模块 mod_ident
- Apache模块 mod_imagemap
- Apache模块 mod_include
- Apache模块 mod_info
- Apache模块 mod_isapi
- Apache模块 mod_ldap
- Apache模块 mod_log_config
- Apache模块 mod_log_forensic
- Apache模块 mod_logio
- Apache模块 mod_mem_cache
- Apache模块 mod_mime
- Apache模块 mod_mime_magic
- Apache模块 mod_negotiation
- Apache模块 mod_nw_ssl
- Apache模块 mod_proxy
- Apache模块 mod_proxy_ajp
- Apache模块 mod_proxy_balancer
- Apache模块 mod_proxy_connect
- Apache模块 mod_proxy_ftp
- Apache模块 mod_proxy_http
- Apache模块 mod_rewrite
- Apache模块 mod_setenvif
- Apache模块 mod_so
- Apache模块 mod_speling
- Apache模块 mod_ssl
- Apache模块 mod_status
- Apache模块 mod_suexec
- Apache模块 mod_unique_id
- Apache模块 mod_userdir
- Apache模块 mod_usertrack
- Apache模块 mod_version
- Apache模块 mod_vhost_alias
- Developer Documentation for Apache 2.0
- Apache 1.3 API notes
- Debugging Memory Allocation in APR
- Documenting Apache 2.0
- Apache 2.0 Hook Functions
- Converting Modules from Apache 1.3 to Apache 2.0
- Request Processing in Apache 2.0
- How filters work in Apache 2.0
- Apache 2.0 Thread Safety Issues
- 词汇和索引
- 词汇表
- 指令索引
- 指令速查
- 模块索引
- 站点导航