家電維修班,手機(jī)維修班,電腦維修班,電工班,焊工班,液晶電視維修班,電動工具維修班、電動車摩托車維修班、網(wǎng)絡(luò)營銷培訓(xùn)、網(wǎng)站設(shè)計(jì)培訓(xùn)、淘寶培訓(xùn)---全國招生 家電維修班,手機(jī)維修班,電腦維修班,電工班,焊工班,液晶電視維修班,電動工具維修班、電動車摩托車維修班、網(wǎng)絡(luò)營銷培訓(xùn)、網(wǎng)站設(shè)計(jì)培訓(xùn)、淘寶培訓(xùn)---全國招生

中日欧洲精品视频在线-中日韩在线观看-中日韩一区二区三区-中日韩精品视频在线观看-狂野欧美老黑粗又硬-狂野猛交xxxx吃奶

您的位置:網(wǎng)站首頁 > 電器維修資料網(wǎng) > 正文 >

為Apache Web服務(wù)器安全保駕護(hù)航

★★★★★【文章導(dǎo)讀】:為Apache Web服務(wù)器安全保駕護(hù)航具體內(nèi)容是:怎樣在Linux、APAChe和PHP服務(wù)器端的安全性、生產(chǎn)力和易用性三者之間求得平衡。 好的解決辦法取決于項(xiàng)目的具體需求,下面是為LAMP服務(wù)器保駕護(hù)航的一些 佳實(shí)踐,涵蓋服務(wù)器配置到PHP設(shè)置微調(diào)的諸多方面。為Web服務(wù)…

來源: 日期:2013-11-23 22:18:09 人氣:標(biāo)簽:

為Apache Web服務(wù)器安全保駕護(hù)航

    怎樣在 Linux、APAChe和PHP服務(wù)器端的安全性、生產(chǎn)力和易用性三者之間求得平衡。 好的解決辦法取決于項(xiàng)目的具體需求,下面是為LAMP服務(wù)器保駕護(hù)航的一些 佳實(shí)踐,涵蓋服務(wù)器配置到PHP設(shè)置微調(diào)的諸多方面。
    為Web服務(wù)器保駕護(hù)航的任務(wù)應(yīng)從加固Linux操作系統(tǒng)入手。加固Linux這個話題本身就可以寫整整一篇文章,但是某些概念在提供Web內(nèi)容方面顯得特別重要:
◆Linux內(nèi)核加固。內(nèi)核是 經(jīng)常被攻擊者盯上的目標(biāo)。要提升用戶的權(quán)限,對內(nèi)核獲得訪問權(quán)是 容易的方法。視操作系統(tǒng)而定,Apache在默認(rèn)情況下以有限用戶nobody(在CentOS等基于紅帽的發(fā)行版上)或www-data用戶(在基于的bian的發(fā)行版上,包括Ubuntu)來運(yùn)行。每個攻擊者企圖突破有限用戶的身份,利用內(nèi)核存在的某個漏洞來獲得訪問root的權(quán)限。用grsecurity給內(nèi)核打上補(bǔ)丁可以確保,你處于被保護(hù)狀態(tài),甚至可以防范零日漏洞。此外,KsplICe可以確保你及時打上了所有的內(nèi)核更新版, 大限度地減小安全風(fēng)險。
◆強(qiáng)制性訪問控制(MAC)。在正常的Web服務(wù)器部署環(huán)境下,普通用戶不需要訪問編譯器(gCC)、系統(tǒng)配置文件或者像find這樣的實(shí)用工具。基于紅帽的發(fā)行版可以使用名為SELinux的MAC策略軟件;Ubuntu管理員可以使用類似的AppArmor。盡管這些MAC工具的功能特性各不一樣,但它們都能幫你限制攻擊者的破壞行動。說到不利因素,配置不當(dāng)?shù)腗AC工具會削弱Web服務(wù)器的功能。這就是為什么所有MAC工具都有非執(zhí)行模式,那樣你就可以跟蹤誤報,并且針對你的特定環(huán)境來重新配置工具。不過,要是你覺得MAC工具太過復(fù)雜,只要將一些可執(zhí)行文件的權(quán)限改成700,只允許root可以使用它們。
