安全技巧：Apache服務器設置安全指南

這里將要介紹到的，有些技巧是關于設置一臺網絡服務器的安全問題，也許您會說Apache本身是比較安全的，但相信本問都會讓你受益非淺。本文有些建議是通用的，有些是專門針對Apache服務器的。

　　批準ServerRoot目錄

　　在典型操作中，Apache服務器是由root用戶啟動的，并且通過用戶指令轉變為用戶定義的操作。正如root執行的任何指令一樣，你必須注意保護服務器，防止任何非root用戶進行修改。不僅文件本身必須由root用戶進行修改，而且目錄和所有目錄的父目錄也是如此。例如，如果你選擇把ServerRoot放在/usr/local/apache目錄中，建議你把那個目錄創建為根目錄，使用如下指令：

　　mkdir /usr/local/apache

　　cd /usr/local/apache

　　mkdir bin conf logs

　　chown 0 . bin conf logs

　　chgrp 0 . bin conf logs

　　chmod 755 . bin conf logs

　　假定/、/usr和/usr/local只能被root用戶修改。當你安裝httpd可執行文件時，你應該保證這個文件受到同樣的保護。使用如下命令：

　　cp httpd /usr/local/apache/bin

　　chown 0 /usr/local/apache/bin/httpd

　　chgrp 0 /usr/local/apache/bin/httpd

　　chmod 511 /usr/local/apache/bin/httpd

　　你可以創建一個其他用戶可以修改的htdocs子目錄，因為根永遠不能在那里執行任何文件，不應該在那里創建任何文件。

　　如果你允許非根用戶修改根不能執行或者寫入的任何文件，那么，你的系統的根就會被攻破。例如，有人會替換httpd二進制代碼，這樣，當你下一次啟動機器的時候，它就會執行任意代碼。如果這個記錄目錄是允許非根用戶寫入的，有人就會用其它系統文件取代這個記錄文件。然后，根就能夠使用任何數據覆蓋那個文件。如果那些記錄文件本身是允許非根用戶寫入的，有人就會用虛假的數據覆蓋那個記錄本身。

　　服務器端包含(SSI)

　　服務器端包含為服務器管理員提出了一些潛在的安全風險。

　　第一個風險是服務器工作量的增加。所有具有SSI功能的文件都必須由Apache服務器解析，無論這些文件是否包含任何SSI指令。雖然這個工作量增加的很少，但是，在一個共享服務器環境中，這個工作量將變得非常大。

　　一般來說，SSI文件能夠產生與CGI腳本相同的風險。使用“exec cmd”指令，具有SSI功能的文件能夠在用戶的允許之下執行任何CGI腳本或者程序。組Apache服務器可根據httpd.conf文件中的設置運行。這應該為服務器管理員提供一個休息的機會。

　　在利用SSI文件提供的好處的同時，有許多提高SSI文件安全的方法。

　　要限制一個難以駕馭的SSI文件引起的損失，服務器管理員可以按照CGI總則部門介紹的方法啟用suexec程序。

　　讓有.html或者.htm擴展名的文件具有SSI功能是危險的。特別是在共享的、通訊量大服務器環境更是如此。具有SSI功能的文件應該有一個單獨的擴展名，如.shtml。這有助于把工作量保持在較低的水平，使風險管理更加容易。

　　另一個解決方案是關閉從SSI頁運行腳本和程序的能力。要做到這一點，在選項指令中用“IncludesNOEXEC”取代“Includes”。注意，用戶也許仍然可以使用 <--#include virtual="..." --> 執行CGI腳本，如果這些腳本在一個ScriptAlias指令指定的目錄中的話。

　　非腳本別名的CGI

　　應該僅在如下條件下才允許用戶使用任何目錄中的CGI腳本：

　　1.你信任你的用戶不會編寫這種腳本，故意或無意地讓你的系統遭受攻擊。

　　2.你認為你的網站安全在其它方面如此的脆弱，以至于多一個漏洞也沒有關系。

　　3.你沒有用戶，而且沒有人訪問你的服務器。

　　腳本別名的CGI

　　把CGI限制在特定的目錄中可讓管理員控制進入目錄的內容。這必然比“非腳本別名的CGI”更安全，但是，這僅限于擁有這些目錄寫入權限的用戶是可信賴的，或者管理員愿意測試每一個新的CGI腳本/程序，查找其中的漏洞。

　　大多數網站選擇這個選項，不選擇“非腳本別名的CGI”方法。

　　通用CGI

　　你要永遠記住，你必須相信CGI腳本/程序的作者，或者相信你自己有能力發現CGI中潛在的安全漏洞，無論這些漏洞是有意的或是無心的。

　　所有CGI腳本將作為同一用戶運行，因此，這些腳本有可能相互沖突(意外的或故意的)。例如，用戶A憎恨用戶 B，于是他編寫一個腳本破壞用戶B的 CGI數據庫。一個能夠用來允許腳本以不同用戶身份運行的程序是 suEXEC。它包含在Apache 1.2版中，可以使用Apache服務器代碼調用。另一個常用的方法是使用CGIWrap。

　　其它動態內容資源

　　嵌入的腳本選項以服務器本身的身份運行。這些選項作為服務器本身的一部分運行，如mod_php、mod_perl、mod_tcl和mod_python等。因此，這些引擎執行這些腳本能夠讓服務器用戶訪問任何內容。有些腳本引擎可能提供一些限制措施，但是，最好是安全一些，不要這樣做。