Cách bảo mật cho máy chủ web Apache

Bảo mật cho máy chủ web Apache trang này đã được đọc lần Theo thống kê tháng 9 của Netcraft, Apache là máy chủ web được dùng nhiều nhất trên Internet (chiếm đến 64,52% thị phần).
Nội dung trích xuất từ tài liệu:
Cách bảo mật cho máy chủ web ApacheBảo mật cho máy chủ web Apachetrang này đã được đọc lầnTheo thống kê tháng 9 của Netcraft, Apache là máy chủ web đượcdùng nhiều nhất trên Internet (chiếm đến 64,52% thị phần). Tuynhiên, để cấu hình một máy chủ web Apache sao cho bảo mật khôngphải là một chuyện đơn giản và ai cũng có thể làm được. Bài viếtBảo mật cho máy chủ web Apache (Securing Apache: Step-by-Step) do anh hnd dịch sẽ giúp cho việc xây dựng một máy chủ webcó tính an tòan bảo mật cao dễ dàng hơn.Bảo mật Apache: từng bước mộtTác giả: Artur Maj)Chào các fan quan tâm đến bảo mật cho Apache.Tôi quyết định dịch bài này và thêm vào phần Lời bàn và mở rộngcho các đoạn quan trọng trong bài viết, hy vọng phần nào giúp cácbạn ứng dụng những vấn đề này trong môi trường thật sự. Mời cácbạn xem phần thứ nhất.Tài liệu này theo dạng chỉ dẫn từng bước cách cài đặt và chỉnh lýApache 1.3.x web server với mục đích xử lý và phòng tránh cáctrường hợp đột nhập lúc những yếu điểm của chương trình này đượckhám phá.Chức năngTrước khi bắt đầu kiện toàn bảo mật Apache, chúng ta phải xác địnhrõ chức năng cần thiết nào của server sẽ được xử dụng. Tính đanăng của Apache tạo ra những khó khăn để thực hiện một mô thứctổng quát với mục đích kiện toàn bảo mật cho server trong mọitrường hợp có thể được. Ðây là lý do tài liệu này dựa trên các chứcnăng sau:- Web server có thể truy cập từ Internet; và,- Chỉ những trang HTML tĩnh (static HTML pages) sẽ được phục vụ- server hỗ trợ tên miền cho cơ chế dịch vụ ảo- các trang web đã ấn định chỉ có thể truy cập từ các cụm IPaddresses hoặc người dùng (khai báo căn bản)- server sẽ tường trình trọn bộ các thỉnh cầu (bao gồm những thôngtin về các web browsers)Ðiều đáng nhấn mạnh ở đây là mô hình trên không hỗ trợ PHP, JSP,CGI hoặc bất cứ công nghệ nào khác có thể tạo cơ hội tương tác đếncác dịch vụ Web. Ứng dụng cho những công nghệ trên có thể dẫnđến những đe dọa to lớn cho vấn đề bảo mật, dù chỉ là một đoạnscript nhỏ, kín đáo cũng có thể giảm thiểu mức triệt để bảo mật củaserver. Tại sao? trước hết, các ứng trình ASP/CGI có thể chứa nhữngyếu điểm bảo mật (ví dụ SQL injection, cross-site-scripting). Kế tiếp,chính các kỹ nghệ ấy có thể nguy hiểm (các yếu điểm trong PHP, cácmodule của Perl v..v..). Ðó là lý do tại sao tôi mạnh mẽ đề nghị xửdụng những công nghệ ấy chỉ khi nào nhu cầu tương tác với mộtweb site hoàn toàn cần thiết mà thôi.Lời bàn và mở rộng:Việc kiện toàn bảo mật cho một web server liên quan đến nhiều thủthuật ở nhiều mức độ khác nhau. Tác giả chuộng nguyên tắc tốithiểu để giảm thiểu những lỗ hổng bảo mật có thể hiện diện trênmột web server. Lý thuyết mà nói, nguyên tắc này đưa đến nhữngứng dụng và chỉnh định chặt chẽ hơn cho vấn đề bảo mật. Tuynhiên, hoạt tính và nhu cầu làm việc của một web server không thểdừng lại ở khuôn khổ tối thiểu và bị áp đặt trong giới hạn các trangstatic HTML được. Thiết kế một chương trình làm việc cho web vớiyêu cầu đa năng và đa hoạt là một trong những yêu cầu hàng đầu.Một web site chỉ chuyên chú ở khuôn khổ các trang static HTMLkhông những giới hạn tính năng của các trang web này một cáchđáng kể, mà còn sa lầy trên mặt thực dụng và giá trị kinh tế lẫn giáthành xây dựng và bảo trì cho website. Giải pháp tối ưu có lẽ là sựcân bằng giữa kiến thức kiện toàn bảo mật cho web server cộng vớikhả năng thiết kế web một cách khoa học và vững chãi về mặt tínhnăng, hoạt động lẫn mặt giảm thiểu lỗi thiết kế, lỗi lập trình.Một trong những hạn chế hay đúng hơn là lối mòn thường gặp trongcác thiết kế ứng dụng web là việc pha trộn lẫn lộn các phân đoạnlàm việc với nhau. Nói một cách khác, các thiết kế gia và các lậptrình viên không đầu tư đủ thời gian để nghiên cứu, phân tích và ápdụng các mẫu thiết kế hợp lý cho công trình của mình mà thường đithẳng vào bước thực hiện. Các bước đi thẳng thường thiếu độ chínchắn trong bước thiết kế, dẫn đến tính năng hạn hẹp và mở cửa chocác lỗi bảo mật nghiêm trọng. Trên thực tế, sự khác biệt giữa việclàm cho một web site chạy được và làm cho một web site chạy được,chạy có hiệu xuất, có khả năng mở rộng và bảo đảm mật tính làchuyện khác nhau một trời một vực. Thói quen xào nấu các lệnhđiều tác cho một hệ điều hành hoặc các lệnh tương tác đến databasetrực tiếp từ một trang html trần trụi, nhúng các lệnh điều tác vàophp, jsp, asp... là chuyện rất thường gặp. Ðây là một ví dụ điển hìnhcho cái gọi là chạy được nhưng thiếu hiệu xuất, thiếu khả năng mởrộng và mở cửa cho các lỗi bảo mật quan trọng.Vì khuôn khổ bài viết không tiện đi sâu vào các mẫu thiết kế chonhững ứng dụng web, các bạn nên nghiên cứu thêm về những thiếtkế này ở một số URL sau tùy theo công nghệ bạn đang dùng:http://www.object-arts.com/Educatio...erviews/MVC.htmhttp://www.enode.com/x/markup/tutorial/mvc.htmlhttp://www.phppatterns.com/index.ph...cleview/19/1/1/http://www.dmbcllc.com/asp_mvc.aspxhttp://www.jdance.com/jsparchitecture.shtmhttp://ww ...