ApacheサーバはApacheウェブサーバ優れた性能と市場シェアの分野で反射する、ちょうどそこに、そこにUNIX / Linuxの行きます
このような環境のインターネット今日の下では、Webサービスは、ビジネス企業のために不可欠となっている、セキュリティ上の問題のほとんどは、Web攻撃、多くのWeb、貴重な顧客サービスと電子商取引に移行した攻撃の焦点から従います一緒に活動し、これは、悪意のある攻撃を誘致する重要な理由です。
最初にウェブが直面するセキュリティ上のリスクを理解します
サービス攻撃のHTTPの拒否
サーバのHTTPを作るためにいくつかの手段で攻撃者がApacheのシステム·リソース(カップ時間とメモリ)が、最終的にシステムが遅くなったり、Apacheサーバの最大の欠点は、その普遍性のmake完全に麻痺していても引き起こし、巨大な増加を要求することができている、答えることを拒否しましたそれは共通の知識、Apacheサーバのすべての時間は、DoS攻撃の脅威の対象とならないとなった、いくつかの低いがあります
1.データパケットフラッディング攻撃
サーバまたはローカルネットワークを遮断する方法は、通常、インターネット制御メッセージプロトコル(ICMP、ネットワーク層プロトコルの一部)を使用する、パケットフラッディング攻撃であります
UDPパケットまたはパッケージは、その最も単純な形で、これらの攻撃は、攻撃者のネットワークの速度は、ターゲットホストのネットワーク速度より速くなければならないことを意味し、サーバやネットワーク負荷を作っている、UDPパケットを使用する利点はありません(17 TCPよりも効率的倍UDP)、およびICMPパケットを使用することの利点は、攻撃者がより豊かで変化に攻撃することを可能にする任意のパケットがコンピュータハッカーに戻され、欠陥のあるパッケージ意志の混乱を送信し、被害者をロックネットワーク、人気の傾向があることを信じるようにサーバーを偽装する攻撃者は、自分自身からの洪水の対象であります
2.ディスクアタック
この不道徳な攻撃で、それはコンピュータ通信に影響を与えるだけでなく、ハードウェアに損傷を与えるだけでなく、ユーザーが許容限度を超える偽造注文書のターゲットコンピュータのハードドライブの使用を要求し、閉鎖を余儀なくさ、結果は悲劇的です
3.ルートが到達不能です
DoS攻撃は、通常、ルータに集中している攻撃者は、ルーティングテーブルのエントリを変更できる場合、攻撃者はまず、制御を取得し、ターゲットマシンを操作することになるネットワーク全体が通信できない原因となりますネットワーク管理者が必要とするので、このような攻撃は、隠された、非常に狡猾なです詳細な理由の解像度を必要とするそのうちのいくつか多くの理由を排除するのは無理ネットワーク
サービス攻撃の分散型拒否
最も脅かしているDDoS攻撃は、名前は理解しやすいですが、それは単に欧州における基であり、単一のサーバは、あなたが傷されることがあります同時に、クライアントの多くは、Apacheサーバが攻撃に特に脆弱であり、DDoS攻撃か攻撃の発信元を隠しますApacheは、特に多くのホストに潜んでいるのApache特別に構築されたウイルス(選択SSLワーム)のために、どこにでもあるので、攻撃者が特定のターゲット広大なDDoS攻撃を起動するために、ウイルス感染したマシンで多くを操作することができ、ワームは、通常、大規模なサイトに配置されているような攻撃を防止するために、あなたがサービスを提供していない場合を除き、大規模な攻撃は、ポイントツーポイントを行うことができ、多数のホストによってそれ以外の場合は、ほとんど不可能に広がります。
バッファオーバーフロー、このような攻撃は、攻撃者が使用してCGIプログラミングの欠陥プログラムは通常のプロセスから逸脱し、共通している、プログラムが静的なメモリ割り当てを使用して、攻撃者は、例えば、バッファをオーバーランするためのperlの一部を長いリクエストを送信することができますユーザーの要求を処理するゲートウェイのスクリプトが、バッファ·オーバーフローは、攻撃者が悪質な命令を実行することができます
root権限への不正アクセス
