保持不斷更新和升級

Apache HTTP服務(wù)器有一個很好的安全記錄和一個高度關(guān)注安全問題的開發(fā)社團。但是這仍然不能避免在發(fā)行版中存在或大或小的問題。所以知道這個軟件的版本更新和升級補丁是至關(guān)重要的。如果你是直接從Apache組織得到Apache HTTP服務(wù)器的，我們強烈建議你訂閱Apache HTTP服務(wù)器通告郵件列表以保證能夠在第一時間得知軟件的版本更新和升級補丁。許多第三方Apache軟件發(fā)行版也有類似的服務(wù)。

當(dāng)然，Web服務(wù)器出現(xiàn)的問題在絕大多數(shù)時候不是由Apache源代碼引起的，而是由附加的代碼、CGI腳本、底層操作系統(tǒng)引起的。因此你必須保持機器上所有軟件的及時更新。

ServerRoot目錄的權(quán)限

通常，Apache由root用戶啟動，在提供服務(wù)時切換為由User指令所指定的用戶。正如root所執(zhí)行的任何命令那樣，你必須保證ServerRoot下的文件是受保護的，不允許非root用戶對它修改。不僅文件本身，而且目錄及其父目錄都必須只能由root來改寫。例如，如果將ServerRoot指定為/usr/local/apache ，則推薦以root身份來建立此目錄，如：

這里已經(jīng)假定了"/"、"/usr"、"/usr/local"只能由root來改寫。在安裝httpd可執(zhí)行文件時，應(yīng)該確保它也受到了同樣的保護：

你可以在其中建立htdocs子目錄，該子目錄可以允許其他用戶改寫 -- root不會執(zhí)行其中任何文件，也不應(yīng)該在其中建立文件。

如果允許非root用戶對由root執(zhí)行或讀寫的文件有寫權(quán)限，則會危及系統(tǒng)。比如，別人有可能會覆蓋httpd可執(zhí)行文件，那么下一次啟動時，就會執(zhí)行惡意代碼。如果日志目錄(對非root用戶)是可寫的，別人就有可能用一個指向其他敏感文件的連接來覆蓋日志文件，使那個文件被改寫為雜亂的數(shù)據(jù)。如果日志文件本身(對非root用戶)是可寫的，別人就可能偽造日志。

服務(wù)器端包含

服務(wù)器端包含(SSI)會帶來一些潛在的安全隱患。

首先是增加了服務(wù)器的負載。Apache必須解析所有允許SSI的文件，而無論其中是否包含SSI指令。雖然增加的負載較小，但是在共享服務(wù)器環(huán)境中會變得很顯著。

SSI文件與CGI腳本一樣存在風(fēng)險。使用"exe ccmd"元素，允許SSI的文件可以執(zhí)行任何CGI腳本，以及由httpd.conf設(shè)置的執(zhí)行Apache的用戶或組所允許執(zhí)行的任何程序。

有若干方法可以在得到SSI好處的同時提高SSI文件的安全性。

服務(wù)器管理員可以使用關(guān)于CGI中所描述的suexec ，以隔離野蠻SSI文件所造成的破壞。

對.html或.htm后綴的文件允許SSI是危險的，尤其是在一個共享的或者高流量的服務(wù)器環(huán)境中。被允許SSI的文件應(yīng)該有一個單獨的后綴，比如常規(guī)的.shtml ，使服務(wù)器的負載保持在最低水平，并使風(fēng)險管理更容易。

另一個方案是，關(guān)閉SSI頁面執(zhí)行腳本和程序的功能，即在用Options指令中，用IncludesNOEXEC替換Includes 。注意，用戶仍然可以使用 <--#include virtual="..." -->來執(zhí)行位于ScriptAlias指令指定的目錄中的CGI腳本。

關(guān)于CGI

首先，你不得不信任CGI程序的作者以及你自己發(fā)現(xiàn)CGI中潛在安全漏洞的能力，無論這些漏洞是有預(yù)謀的或者僅僅是意外。CGI腳本可以執(zhí)行web服務(wù)器用戶所允許執(zhí)行的任意系統(tǒng)命令，如果沒有經(jīng)過仔細的檢查，這可能是極其危險的。

