- 相關(guān)推薦
Apache服務(wù)器的安全性及實(shí)現(xiàn)辦法
一、Apache 服務(wù)器的功能
ApacheServe的前身是NCSA的httpd,曾經(jīng)在1995年成為最為流行的萬(wàn)維網(wǎng)的服務(wù)器。因?yàn)閺?qiáng)大的功能和靈活的設(shè)置及平臺(tái)移植性,Apache Server取得了廣泛的信賴。Apache Server的主要功能有: 1、支持最新的HTTP1.1協(xié)議(RFC2616)。
2、極強(qiáng)的可配置和可擴(kuò)展性,充分利用第三方?斓墓δ堋
3、提供全部的源代碼和不受限制的使用許可(License)。
4、廣泛應(yīng)用于Windows 2000/NT/9x、Netware 5.x,OS/2 和Unix家族極其他操作系統(tǒng),所支持的平臺(tái)多達(dá)17余種。
5、強(qiáng)大的功能,涵蓋了用戶的需求,包括:認(rèn)證中的DBM數(shù)據(jù)庫(kù)支持;錯(cuò)誤和問(wèn)題的可定制響應(yīng)的目錄導(dǎo)向功能;不受限的靈活的URL別名機(jī)制和重定向功能;虛擬主機(jī)(多宿主主機(jī))支持多個(gè)域主頁(yè)共存一臺(tái)主機(jī);超強(qiáng)的日志文件功能;利用站點(diǎn)的分析;拓展于維護(hù)等等。
正因?yàn)檫@些強(qiáng)大的優(yōu)勢(shì),使Apache Server與其他的Web服務(wù)器相比,充分展示了高效、穩(wěn)定及功能豐富的特點(diǎn)。Apache Server 已用于超過(guò)600萬(wàn)個(gè)Internet站點(diǎn)。
二、Apache 服務(wù)器的安全特性
作為最流行的Web服務(wù)器,Apache Server提供了較好的安全特性,使其能夠應(yīng)對(duì)可能的安全威脅和信息泄漏。
1、采用選擇性訪問(wèn)控制和強(qiáng)制性訪問(wèn)控制的安全策略
從Apache 或Web的角度來(lái)講,選擇性訪問(wèn)控制DAC(Discretionary Access Control)仍是基于用戶名和密碼的,強(qiáng)制性訪問(wèn)控制MAC(Mandatory Access Control)則是依據(jù)發(fā)出請(qǐng)求的客戶端的IP地址或所在的域號(hào)來(lái)進(jìn)行界定的。對(duì)于DAC方式,如輸入錯(cuò)誤,那么用戶還有機(jī)會(huì)更正,從新輸入正確的的密碼;如果用戶通過(guò)不了MAC關(guān)卡,那么用戶將被禁止做進(jìn)一步的操作,除非服務(wù)器作出安全策略調(diào)整,否則用戶的任何努力都將無(wú)濟(jì)于事。
2、Apache 的安全模塊
Apache 的一個(gè)優(yōu)勢(shì)便是其靈活的模塊結(jié)構(gòu),其設(shè)計(jì)思想也是圍繞模塊(Modules)概念而展開(kāi)的。安全模塊是Apache Server中的極其重要的組成部分。這些安全模塊負(fù)責(zé)提供Apache Server的訪問(wèn)控制和認(rèn)證、授權(quán)等一系列至關(guān)重要的安全服務(wù)。
mod_Access模塊能夠根據(jù)訪問(wèn)者的IP地址(或域名,主機(jī)名等)來(lái)控制對(duì)Apache服務(wù)器的訪問(wèn),稱之為基于主機(jī)的訪問(wèn)控制。
mod_auth模塊用來(lái)控制用戶和組的認(rèn)證授權(quán)(Authentication)。用戶名和口令存于純文本文件中。mod_auth_db和mod_auth_dbm模塊則分別將用戶信息(如名稱、組屬和口令等)存于Berkeley-DB及DBM型的小型數(shù)據(jù)庫(kù)中,便于管理及提高應(yīng)用效率。
mod_auth_digest模塊則采用MD5數(shù)字簽名的方式來(lái)進(jìn)行用戶的認(rèn)證,但它相應(yīng)的需要客戶端的支持。
