企业级Apache服务器安全防护要点剖析(上)

日期: 2012-02-16 作者:羽扇纶巾 来源:TechTarget中国

Apache一直是世界上使用率排名前三的Web服务器软件。企业使用其构建Web应用,从很大程度上都需要对其安全性进行综合考虑,以保证能够应对拒绝服务攻击、流量窃听、数据泄漏等网络威胁,从而保证企业门户网站的安全。   除了使用业界流行的防火墙、IDS/IPS(入侵检测系统/入侵防御系统)、WAF(Web应用防火墙)、UTM(统一威胁管理)等外部安全设备对Apache服务进行安全防护外,作为一种优秀的开源服务器软件,Apache本身就具有很多优秀的特性可以为服务器管理员提供安全配置,以防范各种网络攻击。因此,充分、高效地挖掘Apache服务器的自身安全能力也是企业安全工作者一个必备的技能。

基于此……

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

Apache一直是世界上使用率排名前三的Web服务器软件。企业使用其构建Web应用,从很大程度上都需要对其安全性进行综合考虑,以保证能够应对拒绝服务攻击、流量窃听、数据泄漏等网络威胁,从而保证企业门户网站的安全。

  除了使用业界流行的防火墙、IDS/IPS(入侵检测系统/入侵防御系统)、WAF(Web应用防火墙)、UTM(统一威胁管理)等外部安全设备对Apache服务进行安全防护外,作为一种优秀的开源服务器软件,Apache本身就具有很多优秀的特性可以为服务器管理员提供安全配置,以防范各种网络攻击。因此,充分、高效地挖掘Apache服务器的自身安全能力也是企业安全工作者一个必备的技能。基于此,本文将从4个方面详细剖析Apache服务器的安全防护要点。

  策略一:服务器端安全设置

  1.限制root用户运行Apache服务器

  一般情况下,在Linux下启动Apache服务器的进程httpd需要root权限。由于root权限太大,存在许多潜在的安全威胁。一些管理员为了安全起见,认为httpd服务器不可能没有安全漏洞,因而更愿意使用普通用户的权限来启动服务器。http.conf主配置文件里面有如下两个配置是Apache的安全保证,Apache在启动后,就将其本身设置为这两个选项设置的用户和组权限进行运行,降低了服务器的危险性。

  User apache
  Group apache

  需要特别指出的是:以上两个配置在主配置文件里面是默认选项,当采用root用户身份运行httpd进程后,系统将自动将该进程的用户组和权限改为apache,这样,httpd进程的权限就被限制在apache用户和组范围内,因而保证了安全。

  2.向客户端隐藏Apache服务器的相关信息

  Apache服务器的版本号可作为黑客入侵的重要信息被利用,通常他们在获得版本号后,通过网上搜索针对该版本服务器的漏洞,从而使用相应的技术和工具有针对性的入侵,这也是渗透测试的一个关键步骤。因此,为了避免一些不必要的麻烦和安全隐患,可以通过主配置文件httpd.conf下的如下两个选项进行:

  (1)ServerTokens:该选项用于控制服务器是否响应来自客户端的请求,向客户端输出服务器系统类型或者相应的内置模块等重要信息。Red Hat Enterprise Linux 5操作系统在主配置文件中提供全局默认控制阈值为OS,即ServerTokens OS。它们将向客户端公开操作系统信息和相关敏感信息,所以保证安全情况下需要在该选项后使用“ProductOnly”,即ServerTokens ProductOnly。

  (2)ServerSignature:该选项控制由系统生成的页面(错误信息等)。默认情况下为off,即ServerSignature off,该情况下不输出任何页面信息。另一情况为on,即ServerSignature on,该情况下输出一行关于版本号等相关信息。安全情况下应该将其状态设为off。

  图1和图2为安全设定这两个选项前后正常情况下和错误情况下的输出页面(通过Rhel5中的Mozilla Firefox浏览器访问Rhel5中的Apache服务器)的详细对比。可以清楚看到,安全设定选项后,可以充分地向客户端用户隐藏Linux操作系统信息和Apache服务器版本信息。