◆防火墻。你必須限制入站流量和出站流量,那樣才能防止惡意連接進(jìn)出服務(wù)器。對于各種類型的服務(wù)器來說,保護(hù)入站流量的安全是一種常見做法。然而對于Web服務(wù)器來說,限制出站連接以便限制惡意腳本在本地執(zhí)行所帶來的影響,這一點(diǎn)特別重要。為此, 可靠的辦法就是將默認(rèn)iptables鏈的策略設(shè)置成DROP。此外,你明確允許所需的入站連接和出站連接。不過在限制出站流量時一定要小心,因?yàn)樵S多Web腳本需要外部資源(RSS和外部應(yīng)用編程接口)。如果你覺得iptables防火墻工具用起來不習(xí)慣,可以使用腳本來幫助生成和維護(hù)必要的規(guī)則,比如Shorewall和Firestarter。
Apache 佳安全實(shí)踐
    一旦你確保了Linux操作系統(tǒng)的安全,就可以開始處理Apache Web服務(wù)器的安全問題了。下列指示專門針對Apache,但可能也適用于其他Web服務(wù)器,比如LiteSpeed和nginx。它們之間的差異常常就體現(xiàn)在模塊名稱或者配置指令上。
要加固Apache,就要完成這些步驟:
◆安裝mod_security,這個Apache模塊起到了應(yīng)用防火墻的作用。它可以過濾Web請求的所有部分,并終結(jié)惡意代碼。它在Web服務(wù)器進(jìn)行任何實(shí)際處理之前發(fā)揮作用,因而與Web應(yīng)用程序無關(guān)。Mod_security適用于過濾從SQL注入到XSS攻擊的任何惡意流量。它也是保護(hù)易受攻擊的Web應(yīng)用程序的 快速、 容易的方法。該軟件有眾多隨時可以使用的規(guī)則,但你也很容易自行編寫規(guī)則。比如設(shè)想一下:你有一個過時的Joomla版本,擔(dān)心會遭到SQL注入攻擊。這個簡單規(guī)則可以過濾含有jos_ (Joomla表的默認(rèn)前綴): SecFiLTEr "jos_"的任何POST和GET內(nèi)容。計(jì)算機(jī)
◆安裝mod_evasive,這是另一個重要的Apache模塊,可以保護(hù)Web應(yīng)用程序遠(yuǎn)離拒絕服務(wù)(DOS)請求。它的效果受制于這個現(xiàn)實(shí):它是在應(yīng)用程序?qū)用婀ぷ鞯模@意味著Apache無論如何都接受連接,因而耗用帶寬和系統(tǒng)資源。不過,如果是源自少量遠(yuǎn)程主機(jī)的比較弱的DOS攻擊,該模塊能有所幫助。一旦mod_evasive裝入,你需要這樣來配置它:
  DOSPageCount 2    DOSSiteCount 30    DOSBLOCkingPeriod 120 這指示服務(wù)器阻止(默認(rèn)情況下返回HTTP error 403 Forbid的n)兩次訪問同一頁面,或者在一秒內(nèi)(默認(rèn)的時間間隔)共有30次請求的任何主機(jī)。入侵者會在外面被阻擋120秒。
◆過濾訪客的IP地址。這可能被認(rèn)為是很極端的措施,但結(jié)果很好。首先,考慮安裝mod_httpbl,這是用Apache實(shí)現(xiàn)的Project Honeypot。一旦該模塊安裝并被啟用,它可以阻止有惡意活動"前科"的IP地址。另一個辦法是使用mod_geoip,它可以用來允許只有來自某些國家的訪客才可以訪問接受留言、注冊和登錄信息等輸入內(nèi)容的頁面。它甚至可以阻止和允許來自某些國家的服務(wù)器端訪客。
