在《企业级Apache服务器安全防护要点剖析(上)》中,我们介绍了两个Apache服务器的安全防护策略,本文将介绍剩下两个策略。 策略三:启用Apache自带安全模块保护 Apache的一个优势便是其灵活的模块结构,其设计思想也是围绕模块(module)概念而展开的。安全模块是Apache Server中的极其重要的组成部分。这些安全模块负责提供Apache server的访问控制和认证,授权等一系列至关重要的安全服务。
Apache下有如下几类与安全相关的模块: mod_access模块能够根据访问者的IP地址(或域名,主机名等)来控制对Apache服务器的访问,称之为基于主机的……
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
在《企业级Apache服务器安全防护要点剖析(上)》中,我们介绍了两个Apache服务器的安全防护策略,本文将介绍剩下两个策略。
策略三:启用Apache自带安全模块保护
Apache的一个优势便是其灵活的模块结构,其设计思想也是围绕模块(module)概念而展开的。安全模块是Apache Server中的极其重要的组成部分。这些安全模块负责提供Apache server的访问控制和认证,授权等一系列至关重要的安全服务。
Apache下有如下几类与安全相关的模块:
- mod_access模块能够根据访问者的IP地址(或域名,主机名等)来控制对Apache服务器的访问,称之为基于主机的访问控制。
- mod_auth模块用来控制用户和组的认证授权(Authentication)。用户名和口令存于纯文本文件中。
- mod_auth_db和mod_auth_dbm模块则分别将用户信息(如名称、组属和口令等)存于Berkeley-DB及DBM型的小型数据库中,便于管理及提高应用效率。
- mod_auth_digest模块则采用MD5数字签名的方式来进行用户的认证,但它相应的需要客户端的支持。
- mod_auth_anon模块的功能和mod_auth的功能类似,只是它允许匿名登录,将用户输入的E-mail地址作为口令。
- mod_ssl被Apache用于支持安全套接字层协议,提供Internet上安全交易服务,如电子商务中的一项安全措施。通过对通信字节流加密来防止敏感信息的泄漏。但是,Apache这种支持是建立在对Apache的API扩展来实现的,相当于一个外部模块,通过与第三方程序(如openssl)的结合提供安全的网上交易支持。
为了能够使用模块功能,模块通常以DSO(Dynamic Shared Object)的方式构建,用户应该在httpd.conf文件中使用LoadModule指令,使得能够在使用前获得模块的功能。下面是主配置文件中各个模块的情况,开启安全模块非常简单,即去掉在各安全模块所在行前的“#”符号即可,如下所示:
LoadModule auth_basic_module modules/mod_auth_basic.so
LoadModule auth_digest_module modules/mod_auth_digest.so
LoadModule authn_file_module modules/mod_authn_file.so
LoadModule authn_alias_module modules/mod_authn_alias.so
。。。。。。
只有将上述安全模块进行开启后,Apache才能实现相应的访问控制和通信加密功能。
策略四:访问控制策略设置
在开启了相应的安全模块后,还需要对Apache的访问控制策略进行设定。
1.认证和授权指令
目前,有两种常见的认证类型,基本认证和摘要认证:
(1)基本认证(Basic):使用最基本的用户名和密码方式进行用户认证。
(2)摘要认证(Digest):该认证方式比基本认证要安全得多,在认证过程中额外使用了一个针对客户端的挑战(challenge)信息,可以有效地避免基本认证方式可能遇到的“重放攻击”。值得注意的是:目前并非所有的浏览器都支持摘要认证方式。
所有的认证配置指令既可以出现在主配置文件httpd.conf中的Directory容器中,也可以出现在单独的.htaccess文件中,这个可以由用户灵活地选择使用。在认证配置过程中,需要用到如下指令选项:
- AuthName:用于定义受保护区域的名称。
- AuthType:用于指定使用的认证方式,包括上面所述的Basic和Digest两种方式。
- AuthGroupFile:用于指定认证组文件的位置。
- AuthUserFile:用户指定认证口令文件的位置。
