《網(wǎng)絡(luò)系統(tǒng)安全運(yùn)行與維護(hù)》課件項(xiàng)目五 任務(wù)三 加強(qiáng)Linux系統(tǒng)Web服務(wù)的安全防御

網(wǎng)絡(luò)系統(tǒng)安全運(yùn)行與維護(hù)項(xiàng)目五Linux服務(wù)器系統(tǒng)安全運(yùn)行與維護(hù)項(xiàng)目主要內(nèi)容：任務(wù)一

加強(qiáng)Linux系統(tǒng)DNS服務(wù)的安全防御任務(wù)二

加強(qiáng)Linux系統(tǒng)DHCP服務(wù)的安全防御任務(wù)三

加強(qiáng)Linux系統(tǒng)Web服務(wù)的安全防御任務(wù)四

加強(qiáng)Linux系統(tǒng)FTP服務(wù)的安全防御任務(wù)五

使用防火墻模塊提升Linux服務(wù)器的安全防御任務(wù)提出

在網(wǎng)絡(luò)中部署Web服務(wù)器，不但可以為內(nèi)網(wǎng)用戶提供Web服務(wù)，而且可以為Internet用戶提供Web服務(wù)，但也給網(wǎng)絡(luò)帶來很大的安全隱患，如竊取敏感信息、進(jìn)行漏洞攻擊及獲取Web服務(wù)進(jìn)程的權(quán)限等。為了保障Web服務(wù)器安全運(yùn)行，需要對(duì)Web服務(wù)器進(jìn)行安全配置，具體任務(wù)如下：1.對(duì)Web服務(wù)器進(jìn)行安全配置

對(duì)Web服務(wù)器軟件Apache進(jìn)行基本安全配置、中級(jí)安全配置、高級(jí)安全配置。2.使用SSL加強(qiáng)Web服務(wù)器通信安全

使用SSL加密機(jī)制加密網(wǎng)絡(luò)通信內(nèi)容，防止信息泄露。任務(wù)分析1.對(duì)Web服務(wù)器進(jìn)行安全配置Apache服務(wù)器是Internet上應(yīng)用最為廣泛的Web服務(wù)器軟件之一。Apache服務(wù)器源自美國(guó)國(guó)家超級(jí)計(jì)算技術(shù)應(yīng)用中心（NationalCenterforSupercomputingApplications，NCSA)Web服務(wù)器項(xiàng)目，目前已在Internet中占據(jù)了領(lǐng)導(dǎo)地位。Apache服務(wù)器經(jīng)過精心配置之后，才能適應(yīng)高負(fù)荷、大吞吐量的Internet訪問請(qǐng)求。具有快速、可靠、簡(jiǎn)單的API擴(kuò)展，且完全免費(fèi)，源代碼完全開放，方便人們?cè)L問Web服務(wù)器。但Apache服務(wù)器也存在安全缺陷，主要有：

（1）使用HTTP進(jìn)行的拒絕服務(wù)攻擊。

（2）緩沖區(qū)溢出的安全缺陷。

（3）被攻擊者獲得root權(quán)限的安全缺陷。對(duì)Apache進(jìn)行安全配置，主要包括以下方面：（1）隱藏Apache的版本號(hào)及其他敏感信息。（2）確保Apache以其自身的用戶帳號(hào)和組運(yùn)行。（3）確保Web根目錄之外的文件沒有提供服務(wù)。（4）關(guān)閉目錄瀏覽。（5）關(guān)閉Includes。（6）關(guān)閉CGI執(zhí)行程序。（7）禁止Apache遵循符號(hào)鏈接。（8）關(guān)閉多重選項(xiàng)。（9）關(guān)閉對(duì).htaccess文件的支持。（10）運(yùn)行mod_security。知識(shí)鏈接：.htaccess文件(或者“分布式配置文件”）提供了針對(duì)目錄改變配置的方法，即在一個(gè)特定的文檔目錄中放置一個(gè)包含一個(gè)或多個(gè)指令的文件，以作用于此目錄及其所有子目錄。.htaccess文件是Apache服務(wù)器中的一個(gè)配置文件，它負(fù)責(zé)相關(guān)目錄下的網(wǎng)頁配置。通過.htaccess文件，可以幫我們實(shí)現(xiàn)：網(wǎng)頁301重定向、自定義404錯(cuò)誤頁面、改變文件擴(kuò)展名、允許/阻止特定的用戶或者目錄的訪問、禁止目錄列表、配置默認(rèn)文檔等功能。2.使用SSL加強(qiáng)Web服務(wù)器通信安全SSL是Apache所支持的安全套接層協(xié)議，提供Internet上的安全交易服務(wù)。通過對(duì)通通信字節(jié)流的加密來防止敏感信息的泄露。由于Apache是由多個(gè)模塊組成的，不同模塊對(duì)應(yīng)不同的功能，Apache對(duì)SSL的支持就是通過對(duì)Apache的API擴(kuò)展來實(shí)現(xiàn)的，相當(dāng)于一個(gè)外部模塊，通過與第三方程序結(jié)合提供安全的網(wǎng)絡(luò)溝通。

