来源: 互联网  发布时间: 2013-12-24

令Apache占领Web服务器半壁江山的一个重要原因就是它可以提供一个安全的Web操作环境。Apache团体为保证其安全性做了大量的工作。想当年，在此产品被发现存在一个安全缺陷时，Apache的开发人员就尽快地搞出了一个补丁。

然而，即管Apache已经堪称安全的产品，如果你在构建你的服务器时没有采取一些安全预防措施，这种Web服务器仍易于受到很多攻击。

在本文中，笔者将为你提供10个技巧，借此你可以保护自己的Apache Web服务器免于受到许多攻击。不过，必须谨记，你需要仔细地评估每一个技巧，以确保其适合于你的组织。

只安装所需要的

Apache的一个最大的特点是其灵活性和大量的可选择安装模块，这在涉及到安全问题时可成为一个极大的弱点。你安装的越多，也就为潜在的攻击者创造了越大的攻击面。一个标准的Apache安装包含20多个模块，包括CGI特性，以及一些身份验证机制。如果你不打算采用CGI，并且你只想采用静态的Web 站点，不需要用户身份验证，你可能就不需要这些模块所提供的任何服务，因此在安装Apache时请禁用这些模块。

如果你沿用了一个正在运行的Apache服务器，并且不想重新安装它，就应当仔细检查httpd.conf配置文件，查找以LoadModule开头的行。请检查Apache的文档（也可以用Google、Yahoo等搜索），查找每个模块的目的信息，找出那些你并不需要的模块。然后，重新启动 Apache。

暴露程度最小化

Apache易于安装并且相当容易管理。不幸的是，许多Apache的安装由于为完全的陌生者提供了关于自己服务器的太多"有帮助”的信息，例如 Apache的版本号和与操作系统相关的信息。通过这种信息，一个潜在的攻击者就可以追踪特定的可以影响你的系统的破坏性漏洞，特别是你没有能够保持所有补丁的更新的话情况更为严重。如此一来，攻击者无需反复试验就可以确切地知道你在运行什么，从而可以调整其攻击方法。

要防止服务器广播敏感信息，一定要保证将httpd.conf中的"ServerSignature”指令设置为"off”。一次默认的Apache安装会将此指令设置为"off”，不过许多管理员却启用了它。

同样地，禁用目录浏览也是一个不错的注意。在目录浏览被启用时，访问一个并不包含其所需要文档的目录的用户，会看到此目录中完整的内容列表。无疑，你不应当将敏感材料以纯文本的形式存储到一个Web服务器上，除非你必须这样做，你也不应该允许人们看到超过其需要的内容。

目录浏览默认地是被启用的。要禁用这个特性，应编辑http.conf文件，而且对每一个"Directory”指令，应清除"Indexs”。

例如，在笔者的做实验用的Apache 2.2.4服务器上，这是默认的目录命令：

清除Indexes后的样子：

你也可以保留Indexes指令，并用一个破折号引导，从而禁用此指令（也就是"-Indexes”）。

禁用符号连接追踪

如果你是唯一一个校对Web内容的人员，而你在创建新的符号连接时又几乎不犯错误，你可能不会担心此措施。不过，如果你有很多人员能够向你的站点增加内容，并非所有的人都像你一样谨慎从事，那么就会有一种风险，即某个用户可能偶然会创建一个符号连接指向你的文件系统的一部分，而你又确实不想让人们看到这些文件。例如，如果你的Apache服务器的根目录中的某人创建了一个指向 "/”文件夹的符号连接，你该怎么办？

为了取消Apache服务器允许用户追踪符号连接的请求，应该在Directory命令中清除FollowSymlinks指令。

例如，在笔者的试验性的Apache 2.2.4服务器中，Directory命令如下：

在清除了FollowSymLinks后，就成为如下的样子：


如果一些用户需要跟踪符号连接的能力，可以考虑使用SymLinksIfOwnerMatch代替。

Listen指令具体化

在你第一次安装Apache时，httpd.conf包含一个"Listen 80”指令。应将其改变为 "Listen mn.xx.yy.zz:80”，在这里"mn.xx.yy.zz”是你想让Apache监听其请求的IP地址。如果你的Apache运行在一个拥有多个IP地址的服务器上时，这一点尤其重要。如果你不采取预防措施，默认的"Listen 80”指令告诉Apache监听每一个IP地址的 80端口。

不过，这项措施有可能不适用于你的环境，应根据需要而定。

从httpd.conf中清除默认的注释

Apache 2.2.4中默认的httpd.conf文件有400多行。在这400行中，只有一小部分是实际的Apache指令，其余的仅是帮助用户如何恰当地在httpd.conf中放置指令的注释。根据笔者的经验，这些注释有时起负面作用，甚至将危险的指令留存于文件中。笔者在所管理的许多 Apache服务器上将httpd.conf文件复制为其它的文件，如httpd.conf.orig等，然后完全清除多余的注释。文件变得更加容易阅读，从而更好地解决了潜在的安全问题或者错误地配置文件。

