Apache Web服務器安全設置注意事項

HTTP拒絕服務攻擊

　　攻擊者通過某些手段使服務器拒絕對http應答,這使Apache對系統資源(cup時間與內存)需求巨增,最終造成系統變慢甚至完全癱瘓,Apache服務器最大的缺點是,它的普遍性使它成為眾矢之的,Apache服務器無時無刻不受到DoS攻擊威脅,主要有下邊幾種 

1.數據包洪水攻擊 
一種中斷服務器或本地網絡的方法是數據包洪水攻擊,它通常使用internet控制報文協議(ICMP,屬於網絡層協議)包或是udp包,在最簡單的形式下,這些攻擊都是使服務器或網絡負載過重,這意味這攻擊者的網絡速度必須比目標主機網絡速度要快,使用udp包的優勢是不會有任何包返回到黑客的計算機(udp效率要比tcp高17倍),而使用ICMP包的優勢是攻擊者能讓攻擊更加富與變化,發送有缺陷的包會搞亂並鎖住受害者的網絡,目前流行的趨勢是攻擊者欺騙服務器,讓其相信正在受來自自身的洪水攻擊. 

2.磁盤攻擊 
這是一種很不道德的攻擊,它不僅影響計算機的通信,還破壞其硬件,偽造的用戶請求利用寫命令攻擊目標計算機硬盤,讓其超過極限,並強制關閉,結局很悲慘. 

3.路由不可達 
通常DoS攻擊,集中在路由器上,攻擊者首先獲得控制權並操縱目標機器,當攻擊者能更改路由表條目時候,會導致整個網絡無法通信,這種攻擊很陰險,隱蔽,因為網絡管理員需要排除的網絡不通原因很多,其中一些原因需要詳細分辨. 

4.分布式拒絕服務攻擊 
這也是最具有威脅的DDoS攻擊,名稱很容易理解,簡單說就是群歐,很多客戶機同時單條服務器,你會發現你將傷痕累累,Apache服務器特別容易受到攻擊,無論是DDos還是隱藏來源的攻擊,因為Apache無處不在,特別是為Apache特意打造的病毒(特選SSL蠕蟲),潛伏在許多主機上,攻擊者通過病毒可以操縱大量被感染的機器,對特定目標發動一次浩大的DDoS攻擊,通過將蠕蟲散播到大量主機,大規模的點對點攻擊得以進行,除非你不提供服務,要不然幾乎無法阻止這樣的攻擊,這種攻擊通常會定位到大型的網站上. 

5.緩沖區溢出 
這種攻擊很普遍,攻擊者利用CGI程序編寫一些缺陷程序偏離正常的流程,程序使用靜態的內存分配,攻擊者就可以發送一個超長的請求使緩沖區溢出,比如,一些perl編寫的處理用戶請求的網關腳本,一但緩沖區溢出,攻擊者就可以執行惡意指令. 

6.非法獲取root權限 
如果Apache以root權限運行,系統上一些程序的邏輯缺陷或緩沖區溢出漏洞,會讓攻擊者很容易在本地系統獲取linux服務器上的管理者權限,在一些遠程情況下,攻擊者會利用一些以root身份執行的有缺陷的系統守護進程來取得root權限,或利用有缺陷的服務進程漏洞來取得普通用戶權限,以遠程登陸,進而控制整個系統. 

　　這邊這些都是服務將會遇到的攻擊手段,下邊來說,如何打造安全的Apache服務器,如果你能遵守下邊這些建議,那麼你將得到一台相對安全的apache服務器.

一：勤打補丁