FreeBSD下構建安全的Web伺服器(2)

來源:互聯網
上載者:User


以下為引用的內容:
# 程式崩潰時不記錄
kern.coredump=0
# lo本機資料流接收和發送空間
net.local.stream.recvspace=65536
net.local.dgram.maxdgram=16384
net.local.dgram.recvspace=65536
# 資料包資料區段大小,ADSL為1452。
net.inet.tcp.mssdflt=1460
# 為網路資料連線時提供緩衝
net.inet.tcp.inflight_enable=1
# 資料包資料區段最小值,ADSL為1452
net.inet.tcp.minmss=1460
# 本機資料最大數量
net.inet.raw.maxdgram=65536
# 本機資料流接收空間
net.inet.raw.recvspace=65536
#ipfw防火牆動態規則數量,預設為4096,增大該值可以防止某些病毒發送大量TCP串連,導致不能建立正常串連
net.inet.ip.fw.dyn_max=65535
#設定ipf防火牆TCP串連空閑保留時間,預設8640000(120小時)
net.inet.ipf.fr_tcpidletimeout=864000

三、 服務程式的安全設定

到這裡就是本文的重點所在了,我們將花費比較多的文字進行描述,當然,所以描述不一定是非常正確的,也希望能夠對你有一些協助。我們系統預設是運行了包括Apache、Mysql、vsFTPd,SSH等服務,我們以下進行一一講解。

1. Apache的安全設定

Apache的核心設定就是在 httpd.conf 裡面,我們安裝的Apache的目錄是在 /usr/local/apache2/ 下,那麼我們的設定檔就是在/usr/local/apache2/conf/httpd.conf ,如果你是使用ports等安裝的,設定檔應該是在/etc或/usr/local/etc目錄下。使用ee或者vi開啟設定檔:

# ee /usr/local/apache2/conf/httpd.conf

下面我們就要進行比較多的安全設定了,基本的服務、連接埠、主目錄等等設定就不說了,只講與安全有關的設定。

(1)指定運行Apache服務的使用者和組

這是比較重要的,因為許可權是繼承的,如果運行Apache服務的使用者權限太高,那麼很可能使得入侵者通過WebShell等就會對系統構成嚴重威脅。一般我們運行Apache的是nobody使用者和nobody組。在httpd.conf的250-275行之間找到User和Group選項,比如我們預設設定如下(去掉了注釋資訊):

以下為引用的內容:
<IfModule !mpm_winnt.c>
<IfModule !mpm_netware.c>
User nobody
Group #-1
</IfModule>
</IfModule>

(2) Apache的記錄檔

Apache的記錄檔是非常重要的,可以發現apache的健全狀態和訪問情況,對於判斷入侵等有重要協助。它的預設選項是:

# 錯誤記錄檔存放目錄,預設是存放在apache安裝目錄的logs下

ErrorLog logs/error_log

# 日誌記錄的層級,層級有debug, info, notice, warn, error, crit等,預設是“warn”層級

LogLevel warn

# 訪問日誌記錄的格式,每一種格式都有不同的內容,根據你的需要進行定製,以擷取最多訪問資訊

以下為引用的內容:
LogFormat "%h %l %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\"" combined
LogFormat "%h %l %u %t \"%r\" %>s %b" common
LogFormat "%{Referer}i -> %U" referer
LogFormat "%{User-agent}i" agent

# 使用上面格式的那一種,預設是使用common

CustomLog logs/access_log common

檔案格式預定義的格式內容:

以下為引用的內容:
%a 遠端使用者IP
%A 本地httpd伺服器的ip
%f 傳送的檔案名稱
%h 遠程主機
%m 請求方式
%l identd給出的遠程名
%p 串連的httpd連接埠號碼
%P 請求的httpd進程
%t 時間
%T 服務要求時間

