热门关键字:   网站安全  黑客攻防  安全漏洞  系统安全  网络安全

企业级Apache服务器安全防护要点剖析(下)

发布时间:2012-02-17 17:25文章来源:网络文章作者:秩名 点击次数:
摘要:策 略三:启用Apache自带安全模块保护 Apache的一个优势便是其灵活的模块结构,其设计思想也是围绕模块(module)概念而展开的。安全模块是Apache Server中的极其重要的组成部分。这些安全模块负责提供Apache server的访问控制和认证,授权等一系列至关重要的...

  策略三:启用Apache自带安全模块保护

  Apache的一个优势便是其灵活的模块结构,其设计思想也是围绕模块(module)概念而展开的。安全模块是Apache Server中的极其重要的组成部分。这些安全模块负责提供Apache server的访问控制和认证,授权等一系列至关重要的安全服务。

  Apache下有如下几类与安全相关的模块:

  mod_access模块能够根据访问者的IP地址(或域名,主机名等)来控制对Apache服务器的访问,称之为基于主机的访问控制。

  mod_auth模块用来控制用户和组的认证授权(Authentication)。用户名和口令存于纯文本文件中。

  mod_auth_db和mod_auth_dbm模块则分别将用户信息(如名称、组属和口令等)存于Berkeley-DB及DBM型的小型数据库中,便于管理及提高应用效率。

  mod_auth_digest模块则采用MD5数字签名的方式来进行用户的认证,但它相应的需要客户端的支持。

  mod_auth_anon模块的功能和mod_auth的功能类似,只是它允许匿名登录,将用户输入的E-mail地址作为口令。

  mod_ssl被Apache用于支持安全套接字层协议,提供Internet上安全交易服务,如电子商务中的一项安全措施。通过对通信字节流 加密来防止敏感信息的泄漏。但是,Apache这种支持是建立在对Apache的API扩展来实现的,相当于一个外部模块,通过与第三方程序(如 openssl)的结合提供安全的网上交易支持。

  为了能够使用模块功能,模块通常以DSO(Dynamic Shared Object)的方式构建,用户应该在httpd.conf文件中使用LoadModule指令,使得能够在使用前获得模块的功能。下面是主配置文件中各 个模块的情况,开启安全模块非常简单,即去掉在各安全模块所在行前的“#”符号即可,如下所示:

  LoadModule auth_basic_module modules/mod_auth_basic.so

  LoadModule auth_digest_module modules/mod_auth_digest.so

  LoadModule authn_file_module modules/mod_authn_file.so

  LoadModule authn_alias_module modules/mod_authn_alias.so

  。。。。。。

  只有将上述安全模块进行开启后,Apache才能实现相应的访问控制和通信加密功能。

  策略四:访问控制策略设置

  在开启了相应的安全模块后,还需要对Apache的访问控制策略进行设定。

  1.认证和授权指令

  目前,有两种常见的认证类型,基本认证和摘要认证:

  (1)基本认证(Basic):使用最基本的用户名和密码方式进行用户认证。

  (2)摘要认证(Digest):该认证方式比基本认证要安全得多,在认证过程中额外使用了一个针对客户端的挑战(challenge)信息,可以有效地避免基本认证方式可能遇到的“重放攻击”。值得注意的是:目前并非所有的浏览器都支持摘要认证方式。

  所有的认证配置指令既可以出现在主配置文件httpd.conf中的Directory容器中,也可以出现在单独的.htaccess文件中,这个可以由用户灵活地选择使用。在认证配置过程中,需要用到如下指令选项:

  AuthName:用于定义受保护区域的名称。

  AuthType:用于指定使用的认证方式,包括上面所述的Basic和Digest两种方式。

  AuthGroupFile:用于指定认证组文件的位置。

  AuthUserFile:用户指定认证口令文件的位置。

  使用上述的认证指令配置认证后,需要为Apache服务器的访问对象,也就是指定的用户和组进行相应的授权,以便于他们对Apache服务器提供的目录和文件进行访问。为用户和组进行授权需要使用Require指令,主要可以使用以下三种方式进行授权:

  授权给指定的一个或者多个用户:使用Require user 用户名1 用户名2 …。

  授权给指定的一个或者多个组:使用Require group 用户名1 用户名2 …。

  授权给指定口令文件中的所有用户:使用Require valid-user。

  2.管理认证口令文件和认证组文件

  要实现用户认证功能,首先要建立保存用户名和口令的文件。Apache自带的htpasswd命令提供了建立和更新存储用户名、密码的文本文件 的功能。需要注意的是,这个文件必须放在不能被网络访问的位置,以避免被下载和信息泄漏。建议将口令文件放在/etc/httpd/目录或者其子目录下。

  下面的例子在/etc/httpd目录下创建一个文件名为passwd_auth的口令文件,并将用户rhel5添加入认证口令文件。使用以下命令建立口令文件(过程中还会提示输入该用户的口令):

  # touch passwd_auth

  # htpasswd -c /etc/httpd/passwd_auth rhel5

  New password:

  Re-type new password:

  Adding password for user rhel5

  命令执行的过程中系统会要求用户为rhel5用户输入密码。上述命令中的-c选项表示无论口令文件是否已经存在,都会重新写入文件并删去原有内容。所以在添加第2个用户到口令文件时,就不需要使用-c选项了,如下命令所示

  # htpasswd /etc/httpd/passwd_auth testuser

  3.认证和授权使用实例

  (1)使用主配置文件配置用户认证及授权

  在本例子中,用户可以在Apache的主配置文件httpd.conf中加入以下语句建立对目录/var/www/html/rhel5访问的用户认证和授权机制:

  

  AllowOverride None

  AuthType Basic

  AuthName "rhel5"

  AuthUserFile /etc/httpd/passwd_auth

  Require user rhel5 testuser

  

  在上述例子中,使用了如下指令:

  AllowOverride:该选项定义了不使用.htaccess文件。

  AuthType Basic:AuthType选项定义了对用户实施认证的类型,最常用的是由mod_auth提供的Basic。

  AuthName:定义了Web浏览器显示输入用户/密码对话框时的领域内容。

  AuthUserFile:定义了口令文件的路径,即使用htpasswd建立的口令文件。

  Require user:定义了允许哪些用户访问,各用户之间用空格分开。

  需要注意的是:在AuthUserFile选项定义中,还需要使用如下语句事先建立认证用户patterson和testuser,该选项中的定义才能生效:

  #htpasswd -c /etc/httpd/passwd_auth rhel5

  #htpasswd /etc/httpd/passwd_auth testuser

  (2)使用.htaccess文件配置用户认证和授权

  在本例子中,为了完成如上述例子同样的功能,需要先在主配置文件中加入如下语句:

  

  AllowOverride AuthConfig

  

  上述语句中的AllowOverride选项允许在.htaccess文件中使用认证和授权指令。

  然后,在.htaccess文件中添加如下语句即可:

  AuthType Basic

  AuthName "Please Login:"

  AuthUserFile /etc/httpd/passwd_auth

  Require user rhel5 testuser

  同理,在AuthUserFile选项定义中,还需要使用如下语句事先建立认证用户patterson和testuser,该选项中的定义才能生效:

  #htpasswd -c /etc/httpd/passwd_auth rhel5

  #htpasswd /etc/httpd/passwd_auth testuser

标签分类: 安全 Apache 服务器

上一篇:企业级Apache服务器安全防护要点剖析(上)
下一篇:Nginx + Tomcat HTTPS/SSL 配置