mod_auth_anon模塊的功能和mod_auth的功能類似,只是它允許匿名登錄,將用戶輸入的E-mail地址作為口令。
SSL(Secure Socket Lager),被Apache所支持的安全套接字層協(xié)議,提供Internet上安全交易服務(wù),如電子商務(wù)中的一項(xiàng)安全措施。通過(guò)對(duì)通訊字節(jié)流的加密來(lái)防止敏感信息的泄漏。但是,Apache的這種支持是建立在對(duì)Apache的API擴(kuò)展來(lái)實(shí)現(xiàn)的,相當(dāng)于一個(gè)外部模塊,通過(guò)與第三方程序的結(jié)合提供安全的網(wǎng)上交易支持。
三、Apache服務(wù)器的安全配置
在前面的內(nèi)容中提到過(guò),Apache具有靈活的設(shè)置。所有Apache的安全特性都要經(jīng)過(guò)周密的設(shè)計(jì)與規(guī)劃,進(jìn)行認(rèn)真地配置才能夠?qū)崿F(xiàn)。Apache服務(wù)器的安全配置包括很多層面,有運(yùn)行環(huán)境、認(rèn)證與授權(quán)設(shè)置及建立安全的電子交易鏈接等。
1、Apache的安裝配置和運(yùn)行
。1)以Nobody用戶運(yùn)行一般情況下,Apache是由Root 來(lái)安裝和運(yùn)行的。如果Apache Server進(jìn)程具有Root用戶特權(quán),那么它將給系統(tǒng)的安全構(gòu)成很大的威脅,應(yīng)確保Apache Server進(jìn)程以最可能低的權(quán)限用戶來(lái)運(yùn)行。通過(guò)修改httpd.conf文件中的下列選項(xiàng),以Nobody用戶運(yùn)行Apache 達(dá)到相對(duì)安全的目的。
User nobody
ApacheServe的前身是NCSA的httpd,曾經(jīng)在1995年成為最為流行的萬(wàn)維網(wǎng)的服務(wù)器。因?yàn)閺?qiáng)大的功能和靈活的設(shè)置及平臺(tái)移植性,Apache Server取得了廣泛的信賴。Apache Server的主要功能有: 1、支持最新的HTTP1.1協(xié)議(RFC2616)。
2、極強(qiáng)的可配置和可擴(kuò)展性,充分利用第三方?斓墓δ堋
3、提供全部的源代碼和不受限制的使用許可(License)。
4、廣泛應(yīng)用于Windows 2000/NT/9x、Netware 5.x,OS/2 和Unix家族極其他操作系統(tǒng),所支持的平臺(tái)多達(dá)17余種。
5、強(qiáng)大的功能,涵蓋了用戶的需求,包括:認(rèn)證中的DBM數(shù)據(jù)庫(kù)支持;錯(cuò)誤和問(wèn)題的可定制響應(yīng)的目錄導(dǎo)向功能;不受限的靈活的URL別名機(jī)制和重定向功能;虛擬主機(jī)(多宿主主機(jī))支持多個(gè)域主頁(yè)共存一臺(tái)主機(jī);超強(qiáng)的日志文件功能;利用站點(diǎn)的分析;拓展于維護(hù)等等。
正因?yàn)檫@些強(qiáng)大的優(yōu)勢(shì),使Apache Server與其他的Web服務(wù)器相比,充分展示了高效、穩(wěn)定及功能豐富的特點(diǎn)。Apache Server 已用于超過(guò)600萬(wàn)個(gè)Internet站點(diǎn)。
二、Apache 服務(wù)器的安全特性
作為最流行的Web服務(wù)器,Apache Server提供了較好的安全特性,使其能夠應(yīng)對(duì)可能的安全威脅和信息泄漏。
1、采用選擇性訪問(wèn)控制和強(qiáng)制性訪問(wèn)控制的安全策略
從Apache 或Web的角度來(lái)講,選擇性訪問(wèn)控制DAC(Discretionary Access Control)仍是基于用戶名和密碼的,強(qiáng)制性訪問(wèn)控制MAC(Mandatory Access Control)則是依據(jù)發(fā)出請(qǐng)求的客戶端的IP地址或所在的域號(hào)來(lái)進(jìn)行界定的。對(duì)于DAC方式,如輸入錯(cuò)誤,那么用戶還有機(jī)會(huì)更正,從新輸入正確的的密碼;如果用戶通過(guò)不了MAC關(guān)卡,那么用戶將被禁止做進(jìn)一步的操作,除非服務(wù)器作出安全策略調(diào)整,否則用戶的任何努力都將無(wú)濟(jì)于事。
