FreeBSD下构建安全的Web服务器(2)

以下为引用的内容：
# 程序崩溃时不记录
kern.coredump=0
# lo本地数据流接收和发送空间
net.local.stream.recvspace=65536
net.local.dgram.maxdgram=16384
net.local.dgram.recvspace=65536
# 数据包数据段大小，ADSL为1452。
net.inet.tcp.mssdflt=1460
# 为网络数据连接时提供缓冲
net.inet.tcp.inflight_enable=1
# 数据包数据段最小值，ADSL为1452
net.inet.tcp.minmss=1460
# 本地数据最大数量
net.inet.raw.maxdgram=65536
# 本地数据流接收空间
net.inet.raw.recvspace=65536
#ipfw防火墙动态规则数量，默认为4096，增大该值可以防止某些病毒发送大量TCP连接，导致不能建立正常连接
net.inet.ip.fw.dyn_max=65535
#设置ipf防火墙TCP连接空闲保留时间，默认8640000（120小时）
net.inet.ipf.fr_tcpidletimeout=864000 

三、 服务程序的安全设置

到这里就是本文的重点所在了，我们将花费比较多的文字进行描述，当然，所以描述不一定是非常正确的，也希望能够对你有一些帮助。我们系统默认是运行了包括Apache、Mysql、vsFTPd，SSH等服务，我们以下进行一一讲解。

1. Apache的安全设置

Apache的核心设置就是在 httpd.conf 里面，我们安装的Apache的目录是在 /usr/local/apache2/ 下，那么我们的配置文件就是在/usr/local/apache2/conf/httpd.conf ，如果你是使用ports等安装的，配置文件应该是在/etc或/usr/local/etc目录下。使用ee或者vi打开配置文件：

# ee /usr/local/apache2/conf/httpd.conf

下面我们就要进行比较多的安全设置了，基本的服务、端口、主目录等等设置就不说了，只讲与安全有关的设置。

(1)指定运行Apache服务的用户和组

这是比较重要的，因为权限是继承的，如果运行Apache服务的用户权限太高，那么很可能使得入侵者通过WebShell等就会对系统构成严重威胁。一般我们运行Apache的是nobody用户和nobody组。在httpd.conf的250-275行之间找到User和Group选项，比如我们默认设置如下(去掉了注释信息)：

以下为引用的内容：
<IfModule !mpm_winnt.c>
<IfModule !mpm_netware.c>
User nobody
Group #-1
</IfModule>
</IfModule>

(2) Apache的日志文件

Apache的日志文件是非常重要的，可以发现apache的运行状况和访问情况，对于判断入侵等有重要帮助。它的默认选项是：

# 错误日志存放目录，默认是存放在apache安装目录的logs下

ErrorLog logs/error_log

# 日志记录的级别，级别有debug, info, notice, warn, error, crit等，默认是“warn”级别

LogLevel warn

# 访问日志记录的格式，每一种格式都有不同的内容，根据你的需要进行定制，以获取最多访问信息

以下为引用的内容：
LogFormat "%h %l %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\"" combined
LogFormat "%h %l %u %t \"%r\" %>s %b" common
LogFormat "%{Referer}i -> %U" referer
LogFormat "%{User-agent}i" agent

# 使用上面格式的那一种，默认是使用common

CustomLog logs/access_log common

文件格式预定义的格式内容：

以下为引用的内容：
%a 远程用户IP
%A 本地httpd服务器的ip
%f 传送的文件名
%h 远程主机
%m 请求方式
%l identd给出的远程名
%p 连接的httpd端口号
%P 请求的httpd进程
%t 时间
%T 服务请求时间

你可以定制自己的日志格式，然后通过CustomLog logs/access_log common来进行调用。

注意，日志文件是由运行Apache的用户进行打开的，要注意该文件的安全，防止被黑客改写或者删除。

(3) Apache服务信息显示控制

在配置文件中有个选项是控制是否显示apache版本信息、主机名称、端口、支持的cgi等信息的：

ServerSignature On

默认为On，那么将显示所有信息：

我故意访问一个不存在的文件：http://www.target.com/404.html

那么就会在给的错误提示中显示如下信息：

Apache/2.0.53 (Unix) PHP/4.3.11 Server at target.com Port 80

所有Apache和PHP的信息暴露无遗，这是很不安全的。当然同时还有Off和EMail选项，Off将不显示任何信息，EMail将显示管理员的邮箱地址，建议设为Off或者EMail，这样能够避免泄漏Apache服务器的信息给黑客。

(4) 目录浏览

在httpd.conf中可以设置apache能够对一些没有索引文件的网页目录进行目录浏览：

以下为引用的内容：
<Directory />
    Options Indexes FollowSymLinks
    AllowOverride None
</Directory> 

这是不合适也不安全的，建议不需要目录浏览：

以下为引用的内容：
<Directory />
    Options FollowSymLinks
    AllowOverride None
</Directory> 

(5) 用户主页

设置httpd.conf中的:

UserDir public_html

能够使得每个使用系统的用户在自己的主目录下建立 public_html 目录后就能够把自己的网页放进该目录，然后通过:

http://www.target.com/~用户名/网页 就能够显示自己的网页，这是不安全的，而且对于我们服务器来讲，这没有必要，所以我们直接关闭该功能：

UserDir disabled

或者把该内容改名，改成 一个黑客比较不容易猜到的文件名，比如：

UserDir webserver_public_htmlpath

也可以只允许部分用户具有该功能：

UserDir enabled user1 user2 user3

(6) CGI执行目录

评论总数：1 条 [ 查看全部 ] 网友评论