企业级Apache服务器安全防护要点剖析（下）

　　在《企业级Apache服务器安全防护要点剖析(上)》中，我们介绍了两个Apache服务器的安全防护策略，本文将介绍剩下两个策略。

　　策略三：启用Apache自带安全模块保护

　　Apache的一个优势便是其灵活的模块结构，其设计思想也是围绕模块(module)概念而展开的。安全模块是Apache Server中的极其重要的组成部分。这些安全模块负责提供Apache server的访问控制和认证，授权等一系列至关重要的安全服务。

　　Apache下有如下几类与安全相关的模块：

　　mod_access模块能够根据访问者的IP地址(或域名，主机名等)来控制对Apache服务器的访问，称之为基于主机的访问控制。

　　mod_auth模块用来控制用户和组的认证授权(Authentication)。用户名和口令存于纯文本文件中。

　　mod_auth_db和mod_auth_dbm模块则分别将用户信息(如名称、组属和口令等)存于Berkeley-DB及DBM型的小型数据库中，便于管理及提高应用效率。

　　mod_auth_digest模块则采用MD5数字签名的方式来进行用户的认证，但它相应的需要客户端的支持。

　　mod_auth_anon模块的功能和mod_auth的功能类似，只是它允许匿名登录，将用户输入的E-mail地址作为口令。

　　mod_ssl被Apache用于支持安全套接字层协议，提供Internet上安全交易服务，如电子商务中的一项安全措施。通过对通信字节流加密来防止敏感信息的泄漏。但是，Apache这种支持是建立在对Apache的API扩展来实现的，相当于一个外部模块，通过与第三方程序(如openssl)的结合提供安全的网上交易支持。

　　为了能够使用模块功能，模块通常以DSO(Dynamic Shared Object)的方式构建，用户应该在httpd.conf文件中使用LoadModule指令，使得能够在使用前获得模块的功能。下面是主配置文件中各个模块的情况，开启安全模块非常简单，即去掉在各安全模块所在行前的“#”符号即可，如下所示：

　　LoadModule auth_basic_module modules/mod_auth_basic.so

　　LoadModule auth_digest_module modules/mod_auth_digest.so

　　LoadModule authn_file_module modules/mod_authn_file.so

　　LoadModule authn_alias_module modules/mod_authn_alias.so

　　。。。。。。

　　只有将上述安全模块进行开启后，Apache才能实现相应的访问控制和通信加密功能。

　　策略四：访问控制策略设置

　　在开启了相应的安全模块后，还需要对Apache的访问控制策略进行设定。

　　1.认证和授权指令

　　目前，有两种常见的认证类型，基本认证和摘要认证：

　　(1)基本认证(Basic)：使用最基本的用户名和密码方式进行用户认证。

　　(2)摘要认证(Digest)：该认证方式比基本认证要安全得多，在认证过程中额外使用了一个针对客户端的挑战(challenge)信息，可以有效地避免基本认证方式可能遇到的“重放攻击”。值得注意的是：目前并非所有的浏览器都支持摘要认证方式。

　　所有的认证配置指令既可以出现在主配置文件httpd.conf中的Directory容器中，也可以出现在单独的.htaccess文件中，这个可以由用户灵活地选择使用。在认证配置过程中，需要用到如下指令选项：

　　AuthName：用于定义受保护区域的名称。

　　AuthType：用于指定使用的认证方式，包括上面所述的Basic和Digest两种方式。

　　AuthGroupFile：用于指定认证组文件的位置。

　　AuthUserFile：用户指定认证口令文件的位置。

　　使用上述的认证指令配置认证后，需要为Apache服务器的访问对象，也就是指定的用户和组进行相应的授权，以便于他们对Apache服务器提供的目录和文件进行访问。为用户和组进行授权需要使用Require指令，主要可以使用以下三种方式进行授权：

　　授权给指定的一个或者多个用户：使用Require user 用户名1 用户名2 …。

　　授权给指定的一个或者多个组：使用Require group 用户名1 用户名2 …。

　　授权给指定口令文件中的所有用户：使用Require valid-user。

　　2.管理认证口令文件和认证组文件

　　要实现用户认证功能，首先要建立保存用户名和口令的文件。Apache自带的htpasswd命令提供了建立和更新存储用户名、密码的文本文件的功能。需要注意的是，这个文件必须放在不能被网络访问的位置，以避免被下载和信息泄漏。建议将口令文件放在/etc/httpd/目录或者其子目录下。

　　下面的例子在/etc/httpd目录下创建一个文件名为passwd_auth的口令文件，并将用户rhel5添加入认证口令文件。使用以下命令建立口令文件(过程中还会提示输入该用户的口令)：

　　# touch passwd_auth

　　# htpasswd -c /etc/httpd/passwd_auth rhel5

　　New password:

　　Re-type new password:

　　Adding password for user rhel5

　　命令执行的过程中系统会要求用户为rhel5用户输入密码。上述命令中的-c选项表示无论口令文件是否已经存在，都会重新写入文件并删去原有内容。所以在添加第2个用户到口令文件时，就不需要使用-c选项了，如下命令所示

　　# htpasswd /etc/httpd/passwd_auth testuser

　　3.认证和授权使用实例

　　(1)使用主配置文件配置用户认证及授权

　　在本例子中，用户可以在Apache的主配置文件httpd.conf中加入以下语句建立对目录/var/www/html/rhel5访问的用户认证和授权机制：

　　AllowOverride None

　　AuthType Basic

　　AuthName "rhel5"

　　AuthUserFile /etc/httpd/passwd_auth

　　Require user rhel5 testuser

　　在上述例子中，使用了如下指令：

　　AllowOverride：该选项定义了不使用.htaccess文件。

　　AuthType Basic：AuthType选项定义了对用户实施认证的类型，最常用的是由mod_auth提供的Basic。

　　AuthName：定义了Web浏览器显示输入用户/密码对话框时的领域内容。

　　AuthUserFile：定义了口令文件的路径，即使用htpasswd建立的口令文件。

　　Require user：定义了允许哪些用户访问，各用户之间用空格分开。

　　需要注意的是：在AuthUserFile选项定义中，还需要使用如下语句事先建立认证用户patterson和testuser，该选项中的定义才能生效：

　　#htpasswd -c /etc/httpd/passwd_auth rhel5

　　#htpasswd /etc/httpd/passwd_auth testuser

　　(2)使用.htaccess文件配置用户认证和授权

　　在本例子中，为了完成如上述例子同样的功能，需要先在主配置文件中加入如下语句：

　　AllowOverride AuthConfig

　　上述语句中的AllowOverride选项允许在.htaccess文件中使用认证和授权指令。

　　然后，在.htaccess文件中添加如下语句即可：

　　AuthType Basic

　　AuthName "Please Login:"

　　AuthUserFile /etc/httpd/passwd_auth

　　Require user rhel5 testuser

　　同理，在AuthUserFile选项定义中，还需要使用如下语句事先建立认证用户patterson和testuser，该选项中的定义才能生效：

　　#htpasswd -c /etc/httpd/passwd_auth rhel5

　　#htpasswd /etc/httpd/passwd_auth testuser