2、Apache 的安全模塊
Apache 的一個(gè)優(yōu)勢(shì)便是其靈活的模塊結(jié)構(gòu),其設(shè)計(jì)思想也是圍繞模塊(Modules)概念而展開(kāi)的。安全模塊是Apache Server中的極其重要的組成部分。這些安全模塊負(fù)責(zé)提供Apache Server的訪問(wèn)控制和認(rèn)證、授權(quán)等一系列至關(guān)重要的安全服務(wù)。
mod_Access模塊能夠根據(jù)訪問(wèn)者的IP地址(或域名,主機(jī)名等)來(lái)控制對(duì)Apache服務(wù)器的訪問(wèn),稱之為基于主機(jī)的訪問(wèn)控制。
mod_auth模塊用來(lái)控制用戶和組的認(rèn)證授權(quán)(Authentication)。用戶名和口令存于純文本文件中。mod_auth_db和mod_auth_dbm模塊則分別將用戶信息(如名稱、組屬和口令等)存于Berkeley-DB及DBM型的小型數(shù)據(jù)庫(kù)中,便于管理及提高應(yīng)用效率。
mod_auth_digest模塊則采用MD5數(shù)字簽名的方式來(lái)進(jìn)行用戶的認(rèn)證,但它相應(yīng)的需要客戶端的支持。
mod_auth_anon模塊的功能和mod_auth的功能類似,只是它允許匿名登錄,將用戶輸入的E-mail地址作為口令。
SSL(Secure Socket Lager),被Apache所支持的安全套接字層協(xié)議,提供Internet上安全交易服務(wù),如電子商務(wù)中的一項(xiàng)安全措施。通過(guò)對(duì)通訊字節(jié)流的加密來(lái)防止敏感信息的泄漏。但是,Apache的這種支持是建立在對(duì)Apache的API擴(kuò)展來(lái)實(shí)現(xiàn)的,相當(dāng)于一個(gè)外部模塊,通過(guò)與第三方程序的結(jié)合提供安全的網(wǎng)上交易支持。
三、Apache服務(wù)器的安全配置
在前面的內(nèi)容中提到過(guò),Apache具有靈活的設(shè)置。所有Apache的安全特性都要經(jīng)過(guò)周密的設(shè)計(jì)與規(guī)劃,進(jìn)行認(rèn)真地配置才能夠?qū)崿F(xiàn)。Apache服務(wù)器的安全配置包括很多層面,有運(yùn)行環(huán)境、認(rèn)證與授權(quán)設(shè)置及建立安全的電子交易鏈接等。
1、Apache的安裝配置和運(yùn)行
。1)以Nobody用戶運(yùn)行一般情況下,Apache是由Root 來(lái)安裝和運(yùn)行的。如果Apache Server進(jìn)程具有Root用戶特權(quán),那么它將給系統(tǒng)的安全構(gòu)成很大的威脅,應(yīng)確保Apache Server進(jìn)程以最可能低的權(quán)限用戶來(lái)運(yùn)行。通過(guò)修改httpd.conf文件中的下列選項(xiàng),以Nobody用戶運(yùn)行Apache 達(dá)到相對(duì)安全的目的。
User nobody
【Apache服務(wù)器的安全性及實(shí)現(xiàn)辦法】相關(guān)文章:
實(shí)現(xiàn)愿望作文07-03
理想的實(shí)現(xiàn)作文07-04
服務(wù)器采購(gòu)合同03-27
奮斗實(shí)現(xiàn)夢(mèng)想的句子01-25
實(shí)現(xiàn)高效課堂的策略08-17
走進(jìn)太空,實(shí)現(xiàn)夢(mèng)想08-24
關(guān)于實(shí)現(xiàn)夢(mèng)想的作文08-24
實(shí)現(xiàn)理想作文02-22