Apacheがrootとして実行されている場合は、システムの欠陥やバッファオーバーフローの脆弱性に関するいくつかのプログラムのロジックは、攻撃者が簡単にローカルシステム上でLinuxサーバの管理者権限を取得し、いくつかのリモートのケースでは、攻撃者はへのいくつかを使用しますrootとして不良システムデーモンは、root権限を取得する、または欠陥のサービスプロセスの脆弱性を使用すると、リモートログインに通常のユーザー権限を取得するために、その後、システム全体を制御します。
これらは、ここでサービス攻撃されたセキュアなApacheサーバーを作成する方法を、以下に、発生します
あなたは、以下の推奨事項を遵守することができる場合は、比較的安全なApacheサーバを取得します
:接地パッチ
あなたは、これが最も有用なツールであると信じなければならない、バッファオーバーフローや他の脆弱性などの手段が防御するために使用されている必要があり、勤勉はあなたに害を信じていません
両方書かれた上www.apache.org最新の変更ログ:バグ修正、単語のセキュリティバグ修正、および責任ある管理者として常に懸念関連べき脆弱性、システムをアップグレードするための時間をパッチは、http。セキュリティの最新バージョンを使用すると、Apacheを強化することが不可欠です
2:アパッチの非表示と迷彩バージョン
攻撃者に迷惑をかけるために攻撃者のステップを破壊するには、管理者であると考えられて見てみたいです。与えるときに脆弱性、ソフトウェアの情報とバージョンが関連している、あなたの情報を収集するためのインサービスソフトウェア攻撃者は、混乱して、攻撃者にそれほど重要では良い選択ではなく、に言及し、バージョン番号、およびGPS測位であります
デフォルトでは、システムは、モジュールのバージョンは(HTTPリターンヘッド)が表示されているのapacheます、ディレクトリに記載されている場合は、Apacheのバージョン番号を削除するには、ドメイン情報(テキストファイルリスト)が表示され、設定ファイルを変更キーを探し、に変更することです以下
オフServerSignature
ServerTokensのPROD
Webサーバーのタイプを分析することにより、オペレーティング·システムのタイプは、一般的に、IIS、LinuxのユニバーサルApacheを使用して勝つ、と推測することができ、ディレクトリをブラウズし、そこには情報保護機構がなく、ディレクトリの参照を許可するデフォルトのApacheの設定は、通常は類似の「Apache / 1.37サーバを得ることができますapache.linuxforum.netポート80で」または「apacheの/ 2.0.49(UNIX)PHP / 4.3.8」情報
設定ファイルServerTokensパラメータを変更しない場合、それはメッセージがプログラムにコンパイルされることができ、Apacheのソースコードを変更する必要性を非表示にして、[内容を置換するプログラムを再コンパイルし、Apacheの情報非表示にすることができます
、ap_release.hファイルを編集します。
“”の#define AP_SERVER_BASEPRODUCTの\ “Apacheの\”をされている修正
“の#define AP_SERVER_BASEPRODUCT \”マイクロソフト-IIS / 5.0 \ ”
編集OS / UNIX / os.hファイル
“”の#defineプラットフォーム\ “Unixの\”をされている修正
“の#defineプラットフォーム\ ‘のWin32”
編集した後、再コンパイルし、Apacheをインストールし、行っトップ用の設定ファイルを変更する、スキャンするツールで再びApacheを起動し、メッセージがWindowsオペレーティングシステムで表示されていたが見つかりました
ところで、今、このフォーラム、あなたが注目を少し払っていない、これは間違ったフォーラム返信情報である、に少し汗を感じに見えました
Apacheの/ 2.2.8(Ubuntuの)DAV / 2 SVN / 1.4.6のmod_ssl / forum.ubuntu.org.cnポート80での2.2.8のOpenSSL / 0.9.8gサーバー
これは、ドアを開けていないが、悪意のあるユーザ多くの有用な情報を伝えますが、ドアはまだ非常に危険である場合に等しいと言われました
3:セキュリティApacheサーバディレクトリ構造のディレクトリ構造は、4つで構成されて確立します
ServerRootからの#は、他のサーバー構成ファイルと設定ファイル、バイナリファイルを保存します