    其他推薦的Apache選項(xiàng)包括將Timeout(超時)選項(xiàng)設(shè)置得低些,比如15秒。這縮短了Web服務(wù)器等待某些事件的時間,從而限制了DOS攻擊的影響。值得進(jìn)一步閱讀的是官方的Apache說明文檔及安全提示。
PHP安全
    PHP是開源領(lǐng)域 流行的服務(wù)器端語言。PHP是服務(wù)器端,這意味著你需要通過某些指令,比如memory_limit、execution_timeout和dISAble_functions,對它訪問服務(wù)器資源設(shè)置明確的規(guī)則和限制。然而,PHP配置指令可以在各個地方來定義和重新定義,這里作了解釋。你在全局范圍執(zhí)行這些規(guī)則時,確保已清楚它們的范圍。
    如果你安裝了 新版本的PHP,又使用默認(rèn)設(shè)置,你的環(huán)境已經(jīng)符合還算可以的安全標(biāo)準(zhǔn)。危險的選項(xiàng)在默認(rèn)情況下已被禁用,比如register_globals和allow_url_inclu的。不過,光這還不夠。要考慮調(diào)整的 重要的選項(xiàng)之一是disable_functions;顧名思義,它的作用就是禁用PHP函數(shù)。下面這個示例演示了如何防止危險的外殼代碼執(zhí)行:                            disable_functions=exec,passthru,shell_exec,system,proc_open,popen 之前為PHP引入額外的安全機(jī)制方面有過許多嘗試,無論從開發(fā)小組里面還是從外面來進(jìn)行嘗試。一個不成功的嘗試就是PHP的安全模式(Safe Mo的 ),其主要想法是根據(jù)文件的所有者來限制文件的訪問權(quán)。結(jié)果證明,這項(xiàng)功能設(shè)計(jì)不正確,自PHP 5.3以后就被廢棄了。不過,一個名為Suhosin的外部安全項(xiàng)目證明了其價值。它與PHP一起捆綁在基于的bian的流行發(fā)行版中。
    Suhosin有兩種安裝方法。一種是在PHP實(shí)際編譯之前給原始的PHP源代碼打上補(bǔ)丁。建議采用這種方法,因?yàn)樗沟肧uhosin成為PHP的一個必要組成部分,讓Suhosin可以通過其引擎保護(hù)功能來保護(hù)PHP核心。第二種方法比較容易,就是把它作為普通的PHP擴(kuò)展來添加。Suhosin的豐富功能適用于許多安全方面,比如會議安全數(shù)據(jù)加密、請求有效載荷限制,甚至還有SQL注入預(yù)防這項(xiàng)試驗(yàn)性功能。
    默認(rèn)情況下,PHP作為Apache模塊在Apache用戶下運(yùn)行,這確保了性能 佳、 符合應(yīng)用程序的需求。然而,如果網(wǎng)站有不止一個虛擬主機(jī)(vhost),它可能會帶來嚴(yán)重的安全問題,如果虛擬主機(jī)屬于不同的用戶,那就更危險了。在這種情況下,來自一個虛擬主機(jī)的腳本也許能讀取、寫入和執(zhí)行來自其他虛擬主機(jī)的腳本,這危及了安全,更不用說危及隱私了。
為了緩解這個問題,你可以使用另一個Apache模塊:mod_suphp,該模塊允許PHP腳本在預(yù)先定義的用戶下運(yùn)行。這種模塊對于共享的主機(jī)托管服務(wù)器來說必不可少。如果使用mod_suphp,來自某個虛擬主機(jī)的腳本甚至無法讀取來自其他虛擬主機(jī)的文件,更不用說寫入了。禁止讀取外來虛擬主機(jī)的文件對于配置文件來說極其重要,這就是為什么這類文件必須要有600個文件的許可權(quán)。要是不這么設(shè)置,你的數(shù)據(jù)庫詳細(xì)資料很容易被發(fā)現(xiàn),而這是你 不想遇到的麻煩。