错误情况下未设定安全选项前示意

图1 错误情况下未设定安全选项前示意

操作情况下使用安全设定后的对比

图2 操作情况下使用安全设定后的对比

  3.设置虚拟目录和目录权限

  要从主目录以外的其他目录中进行发布,就必须创建虚拟目录。虚拟目录是一个位于Apache的主目录外的目录,它不包含在Apache的主目录中,但在访问Web站点的用户看来,它与主目录中的子目录是一样的。每个虚拟目录都有一个别名,用户Web浏览器中可以通过此别名来访问虚拟目录,如http://服务器IP地址/别名/文件名,就可以访问虚拟目录下面的任何文件了。

  使用Alias选项可以创建虚拟目录。在主配置文件中,Apache默认已经创建了两个虚拟目录。这两条语句分别建立了“/icons/”和“/manual”两个虚拟目录,它们对应的物理路径分别是“/var/www/icons/”和“/var/www/manual”。在主配置文件中,用户可以看到如下配置语句:

  Alias /icons/ "/var/www/icons/"
  Alias /manual "/var/www/manual"

  在实际使用过程中,用户可以自己创建虚拟目录。比如,创建名为/user的虚拟目录,它所对应的路径为上面几个例子中常用的/var/www/html/rhel5:

  Alias /test "/var/www/html/rhel5"

  如果需要对其进行权限设置,可以加入如下语句:

  <Directory “/var/www/html/rhel5”>
    AllowOverride None
    Options Indexes
    Order allow,deny
    Allow from all
  </Directory>

  设置该虚拟目录和目录权限后,可以使用客户端浏览器进行测试验证,采用别名对该目录中的文件进行访问,浏览结果如图3所示。

使用虚拟目录的测试结果

图3  使用虚拟目录的测试结果

  策略二:限制Apache服务的运行环境

  Apache服务器需要绑定到80端口上来监听请求,而root是唯一有这种权限的用户,随着攻击手段和强度的增加,服务器受到相当大的威胁,一旦缓冲区溢出漏洞被利用,就可以控制整个系统。为了进一步提高系统安全性,Linux内核引入chroot机制,chroot是内核中的一个系统调用,软件可以通过调用函数库的chroot 函数,来更改某个进程所能见到的根目录。

  chroot机制是将某软件运行限制在指定目录中,保证该软件只能对该目录及其子目录的文件有所动作,从而保证整个服务器的安全。在这种情况下,即使出现黑客或者不法用户通过该软件破坏或侵入系统,Linux系统所受的损坏也仅限于该设定的根目录,而不会影响到系统的其他部分。

  将软件chroot化的一个问题是该软件运行时需要的所有程序、配置文件和库文件都必须事先安装到chroot目录中,通常称这个目录为chroot“监牢”。如果在“监牢”中运行httpd,那么用户根本看不到Linux文件系统中那个真正的目录,从而保证了Linux系统的安全。

  在使用该技术的时候,一般情况下需要事先创建目录,并将守护进程的可执行文件httpd复制到其中。同时,由于httpd需要几个库文件,所以需要把httpd程序依赖的几个lib文件同时也拷贝到同一个目录下,因此手工完成这一工作是非常麻烦的。幸运的是,用户可以通过使用开源的jail软件包来帮助简化chroot“监牢”建立的过程,具体步骤如下所示:

  Jail官方网站是:http://www.jmcresearch.com/projects/。首先将其下载,然后执行如下命令进行源代码包的编译和安装:

  #tar xzvf jail_1.9a.tar.gz
  #cd jail/src
  #make

  jail软件包提供了几个Perl脚本作为其核心命令,包括mkjailenv、addjailuser和addjailsw,他们位于解压后的目录jail/bin中。这几个命令的基本用途如下所示:

  • mkjailenv:用于创建chroot“监牢”目录,并且从真实文件系统中拷贝基本的软件环境。
  • addjailsw:用于从真实文件系统中拷贝二进制可执行文件及其相关的其它文件(包括库文件、辅助性文件和设备文件)到该“监牢”中。
  • addjailuser:创建新的chroot“监牢”用户。

