安全方面的提示
本文中的提示和技巧有些是针对网络服务器的建立的,有些是综合性的,其余的则是针对Apache的。
Apache HTTP服务器通告邮件列表以保证能够在第一时间得知软件的版本更新和升级补丁。许多第三方Apache软件发行版也有类似的服务。
当然,Web服务器出现的问题在绝大多数时候不是由Apache源代码引起的,而是由附加的代码、CGI脚本、底层操作系统引起的。因此你必须保持机器上所有软件的及时更新。
User指令所指定的用户。正如root所执行的任何命令那样,你必须保证ServerRoot
下的文件是受保护的,不允许非root用户对它修改。不仅文件本身,而且目录及其父目录都必须只能由root来改写。例如,如果将ServerRoot
指定为/usr/local/apache
,则推荐以root身份来建立此目录,如:
mkdir /usr/local/apache
cd /usr/local/apache
mkdir bin conf logs
chown 0 . bin conf logs
chgrp 0 . bin conf logs
chmod 755 . bin conf logs
mkdir /usr/local/apache
cd /usr/local/apache
mkdir bin conf logs
chown 0 . bin conf logs
chgrp 0 . bin conf logs
chmod 755 . bin conf logs
这里已经假定了"/"、"/usr"、"/usr/local"只能由root来改写。在安装httpd
可执行文件时,应该确保它也受到了同样的保护:
cp httpd /usr/local/apache/bin
chown 0 /usr/local/apache/bin/httpd
chgrp 0 /usr/local/apache/bin/httpd
chmod 511 /usr/local/apache/bin/httpd
你可以在其中建立htdocs子目录,该子目录可以允许其他用户改写 -- root不会执行其中任何文件,也不应该在其中建立文件。
如果允许非root用户对由root执行或读写的文件有写权限,则会危及系统。比如,别人有可能会覆盖httpd
可执行文件,那么下一次启动时,就会执行恶意代码。如果日志目录(对非root用户)是可写的,别人就有可能用一个指向其他敏感文件的连接来覆盖日志文件,使那个文件被改写为杂乱的数据。如果日志文件本身(对非root用户)是可写的,别人就可能伪造日志。
关于CGI中所描述的suexec ,以隔离野蛮SSI文件所造成的破坏。
对.html或.htm后缀的文件允许SSI是危险的,尤其是在一个共享的或者高流量的服务器环境中。被允许SSI的文件应该有一个单独的后缀,比如常规的.shtml ,使服务器的负载保持在最低水平,并使风险管理更容易。
另一个方案是,关闭SSI页面执行脚本和程序的功能,即在用Options
指令中,用IncludesNOEXEC
替换Includes
。注意,用户仍然可以使用 <--#include virtual="..." -->来执行位于ScriptAlias
指令指定的目录中的CGI脚本。
suEXEC是一个允许脚本以不同的身份运行的程序,它包含在Apache1.2以后的版本中,并被Apache服务器代码中特殊的挂钩所调用。还有一种常用的方法是使用CGIWrap 。
未指定为脚本的CGI
仅在下列情况下,可以考虑允许用户执行位于任意目录中的CGI脚本:
- 你绝对信任用户不会写一些有意无意会使系统遭受攻击的脚本。
- 你认为安全因素与其他因素相比显得不那么重要,存在一两个潜在漏洞也无关紧要。
- 你没有用户,而且没人会来访问你的服务器。
指定为脚本的CGI
把CGI集中在特定的目录中,并由管理员决定其中的内容。这样绝对比使用不作为脚本的CGI来得安全,除非对这些目录有写权限的用户被信任,或者管理员希望对每个CGI脚本/程序进行潜在安全漏洞测试。
大多数站点都选择这种方案,而不使用未指定为脚本的CGI。
User指令),所以被这些模块执行的脚本可能访问任何Apache服务器能够访问的对象。一些脚本引擎可能提供了某些方面的限制,但是最好在假定他们并不存在的前提下做好安全防护。
系统设置的保护
为了得到真正严密的保护,应该禁止用户使用可能导致安全特性被覆盖的.htaccess
文件,方法是在服务器配置文件中设置:
<Directory />
AllowOverride None
</Directory>
使所有目录无法使用.htaccess
文件,明确指定可以使用的目录除外。
Directory块,比如:
<Directory /usr/users/*/public_html>
Order Deny,Allow
Allow from all
</Directory>
<Directory /usr/local/httpd>
Order Deny,Allow
Allow from all
</Directory>
<Directory /usr/users/*/public_html>
Order Deny,Allow
Allow from all
</Directory>
<Directory /usr/local/httpd>
Order Deny,Allow
Allow from all
</Directory>
必须特别注意Location
和Directory
指令的相互作用,比如,即使<Directory />
拒绝访问,<Location />
指令仍然可能推翻其设置。
还必须留意UserDir
指令,此设置如果类似"./",则与上述例子有相同的风险。如果你使用的是1.3或更高版本,我们强烈建议在服务器配置文件中包含以下指令:
UserDir disabled root
日志文件。虽然日志文件只是记录已经发生的事件,但是它会让你知道服务器遭受的攻击,并帮助你判断是否提达到了必要的安全等级。
一些例子:
grep -c "/jsp/source.jsp?/jsp/ /jsp/source.jsp??" access_log
grep "client denied" error_log | tail -n 10
上例会列出试图使用Apache Tomcat Source.JSP Malformed Request Information Disclosure Vulnerability的攻击次数。下例会列出最后十个被拒绝的客户端:
[Thu Jul 11 17:18:39 2002] [error] [client foo.bar.com] client denied
by server configuration: /usr/local/apache/htdocs/.htpasswd
可见,日志文件只是记录已经发生的事件,所以,如果客户端可以访问.htpasswd
文件,而且在访问日志中发现类似如下的记录:
foo.bar.com - - [12/Jul/2002:01:59:13 +0200] "GET /.htpasswd HTTP/1.1"
这可能表示服务器配置文件中的下列指令已经被注解了:
<Files ~ "^\.ht">
Order allow,deny
Deny from all
</Files>