通過配置SSL服務(wù)，對(duì)網(wǎng)頁通信鏈接進(jìn)行加密，保障Web服務(wù)器通信安全。任務(wù)實(shí)施1.對(duì)Web服務(wù)器進(jìn)行安全配置

操作步驟如下：

步驟1實(shí)驗(yàn)準(zhǔn)備階段，根據(jù)項(xiàng)目一中任務(wù)二知識(shí)點(diǎn)，在VMwareWorkstation中部署兩臺(tái)RedHatEnterpriseLinux6.4系統(tǒng)虛擬機(jī)server和PC，兩個(gè)虛擬機(jī)的IP地址規(guī)劃如表所示，并將兩臺(tái)虛擬機(jī)實(shí)現(xiàn)網(wǎng)絡(luò)連通。設(shè)備名稱設(shè)備角色操作系統(tǒng)IP地址serverWeb服務(wù)器RedHatLinux6.4/24PC客戶端RedHatLinux6.40/24步驟2在server上安裝Apache。（1）安裝Apache。①安裝并開啟Apache。[root@linuxA~]#yumlist|grephttpdhttpd.i6862.2.15-26.el6@anaconda-RedHatEnterpriseLinux-201301301449.i386/6.4httpd-tools.i6862.2.15-26.el6@anaconda-RedHatEnterpriseLinux-201301301449.i386/6.4httpd-devel.i6862.2.15-26.el6basehttpd-manual.noarch2.2.15-26.el6base[root@linuxA~]#yum-yinstallhttpd[root@linuxA~]#systemctlstarthttpd[root@linuxA~]#ps-ef|grephttpd②在客戶端測(cè)試Web服務(wù)。

在PC端打開Web瀏覽器，輸入服務(wù)器的IP地址或DNS名稱，顯示測(cè)試網(wǎng)頁，如圖1所示。圖1若無法顯示，需要關(guān)閉防火墻和selinux（2）Apache基本配置。①在server上創(chuàng)建測(cè)試網(wǎng)頁。②重新啟動(dòng)Apache服務(wù)。[root@linuxA~]#echo"Thisisatestwebpage">/var/www/html/index.html[root@linuxA~]#systemctlrestarthttpd④在客戶端測(cè)試Web服務(wù)。

在計(jì)算機(jī)上打開Web瀏覽器，輸入服務(wù)器的IP地址，顯示如圖2所示結(jié)果。圖2步驟3Apache基本安全配置。確保Apache以其自身的用戶帳號(hào)和組運(yùn)行。

某些Apache安裝過程中使服務(wù)器以nobody帳戶運(yùn)行，假定Apache和郵件服務(wù)器都是以nobody的帳戶運(yùn)行，那么通過Apache發(fā)起的攻擊就可能同時(shí)攻占郵件服務(wù)器，反之通過郵件服務(wù)器發(fā)起的攻擊也可能同時(shí)攻占Apache服務(wù)。①確保Apache以其自身的用戶帳號(hào)和組運(yùn)行。[root@linuxA~]#vim/etc/httpd/conf/httpd.conf……UserapacheGroupapache……②顯示運(yùn)行Apache的帳號(hào)和組。[root@linuxA~]#ps-ef|grephttpdroot163131014:43?00:00:00/usr/sbin/httpdapache1631716313014:43?00:00:00/usr/sbin/httpdapache1631816313014:43?00:00:00/usr/sbin/httpdapache1631916313014:43?00:00:00/usr/sbin/httpdapache1632016313014:43?00:00:00/usr/sbin/httpdapache1632116313014:43?00:00:00/usr/sbin/httpdapache1632216313014:43?00:00:00/usr/sbin/httpdapache1632316313014:43?00:00:00/usr/sbin/httpdapache1632416313014:43?00:00:00/usr/sbin/httpdroot163363344014:48pts/000:00:00grephttpd步驟4Apache中級(jí)安全配置。關(guān)閉CGI程序。CGI(CommonGatewayInterface)公共網(wǎng)關(guān)接口，是外部擴(kuò)展應(yīng)用程序與Web服務(wù)器交互的一個(gè)標(biāo)準(zhǔn)接口。CGI技術(shù)是客戶端與服務(wù)器交互的一種方式，根據(jù)CGI標(biāo)準(zhǔn)，編寫外部擴(kuò)展應(yīng)用程序，可以對(duì)客戶端瀏覽器輸入的數(shù)據(jù)進(jìn)行處理，完成客戶端與服務(wù)器的交互操作。簡(jiǎn)言之，CGI就是網(wǎng)站中各種后臺(tái)的程序，該程序可以通過網(wǎng)頁運(yùn)行。不完善的CGI應(yīng)用程序可能成為別人非法進(jìn)入服務(wù)器系統(tǒng)的通道，有可能導(dǎo)致重要的資料被刪除或外泄。

