RedHat_Linux_WEB服务器安全设置

Apache安全设置,涉及到Apache的配置文件、Apache的目录访问控制、在Apache上运行CGI等安全方面的设置。

Apache的配置文件

对于RedHat Linux系统,Apache的配置文件放在/etc/httpd/conf/目录下。如果是自行编译安装的Apache,则视编译时指定的目录路径而定,默认是/usr/local/apache/conf。

在conf目录下有3个Apache的配置文件:

httpd.conf

access.conf

srm.conf

Apache 启动时先调用httpd.conf,然后调用srm.conf,最后调用access.conf。但现代版本的Apache为避免管理和维护的混乱,已经 改为将所有Apache的相关配置命令放在httpd.conf文件中,不再使用srm.conf和access.conf文件。虽然这两个文件仍然存 在,但内容中没有任何配置命令,形同虚设。

httpd.conf文件分为以下3部分:

Global Environment

‘Main’ server configuration

Virtual Hosts

下面将讲述这3部分的用法和与安全相关的注意点。

4.5.1.1 Global Environment

ServerType standalone

用来指定Apache的启动方式:standalone和inetd。standalone模式是Apache独立运行,也是默认的启动方式。inetd模式是守护进程监听http的连接请求才启动httpd进程,请求完毕后就结束httpd进程,这样服务器负担很重。

ServerRoot “/etc/httpd”

Apache的目录,此处是存放配置、出错记录、日志文件的根目录。目录后面不要加“/”字符。

LockFile /var/lock/httpd.lock

保留默认值,不要更改。

PidFile /var/run/httpd.pid

指定记录Apache的父进程id的文件名及路径。

ScoreBoard /var/run/httpd.scoreboard

指定用于储存服务器进程处理信息的文件名和路径。

#ResourceConfig conf/srm.conf

#AccessConfig conf/access.conf

在标准的配置中,服务器启动时会处理这两个文件。因为现在的Apache只使用httpd.conf文件,摒弃了srm.conf和access.conf文件,所以这两行用“#”注释掉。

Timeout 300

设置超时时间。如果远程客户端超过300秒还没连上Apache Server,或者Apache Server超过300秒没有传送字节给客户端,就立即断开连接。

KeepAlive On

KeepAlive允许客户端的每个连接有多个请求,设为Off时此项无效。

MaxKeepAliveRequests 100

设置每次连接期间所允许的最大请求数目。设为0时表示允许无限制数目。设置数字越大,则服务器性能越高。

KeepAliveTimeout 15

设置等待同一个客户端的同一个连接发出下一个连接请求超过一定的时间就断线。

MinSpareServers 5

MaxSpareServers 20

设置最小的闲置服务处理程序的数目和最大的闲置服务处理程序的数目。如果实际数目少于MinSpareServers,则将增加处理程序;反之,如果实际数目超过MaxSpareServers,一些多余的处理程序将被杀掉。

StartServers 8

设置启动并初始化后启动服务进程的数目。

MaxClient 150

设置服务运行的总数量。一旦达到此数目,新来的客户端就被拒绝,所以该限制数目不能设得太小。

MaxRequestsPerChild 100

设置每个子程序处理结果前的要求数目,设为0表示不限制。

#Listen 3000

#Listen 12.34.56.78:80

Listen 80

设置Apache监听的连接端口或IP地址及端口,默认是80。

#BindAddress *

该选项用来支持虚拟主机,并告知服务器监听哪个IP地址。可以使用“*”,或具体的IP地址和完整的域名。

#LoadModule foo_module libexec/mod_foo.so

DSO(Dynamic Shared Object)支持。DSO模块的概念和作用与Windows的DLL文件极其相似。

#ExtendedStatus On

当“server-status”管理程序被执行时,检查Apache的运行状态信息。默认是Off。

4.5.1.2 ‘Main’ Server Configuration

如果在第一部分“Global Environment”中的ServerType命令设为inetd的话,那么这部分就没有任何效果,直接跳到ServerAdmin命令。

