【IT专家网独家】保障Apache服务器安全涉及到的方面很多,如暴露程度问题,符号连接问题等,今天我们来谈谈维护Apache安全的三剑客。
以非特权用户身份运行Apache
在Apache 2.2.4中,默认的Apache安装将httpd.conf 中的User 和 Group指令设置为daemon(这是一个很好的改变)。在Apache的老版本中,这些值通常并不设置给任何人,如此一来,在某些情况下,这就有极大的安全意义,特别是因为其它的服务也以这个用户的身份运行。根据你的对象不同,可以用nobody账户来运行服务,或者使其拥有文件,无论怎样都不会具体指向谁。因此,请改变之。
一般说来,决定采取这种措施的管理员会在其Apache服务器上创建一个用户和组,名为“Apache”,Apache服务就在这个账户下运行,由这个账户使得与Web站点相关的文件可读。
要作这个改变,请打开http.conf文件,将User和Group指令的内容改变为“Apache”,或者你选择的账户名。
此外,你也许还需要改变Apache目录中文件的许可权限和文件的所有权。
强化操作系统并保持最新
这应该说是老话题了。不过,如果你的操作系统没有恰当地安装并保证安全,或者你未能跟得上操作系统的安全补丁更新的步伐,你的Apache安装有可能通过与Web服务器本身完全不相关的途径遭受安全威胁。因此请保持所有安全补丁和服务的最新。
而且,采取厂商推荐的步骤来强化你的操作系统。在多数情况下,这意味着只为你的系统安装绝对必要的服务,关闭不必要的协议,使用访问控制列表(ACL)来定义哪种通信能够到达系统,以及从哪些系统可以发出通信。
还要确保你的服务器运行反病毒和反间谍软件,并保持这些软件的更新。
除了操作系统,还要保障你的网络拥有防火墙和恰当的入侵检测系统的可靠防护。
保护Apache免受拒绝服务攻击
虽然你不能完全保护自己免受DoS攻击的威胁,Apache为你提供了大量的指令,用户正确地使用它们可以有助于对付这种攻击。下面的表格列示了由Apache有关组织推荐的一些指令:
这些参数的有效设置可有助于防止DoS攻击。
IT专家网原创文章,未经许可,严禁转载!
