(一)安全机制
安全机制 | 说明 | 备注 | |
1 | Apache Web本地文件安全 | 安装后,默认文件属主和权限较为安全合理 |
|
2 | Apache Web模块管理机制 | 采用模块化结构体系,功能配置灵活(启用&禁用) |
|
3 | Apache Web认证机制 | 提供简单方便的用户认证机制 | 参见(二)Apache Web认证机制 |
4 | 连接耗尽应对机制 | 攻击者发起大量http连接,等待超时,达到最大客户连接限制,无法正常访问网站 access_log里会出现大量408错误信息 | ①减少超时Timeout设置、增大MaxClients设置(避免太大爆内存) Timeout 30 MaxClients 256 ②限制同一IP最大连接数。 使用xinetd启动Apache,设置参数per_source(可能性能下降,但源IP真实)。 防火墙限流;通过防火墙或路由器屏蔽攻击源IP ③多线程下载保护机制。 根据User_Agent判断,禁用已知多线程工具 |
5 | Apache Web自带访问机制 | 基于IP地址或域名访问控制是Apache访问授权控制措施 | order deny,allow deny from all allow from pair 192.168.X.0/255.255.255.0 |
6 | Apache Web审计和日志 | Apache提供记录所有访问请求的机制 | 存放access.log(进入)和error.log(错误) |
7 | Apache Web服务器防范DoS | 通过软件Apache DoS Evasive Maneuvers Module来实现防御 | 原理:查询内部一张各子进程Hash表,快速拒绝来自相同地址对同一URL的重复请求 |
(二)Apache Web认证机制
Apache提供了简单用户认证机制。
以下设置/user/local/apache/htdocs/secret访问控制
(1)在配置文件httpd.conf里加入
<Directory "usr/local/apache/htdocs/secret">
options Indexed FollowSymLinks MultiViews
AllowOverride Authconfig
order allow,deny
Allow from all
</Directory>
(2)在/user/local/apache/htdocs/secret目录建立文件.htaccess
AuthName "private"
AuthType Basic
AuthUserFile /usr/local/apache/conf/passwd
Require valid-user # 允许所有合法用户
(3)用Apache提供的htpasswd命令创建用户
#/usr/local/apache/bin/htpasswd -c /usr/local/apache/conf/passwd test