  采用jail创建监牢的步骤如下所示;

  (1)首先需要停止目前运行的httpd服务,然后建立chroot目录,命令如下所示。该命令将chroot目录建立在路径/root/chroot/httpd下:

  # service httpd stop
  # mkjailenv /root/chroot/httpd
  kjailenv
  A component of Jail (version 1.9 for linux)
  http://www.gsyc.inf.uc3m.es/~assman/jail/
  Juan M. Casillas <assman@gsyc.inf.uc3m.es>

  Making chrooted environment into /root/chroot/httpd
        Doing preinstall()
        Doing special_devices()
        Doing gen_template_password()
        Doing postinstall()
  Done.

  (2)为“监牢”添加httpd程序,命令如下:

  # ./addjailsw  /root/chroot/httpd/ -P /usr/sbin/httpd

  addjailsw
  A component of Jail (version 1.9 for linux)
  http://www.gsyc.inf.uc3m.es/~assman/jail/
  Juan M. Casillas <assman@gsyc.inf.uc3m.es>

  Guessing /usr/sbin/httpd args(0)
  Warning: can't create /proc/mounts from the /proc filesystem

  Done.

  在上述过程中,用户不需要在意那些警告信息,因为jail会调用ldd检查httpd用到的库文件。而几乎所有基于共享库的二进制可执行文件都需要上述的几个库文件。

  (3)然后,将httpd的相关文件拷贝到“监牢”的相关目录中,命令如下所示:

  # mkdir -p /root/chroot/httpd/etc
  # cp –a /etc/httpd /root/chroot/httpd/etc/
  。。。。。。

  添加后的目录结构如下所示:

  # ll
  总计 56
  drwxr-xr-x 2 root root 4096 03-23 13:44 dev
  drwxr-xr-x 3 root root 4096 03-23 13:46 etc
  drwxr-xr-x 2 root root 4096 03-23 13:46 lib
  drwxr-xr-x 2 root root 4096 03-23 13:46 selinux
  drwsrwxrwx 2 root root 4096 03-23 13:46 tmp
  drwxr-xr-x 4 root root 4096 03-23 13:46 usr
  drwxr-xr-x 3 root root 4096 03-23 13:46 var

  (4)重新启动httpd,并使用ps命令检查httpd进程,发现该进程已经运行在监牢中,如下所示:

  # ps -aux | grep httpd
  Warning: bad syntax, perhaps a bogus '-'? See   /usr/share/doc/procps-3.2.7/FAQ
  root      3546  0.6  0.3   3828  1712 pts/2    S    13:57   0:00 /usr/sbin/nss_pcache off /etc/httpd/alias
  root      3550 14.2  3.6  49388 17788 ?        Rsl  13:57   0:00 /root/chroot/httpd/httpd
  apache    3559  0.2  1.4  49388  6888 ?        S    13:57   0:00 /root/chroot/httpd/httpd
  apache    3560  0.2  1.4  49388  6888 ?        S    13:57   0:00 /root/chroot/httpd/httpd
  apache    3561  0.2  1.4  49388  6888 ?        S    13:57   0:00 /root/chroot/httpd/httpd
  apache    3562  0.2  1.4  49388  6888 ?        S    13:57   0:00 /root/chroot/httpd/httpd
  apache    3563  0.2  1.4  49388  6888 ?        S    13:57   0:00 /root/chroot/httpd/httpd
  apache    3564  0.2  1.4  49388  6888 ?        S    13:57   0:00 /root/chroot/httpd/httpd
  apache    3565  0.2  1.4  49388  6888 ?        S    13:57   0:00 /root/chroot/httpd/httpd
  apache    3566  0.2  1.4  49388  6888 ?        S    13:57   0:00 /root/chroot/httpd/httpd
  r  oot      3568  0.0  0.1   4124   668 pts/2    R+   13:57   0:00 grep httpd

作者

羽扇纶巾
羽扇纶巾

自由撰稿人。

相关推荐