    在mod_suphp的配置文件(默認(rèn)情況下是/etc/suphp.conf)中,你可以使用allow_file_group_writeable、 allow_file_others_writeable、allow_directory_group_writeable和allow_directory_others_writeable等選項(xiàng),執(zhí)行全局安全文件的許可策略。在正常情況下,它們都應(yīng)該被定義為false。執(zhí)行不遵守這些限制的腳本會得出HTTP Error 500 Internal server error(HTTP錯誤:500,服務(wù)器內(nèi)部錯誤)。
一般建議
為Web服務(wù)器保駕護(hù)航時,還要考慮下列措施:
◆把同一臺服務(wù)器上的不同Web應(yīng)用程序分隔到不同的虛擬主機(jī)上,讓它們在不同的用戶下運(yùn)行。
◆傳輸密碼或信用卡信息等敏感信息時,安裝SSL。你可以用免費(fèi)、自己生成的非商業(yè)證書來保護(hù)管理面板。
◆不要單單依賴一種方法來限制管理員訪問。數(shù)量眾多的互聯(lián)網(wǎng)漏洞避開了管理員登錄要求。只要限制遠(yuǎn)程IP地址對管理員區(qū)域的訪問,并且更改默認(rèn)的管理員URL或端口,就可以限制這類威脅。
◆定期對服務(wù)器執(zhí)行安全審查工作。
◆訂閱關(guān)于你已部署的Web服務(wù)和應(yīng)用程序的安全新聞組。
    所以上述信息充當(dāng)了確保Web服務(wù)器安全的路線圖。做好這項(xiàng)工作需要投入大量的時間和精力。如果你沒有準(zhǔn)備好投入這樣的時間, 好還是使用共享的主機(jī)托管服務(wù)器或完全托管的服務(wù)器。
總結(jié)
    上面的這些重點(diǎn)就是很詳細(xì)的給我們講解了關(guān)于Web服務(wù)器的維護(hù)并非易事,但是還是需要大家注意的這上面的一些問題的。
【看看這篇文章在百度的收錄情況】

聯(lián)系方式

  • 0731-85579057 , 0731-85569651
  • 點(diǎn)擊這里給我發(fā)消息點(diǎn)擊這里給我發(fā)消息點(diǎn)擊這里給我發(fā)消息
網(wǎng)站欄目導(dǎo)航: 培訓(xùn)課程 手機(jī)硬件 手機(jī)軟件 綜合維修 學(xué)校資訊 考證指南 就業(yè)導(dǎo)航 招生指南 教學(xué)管理 入學(xué)須知 學(xué)校圖片 教學(xué)大綱 師資力量 學(xué)生感言 學(xué)校概況 教學(xué)實(shí)景 手機(jī)維修培訓(xùn)資訊 電腦維修培訓(xùn) 維修間故事 手機(jī)維修培訓(xùn) 液晶電視維修培訓(xùn) 家電維修資料網(wǎng) 電器維修資料網(wǎng) 招生地區(qū) 刷機(jī)教程 家電維修 手機(jī)技巧 老版網(wǎng)站 招生平臺網(wǎng)絡(luò)工程
友情鏈接: 監(jiān)控安裝培訓(xùn) 電動工具維修 家電維修學(xué)校 電工培訓(xùn)學(xué)校 液晶電視維修 焊工培訓(xùn)學(xué)校 電工焊工學(xué)校 電腦維修學(xué)校 家電維修培訓(xùn) 電腦維修培訓(xùn) 家裝電工培訓(xùn)網(wǎng)絡(luò)安裝維護(hù) 主板維修 液晶顯示器 筆記本電腦維修 電腦組裝維護(hù) 電腦硬件維修 電腦維修 電工考證 電工證 裝修電工 水電工 維修電工 電工 焊接技術(shù) 電焊工 焊工 電動設(shè)備維修 電動工具維修 制冷維修 空調(diào)維修 冰箱維修  更多>>