Port 80

设置Standalone服务器监听的连接端口,也可以设为其他端口,必须小于1 023。必须以root身份才能更改端口。

User apache

Group apache

指定运行httpd的用户和用户组。必须首先以root身份指派。

ServerAdmin root@localhost

设置管理员的电子邮件地址,当Apache有问题时会自动发E-mail通知管理员。

#ServerName localhost

设置主机名称,可以用域名和IP地址。

DocumentRoot “/var/www/html”

设置Apache放置网页的目录路径。

Options FollowSymLinks

AllowOverride None

设置Apache能够访问的每一个目录被访问时所执行的动作。本章后面将详细叙述Apache的目录存取方法。

Options Indexes Include FollowSymLinks

AllowOverride None

Order allow, deny

Allow from all

此处设置Apache的网页目录的执行动作。本章节后面将详细叙述目录的存取方法。

AllowOverride None

Options None

Allow from all

此处可以防止用户创建自己的.htaccess文件。在这个文件中可以改变全局参数,以致会影响到整个系统的安全。可以在httpd.conf文件中加入的命令中都加上上面的代码。

UserDir public_html

设置用户在自己的目录下建立public_html放置网页,即/home/*/public_html/。这样在浏览器地址栏输入“http://Apache服务器/用户名/”就能显示网页。设置的目录必须告知用户,否则他们不知道网页放在什么地方。

DirectoryIndex index.html index.htm index.shtml index.php index.php4 index.php3 index.cgi

设置Apache的默认首页文档。

AccessFileName .htacess

指定控制存取的文件名称。Apache默认的是.htaccess。本章将在后面详细叙述该文件的用法。

s%b\”{Referer}I”\”%{UserAgent}I\””combind

Logformat”%h%l%u%t\”%r”\”%>s%b”common

Logformat “%{Referer}I->%U”referer

LogFormat”%{User-agent}I”agint

定义4种格式的别名:combind、commen、referer和agint。

#CustomLog /var/log/httpd/access_log common

CustomLog /var/log.httpd/access_log combind

指定记录文件使用哪种自定义的格式。其他不使用的自定义格式将被注释掉。

以上是关于日志文件的,将在后面的Apache日志文件中详细叙述。

ServerSignature On

设为On,当Apache产生错误时,就在网页上显示Apache的版本信息、主机名称、端口等一行信息。设为Off,就不显示相关的信息。设为E-mail时,就有“mailto:”给管理员的超链接。

Alias/icons /”var/www/icons/”

使用较短的别名,其格式为:Alias 别名 原名。可以无限制地建立别名。注意别名的后面如果有“/”,那么在使用URL时也得有“/”。

ScriptAlias /cgi-bin/ “/var/www/cgi-bin/”

和Alias类似,设置服务器脚本目录。

应该强制性地使用ScriptAlias命令来限定CGI程序位于某个或者某几个特定的位置。一般可以设置多个ScriptAlias。必须保证cgi-bin目录不在html目录下,这一点非常重要,这样可以防止黑客通过浏览它们而查看CGI程序。

IndexOptions FancyIndexing

以特定的图形显示文件清单。

AddIconByEncoding (CMP, /icons/compressed.gif) x-compress x-gzip

……

DefaultIcon /icons/unknown.gif

指定显示文件清单时各种文件类型的对应图形。

4.5.1.3 Virtual Hosts

这 部分是设置虚拟主机的。所谓虚拟主机,就是指一台服务器作为多域名的Web服务器。ISP经常通过一台服务器为其客户提供Web服务。而客户通常希望主页 以自己的名字出现,而不是在该ISP的名字后面,因为使用单独的域名和根网址可以看起来更正式一些。传统上,用户必须自己设立一台服务器才能达到拥有单独 域名的目的,然而这需要维护一个单独的服务器。很多小单位缺乏足够的维护能力,更为合适的方式是租用别人维护的服务器。ISP也没有必要为一个机构提供一 个单独的服务器,完全可以使用虚拟主机的能力,使服务器为多个域名提供Web服务,而且不同的服务互不干扰,对外就表现为多个不同的服务器。虚拟主机就是 解决这种问题的方案,使客户的域名实际指向ISP的同一台服务器。