你可以定製自己的日誌格式,然後通過CustomLog logs/access_log common來進行調用。

注意,記錄檔是由運行Apache的使用者進行開啟的,要注意該檔案的安全,防止被駭客改寫或者刪除。

(3) Apache服務資訊顯示控制

在設定檔中有個選項是控制是否顯示apache版本資訊、主機名稱、連接埠、支援的cgi等資訊的:

ServerSignature On

預設為On,那麼將顯示所有資訊:

我故意訪問一個不存在的檔案:http://www.target.com/404.html

那麼就會在給的錯誤提示中顯示如下資訊:

Apache/2.0.53 (Unix) PHP/4.3.11 Server at target.com Port 80

所有Apache和PHP的資訊暴露無遺,這是很不安全的。當然同時還有Off和EMail選項,Off將不顯示任何資訊,EMail將顯示管理員的郵箱地址,建議設為Off或者EMail,這樣能夠避免泄漏Apache伺服器的資訊給駭客。

(4) 瀏覽目錄

在httpd.conf中可以設定apache能夠對一些沒有索引檔案的網頁目錄進行瀏覽目錄:

以下為引用的內容:
<Directory />
    Options Indexes FollowSymLinks
    AllowOverride None
</Directory>

這是不合適也不安全的,建議不需要瀏覽目錄:

以下為引用的內容:
<Directory />
    Options FollowSymLinks
    AllowOverride None
</Directory>

(5) 使用者首頁

設定httpd.conf中的:

UserDir public_html

能夠使得每個使用系統的使用者在自己的主目錄下建立 public_html 目錄後就能夠把自己的網頁放進該目錄,然後通過:

http://www.target.com/~使用者名稱/網頁 就能夠顯示自己的網頁,這是不安全的,而且對於我們伺服器來講,這沒有必要,所以我們直接關閉該功能:

UserDir disabled

或者把該內容改名,改成 一個駭客比較不容易猜到的檔案名稱,比如:

UserDir webserver_public_htmlpath

也可以只允許部分使用者具有該功能:

UserDir enabled user1 user2 user3

(6) CGI執行目錄

如果你的apache要執行一些perl等cgi程式,那麼就要設定一下選項:

ScriptAlias /cgi-bin/ "/usr/local/apache/cgi-bin/"

但是這也給了駭客利用一些不安全的cgi程式來進行破壞,所以如果你不需要cgi的話,建議關閉該選項:

#ScriptAlias /cgi-bin/ "/usr/local/apache/cgi-bin/"

(7) 控制PHP指令碼只能訪問指定目錄

在httpd.conf添加如下內容:

php_admin_value open_basedir /usr/www

後面的路徑是你需要PHP指令碼能夠訪問的目錄,如果PHP指令碼想要訪問其他目錄將出項錯誤提示。

(8) 目錄存取控制 (未完)

這項內容最複雜,同時涉及的東西也比較多,我只能簡單說一下,不清楚請參考其他文章。

比如下面的內容:

以下為引用的內容:
<Directory />
    Options FollowSymLinks
    AllowOverride None
</Directory>

就是允許訪問每一個目錄,裡面設定的是允許執行的動作,一般包含的動作有:Options、AllowOverride、Order、Allow、Deny。

Options是只對指定目錄及其子目錄能夠執行的操作,Indexes、Includes、FollowSymLinks、ExecCGI、MultiViews、None、All等操作。

AllowOverride是指定目錄訪問的許可權,當然也可以通過 AccessFileName檔案指定的 .htaccess 來控制。它的操作有:None、All、Options、FileInfo、AuthConfit、Limit等。

Order、Allow、Deny三個指令必須配合來控制目錄存取權限。Order指定檢查次序的規則,比如Order Allow, Deny,表示先按Allow檢查,如果不匹配再按Deny進行檢查。Order Deny, Allow ,表示先按Deny規則檢查,如果不滿足條件,再按Allow進行檢查。

