安全配置和維護Apache WEB Server(2)

來源:互聯網
上載者:User
apache|server|web|安全 (2)緩衝區溢位的安全缺陷

  該方法攻擊者利用程式編寫的一些缺陷,使程式偏離正常的流程。程式使用靜態分配的記憶體儲存請求資料,攻擊者就可以發送一個超長請求使緩衝區溢位。比如一些Perl編寫的處理使用者請求的閘道指令碼。一旦緩衝區溢位,攻擊者可以執行其惡意指令或者使系統宕機。

  (3)被攻擊者獲得root許可權的安全缺陷

  該安全缺陷主要是因為Apache伺服器一般以root許可權運行(父進程),攻擊者會通過它獲得root許可權,進而控制整個Apache系統。

  (4)惡意的攻擊者進行“拒絕服務”(DoS)攻擊的安全缺陷

  這個最新在6月17日發現的漏洞,它主要是存在於Apache的chunk encoding中,這是一個HTTP協議定義的用於接受web使用者所提交資料的功能。 利用駭客程式可以對於運行在FreeBSD 4.5, OpenBSD 3.0 / 3.1, NetBSD 1.5.2平台上的Apache伺服器均可進行有效攻擊.

  所有說使用最高和最新安全版本對於加強Apache Web伺服器的安全是至關重要的。請廣大Apache伺服器管理員去http://www.apache.org/dist/httpd/下載補丁程式以確保其WEB伺服器安全!

三、正確維護和配置Apache伺服器

  雖然Apache伺服器的開發人員非常注重安全性,由於Apache伺服器其龐大的項目,難免會存在安全隱患。正確維護和配置Apache WEB伺服器就很重要了。我們應注意的一些問題:

  (1)Apache伺服器設定檔

  Apache Web伺服器主要有三個設定檔,位於/usr/local/apache/conf目錄下。這三個檔案是:

  httpd.con----->主設定檔
  srm.conf------>填加資源檔
  access.conf--->設定檔案的存取權限

  註:具體配置可以參考:http://httpd.apache.org/docs/mod/core.html

  (2)Apache伺服器的記錄檔

  我們可以使用日誌格式指令來控制記錄檔的資訊。使用LogFormat "%a %l"指令,可以把發出HTTP請求瀏覽器的IP地址和主機名稱記錄到記錄檔。出於安全的考慮,在日誌中我們應知道至少應該那些驗證失敗的WEB使用者,在http.conf檔案中加入LogFormat "%401u"指令可以實現這個目的。這個指令還有其它的許多參數,使用者可以參考Apache的文檔。另外,Apache的錯誤記錄檔檔案對於系統管理員來說也是非常重要的,錯誤記錄檔檔案中包括伺服器的啟動、停止以及CGI執行失敗等資訊。更多請參看Apache日誌系列1-5。

  (3)Apache伺服器的目錄安全認證

  在Apache Server中是允許使用 .htaccess做目錄安全保護的,欲讀取這保護的目錄需要先鍵入正確使用者帳號與密碼。這樣可做為專門管理網頁存放的目錄或做為會員區等。 

  在保護的目錄放置一個檔案,檔名為.htaccss   



相關文章

Beyond APAC's No.1 Cloud

19.6% IaaS Market Share in Asia Pacific - Gartner IT Service report, 2018

Learn more >

Apsara Conference 2019

The Rise of Data Intelligence, September 25th - 27th, Hangzhou, China

Learn more >

Alibaba Cloud Free Trial

Learn and experience the power of Alibaba Cloud with a free trial worth $300-1200 USD

Learn more >

聯繫我們

該頁面正文內容均來源於網絡整理,並不代表阿里雲官方的觀點,該頁面所提到的產品和服務也與阿里云無關,如果該頁面內容對您造成了困擾,歡迎寫郵件給我們,收到郵件我們將在5個工作日內處理。

如果您發現本社區中有涉嫌抄襲的內容,歡迎發送郵件至: info-contact@alibabacloud.com 進行舉報並提供相關證據,工作人員會在 5 個工作天內聯絡您,一經查實,本站將立刻刪除涉嫌侵權內容。