Linux操作系統(tǒng)安全配置 課件 項目6　Web服務安全配置

單擊此處編輯母版標題樣式

ApacheWeb配置文件學習內(nèi)容項目需求0102Apache服務器文件和目錄03Apache的模塊管理和支持04總結httpd.conf文件配置項目需求1某公司需要配置WWW服務器實現(xiàn)內(nèi)部網(wǎng)站訪問，使用CentOS7中默認的Apache系統(tǒng)搭建http網(wǎng)絡訪問，Web服務器系統(tǒng)名稱解析要求如下：角色名稱IP地址備注Web服務器www00項目需求1環(huán)境說明：Server安裝CentOS7基礎設施服務器Client安裝CentOS7桌面環(huán)境Server、Client均已配置網(wǎng)絡和主機名Server已關閉防火墻

Apache服務器文件和目錄2WEB站點目錄

描述/var/www

ApacheWEB站點文件的目錄/var/www/html

WEB站點的WEB文件/var/www/cgi-bin

CGI程序文件/var/www/html/manual

ApacheWEB服務器手冊/var/www/htmll/usage

webalizer程序文件

Apache服務器文件和目錄2配置文件/etc/httpd/conf

基于目錄的配置文件，.htaccess文件包含對它所在目錄中文件的訪問控制指令/etc/httpd/conf/httpd.conf

ApacheWEB服務器配置文件目錄/etc/httpd/conf/srm.conf

主要的ApacheWEB服務器配置文件/etc/httpd/conf/access.conf

用來處理文檔規(guī)范，配置文件類型昨未知的老式配置文件

Apache服務器文件和目錄2啟動腳本/etc/rc.d/init.d/httpd

Web服務器守護進程的啟動腳本/etc/rc.d/rc3.d/S85httpd

將運行級目錄（/etc/rc3.d）連接到目錄/etc/rc.d/init.d中的啟動腳本

Apache服務器文件和目錄2應用文件/usr/sbin

ApacheWeb服務器程序文件和應用程序的位置/usr/doc/

ApacheWeb服務器文檔/var/log/http

Apache日志文件的位置

httpd.conf文件配置3舊版中的srm.conf與access.conf文件的內(nèi)容都被整合到了httpd.conf文件中，文件中部分配置作用及要求ServerRoot“/etc/httpd”#ServerRoot:指出服務器保存其配置、出錯和日志文件等的根目錄。路徑的結尾不要添加斜線。

httpd.conf文件配置3DocumentRoot"/var/www/html"#DocumentRoot:你的文檔的根目錄。默認情況下，所有的請求從這個目錄進行應答。但是可以使用符號鏈接和別名來指向到其他的位置。

httpd.conf文件配置3<Directory/>OptionsFollowSymLinksAllowOverrideNone</Directory>#Apache可以存取的每個目錄都可以配置存取權限（包括它的子目錄）。配置一個高限制的特征，這將禁止訪問文件系統(tǒng)所在的目錄，并添加你希望允許訪問的目錄塊。如下所示OrderDeny,AllowDenyfromall

httpd.conf文件配置3VirtualHost:你可以通過設置虛擬主機容器以實現(xiàn)在你的主機上保有多個域名/主機名。大多數(shù)配置信息只使用基于名字的虛擬主機，因此服務器不必擔心IP地址的問題，下面的命令以*號代替虛擬主機名?？梢允褂妹钚羞x項“-S”來檢驗你的虛擬主機配置。

httpd.conf文件配置3NameVirtualHost*<VirtualHost*>ServerAdminwebmaster@DocumentRoot/www/docs/ServerNameErrorLoglogs/-error_logCustomLoglogs/-access_logcommom</virtualHost>虛擬主機示例：幾乎所有的Apache命令都可以在虛擬主機容器中使用

第一個虛擬主機區(qū)是用于向服務名未知的請求進行應答的配置。總結4Apache服務器文件和目錄httpd.conf文件配置單擊此處編輯母版標題樣式

ApacheWeb訪問控制學習內(nèi)容項目需求0102什么是訪問控制03Apache的模塊管理和支持04總結Apache的訪問控制策略項目需求1某公司需要配置WWW服務器實現(xiàn)內(nèi)部網(wǎng)站訪問，使用CentOS7中默認的Apache系統(tǒng)搭建http網(wǎng)絡訪問，Web服務器系統(tǒng)名稱解析要求如下：角色名稱IP地址備注Web服務器www00/24允許項目需求1環(huán)境說明：Server安裝CentOS7基礎設施服務器Client安裝CentOS7桌面環(huán)境Server、Client均已配置網(wǎng)絡和主機名Server已關閉防火墻什么是訪問控制2按用戶身份及其所歸屬的某項定義組來限制用戶對某些信息項的訪問，或限制對某些控制功能的使用的一種技術。訪問控制通常用于系統(tǒng)管理員控制用戶對服務器、目錄、文件等網(wǎng)絡資源的訪問。訪問控制是幾乎所有系統(tǒng)(包括計算機系統(tǒng)和非計算機系統(tǒng))都需要用到的一種技術。訪問控制是:給出一套方法，將系統(tǒng)中的所有功能標識出來，組織起來，托管起來，將所有的數(shù)據(jù)組織起來標識出來托管起來，然后提供一個簡單的唯一的接口，這個接口的一端是應用系統(tǒng)一端是權限引擎。權限引擎所回答的只是:誰是否對某資源具有實施某個動作(運動、計算)的權限。返回的結果只有:有、沒有、權限引擎異常了。什么是訪問控制2實現(xiàn)策略（1）入網(wǎng)訪問控制（2）網(wǎng)絡權限限制（3）目錄級安全控制（4）屬性安全控制（5）網(wǎng)絡服務器安全控制（6）網(wǎng)絡監(jiān)測和鎖定控制（7）網(wǎng)絡端口和節(jié)點的安全控制（8）防火墻控制