控制目錄存取權限的檔案

預設在Unix平台下能夠使用 .htaccess 來對目錄許可權進行規則定義,但是這是不安全的,建議關閉,預設的選項:

AccessFileName .htaccess

建議設成:

#AccessFileName .htaccess

全部目錄許可權定義使用httpd.conf中的定義,不使用 .htaccess。

(9) 使用者訪問認證

這個技術非常重要,能夠控制一些非法使用者訪問本內容。假設我們的網站: http://www.target.com/admin 是我們的後台管理目錄,我不允許一些非法使用者進行訪問,那麼我就必須設定對該目錄訪問是需要驗證的。

先在httpd.conf中加入要進行訪問認證的目錄:

以下為引用的內容:
<Directory "/usr/www/admin">
authtype basic
authname "Private"
authuserfile /usr/local/apache/bin/admin.dat
require user login_user
Options Indexes FollowSymlinks MultiViews
AllowOverride None
</Directory>

上面我們就設定了我們的 /usr/www/admin目錄是必須進行認證才能訪問的,接著我們設定訪問密碼:

以下為引用的內容:
# /usr/local/apahche/bin/htpasswd -c /usr/local/apache/bin/admin.dat login_name
New password: *****
Re-type new password: *****
Adding password for user login_name

那麼下次任何使用者訪問http://www.target.com/admin目錄的時候就需要輸入使用者名稱login_name和你設定的密碼。

2. PHP安全設定

PHP本身再老版本有一些問題,比如在 php4.3.10和php5.0.3以前有一些比較嚴重的bug,所以推薦使用新版。另外,目前鬧的轟轟烈烈的SQL Injection也是在PHP上有很多利用方式,所以要保證安全,PHP代碼編寫是一方面,PHP的配置更是非常關鍵。

我們php手手工安裝的,php的預設設定檔在 /usr/local/apache2/conf/php.ini,我們最主要就是要配置php.ini中的內容,讓我們執行php能夠更安全。

整個PHP中的安全設定主要是為了防止phpshell和SQL Injection的攻擊,一下我們慢慢探討。我們先使用任何編輯工具開啟/etc/local/apache2/conf/php.ini,如果你是採用其他方式安裝,設定檔可能不在該目錄。

(1) 開啟php的安全模式

php的安全模式是個非常重要的內嵌的安全機制,能夠控制一些php中的函數,比如system(),同時把很多檔案操作函數進行了許可權控制,也不允許對某些關鍵檔案的檔案,比如/etc/passwd,但是預設的php.ini是沒有開啟安全模式的,我們把它開啟:

safe_mode = on

(2) 使用者組安全

當safe_mode開啟時,safe_mode_gid被關閉,那麼php指令碼能夠對檔案進行訪問,而且相同組的使用者也能夠對檔案進行訪問。

建議設定為:

safe_mode_gid = off

如果不進行設定,可能我們無法對我們伺服器網站目錄下的檔案進行操作了,比如我們需要對檔案進行操作的時候。

(3) 安全模式下執行程式主目錄

如果安全模式開啟了,但是卻是要執行某些程式的時候,可以指定要執行程式的主目錄:

safe_mode_exec_dir = /usr/bin
一般情況下是不需要執行什麼程式的,所以推薦不要執行系統程式目錄,可以指向一個目錄,然後把需要執行的程式拷貝過去,比如:

safe_mode_exec_dir = /tmp/cmd

但是,我更推薦不要執行任何程式,那麼就可以指向我們網頁目錄:

safe_mode_exec_dir = /usr/www

(4) 安全模式下包含檔案

如果要在安全模式下包含某些公用檔案,那麼就修改一下選項:

safe_mode_include_dir = /usr/www/include/

其實一般php指令碼中包含檔案都是在程式自己已經寫好了,這個可以根據具體需要設定。

(5) 控制php指令碼能訪問的目錄

使用open_basedir選項能夠控制PHP指令碼只能訪問指定的目錄,這樣能夠避免PHP指令碼訪問/etc/passwd等檔案,一定程度上限制了phpshell的危害,我們一般可以設定為只能訪問網站目錄:

open_basedir = /usr/www

(6) 關閉危險函數

如果開啟了安全模式,那麼函數禁止是可以不需要的,但是我們為了安全還是考慮進去。比如,我們覺得不希望執行包括system()等在那的能夠執行命令的php函數,或者能夠查看php資訊的phpinfo()等函數,那麼我們就可以禁止它們:

disable_functions = system,passthru,exec,shell_exec,popen,phpinfo

如果你要禁止任何檔案和目錄的操作,那麼可以關閉很多檔案操作

disable_functions = chdir,chroot,dir,getcwd,opendir,readdir,scandir,fopen,unlink,delete,copy,mkdir,rmdir,rename,file,file_get_contents,fputs,fwrite,chgrp,chmod,chown

以上只是列了部分不叫常用的檔案處理函數,你也可以把上面執行命令函數和這個函數結合,就能夠抵制大部分的phpshell了。

(7) 關閉PHP版本資訊在http頭中的泄漏

我們為了防止駭客擷取伺服器中php版本的資訊,可以關閉該資訊斜路在http頭中:

expose_php = Off

比如駭客在 telnet www.target.com 80 的時候,那麼將無法看到PHP的資訊

(8) 關閉註冊全域變數

在PHP中提交的變數,包括使用POST或者GET提交的變數,都將自動註冊為全域變數,能夠直接存取,這是對伺服器非常不安全的,所以我們不能讓它註冊為全域變數,就把註冊全域變數選項關閉:

register_globals = Off

當然,如果這樣設定了,那麼擷取對應變數的時候就要採用合理方式,比如擷取GET提交的變數var,那麼就要用$_GET[’var’]來進行擷取,這個php程式員要注意。

(9) 開啟magic_quotes_gpc來防止SQL注入

SQL注入是非常危險的問題,小則網站後台被入侵,重則整個伺服器淪陷,所以一定要小心。php.ini中有一個設定:

magic_quotes_gpc = Off

這個預設是關閉的,如果它開啟後將自動把使用者提交對sql的查詢進行轉換,比如把 ’ 轉為 \’等,這對防止sql注射有重大作用。所以我們推薦設定為:

magic_quotes_gpc = On

(10) 錯誤資訊控制

一般php在沒有串連到資料庫或者其他情況下會有提示錯誤,一般錯誤資訊中會包含php指令碼當前的路徑資訊或者查詢的SQL語句等資訊,這類資訊提供給駭客後,是不安全的,所以一般伺服器建議禁止錯誤提示:

display_errors = Off

如果你卻是是要顯示錯誤資訊,一定要設定顯示錯誤的層級,比如只顯示警告以上的資訊:

error_reporting = E_WARNING & E_ERROR

當然,我還是建議關閉錯誤提示。

(11) 錯誤記錄檔

建議在關閉display_errors後能夠把錯誤資訊記錄下來,便於尋找伺服器啟動並執行原因:

log_errors = On

同時也要設定錯誤記錄檔存放的目錄,建議根apache的日誌存在一起:

error_log = /usr/local/apache2/logs/php_error.log

注意:給檔案必須允許apache使用者的和組具有寫的許可權。

3. Mysql的安全設定

我們把Mysql安裝在 /usr/local/mysql目錄下,我們必須建立一個使用者名稱為mysql,組為mysql的使用者來運行我們的mysql,同時我們把它的設定檔拷貝到 /etc目錄下:

以下為引用的內容:
# cp suport-files/my-medium.cnf /etc/my.cnf
chown root:sys /etc/my.cnf
chmod 644 /etc/my.cnf

使用使用者mysql來啟動我們的mysql:

# /usr/local/mysql/bin/mysqld_safe -user=mysql &

(1) 修改root使用者的的口令

預設安裝的mysql是沒有密碼的,所以我們要修改,以防萬一。下面採用三種方式來修改root的口令。

*  用mysqladmin命令來改root使用者口令

# mysqladmin -uroot password test

這樣,MySQL資料庫root使用者的口令就被改成test了。(test只是舉例,我們實際使用的口令一定不能使用這種易猜的弱口令)

*  用set password修改口令:

mysql> set password for root@localhost=password(’test’);

這時root使用者的口令就被改成test了。

*  直接修改user表的root使用者口令

以下為引用的內容:
mysql> use mysql;
mysql> update user set password=password(’test’) where user=’root’;
mysql> flush privileges;

這樣,MySQL資料庫root使用者的口令也被改成test了。其中最後一句命令flush privileges的意思是強制重新整理記憶體授權表,否則用的還是緩衝中的口令,這時非法使用者還可以用root使用者及空口令登陸,直到重啟MySQL伺服器。

(2) 刪除預設的資料庫和使用者

我們的資料庫是在本地,並且也只需要本地的php指令碼對mysql進行讀取,所以很多使用者不需要。mysql初始化後會自動產生空使用者和test庫,這會對資料庫構成威脅,我們全部刪除。

我們使用mysql用戶端程式串連到本地的mysql伺服器後出現如下提示:

以下為引用的內容:
mysql> drop database test;
mysql> use mysql;
mysql> delete from db;
mysql> delete from user where not(host="localhost" and user="root");
mysql> flush privileges;

(3) 改變預設mysql管理員的名稱

這個工作是可以選擇的,根據個人習慣,因為預設的mysql的管理員名稱是root,所以如果能夠修改的話,能夠防止一些指令碼小子對系統的窮舉。我們可以直接修改資料庫,把root使用者改為"admin"

以下為引用的內容:
mysql> use mysql;
mysql> update user set user="admin" where user="root";
mysql> flush privileges;

(4) 提高本地安全性

提高本地安全性,主要是防止mysql對本地檔案的存取,比如駭客通過mysql把/etc/passwd擷取了,會對系統構成威脅。mysql對本地檔案的存取是通過SQL語句來實現,主要是通過Load DATA LOCAL INFILE來實現,我們能夠通過禁用該功能來防止駭客通過SQL注射等擷取系統核心檔案。

禁用該功能必須在 my.cnf 的[mysqld]部分加上一個參數:

set-variable=local-infile=0

(5) 禁止遠端連線mysql

因為我們的mysql只需要本地的php指令碼進行串連,所以我們無需開socket進行監聽,那麼我們完全可以關閉監聽的功能。

有兩個方法實現:

* 配置my.cnf檔案,在[mysqld]部分添加 skip-networking 參數

* mysqld伺服器中參數中添加 --skip-networking 啟動參數來使mysql不監聽任何TCP/IP串連,增加安全性。如果要進行mysql的管理的話,可以在伺服器本地安裝一個phpMyadmin來進行管理。



相關文章

Alibaba Cloud 10 Year Anniversary

With You, We are Shaping a Digital World, 2009-2019

Learn more >

Apsara Conference 2019

The Rise of Data Intelligence, September 25th - 27th, Hangzhou, China

Learn more >

Alibaba Cloud Free Trial

Learn and experience the power of Alibaba Cloud with a free trial worth $300-1200 USD

Learn more >

聯繫我們

該頁面正文內容均來源於網絡整理,並不代表阿里雲官方的觀點,該頁面所提到的產品和服務也與阿里云無關,如果該頁面內容對您造成了困擾,歡迎寫郵件給我們,收到郵件我們將在5個工作日內處理。

如果您發現本社區中有涉嫌抄襲的內容,歡迎發送郵件至: info-contact@alibabacloud.com 進行舉報並提供相關證據,工作人員會在 5 個工作天內聯絡您,一經查實,本站將立刻刪除涉嫌侵權內容。