陽光-手機(jī)維修教育品牌學(xué)校
點(diǎn)擊這里給我發(fā)消息 點(diǎn)擊這里給我發(fā)消息 點(diǎn)擊這里給我發(fā)消息
電工培訓(xùn)學(xué)校 電動車維修學(xué)校 摩托車維修學(xué)校 摩托車維修培訓(xùn) 手機(jī)維修培訓(xùn) 家電維修培訓(xùn) 電腦維修培訓(xùn) 電動工具維修培訓(xùn) 液晶電視維修培訓(xùn) 安防監(jiān)控培訓(xùn) 空調(diào)維修培訓(xùn) 網(wǎng)絡(luò)營銷培訓(xùn) 網(wǎng)站設(shè)計(jì)培訓(xùn) 淘寶網(wǎng)店培訓(xùn) 電器維修培訓(xùn) 家電維修學(xué)校 電工培訓(xùn) 焊工培訓(xùn) 電工學(xué)校 電工培訓(xùn)學(xué)校 電動車維修學(xué)校 摩托車維修學(xué)校 摩托車維修培訓(xùn) 手機(jī)維修培訓(xùn) 家電維修培訓(xùn) 電腦維修培訓(xùn) 電動工具維修培訓(xùn) 液晶電視維修培訓(xùn) 安防監(jiān)控培訓(xùn) 空調(diào)維修培訓(xùn) 網(wǎng)絡(luò)營銷培訓(xùn) 網(wǎng)站設(shè)計(jì)培訓(xùn) 淘寶網(wǎng)店培訓(xùn) 電器維修培訓(xùn) 家電維修學(xué)校 電工培訓(xùn) 焊工培訓(xùn) 電工學(xué)校 電工培訓(xùn)學(xué)校 電動車維修學(xué)校 摩托車維修學(xué)校 摩托車維修培訓(xùn) 手機(jī)維修培訓(xùn) 家電維修培訓(xùn) 電腦維修培訓(xùn) 電動工具維修培訓(xùn) 液晶電視維修培訓(xùn) 安防監(jiān)控培訓(xùn) 空調(diào)維修培訓(xùn) 網(wǎng)絡(luò)營銷培訓(xùn) 網(wǎng)站設(shè)計(jì)培訓(xùn) 淘寶網(wǎng)店培訓(xùn) 電器維修培訓(xùn) 家電維修學(xué)校 電工培訓(xùn) 焊工培訓(xùn) 電工學(xué)校 電工培訓(xùn)學(xué)校 電動車維修學(xué)校 摩托車維修學(xué)校 摩托車維修培訓(xùn) 手機(jī)維修培訓(xùn) 家電維修培訓(xùn) 電腦維修培訓(xùn) 電動工具維修培訓(xùn) 液晶電視維修培訓(xùn) 安防監(jiān)控培訓(xùn) 空調(diào)維修培訓(xùn) 網(wǎng)絡(luò)營銷培訓(xùn) 網(wǎng)站設(shè)計(jì)培訓(xùn) 淘寶網(wǎng)店培訓(xùn) 電器維修培訓(xùn) 家電維修學(xué)校 電工培訓(xùn) 焊工培訓(xùn) 電工學(xué)校
中山市,固原市,銀川市,玉樹,海東,隴南市,酒泉市,張掖市,天水市,金昌市,蘭州市,榆林市,延安市,渭南市,銅川市,阿里,山南,拉薩市,怒江,文山州,楚雄州,普洱市,昭通市,玉溪市,昆明市,畢節(jié),銅仁,遵義市,貴陽市,甘孜州,資陽市,達(dá)州市,宜賓市,南充市,遂寧市,綿陽市,瀘州市,自貢市,三亞市,崇左市,河池市,玉林市,欽州市,梧州市,柳州市,梅州市,肇慶市,湛江市,佛山市,珠海市,韶關(guān)市,湘西州,懷化市,郴州市,張家界市,邵陽市,株洲市,仙桃市,隨州市,荊州市,荊門市,襄樊市,黃石市,駐馬店市,信陽市,南陽市,漯河市,中衛(wèi)市,石嘴山市,海西,海南藏州,黃南州,海北,甘南,慶陽市,平?jīng)鍪?