没作任何设置前，查看web服务器请求文件头

HTTP/1.1 200 OK
Date: Sun, 27 Apr 2008 11:56:46 GMT
Server: Apache/2.2.8 (Unix) DAV/2 PHP/5.2.5 with Suhosin-Patch
Last-Modified: Sat, 20 Nov 2004 20:16:24 GMT
ETag: "387a5-2c-3e9564c23b600"
Accept-Ranges: bytes
Content-Length: 44
Content-Type: text/html

几乎把web服务器详细信息都暴出来了，如果没个版本的apache和php爆出严重漏洞，会给攻击者提供最有攻击价值的安全信息，这是非常危险的

将apache的配置文件加上两行

ServerTokens ProductOnly
ServerSignature Off
重启apache让设置生效
再次发出apache头信息请求

HTTP/1.1 200 OK
Date: Sun, 27 Apr 2008 11:57:40 GMT
Server: Apache
Last-Modified: Sat, 20 Nov 2004 20:16:24 GMT
ETag: "387a5-2c-3e9564c23b600"
Accept-Ranges: bytes
Content-Length: 44
Content-Type: text/html

可以看到apache版本号于已经没有了

做到这点，我们还可以改变apache的版本，这就要修改apache的源代码了，在apache的源码包中找到ap_release.h 将#define AP_SERVER_BASEPRODUCT "Apache" 修改为#define AP_SERVER_BASEPRODUCT "Microsoft-IIS/5.0”
或者#define AP_SERVER_BASEPRODUCT "Microsoft-IIS/6.0”

然后找到os/unix下的os.h文件，将其#define PLATFORM "Unix"修改为#define PLATFORM "Win32"

然后重新编译，安装apache。
最后修改httpd.conf配置文件，添加两行ServerTokens Prod
ServerSignature Off
在发送头请求，会有什么，就不用我说了吧，嘿嘿，这叫偷天换日，从这点来说，php也是一样，同样可以通过这种方式改变一些系统信息，不过根据GPL开源的精神，这样做貌似不太好，还是保留apache和php版权信息吧。

附：
ServerSignature 三个选项
On|Off|EMai 主要起开关作用

ServerTokens 四个选项
Minimal|ProductOnly|OS|Full 四个选项隐藏信息依次增加

下面对php的配置文件php.ini进行配置

默认情况下expose_php = On
将其改为 expose_php = Off

为什么，可以看这段解释

; Decides whether PHP may expose the fact that it is installed on the server
; (e.g. by adding its signature to the Web server header). It is no security
; threat in any way, but it makes it possible to determine whether you use PHP
; on your server or not.

然后禁止一些涉及php安全的函数

disable_functions = phpinfo, get_cfg_var //禁止phpinfo和get_cfg_var等函数
display_errors = Off //禁止爆出错误
allow_url_fopen = Off //这个关闭，就没有办法取远程内容了，但是可以用变通，用curl远程读取的方法做到
safe_mode = On //开启安全模式，这个开了，可能会有些php功能没办法使用了

无论如何，还是要我们的程序设计的完美，一般来说，单纯更具对系统攻击很难，如果是程序有漏洞，那攻击就简单了。

    

    来源: 互联网  发布时间: 2013-12-24

一，Apache服务器的介绍

Apache服务器它是Internet网上应用最为广泛的Web服务器软件之一。Apache服务器源自美国国家超级技术计算应用中心（NCSA）的 Web服务器项目中。目前已在互联网中占据了领导地位。Apache服务器得经过精心配置之后，才能使它适应高负荷，大吞吐量的互联网工作。快速、可靠、通过简单的API扩展，Perl/Python解释器可被编译到服务器中，且完全免费，完全源代码开放。如果你需要创建一个每天有数百万人访问的Web服务器，Apache可能是最佳选择。

二，Apache服务器的主要安全缺陷

正如我们前言所说尽管Apache服务器应用最为广泛，设计上非常安全的程序。但是同其它应用程序一样，Apache也存在安全缺陷。毕竟它是完全源代码，Apache服务器的安全缺陷主要是使用HTTP协议进行的拒绝服务攻击(denial of service)、缓冲区溢出攻击以及被攻击者获得 root权限三缺陷和最新的恶意的攻击者进行“拒绝服务”(DoS)攻击。合理的网络配置能够保护Apache服务器免遭多种攻击。我们来介绍一下主要的安全缺陷：