Apache的訪問控制策略3Apache的配置文件中提供了基本的訪問控制功能使用下列的語句來實現(xiàn)Orderallow,denyOrder選項用于定義默認的訪問權限與Allow和Deny語句的處理順序。該語句可以針對默認頁面和某個虛擬目錄進行設置必須在<Directory>和</Directory>內(nèi)。Allow和Deny語句可以針對客戶機的域名或IP地址進行設置，以決定哪些客戶機能夠訪問服務器。

Apache的訪問控制策略31.Allow指令

Allow指令影響哪些主機可以訪問服務器的一個區(qū)域。可以用主機名、IP地址、IP地址范圍或者其他環(huán)境變量中捕獲的客戶端請求特性來對訪問進行控制。

Apache的訪問控制策略31.Allow指令

（1）一個域名(部分)

例子：Allowfrom

允許名字與給定字符串匹配或者以該字符串結尾的主機訪問。只有完整的名字組成部分才被匹配，因此上述例子將匹配而不能匹配。這樣的配置將引起服務器執(zhí)行一個對客戶IP地址的反查域名操作而不管HostnameLookups指令是否設置

Apache的訪問控制策略31.Allow指令

（2）完整的IP地址

例子：Allowfrom

允許一個主機的一個IP地址訪問。

Apache的訪問控制策略31.Allow指令

（3）IP地址范圍

①部分IP地址例子：Allowfrom10.1

IP地址的開始1到3個字節(jié)，用于子網(wǎng)限制。②網(wǎng)絡/掩碼例子：Allowfrom/

一個網(wǎng)絡a.b.c.d，和一個掩碼w.x.y.z。用于更精確的子網(wǎng)限制。③網(wǎng)絡/n無內(nèi)別域間路由規(guī)格例子：Allowfrom/16

同前一種情況相似，除了掩碼由n個高位字節(jié)構成。注意以上后三個例子完全匹配同一組主機。

Apache的訪問控制策略31.Allow指令

（4）其他環(huán)境變量

Allow指令的參數(shù)格式允許對服務器的訪問由環(huán)境變量的一個擴展指定。指定Allowfromenv=env-variable時，如果環(huán)境變量env-variable存在則訪問請求被允許。使用由mod_setenvif提供的指令，服務器用一種基于客戶端請求的彈性方式提供了設置環(huán)境變量的能力。因此，這條指令可以用于允許基于像User-Agent(瀏覽器類型)、Referer或者其他Http請求頭字段的訪問。

Apache的訪問控制策略31.Allow指令

例子：

SetEnvIfUser-Agent^KnockKnock/2.0let_me_in

<Directory/docroot>

OrderDeny,Allow

Denyfromall

Allowfromenv=let_me_in

</Directory>這種情況下，發(fā)送以KnockKnock/2.0開頭的用戶代理標示的瀏覽器將被允許訪問，而所有其他瀏覽器將被禁止訪問。

Apache的訪問控制策略32.Deny指令

說明:控制哪些主機被禁止訪問服務器

語法:Denyfromall|host|env=env-variable[host|env=env-variable]...與allow語法類似

Apache的訪問控制策略33.Order指令

說明:控制缺省的訪問狀態(tài)和Allow與Deny指令被評估的順序。

語法:Orderordering

默認值:OrderDeny,Allow

Apache的訪問控制策略33.Order指令

Order指令控制缺省的訪問狀態(tài)和Allow與Deny指令被評估的順序。Ordering是以下幾種范例之一：Deny,Allow

Deny指令在Allow指令之前被評估。缺省允許所有訪問。任何不匹配Deny指令或者匹配Allow指令的客戶都被允許訪問服務器。Allow,Deny

Allow指令在Deny指令之前被評估。缺省禁止所有訪問。任何不匹配Allow指令或者匹配Deny指令的客戶都將被禁止訪問服務器。

Apache的訪問控制策略33.Order指令

Mutual-failure

只有出現(xiàn)在Allow列表并且不出現(xiàn)在Deny列表中的主機才被允許訪問。這種順序與OrderAllow,Deny具有同樣效果，不贊成使用，它包括了哪一種配置。

關鍵字只能用逗號分隔；它們之間不能有空格。注意在所有情況下每個Allow和Deny指令語句都將被評估。

Apache的訪問控制策略3例1：允許所有客戶機訪問Orderallow,denyAllowfromall例2：除了來自hacker域和IP地址為11的客戶機外，允許所有客戶機訪問Orderdeny,allowDenyfromDenyfrom11

Apache的訪問控制策略3例3：僅允許來自網(wǎng)絡/24客戶機的訪問Orderallow,denyAllowfrom/24-------------------------------------Orderdeny,allowAllowfrom/24