Thủ thuật sử dụng máy tính: Kiện Toàn Bảo Mật Cho Apache - Phần 2

Tham khảo tài liệu thủ thuật sử dụng máy tính: kiện toàn bảo mật cho apache - phần 2, công nghệ thông tin, tin học văn phòng phục vụ nhu cầu học tập, nghiên cứu và làm việc hiệu quả
Nội dung trích xuất từ tài liệu:
Thủ thuật sử dụng máy tính: Kiện Toàn Bảo Mật Cho Apache - Phần 2 Kiện Toàn Bảo Mật Cho Apache - Phần 2Chỉnh lý ApacheBước đầu tiên là tháo bỏ hồ sơ/chroot/httpd/usr/local/apache/conf/httpd.conf và tạo một hồ sơ mới thaythế vào với nội dung tương tự như sau:Code:# =================================================# Basic settings# =================================================ServerType standaloneServerRoot /usr/local/apachePidFile /usr/local/apache/logs/httpd.pidScoreBoardFile /usr/local/apache/logs/httpd.scoreboardResourceConfig /dev/nullAccessConfig /dev/null# =================================================# Performance settings# =================================================Timeout 300KeepAlive OnMaxKeepAliveRequests 100KeepAliveTimeout 15MinSpareServers 5MaxSpareServers 10StartServers 5MaxClients 150MaxRequestsPerChild 0# =================================================# Apaches modules# =================================================ClearModuleListAddModule mod_log_config.cAddModule mod_mime.cAddModule mod_dir.cAddModule mod_access.cAddModule mod_auth.c# =================================================# General settings# =================================================Port 80User apacheGroup apacheServerAdmin Webmaster@www.ebank.labUseCanonicalName OffServerSignature OffHostnameLookups OffServerTokens Prod DirectoryIndex index.htmlDocumentRoot /www/vhosts# =================================================# Access control# ================================================= Options None AllowOverride None Order deny,allow Deny from all Order allow,deny Allow from all Order allow,deny Allow from all# =================================================# MIME encoding# ================================================= TypesConfig /usr/local/apache/conf/mime.typesDefaultType text/plain AddEncoding x-compress Z AddEncoding x-gzip gz tgz AddType application/x-tar .tgz# =================================================# Logs# =================================================LogLevel warnLogFormat %h %l %u %t \%r %>s %b \%{Referer}i \%{User-Agent}i combinedLogFormat %h %l %u %t \%r %>s %b commonLogFormat %{Referer}i -> %U refererLogFormat %{User-agent}i agentErrorLog /usr/local/apache/logs/error_logCustomLog /usr/local/apache/logs/access_log combined# =================================================# Virtual hosts# =================================================NameVirtualHost * DocumentRoot /www/vhosts/www.ebank.lab ServerName www.ebank.lab ServerAlias www.e-bank.lab ErrorLog logs/www.ebank.lab/error_log CustomLog logs/www.ebank.lab/access_log combined DocumentRoot /www/vhosts/www.test.lab ServerName www.test.lab ErrorLog logs/www.test.lab/error_log CustomLog logs/www.test.lab/access_log combinedCấu hình trên chỉ có những lệnh cần thiết để thoả mãn chức năng hoạt độngvà các trù bị bảo mật. Trong cấu hình đưa ra ở trên có hai hosts ảo đượcWeb server hỗ trợ:- www.ebank.lab (www.e-bank.lab)- www.test.labNội dung của các Web site trên được chứa trong các thư mục:- /chroot/httpd/www/vhosts/www.ebank.lab- /chroot/httpd/www/vhosts/www.test.labMỗi Web site có riêng log files được chứa trong các thư mục:- /chroot/httpd/usr/local/apache/logs/www.ebank.lab- /chroot/httpd/usr/local/apache/logs/www.test.labCác thư mục trên phải được tạo ra trước khi Apache hoạt động lần đầu tiên -nếu không Apache sẽ không làm việc đúng mức. Chủ nhân của các thư mụctrên nên là root:sys, và chủ quyền nên chỉnh thành 0755.So sánh với hồ sơ cấu hình mặc định của Apache, có những thay đổi sau:* Số modules được ứng động đã giảm thiểu đáng kể,* Apache không tiết lộ thông tin version number (phiên bản) (dùng cácdirectives: ServerTokens, ServerSignature),*Các process của Apache (ngoại trừ process của root) được chỉnh định bằngchủ quyền riêng biệt của user/group bình thường (dùng các directives: User,Group),*Apache chỉ cho phép truy cập vào các thư mục, các thư mục con và các hồsơ đã được quy định cụ thể trong hồ sơ cấu hình (dùng các directives:Directory, Allow); mọi requests khác đều bị từ chối theo mặc định,*Apache sẽ log nhiều thông tin hơn với các HTTP requests.Lời bàn và mở rộng:Configuration trên của Artur Maj triển khai theo lối blank paper, có nghĩalà bắt đầu từ trang giấy trắng. Ðây là lối khai triển rất hay cho các config đòihỏi tính bảo mật cao. Lý do: dùng config mặc định có sẵn của Apache sẽ cónhiều cơ hội thiếu sót những điểm quan trọng vì config mặc định củaApache chứa quá nhiều thông tin, mở cửa cho quá nhiều thứ có thể tạo lỗhổng. Ðiều đáng nêu ra là configuration này rất gọn gàng và khoa học chocác phần của cấu hình. Khi cần phải thêm bớt và thay đổi, một cấu hìn ...