企业级Apache服务器安全防护要点剖析(3)

《企业级Apache服务器安全防护要点剖析(上)》中,我们介绍了两个Apache服务器的安全防护策略,本文将介绍剩下两个策略。

  策略三:启用Apache自带安全模块保护

  Apache的一个优势便是其灵活的模块结构,其设计思想也是围绕模块(module)概念而展开的。安全模块是Apache Server中的极其重要的组成部分。这些安全模块负责提供Apache server的访问控制和认证,授权等一系列至关重要的安全服务。

  Apache下有如下几类与安全相关的模块:

mod_access模块能够根据访问者的IP地址(或域名,主机名等)来控制对Apache服务器的访问,称之为基于主机的访问控制。 mod_auth模块用来控制用户和组的认证授权(Authentication)。用户名和口令存于纯文本文件中。 mod_auth_db和mod_auth_dbm模块则分别将用户信息(如名称、组属和口令等)存于Berkeley-DB及DBM型的小型数据库中,便于管理及提高应用效率。 mod_auth_digest模块则采用MD5数字签名的方式来进行用户的认证,但它相应的需要客户端的支持。 mod_auth_anon模块的功能和mod_auth的功能类似,只是它允许匿名登录,将用户输入的E-mail地址作为口令。 mod_ssl被Apache用于支持安全套接字层协议,提供Internet上安全交易服务,如电子商务中的一项安全措施。通过对通信字节流加密来防止敏感信息的泄漏。但是,Apache这种支持是建立在对Apache的API扩展来实现的,相当于一个外部模块,通过与第三方程序(如openssl)的结合提供安全的网上交易支持。

  为了能够使用模块功能,模块通常以DSO(Dynamic Shared Object)的方式构建,用户应该在httpd.conf文件中使用LoadModule指令,使得能够在使用前获得模块的功能。下面是主配置文件中各个模块的情况,开启安全模块非常简单,即去掉在各安全模块所在行前的“#”符号即可,如下所示:

  LoadModule auth_basic_module modules/mod_auth_basic.so
  LoadModule auth_digest_module modules/mod_auth_digest.so
  LoadModule authn_file_module modules/mod_authn_file.so
  LoadModule authn_alias_module modules/mod_authn_alias.so
  。。。。。。

  只有将上述安全模块进行开启后,Apache才能实现相应的访问控制和通信加密功能。

  策略四:访问控制策略设置

  在开启了相应的安全模块后,还需要对Apache的访问控制策略进行设定。

  1.认证和授权指令

  目前,有两种常见的认证类型,基本认证和摘要认证:

  (1)基本认证(Basic):使用最基本的用户名和密码方式进行用户认证。
  (2)摘要认证(Digest):该认证方式比基本认证要安全得多,在认证过程中额外使用了一个针对客户端的挑战(challenge)信息,可以有效地避免基本认证方式可能遇到的“重放攻击”。值得注意的是:目前并非所有的浏览器都支持摘要认证方式。

  所有的认证配置指令既可以出现在主配置文件httpd.conf中的Directory容器中,也可以出现在单独的.htaccess文件中,这个可以由用户灵活地选择使用。在认证配置过程中,需要用到如下指令选项:

AuthName:用于定义受保护区域的名称。 AuthType:用于指定使用的认证方式,包括上面所述的Basic和Digest两种方式。 AuthGroupFile:用于指定认证组文件的位置。 AuthUserFile:用户指定认证口令文件的位置。

  使用上述的认证指令配置认证后,需要为Apache服务器的访问对象,也就是指定的用户和组进行相应的授权,以便于他们对Apache服务器提供的目录和文件进行访问。为用户和组进行授权需要使用Require指令,主要可以使用以下三种方式进行授权:

授权给指定的一个或者多个用户:使用Require user 用户名1 用户名2 …。 授权给指定的一个或者多个组:使用Require group 用户名1 用户名2 …。 授权给指定口令文件中的所有用户:使用Require valid-user。

  2.管理认证口令文件和认证组文件

  要实现用户认证功能,首先要建立保存用户名和口令的文件。Apache自带的htpasswd命令提供了建立和更新存储用户名、密码的文本文件的功能。需要注意的是,这个文件必须放在不能被网络访问的位置,以避免被下载和信息泄漏。建议将口令文件放在/etc/httpd/目录或者其子目录下。

  下面的例子在/etc/httpd目录下创建一个文件名为passwd_auth的口令文件,并将用户rhel5添加入认证口令文件。使用以下命令建立口令文件(过程中还会提示输入该用户的口令):

  # touch passwd_auth
  # htpasswd -c /etc/httpd/passwd_auth rhel5
  New password:
  Re-type new password:
  Adding password for user rhel5

  命令执行的过程中系统会要求用户为rhel5用户输入密码。上述命令中的-c选项表示无论口令文件是否已经存在,都会重新写入文件并删去原有内容。所以在添加第2个用户到口令文件时,就不需要使用-c选项了,如下命令所示

  # htpasswd /etc/httpd/passwd_auth testuser

  3.认证和授权使用实例

  (1)使用主配置文件配置用户认证及授权

  在本例子中,用户可以在Apache的主配置文件httpd.conf中加入以下语句建立对目录/var/www/html/rhel5访问的用户认证和授权机制:

  <Directory "/var/www/html/rhel5">
  AllowOverride None
  AuthType Basic
  AuthName "rhel5"
  AuthUserFile /etc/httpd/passwd_auth
  Require user rhel5 testuser
  </Directory>

  在上述例子中,使用了如下指令:

AllowOverride:该选项定义了不使用.htaccess文件。 AuthType Basic:AuthType选项定义了对用户实施认证的类型,最常用的是由mod_auth提供的Basic。 AuthName:定义了Web浏览器显示输入用户/密码对话框时的领域内容。 AuthUserFile:定义了口令文件的路径,即使用htpasswd建立的口令文件。 Require user:定义了允许哪些用户访问,各用户之间用空格分开。

  需要注意的是:在AuthUserFile选项定义中,还需要使用如下语句事先建立认证用户patterson和testuser,该选项中的定义才能生效:

  #htpasswd -c /etc/httpd/passwd_auth rhel5
  #htpasswd /etc/httpd/passwd_auth testuser

  (2)使用.htaccess文件配置用户认证和授权

  在本例子中,为了完成如上述例子同样的功能,需要先在主配置文件中加入如下语句:

  <Directory “/var/www/html/rhel5”>
    AllowOverride AuthConfig
  </Directory>

  上述语句中的AllowOverride选项允许在.htaccess文件中使用认证和授权指令。

  然后,在.htaccess文件中添加如下语句即可:

  AuthType Basic
  AuthName "Please Login:"
  AuthUserFile /etc/httpd/passwd_auth
  Require user rhel5 testuser

  同理,在AuthUserFile选项定义中,还需要使用如下语句事先建立认证用户patterson和testuser,该选项中的定义才能生效:

  #htpasswd -c /etc/httpd/passwd_auth rhel5
  #htpasswd /etc/httpd/passwd_auth testuser

linux

内容版权声明:除非注明,否则皆为本站原创文章。

转载注明出处:http://www.heiqu.com/ed35cac19a96654a6e30d7428f7908cc.html