如果不用CGI，那么應(yīng)該把它關(guān)閉，在目錄標(biāo)簽中把選項(xiàng)設(shè)置成None或-ExecCGI，修改配置文件/etc/httpd/conf/httpd.conf，具體操作如下所示。

①編寫一個(gè)CGI測(cè)試腳本。[root@linuxA桌面]#vim/var/www/cgi-bin/hello.cgi#!/usr/bin/perlprint"Content-type:text/plain\n\n";print"HelloWorld.\n"②修改hello.cgi權(quán)限，使其能正確執(zhí)行。③修改配置文件。[root@linuxA桌面]#chmod755/var/www/cgi-bin/hello.cgi[root@linuxA桌面]#vim/etc/httpd/conf/httpd.conf……ScriptAlias/cgi-bin/“/var/www/cgi-bin/"<Directory“/var/www/cgi-bin">……

OptionsExecCGI……</Directory>……LoadModulecgi_modulemodules/mod_cgi.so#cgi相關(guān)模塊LoadModulealias_modulemodules/mod_alias.so#別名相關(guān)模塊在服務(wù)器端，重新啟動(dòng)httpd服務(wù)，使修改后的配置文件生效。[root@linuxA桌面]#systemctlrestarthttpd④客戶端測(cè)試。在PC端瀏覽器中輸入/cgi-bin/hello.cgi，顯示CGI執(zhí)行程序運(yùn)行結(jié)果，如圖3所示。圖3⑤修改配置文件。a.修改httpd配置文件，使得不能運(yùn)行cgi程序。[root@linuxA桌面]#vim/etc/httpd/conf/httpd.conf……#ScriptAlias/cgi-bin/“/var/www/cgi-bin/"<Directory“/var/www/cgi-bin">……

Options-ExecCGI……</Directory>b.在服務(wù)器端，重新啟動(dòng)httpd服務(wù)，使修改后的配置文件生效。c.在PC端瀏覽器中輸入/cgi-bin/hello.cgi，CGI執(zhí)行程序運(yùn)行失敗，如圖10所示。[root@linuxA桌面]#systemctlrestarthttpd圖4（4）關(guān)閉對(duì).htaccess文件的支持。①創(chuàng)建.htaccess文件，不允許0的計(jì)算機(jī)訪問。[root@linuxA桌面]#vim/var/www/.htaccessdenyfrom0

②客戶端第1次測(cè)試。

在PC端瀏覽器中輸入，由于未啟用.htaccess，客戶端可以正常訪問網(wǎng)頁，如圖5所示。圖5③啟用.htaccess。[root@linuxA桌面]#vim/etc/httpd/conf/httpd.conf<Directory/>

AllowOverrideAll……</Directory>…..<Directory"/var/www/html">OptionsIndexesFollowSymLinksAllowOverrideAllOrderallow,denyAllowfromall</Directory>④重新啟動(dòng)http服務(wù)，使配置生效。

⑤客戶端第2次測(cè)試。

在PC端瀏覽器中輸入，啟用.htaccess后，客戶端無法正常訪問網(wǎng)頁，如圖6所示。[root@linuxA桌面]#systemctlrestarthttpd圖6⑥在服務(wù)器端查看日志文件。通過日志可見，服務(wù)器端拒絕了客戶端訪問www文件。[root@linuxA桌面]#tail/var/log/httpd/error_log[TueJul2322:53:202019][notice]caughtSIGTERM,shuttingdown[TueJul2322:53:202019][notice]suEXECmechanismenabled(wrapper:/usr/sbin/suexec)[TueJul2322:53:202019][notice]Digest:generatingsecretfordigestauthentication...[TueJul2322:53:202019][notice]Digest:done[TueJul2322:53:202019][warn]./mod_dnssd.c:Noservicesfoundtoregister[TueJul2322:53:202019][notice]Apache/2.2.15(Unix)DAV/2configured--resumingnormaloperations[TueJul2322:53:252019][error][client0]clientdeniedbyserverconfiguration:/www/⑦修改.htaccess文件，只允許/24網(wǎng)絡(luò)的計(jì)算機(jī)訪問。⑧重新啟動(dòng)http服務(wù)，使配置生效。⑨客戶端第3次測(cè)試。在PC端瀏覽器中輸入，由于.htaccess文件允許客戶端所在網(wǎng)段主機(jī)訪問服務(wù)器，客戶端可以正常訪問網(wǎng)頁，如圖7所示。[root@linuxA/]#vim/var/www/.htaccessallowfrom192.168.159.[root@linuxA桌面]#systemctlrestarthttpd圖7[root@linuxA桌面]#vim/etc/httpd/conf/httpd.conf<Directory/>AllowOverrideNone……</Directory>…..<Directory"/var/www/html">OptionsIndexesFollowSymLinksAllowOverrideNoneOrderallow,denyAllowfromall</Directory>⑩關(guān)閉.htaccess。