由于所有CGI腳本都以相同的身份執(zhí)行，所以可能會和其他腳本(有意或無意地)沖突。比如，用戶A憎恨用戶B，因此他就可能寫一個腳本去破壞用戶B的數(shù)據(jù)庫。suEXEC是一個允許腳本以不同的身份運行的程序，它包含在Apache1.2以后的版本中，并被Apache服務(wù)器代碼中特殊的掛鉤所調(diào)用。還有一種常用的方法是使用CGIWrap 。

未指定為腳本的CGI

僅在下列情況下，可以考慮允許用戶執(zhí)行位于任意目錄中的CGI腳本：

• 你絕對信任用戶不會寫一些有意無意會使系統(tǒng)遭受攻擊的腳本。
• 你認為安全因素與其他因素相比顯得不那么重要，存在一兩個潛在漏洞也無關(guān)緊要。
• 你沒有用戶，而且沒人會來訪問你的服務(wù)器。

指定為腳本的CGI

把CGI集中在特定的目錄中，并由管理員決定其中的內(nèi)容。這樣絕對比使用不作為腳本的CGI來得安全，除非對這些目錄有寫權(quán)限的用戶被信任，或者管理員希望對每個CGI腳本/程序進行潛在安全漏洞測試。

大多數(shù)站點都選擇這種方案，而不使用未指定為腳本的CGI。

其他動態(tài)內(nèi)容的來源

嵌入在Apache中作為模塊運行的腳本解釋器，比如：mod_php, mod_perl, mod_tcl, mod_python 將會使用和Apache一樣的用戶身份運行(參見User指令)，所以被這些模塊執(zhí)行的腳本可能訪問任何Apache服務(wù)器能夠訪問的對象。一些腳本引擎可能提供了某些方面的限制，但是最好在假定他們并不存在的前提下做好安全防護。

系統(tǒng)設(shè)置的保護

為了得到真正嚴密的保護，應(yīng)該禁止用戶使用可能導(dǎo)致安全特性被覆蓋的.htaccess文件，方法是在服務(wù)器配置文件中設(shè)置：

使所有目錄無法使用.htaccess文件，明確指定可以使用的目錄除外。

默認配置下服務(wù)器文件的保護

默認訪問是偶爾會被誤解的Apache特性之一。也就是，除非你采取措施，否則，如果服務(wù)器能夠通過標(biāo)準URL映射規(guī)則找到一個文件，那么就可能把它提供給客戶端。比如下例：

它會允許客戶端遍歷整個文件系統(tǒng)。其解決方法是，在服務(wù)器配置中增加下列指令：

這樣，對文件系統(tǒng)的默認訪問被禁止。而對需要訪問的區(qū)域，可以增加正確的Directory塊，比如：

必須特別注意Location和Directory指令的相互作用，比如，即使<Directory />拒絕訪問，<Location />指令仍然可能推翻其設(shè)置。

還必須留意UserDir指令，此設(shè)置如果類似"./"，則與上述例子有相同的風(fēng)險。如果你使用的是1.3或更高版本，我們強烈建議在服務(wù)器配置文件中包含以下指令：

觀察日志文件

要了解服務(wù)器上發(fā)生了什么，就必須檢查日志文件。雖然日志文件只是記錄已經(jīng)發(fā)生的事件，但是它會讓你知道服務(wù)器遭受的攻擊，并幫助你判斷是否提達到了必要的安全等級。

一些例子：

上例會列出試圖使用Apache Tomcat Source.JSP Malformed Request Information Disclosure Vulnerability的攻擊次數(shù)。下例會列出最后十個被拒絕的客戶端：

可見，日志文件只是記錄已經(jīng)發(fā)生的事件，所以，如果客戶端可以訪問.htpasswd文件，而且在訪問日志中發(fā)現(xiàn)類似如下的記錄：

這可能表示服務(wù)器配置文件中的下列指令已經(jīng)被注解了：