使用上述的认证指令配置认证后,需要为Apache服务器的访问对象,也就是指定的用户和组进行相应的授权,以便于他们对Apache服务器提供的目录和文件进行访问。为用户和组进行授权需要使用Require指令,主要可以使用以下三种方式进行授权:
- 授权给指定的一个或者多个用户:使用Require user 用户名1 用户名2 …。
- 授权给指定的一个或者多个组:使用Require group 用户名1 用户名2 …。
- 授权给指定口令文件中的所有用户:使用Require valid-user。
2.管理认证口令文件和认证组文件
要实现用户认证功能,首先要建立保存用户名和口令的文件。Apache自带的htpasswd命令提供了建立和更新存储用户名、密码的文本文件的功能。需要注意的是,这个文件必须放在不能被网络访问的位置,以避免被下载和信息泄漏。建议将口令文件放在/etc/httpd/目录或者其子目录下。
下面的例子在/etc/httpd目录下创建一个文件名为passwd_auth的口令文件,并将用户rhel5添加入认证口令文件。使用以下命令建立口令文件(过程中还会提示输入该用户的口令):
# touch passwd_auth
# htpasswd -c /etc/httpd/passwd_auth rhel5
New password:
Re-type new password:
Adding password for user rhel5
命令执行的过程中系统会要求用户为rhel5用户输入密码。上述命令中的-c选项表示无论口令文件是否已经存在,都会重新写入文件并删去原有内容。所以在添加第2个用户到口令文件时,就不需要使用-c选项了,如下命令所示
# htpasswd /etc/httpd/passwd_auth testuser
3.认证和授权使用实例
(1)使用主配置文件配置用户认证及授权
在本例子中,用户可以在Apache的主配置文件httpd.conf中加入以下语句建立对目录/var/www/html/rhel5访问的用户认证和授权机制:
<Directory "/var/www/html/rhel5">
AllowOverride None
AuthType Basic
AuthName "rhel5"
AuthUserFile /etc/httpd/passwd_auth
Require user rhel5 testuser
</Directory>
在上述例子中,使用了如下指令:
- AllowOverride:该选项定义了不使用.htaccess文件。
- AuthType Basic:AuthType选项定义了对用户实施认证的类型,最常用的是由mod_auth提供的Basic。
- AuthName:定义了Web浏览器显示输入用户/密码对话框时的领域内容。
- AuthUserFile:定义了口令文件的路径,即使用htpasswd建立的口令文件。
- Require user:定义了允许哪些用户访问,各用户之间用空格分开。
需要注意的是:在AuthUserFile选项定义中,还需要使用如下语句事先建立认证用户patterson和testuser,该选项中的定义才能生效:
#htpasswd -c /etc/httpd/passwd_auth rhel5
#htpasswd /etc/httpd/passwd_auth testuser
(2)使用.htaccess文件配置用户认证和授权
在本例子中,为了完成如上述例子同样的功能,需要先在主配置文件中加入如下语句:
<Directory “/var/www/html/rhel5”>
AllowOverride AuthConfig
</Directory>
上述语句中的AllowOverride选项允许在.htaccess文件中使用认证和授权指令。
然后,在.htaccess文件中添加如下语句即可:
AuthType Basic
AuthName "Please Login:"
AuthUserFile /etc/httpd/passwd_auth
Require user rhel5 testuser
同理,在AuthUserFile选项定义中,还需要使用如下语句事先建立认证用户patterson和testuser,该选项中的定义才能生效:
#htpasswd -c /etc/httpd/passwd_auth rhel5
#htpasswd /etc/httpd/passwd_auth testuser
相关推荐
-
企业级Apache服务器安全防护要点剖析(上)
Apache一直是世界上使用率排名前三的Web服务器软件。企业使用其构建Web应用,从很大程度上都需要对其安全性进行综合考虑,从而保证企业门户网站的安全。