在服務(wù)器端重新啟動(dòng)httpd，并在客戶端上進(jìn)行第4次測(cè)試，由于.htaccess已關(guān)閉，客戶端可以正常訪問服務(wù)器網(wǎng)頁，如圖8所示。圖8112.使用SSL加強(qiáng)Web服務(wù)器通信安全

步驟5Apache高級(jí)安全配置（SSL加密）。

（1）安裝mod_ssl模塊。mod_ssl模塊可以提供TLS/SSL（TransportLayerSecurity/SecureSocketsLayer，安全傳輸層/安全套接層）功能，https認(rèn)證通過mod_ssl實(shí)現(xiàn)。

安裝完成后，可以看到mod_ssl的配置文件/etc/httpd/conf.d/ssl.conf。[root@linuxA~]#cd/etc/httpd/conf.d[root@linuxAconf.d]#lsmod_dnssd.confREADMEssl.confwelcome.conf[root@linuxA~]#yum-yinstallmod_ssl（2）創(chuàng)建密鑰和證書申請(qǐng)。創(chuàng)建一個(gè)文件夾，用來存放認(rèn)證證書，然后申請(qǐng)證書。[root@linuxA~]#mkdirca[root@linuxA~]#cdca[root@linuxAca]#opensslreq-new>new.cert.csr//創(chuàng)建證書申請(qǐng)，此時(shí)會(huì)要求輸入國(guó)家、組織、姓名等信息。Generatinga2048bitRSAprivatekey++++++writingnewprivatekeyto'privkey.pem'EnterPEMpassphrase://輸入一個(gè)密碼。Verifying-EnterPEMpassphrase://再次輸入上述密碼。Youareabouttobeaskedtoenterinformationthatwillbeincorporatedintoyourcertificaterequest.WhatyouareabouttoenteriswhatiscalledaDistinguishedNameoraDN.TherearequiteafewfieldsbutyoucanleavesomeblankForsomefieldstherewillbeadefaultvalue,Ifyouenter'.',thefieldwillbeleftblank.CountryName(2lettercode)[XX]:CNStateorProvinceName(fullname)[]:HenanLocalityName(eg,city)[DefaultCity]:ZhengzhouOrganizationName(eg,company)[DefaultCompanyLtd]:zzrvtcOrganizationalUnitName(eg,section)[]:rgznxyCommonName(eg,yournameoryourserver'shostname)[]:EmailAddress[]:a@Pleaseenterthefollowing'extra'attributestobesentwithyourcertificaterequestAchallengepassword[]://輸入一個(gè)密碼。Anoptionalcompanyname[]:（3）從密鑰中刪除私鑰。從PEM證書文件中刪除私鑰，以實(shí)現(xiàn)ssh免密登錄遠(yuǎn)程服務(wù)器。（4）將證書申請(qǐng)轉(zhuǎn)換成簽名證書。[root@linuxAca]#opensslrsa-inprivkey.pem-outnew.cert.key//從密鑰對(duì)里提取出私鑰。Enterpassphraseforprivkey.pem://輸入PEM私鑰密碼。writingRSAkey[root@linuxAca]#opensslx509-innew.cert.csr-outnew.cert.cert-req-signkeynew.cert.key-days1825//生成一個(gè)簽名證書，有效期為1825天。Signatureoksubject=/C=CN/ST=Henan/L=Zhengzhou/O=zzrvtc/OU=rgznxy/CN=/emailAddress=abc@GettingPrivatekey（5）將證書文件new.cert.cert和私鑰new.cert.key文件復(fù)制到適當(dāng)?shù)奈恢?，并進(jìn)行查看。[root@linuxAca]#mkdir-p/etc/httpd/conf/ssl.crt/server.crt[root@linuxAca]#cpnew.cert.cert/etc/httpd/conf/ssl.crt/server.crt[root@linuxAca]#cd/etc/httpd/conf/ssl.crt/server.crt[root@linuxAserver.crt]#lsnew.cert.cert[root@linuxAserver.crt]#catnew.cert.cert圖15[root@linuxAca]#mkdir-p/etc/httpd/conf/ssl.key/server.key[root@linuxAca]#cpnew.cert.key/etc/httpd/conf/ssl.key/server.key[r