企業級Apache服務器安全防護要點剖析(2)

策略三：啟用Apache自帶安全模塊保護

Apache的一個優勢便是其靈活的模塊結構，其設計思想也是圍繞模塊（module）概念而展開的。安全模塊是ApacheServer中的極其重要的組成部分。這些安全模塊負責提供Apacheserver的訪問控制和認證，授權等一系列至關重要的安全服務。

Apache下有如下幾類與安全相關的模塊：

mod_access模塊能夠根據訪問者的IP地址（或域名，主機名等）來控制對Apache服務器的訪問，稱之為基于主機的訪問控制。

mod_auth模塊用來控制用戶和組的認證授權（Authentication）。用戶名和口令存于純文本文件中。

mod_auth_db和mod_auth_dbm模塊則分別將用戶信息（如名稱、組屬和口令等）存于Berkeley-DB及DBM型的小型數據庫中，便于管理及提高應用效率。

mod_auth_digest模塊則采用MD5數字簽名的方式來進行用戶的認證，但它相應的需要客戶端的支持。

mod_auth_anon模塊的功能和mod_auth的功能類似，只是它允許匿名登錄，將用戶輸入的E-mail地址作為口令。

mod_ssl被Apache用于支持安全套接字層協議，提供Internet上安全交易服務，如電子商務中的一項安全措施。通過對通信字節流加密來防止敏感信息的泄漏。但是，Apache這種支持是建立在對Apache的API擴展來實現的，相當于一個外部模塊，通過與第三方程序（如 openssl）的結合提供安全的網上交易支持。

為了能夠使用模塊功能，模塊通常以DSO（DynamicSharedObject）的方式構建，用戶應該在httpd.conf文件中使用 LoadModule指令，使得能夠在使用前獲得模塊的功能。下面是主配置文件中各個模塊的情況，開啟安全模塊非常簡單，即去掉在各安全模塊所在行前的 “#”符號即可，如下所示：

LoadModuleauth_basic_modulemodules/mod_auth_basic.so

LoadModuleauth_digest_modulemodules/mod_auth_digest.so

LoadModuleauthn_file_modulemodules/mod_authn_file.so

LoadModuleauthn_alias_modulemodules/mod_authn_alias.so

。。。。。。

只有將上述安全模塊進行開啟后，Apache才能實現相應的訪問控制和通信加密功能。

策略四：訪問控制策略設置

在開啟了相應的安全模塊后，還需要對Apache的訪問控制策略進行設定。

1．認證和授權指令

目前，有兩種常見的認證類型，基本認證和摘要認證：

（1）基本認證（Basic）：使用最基本的用戶名和密碼方式進行用戶認證。

（2）摘要認證（Digest）：該認證方式比基本認證要安全得多，在認證過程中額外使用了一個針對客戶端的挑戰（challenge）信息，可以有效地避免基本認證方式可能遇到的“重放攻擊”。值得注意的是：目前并非所有的瀏覽器都支持摘要認證方式。

所有的認證配置指令既可以出現在主配置文件httpd.conf中的Directory容器中，也可以出現在單獨的.htaccess文件中，這個可以由用戶靈活地選擇使用。在認證配置過程中，需要用到如下指令選項：

AuthName：用于定義受保護區域的名稱。

AuthType：用于指定使用的認證方式，包括上面所述的Basic和Digest兩種方式。

AuthGroupFile：用于指定認證組文件的位置。

AuthUserFile：用戶指定認證口令文件的位置。

使用上述的認證指令配置認證后，需要為Apache服務器的訪問對象，也就是指定的用戶和組進行相應的授權，以便于他們對Apache服務器提供的目錄和文件進行訪問。為用戶和組進行授權需要使用Require指令，主要可以使用以下三種方式進行授權：

授權給指定的一個或者多個用戶：使用Requireuser用戶名1用戶名2…。

授權給指定的一個或者多個組：使用Requiregroup用戶名1用戶名2…。

授權給指定口令文件中的所有用戶：使用Requirevalid-user。

2．管理認證口令文件和認證組文件

要實現用戶認證功能，首先要建立保存用戶名和口令的文件。Apache自帶的htpasswd命令提供了建立和更新存儲用戶名、密碼的文本文件的功能。需要注意的是，這個文件必須放在不能被網絡訪問的位置，以避免被下載和信息泄漏。建議將口令文件放在/etc/httpd/目錄或者其子目錄下。

下面的例子在/etc/httpd目錄下創建一個文件名為passwd_auth的口令文件，并將用戶rhel5添加入認證口令文件。使用以下命令建立口令文件（過程中還會提示輸入該用戶的口令）：

#touchpasswd_auth

#htpasswd-c/etc/httpd/passwd_authrhel5

Newpassword:

Re-typenewpassword:

Addingpasswordforuserrhel5

命令執行的過程中系統會要求用戶為rhel5用戶輸入密碼。上述命令中的-c選項表示無論口令文件是否已經存在，都會重新寫入文件并刪去原有內容。所以在添加第2個用戶到口令文件時，就不需要使用-c選項了，如下命令所示

#htpasswd/etc/httpd/passwd_authtestuser

3．認證和授權使用實例

（1）使用主配置文件配置用戶認證及授權

在本例子中，用戶可以在Apache的主配置文件httpd.conf中加入以下語句建立對目錄/var/www/html/rhel5訪問的用戶認證和授權機制：

<Directory"/var/www/html/rhel5">

AllowOverrideNone

AuthTypeBasic

AuthName"rhel5"

AuthUserFile/etc/httpd/passwd_auth

Requireuserrhel5testuser

</Directory>

在上述例子中，使用了如下指令：

AllowOverride：該選項定義了不使用.htaccess文件。

AuthTypeBasic：AuthType選項定義了對用戶實施認證的類型，最常用的是由mod_auth提供的Basic。

AuthName：定義了Web瀏覽器顯示輸入用戶/密碼對話框時的領域內容。

AuthUserFile：定義了口令文件的路徑，即使用htpasswd建立的口令文件。

Requireuser：定義了允許哪些用戶訪問，各用戶之間用空格分開。

需要注意的是：在AuthUserFile選項定義中，還需要使用如下語句事先建立認證用戶patterson和testuser，該選項中的定義才能生效：

#htpasswd-c/etc/httpd/passwd_authrhel5

#htpasswd/etc/httpd/passwd_authtestuser

（2）使用.htaccess文件配置用戶認證和授權

在本例子中，為了完成如上述例子同樣的功能，需要先在主配置文件中加入如下語句：

<Directory“/var/www/html/rhel5”>

AllowOverrideAuthConfig

</Directory>

上述語句中的AllowOverride選項允許在.htaccess文件中使用認證和授權指令。

然后，在.htaccess文件中添加如下語句即可：

AuthTypeBasic

AuthName"PleaseLogin:"

AuthUserFile/etc/httpd/passwd_auth

Requireuserrhel5testuser

同理，在AuthUserFile選項定義中，還需要使用如下語句事先建立認證用戶patterson和testuser，該選項中的定義才能生效：

#htpasswd-c/etc/httpd/passwd_authrhel5

#htpasswd/etc/httpd/passwd_authtestuser

服務器租用/服務器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質保障！--億恩科技[ENKJ.COM]