用雷网主机，怎样保证Linux Apache Web服务器安全?

如果你是一个系统管理员，你应该按照以下的10点建议来保证Apache web服务器的安全。 1、禁用不必要的模块 如果你打算源码编译安装apache，你应该禁用以下的模块。如果你运行./configure -help，你将会看到所有可用的你可以禁用/开启的模块。 userdir –用户特定用户的请求映射。例如：带用户名的URL会转化成服务器的一个目录。 autoindex – 当没有默认首页（如index.html）时显示目录列表。 status –显示服务器统计 env – 清除或修改环境变量 setenvif –根据客户端请求头字段设置环境变量 cgi –CGI脚本 actions – 根据特定的媒体类型或请求方法，激活特定的CGI脚本 negotiation –提供内容协商支持 alias – 提供从文件系统的不同部分到文档树的映射和URL重定向 include –实现服务端包含文档（SSI）处理 filter –根据上下文实际情况对输出过滤器进行动态配置 version –提供基于版本的配置段支持 asis – 发送自己包含HTTP头内容的文件 当你执行./configure按照下面禁用以上的所有模块。 ./configure \ --enable-ssl \ --enable-so \ --disable-userdir \ --disable-autoindex \ --disable-status \ --disable-env \ --disable-setenvif \ --disable-cgi \ --disable-actions \ --disable-negotiation \ --disable-alias \ --disable-include \ --disable-filter \ --disable-version \ --disable-asis 如果激活ssl且禁用mod_setenv，你将会得到以下错误。 错误： Syntax error on line 223 of /usr/local/apache2/conf/extra/httpd-ssl.conf： Invalid command ‘BrowserMatch’， perhaps misspelled or defined by a module not included in the server configuration 解决方案：如果你使用ssl，不要禁用setenvif模块。或者你禁用setenvif模块，可以在httpd-ssl.conf注释BrowserMatch。 安装完成全，执行httpd -l，会列出所有已安装的模块。 # /usr/local/apache2/bin/httpd -l Compiled in modules： core.c mod_authn_file.c mod_authn_default.c mod_authz_host.c mod_authz_groupfile.c mod_authz_user.c mod_authz_default.c mod_auth_basic.c mod_log_config.c mod_ssl.c prefork.c http_core.c mod_mime.c mod_dir.c mod_so.c 在这个例子里，我们安装了如下apache模块： core.c –Apache核心模块 mod_auth* –各种身份验证模块 mod_log_config.c –允许记录日志和定制日志文件格式 mod_ssl.c – SSL prefork.c – 一个非线程型的、预派生的MPM httpd_core.c – Apache核心模块 mod_mime.c – 根据文件扩展名决定应答的行为（处理器/过滤器）和内容（MIME类型/语言/字符集/编码） mod_dir.c – 指定目录索引文件以及为目录提供”尾斜杠”重定向 mod_so.c – 允许运行时加载DSO模块 2、以单独的用户和用户组运行Apache Apache可能默认地以nobody或daemon运行。让Apache运行在自己没有特权的帐户比较好。例如：用户apache。 创建apache用户组和用户。 groupadd apache useradd -d /usr/local/apache2/htdocs -g apache -s /bin/false apache 更改httpd.conf，正确地设置User和Group。 # vi httpd.conf User apache Group apache 之后重启apache，执行ps -ef命令你会看到apache以“apache”用户运行（除了第一个都是以root运行之外）。 # ps -ef | grep -i http | awk ‘{print $1}’ root apache apache apache apache apache 3、限制访问根目录（使用Allow和Deny） 在httpd.conf文件按如下设置来增强根目录的安全。 Options None Order deny，allow Deny from all 在上面的： Options None –设置这个为None，是指不激活其它可有可无的功能。 Order deny，allow – 这个是指定处理Deny和Allow的顺序。 Deny from all –阻止所有请求。Deny的后面没有Allow指令，所以没人能允许访问。 4、为conf和bin目录设置适当的权限 bin和conf目录应该只允许授权用户查看。创建一个组和把所有允许查看/修改apache配置文件的用户增加到这个组是一个不错的授权方法。 下面我们设置这个组为：apacheadmin 创建组： groupadd apacheadmin 允许这个组访问bin目录。 chown -R root:apacheadmin /usr/local/apache2/bin chmod -R 770 /usr/local/apache2/bin 允许这个组访问conf目录。 chown -R root:apacheadmin /usr/local/apache2/conf chmod -R 770 /usr/local/apache2/conf 增加合适的用户到这个组。 # vi /etc/group apacheadmin:x:1121:user1,user2 5、禁止目录浏览 如果你不关闭目录浏览，用户就能看到你的根目录（或任何子目录）所有的文件（目录）。 比如，当他们浏览http://{your-ip}/images/而images下没有默认首页，那么他们就会在浏览器中看到所有的images文件（就像ls -l输出）。从这里他们通过点击就能看到私人的图片文件，或点点击子目录看到里面的内容。 为了禁止目录浏览，你可以设置Opitons指令为“None“或者是“-Indexes”。在选项名前加“-”会强制性地在该目录删除这个特性。 Indexes选项会在浏览器显示可用文件的列表和子目录（当没有默认首页在这个目录）。所以Indexes应该禁用。 Options None Order allow,deny Allow from all (or) Options -Indexes Order allow,deny Allow from all 6、禁用.htaccess 在htdocs目录下的特定子目录下使用.htaccess文件，用户能覆盖默认apache指令。在一些情况下，这样不好，应该禁用这个功能。 我们可以在配置文件中按如下设置禁用.htaccess文件来不允许覆盖apache默认配置。 Options None AllowOverride None Order allow，deny Allow from all 7、禁用其它选项 下面是一些Options指令的可用值。 Options All –所有的选项被激活（除了MultiViews）。如果你不指定Options指令，这个是默认值。 Options ExecCGI –执行CGI脚本（使用mod_cgi）。 Options FollowSymLinks –如果在当前目录有符号链接，它将会被跟随。 Options Includes –允许服务器端包含文件（使用mod_include）。 Options IncludesNOEXEC –允许服务器端包含文件但不执行命令或cgi。 Options Indexes –允许目录列表。 Options MultiViews -允许内容协商多重视图（使用mod_negotiation） Options SymLinksIfOwnerMatch –跟FollowSymLinks类似。但是要当符号连接和被连接的原始目录是同一所有者是才被允许。 绝不要指定“Options All”，通常指定上面的一个或多个的选项。你可以按下面代码把多个选项连接。 Options Includes FollowSymLinks 当你要嵌入多个Directory指令时，“+”和“-”是有用处的。也有可能会覆盖上面的Directory指令。 如下面，/site目录，允许Includes和Indexes。 Options Includes Indexes AllowOverride None Order allow，deny Allow from all 对于/site/en目录，如果你需要继承/site目录的Indexes（不允许Includes），而且只在这个目录允许FollowSymLinks，如下： Options -Includes +FollowSymLink AllowOverride None Order allow，deny Allow from all /site目录允许IncludesIndexes /site/en目录允许Indexes和FollowSymLink 8、删除不需要的DSO模块 如果你加载了动态共享对象模块到apache，他们应该在httpd.conf文件在“LoadModule”指令下。 请注意静态编译的Apache模块是不在“LoadModule”指令里的。 在httpd.conf注释任何不需要的“LoadModules”指令。 grep LoadModule /usr/local/apache2/conf/httpd.conf 9、限制访问特定网络（或IP地址） 如果你需要只允许特定IP地址或网络访问你的网站，按如下 *** 作： 只允许特定网络访问你的网站，在Allow指令下给出网络地址。 Options None AllowOverride None Order deny,allow Deny from all Allow from 10.10.0.0/24 只允许特定IP地址访问你的网站，在Allow指令下给出IP地址。 Options None AllowOverride None Order deny，allow Deny from all Allow from 10.10.1.21 10、禁止显示或发送Apache版本号（设置ServerTokens） 默认地，服务器HTTP响应头会包含apache和php版本号。像下面的，这是有危害的，因为这会让黑客通过知道详细的版本号而发起已知该版本的漏洞攻击。 Server:Apache/2.2.17 (Unix) PHP/5.3.5 为了阻止这个，需要在httpd.conf设置ServerTokens为Prod，这会在响应头中显示“Server:Apache”而不包含任何的版本信息。 # vi httpd.conf ServerTokens Prod 下面是ServerTokens的一些可能的赋值： ServerTokens Prod 显示“Server:Apache” ServerTokens Major 显示 “Server:Apache/2″ ServerTokens Minor 显示“Server:Apache/2.2″ ServerTokens Min d显示“Server:Apache/2.2.17″ ServerTokens OS 显示 “Server:Apache/2.2.17 (Unix)” ServerTokens Full 显示 “Server:Apache/2.2.17 (Unix) PHP/5.3.5″ （如果你这指定任何的值，这个是默认的返回信息） 除了上面10个apache的安全建议，你还必要确保你的UNIX/Linux *** 作系统的安全。如果你的 *** 作系统不安全，那么只是确保apache的安全就没有任何意义了。通常的我们要保持apache版本的更新，最新的apahce版本会修复所有已知的安全问题。还有就是要确保时常查看apache日志文件。