（1）使用HTTP协议进行的拒绝服务攻击(denial of service)的安全缺陷

这种方法攻击者会通过某些手段使服务器拒绝对HTTP应答。这样会使Apache对系统资源(CPU时间和内存)需求的剧增，最终造成Apache系统变慢甚至完全瘫痪。

（2）缓冲区溢出的安全缺陷

该方法攻击者利用程序编写的一些缺陷，使程序偏离正常的流程。程序使用静态分配的内存保存请求数据，攻击者就可以发送一个超长请求使缓冲区溢出。比如一些Perl编写的处理用户请求的网关脚本。一旦缓冲区溢出，攻击者可以执行其恶意指令或者使系统宕机。

（3）被攻击者获得root权限的安全缺陷

该安全缺陷主要是因为Apache服务器一般以root权限运行(父进程)，攻击者会通过它获得root权限，进而控制整个Apache系统。

（4）恶意的攻击者进行“拒绝服务”(DoS)攻击的安全缺陷

这个最新在6月17日发现的漏洞，它主要是存在于Apache的chunk encoding中，这是一个HTTP协议定义的用于接受web用户所提交数据的功能。 利用黑客程序可以对于运行在FreeBSD 4.5, OpenBSD 3.0 / 3.1, NetBSD 1.5.2平台上的 Apache服务器均可进行有效的攻击.

所有说使用最高和最新安全版本对于加强Apache Web服务器的安全是至关重要的。请广大Apache服务器管理员去http://www.apache.org/dist/httpd/下载补丁程序以确保其WEB服务器安全！

三， 正确维护和配置Apache服务器

虽然Apache服务器的开发者非常注重安全性，由于Apache服务器其庞大的项目，难免会存在安全隐患。正确维护和配置Apache WEB服务器就很重要了。我们应注意的一些问题：

（1）Apache服务器配置文件

Apache Web服务器主要有三个配置文件，位于/usr/local/apache/conf目录下。这三个文件是：

httpd.con-----〉主配置文件

srm.conf------〉填加资源文件

access.conf---〉设置文件的访问权限

注：具体配置可以参考：http://httpd.apache.org/docs/mod/core.html

（2）Apache服务器的日志文件

我们可以使用日志格式指令来控制日志文件的信息。使用Logformat “%a %l“指令，可以把发出HTTP请求浏览器的IP地址和主机名记录到日志文件。出于安全的考虑，在日志中我们应知道至少应该那些验证失败的WEB用户，在http.conf文件中加入Logformat “%401u“指令可以实现这个目的。这个指令还有其它的许多参数，用户可以参考Apache的文档。另外，Apache的错误日志文件对于系统管理员来说也是非常重要的，错误日志文件中包括服务器的启动、停止以及CGI执行失败等信息。更多请参看Apache日志系列1-5。

（3）Apache服务器的目录安全认证

在Apache Server中是允许使用 .htaccess做目录安全保护的，欲读取这保护的目录需要先键入正确用户帐号与密码。这样可做为专门管理网页存放的目录或做为会员区等。

在保护的目录放置一个档案，档名为.htaccss

AuthName “会员专区“

AuthType “Basic“

AuthUserFile “/var/tmp/xxx.pw“ -----〉把password放在网站外

require valid-user

到apache/bin目录，建password档

% ./htpasswd -c /var/tmp/xxx.pw username1 -----〉第一次建档要用参数“-c“

% ./htpasswd /var/tmp/xxx.pw username2

这样就可以保护目录内的内容，进入要用合法的用户．

注：采用了Apache内附的模组。也可以采用在httpd.conf中加入：　

options　indexes　followsymlinks　

allowoverride　authconfig　

order　allow,deny　

allow　from　all　

（4）Apache服务器访问控制

我们就要看三个配置文件中的第三个文件了，即access.conf文件，它包含一些指令控制允许什么用户访问Apache目录。应该把deny from all设为初始化指令，再使用allow from指令打开访问权限。

order deny,allow

deny from all

allow from safechina.net

设置允许来自某个域、IP地址或者IP段的访问。

（5）Apache服务器的密码保护问题

我们再使用.htaccess文件把某个目录的访问权限赋予某个用户。系统管理员需要在httpd.conf或者srm.conf文件中使用AccessFileName指令打开目录的访问控制。如：

AuthName PrivateFiles

AuthType Basic

AuthUserFile /path/to/httpd/users

require Phoenix

# htpasswd -c /path/to/httpd/users Phoenix

四，设置Apache服务器的WEB和文件服务器

我们在Apache服务器上存放WEB服务器的文件，供用户访问，并设置/home/ftp/pub目录为文件存放区域，用http://download.your.com/pub/来访问。在防火墙上设置apache反向代理技术，由防火墙代理访问。　