DocumentRootの#HTMLファイルや画像などを含む、Webサイトのコンテンツを保存します
ScripAlias位CGIスクリプトを保存します
のCustomLogとエラーログ#はログとエラーログを保存します
ディレクトリ構造を提案し、これらの4つのディレクトリには、独立しており、父と息子の間には論理的な関係はありません
注意:
ServerRootディレクトリはrootユーザーのみにアクセス
ApacheユーザーおよびグループのアクセスDocumentRootディレクトリは、Webサイトのコンテンツのユーザーアクセスを管理し、Apacheサーバを使用する必要があります
ScripAliasディレクトリのみのCGI開発者とApacheのユーザーアクセスでなければなりません
のCustomLogとrootのみエラーログによってアクセスすることができます
以下は、安全なディレクトリ構造の例であります
+ ——-の/ etc /
|
| + —- / HTTP(ServerRootから)
| + —- /ログ(のCustomLogとエラーログ)
|
+ ——-ヴァール/ WWW
|
| + — /のcgi-bin(ScripAlias)
| + — / Htmlの(DocumentRootの)
ディレクトリとは無関係に、ディレクトリのアクセス権のエラーが他のディレクトリには影響しないため、このディレクトリ構造は、比較的安全です
4:Apacheのユーザーや専門のグループの使用
最小特権の原則によれば、我々はそれがウェブサービスを完了することができるように、適切な権限のApacheを割り当てる必要があります
注意:
最小権限の原則は、ユーザーがタスクを完了するだけでなく、異常動作に起因する盗難や紛失を確保することができることを保証するために、アクセスするシステムおよび最小のデータに必要な権限のユーザーを制限し、システムのセキュリティの最も基本的な原則の一つであります
このようなnobodyユーザーとnogroupがグループとして、アカウントを所定のシステムを使用していない、そのApacheは、専用のユーザとグループを使用し確認する必要があります
rootユーザーのみがApacheを実行することができますので、DocumentRootのは、Webサイトのコンテンツ、ユーザーがアクセスし、ApacheサーバのApacheのユーザーとグループのアクセスを使用し、例えば、ウェブサイト上のコンテンツを公開するための「テスト」ユーザーに必要な管理すべき、とApache httpdのように実行することができますサーバは、設定することができます
groupaddのwebteam
USERMOD -G webteamテスト
chownコマンド-R httpd.webteam / WWW / HTML
はchmod -R 2570 / WWW / htdocsに
rootだけがログにアクセスすることができ、許可をお勧めします
chownコマンド-R root.rootの/ etc /ログ
chownコマンド-R 700の/ etc /ログ
5:アクセスポリシーのWebディレクトリ
Webディレクトリへのアクセスは、訪問することは比較的保守的な方法を使用するには、ユーザーは任意のディレクトリインデックスの一覧を表示することはできません。
目次索引の使用を禁止します:
ディレクトリへのレシートApacheのユーザーアクセスの際には、DirectoryIndexディレクティブを探しますディレクトリのインデックスファイルを指定し、デフォルトはindex.htmlにある、ファイルが存在しない場合は、Apacheはディレクトリの内容の動的なリストを作成するためにユーザに表示されるので、 Webサイトの構造が公開されるので、あなたは、動的なカタログ索引を抑制するために設定ファイルを変更する必要があり、httpd.confのを修正
オプション-Indexes FollowSymLinksを
使用Apacheのディレクトリインデックスを禁止するオプションコマンド通知は、FollowSymLinksを、シンボリックリンクを使用することはできません。
デフォルトのアクセスを禁止します:
セキュリティポリシーに/ var / www / htmlディレクトリへのアクセスが許可さは、次の設定を使用している場合、デフォルトではアクセスを禁止するだけで、ディレクトリ指定された許可を開くために存在している必要があります