你这种问题很难回答的，只能给你简单答一下。

1、怎么入侵的

你的是服务器，架上internet上，大家都可以访问。服务器为了方便别人访问，总会开启一些服务如http, ftp, ssh等等。黑客可以利用服务本身的漏洞或者套取密码（暴力破解、字典破解各种方式）获取一个有效的可以登录的用户，如果正好是root用户被破解，那你的机器就完全被他控制了。

2、文件是怎么放进来的？

获取到用户后，可以利用wget，或者sftp，ftp等各种方式把文件传进来。

3、如何防御？

这个最难回答，防御比进攻难。

你说开启了iptables, selinux，但是你有好好设置吗？

关掉不必要的端口减少被攻击的可能性；

经常更新你的系统，新的软件漏洞更少；

各种服务程序不要用root用户运行，免得黑客轻易利用程序问题获取root权限；

还有很多其它方法，网络安全和黑客性质一样，你要知道怎么攻击别人，你就会防御了。

现在你最好是先把服务器下线，处理好后再上线，免得在处理过程中受黑客干扰。

课题名称：基于Linux系统的Web服务器的安装与配置姓 名： 班 级： 完成时间： 指导老师： 内容安排：首先对WEB服务器的可行性进行研究，然后对主机的硬件和软件进行需求分析，在此基础上进行概要设计和详细设计。接下来对软件框架的各组成部分的实现分章进行详细的描述，最后总结实现一些关键的解决方法和改进的几个思路。1、绪论简单介绍了一下架设WEB网站的意义, WEB服务器的工作原理, 企业背景介绍，并简要介绍了论文的内容要求。2、Web服务器的基础知识对什么是WEB服务、服务器软件Apache、脚本语言PHP、HTTP协议作了详细的介绍。3、Web服务器的设计过程根据可行性的研究，对整个系统的软件和硬件需求进行分析。对软硬件进行架构设计，描述如何实现，包括基础理论分析，设计思路和设计方法，并对具体的设计步骤进行了重点理论解析。4、WEB服务器的建立 对系统的运行进行安装，了解Apache的体系结构及性能、PHP脚本配置环境，用Apache进行设置虚拟主机，实现基于IP地址虚拟主机服务，先规划IP地址：为虚拟主机申请新的IP地址，让ISP做好相应的域名解析工作，为网卡设置IP别名，重新设置“/etc/httpd/conf/httpd.conf”文件，建立相应的目录，将主页的内容放到相应的目录中去就行了，再配置一下PHP语言脚本环境。测试一下能否实现的可行性。5、问题和改进实现中可能遇到的问题及解决方法，服务器改进的方向。6、作简要的总结。论文的技术路线及预期目标：技术路线：在Linux平台下配置一个WEB服务器环境，使网站正常运行，首先需要在一台PC机上创建一个Linux平台，由于我们绝大部分PC用的是Windows的 *** 作系统，对此，我们可采用虚拟机VMware Workstation在Windows系统下虚拟一个Linux平台，然后运用与Linux兼容性良好的Apache服务软件、PHP语言脚本配置环境，基于Linux *** 作系统，架设一个稳定、安全、高效的WEB服务器环境，可支持运行以PHP或者HTML为基础的网页，要求正确安装好 *** 作系统Linux WEB服务器软件Apache、脚本语言PHP，了解有关参数，同时合理设置，使得服务器环境简易高效。预期目标：在Linux环境下运用兼容性良好的Apache服务软件实现一个Web服务器，在局域网内，将此服务器程序在一台计算机上运行，使网内其它计算机访问这台服务器时，实现HTTP协议的传输，并能解析以PHP或者HTML为基础的网页。课题进度计划：完成课题所需条件及落实措施：所需条件：计算机一台、CentOS 5.2版本的Linux *** 作系统、虚拟机软件VMware Workstation及各种相关软件，有关Linux *** 作系统方面的资料（书籍、网络资料）。落实措施：在计算机上先安装虚拟机软件VMware Workstation,采用虚拟机VMware在Windows系统下虚拟一个Linux平台，然后运用与Linux兼容性良好的Apache服务软件，PHP语言脚本配置环境。参考文献、资料：[1] Red Hat Linux大全，David Pitls编著，姚彦忠 译，机械工业出版社，1999年1月出版[2] Linux服务器性能调整，（美）约翰逊，（美）威曾格，（美）普拉瓦提 著，韩智文 译，清华大学出版社，2009年9月出版[3] Linux服务器架设，杨鹏编著，清华大学出版社，2008年出版[4] Linux网络服务器应用教程,王兴主编，中国铁道出版社，2009年9月出版

---