武威市,白銀市,嘉峪關(guān)市,安康市,漢中市,咸陽市,寶雞市,林芝,日喀則,昌都,迪慶,德宏,大理,西雙版納,紅河州,臨滄市,麗江市,保山市,曲靖市,黔東州,黔西州,安順市,六盤水市,涼山州,阿壩州,雅安市,廣安市,眉山市,內(nèi)江市,廣元市,德陽市,攀枝花市,成都市,海口市,來賓市,百色市,貴港市,北海市,桂林市,南寧市,云浮市,揭陽市,潮州市,清遠(yuǎn)市,陽江市,汕尾市,惠州市,茂名市,江門市,汕頭市,深圳市,廣州市,婁底市,永州市,益陽市,岳陽市,湘潭市,長沙市,恩施州,黃岡市,孝感市,鄂州市,十堰市,武漢市,周口市,商丘市,三門峽市,許昌市,焦作市,安陽市,鶴壁市,平頂山市,開封市,鄭州市,聊城市,濱州市,德州市,萊蕪市,日照市,泰安市,煙臺市,濰坊市,東營市,淄博市,上饒市,濟(jì)南市,撫州市,宜春市,贛州市,新余市,九江市,景德鎮(zhèn)市,寧德市,南平市,泉州市,莆田市,廈門市,宣城市,亳州市,六安市,宿州市,黃山市,滁州市,安慶市,淮北市,馬鞍山市,蚌埠市,蕪湖市,合肥市,麗水市,舟山市,衢州市,金華市,湖州市,嘉興市,寧波市,宿遷市,鎮(zhèn)江市,鹽城市,連云港市,蘇州市,徐州市,南京市,綏化市,牡丹江市,佳木斯市,大慶市,鶴崗市,哈爾濱市,白城市,白山市,遼源市,吉林市,葫蘆島市,鐵嶺市,盤錦市,阜新市,錦州市,本溪市,鞍山市,沈陽市,錫林郭勒盟,通遼市,烏海市,呂梁市,忻州市,晉中市,晉城市,陽泉市,太原市,廊坊市,承德市,保定市,邯鄲市,唐山市,寧夏,甘肅省,西藏,貴州省,重慶市,廣西,湖南省,河南省,江西省,安徽省,江蘇省,黑龍江省,遼寧省,山西省,天津市,四平市,內(nèi)蒙古,吳忠市,果洛,西寧市,定西市,商洛市,西安市,那曲,黔南州,巴中市,樂山市,賀州市,防城港市,東莞市,河源市,常德市,衡陽市,咸寧市,宜昌市,濮陽市,新鄉(xiāng)市,洛陽市,菏澤市,臨沂市,威海市,濟(jì)寧市,棗莊市,青島市,吉安市,鷹潭市,萍鄉(xiāng)市,南昌市,龍巖市,漳州市,三明市,福州市,池州市,巢湖市,阜陽市,銅陵市,淮南市,臺州市,紹興市,溫州市,杭州市,泰州市,揚(yáng)州市,淮安市,南通市,常州市,無錫市,大興安嶺,黑河市,七臺河市,伊春市,雙鴨山市,雞西市,齊齊哈爾市,延邊,松原市,通化市,長春市,朝陽市,遼陽市,營口市,丹東市,撫順市,大連市,阿拉善盟,興安盟,烏蘭察布市,巴彥淖爾市,呼倫貝爾市,鄂爾多斯市,赤峰市,包頭市,呼和浩特市,臨汾市,運(yùn)城市,朔州市,長治市,大同市,衡水市,滄州市,張家口市,邢臺市,秦皇島市,石家莊市,青海省,陜西省,云南省,四川省,海南省,廣東省,湖北省,山東省,福建省,浙江省,上海市,吉林省,河北省,北京市 主站蜘蛛池模板: 特级黑人三人共一女| 国产亚洲精品久久综合阿香蕉| 奇米色偷偷| 国产在线观看免费观看不卡| 99久久热视频只有精品| 亚洲AV国产福利精品在现观看| 欧美91精品久久久久网免费| 国产午夜免费视频片夜色| WRITEAS塞红酒瓶| 在线观看99| 午夜想想爱午夜剧场| 欧美巨大xxxx做受高清| 久久超碰国产精品最新| 国产AV亚洲精品久久久久软件| 97超碰97资源在线观看| 野花日本免费完整版高清版动漫| 三级视频黄色| 欧美性受xxxx狂喷水| 老司机亚洲精品影院| 果冻传媒免费观看| 国产高清在线观看视频| 纯肉高H啪短文合集| av影音先锋天堂网| 69精品人妻一区二区三区蜜桃| 亚洲午夜性春猛交XXXX| 亚洲国产成人精品无码区5566| 日韩欧美群交P内射捆绑| 欧美日韩在线亚洲一| 美女搜查官被高难度黑人在线播放| 精品高清国产a毛片| 国内精品不卡一区二区三区| 国产成人精品视频频| 成年女人免费播放影院| www.99在线| WRITEAS检查身体| 扒开老师大腿猛进AAA片软件| 99国产在线视频| 99久久99久久精品| ASIAN大陆明星裸休合成PICS| 97视频免费在线| a在线视频免费观看|