注文拒否、許可
すべての許可
オーバーロードからユーザーを防ぎます:
ユーザープロファイルディレクトリ(htaccessを)オーバーロード(変更)を無効にするには、設定することができます
のAllowOverrideなし
6:Apacheサーバのアクセス制御
Apacheのaccess.confのファイルへのアクセスはファイルを設定するための責任がある、あなたはインターネットのドメイン名とIPアドレスのアクセス制御を実装することができます
このような宿主は、192.168.1.254に192.168.1.1にアクセスすることを可能にし、それを設定することができるように
注文拒否、許可
すべての拒否
対から許可192.168.1.0/255.255.255.0
セブン:Apacheサーバのパスワード保護
、.htaccessファイルが設定は、Apache上のファイルである、それはテキストファイルで、.htaccessファイルは、ディレクトリの設定を変更する方法を提供します
いずれかのこのディレクトリとサブディレクトリの役割に特定のドキュメントディレクトリ内の1つまたは複数の命令を含むファイル(.htaccessのファイル)を配置することによって。
.htaccessファイルの機能はディレクトリの下に禁止され、MIMEプラスカテゴリ、ファイルのリダイレクト、エラーが発生した場合、ファイル名を変更した最初の業界(例えば、index.htmlに)、ファイル名を読んで禁止したファイルを設定し、パスワードの設定ページを含みますファイル。
注:.htaccessファイルが*** htaccessファイルまたはその他の形式、完全なファイル名ではありません、/ ABCディレクトリにある.htaccessファイルを配置し、/ ABCとそのサブディレクトリには、この文書によって影響されますが、/インデックス.. HTMLには影響がありません
興味のある友人がここに依頼する返信することができた場合の.htaccess設立は、具体的に書かれていない、より複雑なポイントを使用し、プログラムの実装のいくつかのよりセキュアなこの保護、あなたが方法を推測して、パスワードを取得することができ、そのよう.htaccessをクラックするのは難しいが、テキストモードの認証が遅くなりますと、少数のユーザーに影響を与えなかったが、データモジュールと多数のユーザーは、モジュールを開く際にソースコードをコンパイルする必要があることを確認する必要があり、デフォルトではありませんオープン
エイト:に「刑務所」にApacheの実行をしてみましょう
「刑務所は「ルートのchroot機構を介して実行して見ることができるソフトウェアの一部を変更することを意味する、単に、それにより、ソフトウェアのみのディレクトリとサブディレクトリのファイルへの移行を行うことができることを保証するために、指定したディレクトリに制限されるべきですこれらの部品が損傷または侵入された場合でも、サーバー全体のセキュリティを確保するために、ダメージは素晴らしいではありません
前に、デーモンのUNIX / Linux root権限が時間の開始に基づいており、これは、サーバソフトウェアApacheなどの、当然のことであり、あなたがリクエストのリスニングポート80までにバインドする必要があり、ルートは唯一のようなものですユーザー権限は、攻撃と一緒にして強度を高めるには、かなりの脅威の下でサーバにすることが、バッファオーバーフローの脆弱性を悪用し、あなたは、システム全体を制御することができただろう。今サーバー設計は、通常、ルートが開始され、プロセスが実行する代わりに、低レベルのアカウントの、root権限を放棄します。このアプローチは、明らかに、システムに害を減少しますが、攻撃者が、権限の上昇の脆弱性を探しているであろう、root権限を取得しない場合は、ファイル、変更されたホームページを削除することができます