(1）Apache服务器的设置　

apache服务器采用默认配置。主目录为/home/httpd/html,主机域名为Phoenix.your.com,且别名到www.your.com中,　并且设置srm.conf加一行别名定义如下：　

Alias　/pub　/home/ftp/pub/　

更改默认应用程序类型定义如下：　

DefaultType　application/octet-stream　
最后在/etc/httpd/conf/access.conf中增加一项定义　
Options　Indexes　
AllowOverride　AuthConfig　
order　allow,deny　
allow　from　all　
注：Options　Indexes允许在找不到index.html文件的情况下允许列出目录/文件列表。
AllowOverride　AuthConfig允许做基本的用户名和口令验证。这样的话，
需要在/home/ftp/pub目录下放入.htaccess，内容如下：　
[root@shopu　pub]#　more　.htaccess　
AuthName　Branch　Office　Public　Software　Download　Area　
AuthType　Basic　
AuthUserFile　/etc/.usrpasswd　
require　valid-user　
用# htpasswd　-c　/etc/.usrpasswd　user1　 分别创建不同的允许访问/pub下文件服务的外部用户名和口令。　

（2）在防火墙上配置反向代理技术.　

在/etc/httpd/conf/httpd.conf　 中加入 NameVirtualHost　xxx.xxx.xxx.xxx　
#　xxx.xxx.xxx.xxx -----〉是防火墙外部在互联网上永久IP地址　
servername　www.your.com　
errorlog　/var/log/httpd/error_log　
transferlog　/var/log/httpd/access_log　
rewriteengine　on　
proxyrequests　off　
usecanonicalname　off　
rewriterule　^/(.*)$　http://xxx.xxx.xx.x/$1　Apache服务器的IP地址。

servername　http://download.your.com/pub/
errorlog　/var/log/httpd/download/error_log　
transferlog　/var/log/httpd/download/access_log　
rewriteengine　on　
proxyrequests　off　
usecanonicalname　off　
rewriterule　^/(.*)$　http://xxx.xxx.xx.x/$1　同上Apache服务器的IP地址。

设置防火墙上的DNS，让download.your.com和www.your.com都指向防火墙的外部网地址xxx.xxx.xxx.xxx。用 http://www.your.com访问主页，用http://download.your.com/pub/访问公共文件的下载区。

注：还需要在apache服务器主机上建立目录/var/log/httpd/download/，否则会出错。另外，也可以设置防火墙主机上的 /home/httpd/html/index.html的属性为750来阻止访问，这是防外部用户能访问到防火墙上的Apache服务器的http: //www.your.com中。　

总结：Apache Server是一个非常优秀，非常棒的服务器，只要你正确配置和维护好Apache服务器，你就会感受到Apache Server 所带来的好处，同样希望你能够通过阅读本文达到理论和实践双丰收的目的。

    

    来源: 互联网  发布时间: 2013-12-24

所以，最常用的是：
Order Deny,Allow
Allow from All

注意“Deny,Allow”中间只有一个逗号，也只能有一个逗号，有空格都会出错；单词的大小写不限。

上面设定的含义是先设定“先检查禁止设定，没有禁止的全部允许”，而第二句没有Deny，也就是没有禁止访问的设定，直接就是允许所有访问了。这个主要是用来确保或者覆盖上级目录的设置，开放所有内容的访问权。

按照上面的解释，下面的设定是无条件禁止访问：
Order Allow,Deny
Deny from All

如果要禁止部分内容的访问，其他的全部开放：
Order Deny,Allow
Deny from ip1 ip2
或者
Order Allow,Deny
Allow from all
Deny from ip1 ip2

apache会按照order决定最后使用哪一条规则，比如上面的第二种方式，虽然第二句allow允许了访问，但由于在order中allow 不是最后规则，因此还需要看有没有deny规则，于是到了第三句，符合ip1和ip2的访问就被禁止了。注意，order决定的“最后”规则非常重要，下面是两个错误的例子和改正方式：

Order Deny,Allow
Allow from all
Deny from domain.org
错误：想禁止来自domain.org的访问，但是deny不是最后规则，apache在处理到第二句allow的时候就已经匹配成功，根本就不会去看第三句。
解决方法：Order Allow,Deny，后面两句不动，即可。

Order Allow,Deny
Allow from ip1
Deny from all
错误：想只允许来自ip1的访问，但是，虽然第二句中设定了allow规则，由于order中deny在后，所以会以第三句deny为准，而第三句的范围中又明显包含了ip1（all include ip1），所以所有的访问都被禁止了。
解决方法一：直接去掉第三句。
解决方法二：
Order Deny,Allow
Deny from all
Allow from ip1

总结：Order Deny,Allow中，后一个是一定会被执行的（有相应的allow或deny语句时），如果没有则按照语义分析。