1.Apache支持虚拟主机的方式

Apache有两种支持虚拟主机的方式。一是为每一个虚拟主机设置单独的httpd进程,二是为所有的主机设置一个单独的httpd进程。

为每一个虚拟机设置单独的httpd进程

在httpd.conf文件的第一部分Global Environment中的BindAddress命令或Listen命令就是用来指定虚拟主机的地址和端口的。

BindAddress命令用来指定单一的地址,可以使用域名或IP地址。该命令在httpd.conf文件中只能出现一次。

Listen命令可以让httpd进程监听多个地址或端口。反复使用Listen命令就能实现这个要求。

为所有的主机设置一个单独的httpd进程

这 是一个常用的方法。用户只要维护一个httpd.conf文件。在此文件的第三部分Virtual Host中,用命令来为所有的虚拟主机进行配置。有多个虚拟主机就有多 个段。在不同的虚拟主机的段中可以指定不同的ServerAdmin、 ServerName、DocumentRoot、ErrorLog和TransferLog。

2.虚拟主机的实现方式

虚拟主机有三种实现方式:以主机名称的方式虚拟、以IP的方式虚拟、以端口的方式虚拟。下面就举一个在httpd.conf的第三部分Virtual Host中实现上面提及的方式的例子。

以主机名称的方式虚拟

如果用户的一台服务器有多个域名,Virtual Host文件举例如下:

NameVirtualHost 210.12.195.6

ServerAdmin bright@hacker.com.cn

DocumentRoot /var/www/html/hacker

ServerName hacker.com.cn

ServerAdmin admin@pcfrient.com.cn

DocumentRoot /var/www/html/pcfrient

Servername pcfrient.com.cn

以IP的方式虚拟

注 册域名是要花一笔费用的。解决方案是可以用IP的方式来虚拟。在Linux中可以为一个网卡捆绑两个IP地址。如服务器的地址是 210.12.195.6,现在有一个IP地址210.12.195.9没有使用。将210.12.195.9捆绑到服务器的网卡中,执行下列命令:

#ifconfig eth0:0 210.12.195.9

这样,服务器就有两个IP地址了。以IP的方式虚拟和以主机名称的方式虚拟类似,请看下面的例子:

NameVirtualHost 210.12.195.6

ServerAdmin bright@hacker.com.cn

DocumentRoot /var/www/html/hacker

ServerAdmin bright@hacker.com.cn

DocumentRoot /var/www/html/pcfrient

以IP的方式虚拟不用NameVirtualHost命令。

以主机名称和IP的方式虚拟

就是上面的两个方式的结合。看下面的例子:

NameVirtualHost 210.12.195.6

ServerAdmin bright@hacker.com.cn

DocumentRoot /var/www/html/hacker

ServerName hacker.com.cn

ServerAdmin bright@hacker.com.cn

DocumentRoot /var/www/html/pcfrient

以端口的方式虚拟

http默认的端口是80,如果用户要开设另一个端口443作为另一个虚拟主机,举例如下:

Listen 80

Listen 443

ServerAdmin bright@hacker.com.cn

DocumentRoot /var/www/html/hacker

ServerAdmin suying@hacker.com.cn

DocumentRoot /var/www/html/pcfrient

以不同的IP和端口的方式虚拟

该方式是以IP的方式虚拟和以端口的方式虚拟的结合。假设服务器捆绑了两个IP地址,210.12.192.6和210.12.195.9,后面的IP地址用端口443。举例如下:

Listen 210.12.192.6:80

Listen 210.12.195.9:443

ServerAdmin bright@hacker.com.cn

DocumentRoot /var/www/html/hacker

ServerAdmin suying@hacker.com.cn

DocumentRoot /var/www/html/pcfrient

 

本站部分素材资源及板块内容来自网络,如有侵犯您的权益,请联系我们,站长会立即处理,转载请注明来源网址!
云部落资源网 » RedHat_Linux_WEB服务器安全设置