さらに、システムのセキュリティ、chrootのメカニズムを導入したLinuxカーネルを改善するために、chrootがシステムコールのカーネルでは、ソフトウェアは、例えば、ディレクトリで見ることができるプロセスを変更するには、Apacheソフトウェアのインストールをchrootの関数ライブラリを呼び出すことができますこの時点では、子プロセスをルート開始のapacheには/ usr / local / httpdのディレクトリに、root権限を持つ親プロセスは、誰も権限の子プロセスを使用してポート80でリッスン親プロセスの実行回数を導出し、その後、子供に対処します、子供が、/ usr /ローカルの/ usr、/ tmpまたはあっても、ファイルシステム全体にアクセスすることができる親ディレクトリを/ usr / local / httpdのディレクトリが、ディレクトリのパーミッションが、設定エラー、アパッチ攻撃コミットメントを継続ファイルシステム全体のディレクトリを持つディレクトリに残っているApacheのプロセスは、あなたがApacheのchrootの制限を使用できるかどうのでは/ usr / local /のhttpd /ダウン、その後のapacheがアクセスしたファイルがこれらに限定されているは/ usr / local / httpdの下では、chroot監獄の役割を作成すると、安全性を確保するためにディレクトリツリーを制限するために、ファイルのアクセス許可を処理することです。
手動で刑務所をApacheを所有している場合、それはあなたが刑務所刑務所の実現を簡素化するためにパッケージを使用することができます伴うライブラリを必要とする、非常に面倒で複雑な作業になります
刑務所の公式ウェブサイト:http://www.jmcresearch.com興味を散歩することができます
ここではセキュリティの必要性がある場合には、少し問題を作成する特定のプロセスを書くことではない、時間を占めるようになるの返信してください
ナイン:ドスを防止するために、Apacheサーバ
主な手段は、多くの場合、ドスのApacheサービス攻撃防止は、ソフトウェアを介して行われapahceドス回避操縦モジュールが発生しました
DoS攻撃を戦うことができる、それはmod_accessはソフトウェアの場所である、達成するために、ソフトウェアはすぐに同じURLで同じアドレスからの再三の要求を拒否することができ、それぞれの子プロセスのためのハッシュテーブルは、内部クエリを達成するために
ます。http://online/.securityfocus.com/tools/ダウンロードソフトウェアあなたがウェブサイトに行くことができます
テン:CGIやSSIのリスク低減
CGIスクリプティングの脆弱性は、CGIスクリプトは、プログラミング、主要な脅威のWEBサーバとなっている通常抜け穴の多くを生成し、入力データの作成時に法的審査、システムコールやその他の要因の慎重な使用の注意でCGIの制御に加えて、抜け穴、彼らは、ファイルにアクセスするために危険の脆弱性IDに限定されている場合でも、これらのプログラムを実行するには、IDのCGIプログラムを使用して最初の所有者は、システム全体に致命的な害をもたらすため、CGIプログラムを使用するように注意してくださいする必要はありません。
バージョン1.3のApacheは、Apacheの制御支援CGIプログラムを提供することができますsuEXECのプログラムを統合し、suEXECのは、パッケージとして見ることができる、CGIプログラムは、Apacheに呼び出し要求を受信し、特定の呼び出しを完了するための責任があると、この要求を置くsuEXECのとsuEXECのから結果を返す、suEXECのは、いくつかのセキュリティ問題を解決することができますが、それは速度に影響します
高いセキュリティ要件場合、それはソフトウェアCGIWrapに加えて、suEXECのを使用することをお勧めします、その安全性が高く、suEXECのです
SSIスクリプトのリスクを軽減し、SSI execコマンドは、外部プログラムを実行するには、その場合、使用する必要があります内部のデバッガに加えて、同様のリスクのCGIスクリプトがあるでしょう
その使用を禁止するオプションの順番:
オプションIncludesNOEXEC
XI:ApacheのSSLを使用して強化
SSL機能を備えたサーバーを使用するには、TCP / IPプロトコルとHTTPプロトコルで動作するように、SSLの間の部位に敏感ページの安全性能を向上させることができます
SSLは、インターネット経由で送信されたデータストリームを暗号化することができ、非常に重要な場所であるクレジットカード情報を盗む誰か、電子商取引やWebベースの電子メールを気にすることなく、認証、オンラインショッピングを提供します。
Leave a Reply