Web安全與防護(hù) （微課版） 課件 08-2 項(xiàng)目八 任務(wù)二 Apache安全配置

項(xiàng)目八

安全的應(yīng)用發(fā)布Web安全與防護(hù)本任務(wù)要點(diǎn)學(xué)習(xí)目標(biāo)配置Apache的安全配置項(xiàng)以滿足安全需求。熟悉Apache禁止目錄瀏覽的配置方法。熟悉Apache隱藏服務(wù)器banner信息的配置方法。熟悉Apache配置網(wǎng)站腳本解析規(guī)則的配置方法。熟悉Apache配置自定義錯(cuò)誤頁(yè)面的配置方法。任務(wù)二Apache安全配置目錄CONTENTS01/禁止目錄瀏覽02/隱藏服務(wù)器banner信息03/配置網(wǎng)站腳本解析規(guī)則04/自定義錯(cuò)誤頁(yè)面禁止目錄瀏覽01默認(rèn)情況下，Apache服務(wù)器在網(wǎng)站路徑下沒有默認(rèn)索引文件（index.html或inedx.php）時(shí)，會(huì)將網(wǎng)站的目錄結(jié)構(gòu)直接返回給瀏覽器，訪問者可以直接觀看到網(wǎng)站的目錄結(jié)構(gòu)對(duì)于Apache的目錄遍歷這個(gè)問題，我們可以通過修改Apache的配置文件來(lái)進(jìn)行加固，Ubuntu中Apache的配置文件路徑位于：/etc/apache2/apache2.conf，我們可以定位到配置文件中的如下位置禁止目錄瀏覽01其中OptionsIndexesFollowSymLinks，修改為Options–Indexes+FollowSymLinks，然后執(zhí)行：sudoserviceapache2restart，重啟Apache，再次使用瀏覽器訪問目錄，服務(wù)器響應(yīng)403，顯示沒有權(quán)限隱藏服務(wù)器banner信息02當(dāng)我們?cè)谠L問Apache服務(wù)器時(shí)，默認(rèn)情況下，在HTTP的響應(yīng)報(bào)文中，我們能從響應(yīng)報(bào)文的頭部發(fā)現(xiàn)一個(gè)叫Server的字段中帶有詳細(xì)的服務(wù)器種類及版本信息，通過F12查看在服務(wù)器響應(yīng)404/403等響應(yīng)碼時(shí)的瀏覽器頁(yè)面也會(huì)顯示具體的服務(wù)器軟件的版本信息隱藏服務(wù)器banner信息02對(duì)該安全風(fēng)險(xiǎn)進(jìn)行加固，首先打開Apache的安全配置文件：/etc/apache2/conf-enabled/security.conf，修改其中的兩行配置為ServerTokensProdServerSignatureoff接著重啟Apache，在通過瀏覽器訪問網(wǎng)站，查看響應(yīng)，提示所請(qǐng)求資源不存在配置網(wǎng)站腳本解析規(guī)則03Apache中規(guī)定會(huì)把哪些文件當(dāng)做PHP腳本進(jìn)行解析的配置文件位于：/etc/apache2/mods-enabled/php7.4.conf重點(diǎn)關(guān)注如下片段：<FilesMatch“.+\.ph(ar|p|tml)$”> SetHandlerapplication/x-httpd-php</FilesMatch>配置網(wǎng)站腳本解析規(guī)則03上述配置項(xiàng)通過正則表達(dá)式規(guī)定了，以.phar、.php、.phtml三種后綴結(jié)尾的文件都會(huì)被當(dāng)作php腳本進(jìn)行解析！而在這之中，我們大多數(shù)人只會(huì)用到php為了進(jìn)行測(cè)試，我們?cè)诰W(wǎng)站根目錄下創(chuàng)建一個(gè)名為test.phtml的文件，內(nèi)容為：<?phpphpinfo();使用瀏覽器訪問該文件，發(fā)現(xiàn)我們創(chuàng)建的文件被正常解析了配置網(wǎng)站腳本解析規(guī)則03規(guī)避這項(xiàng)安全風(fēng)險(xiǎn)，將解析規(guī)則部分修改為：<FilesMatch“.+\.php$”> SetHandlerapplication/x-httpd-php</FilesMatch>重啟Apache后，我們?cè)俅问褂脼g覽器訪問test.phtml文件可以發(fā)現(xiàn)phtml文件已經(jīng)無(wú)法正常解析了，那么這樣修改之后，Apache將只會(huì)把php文件當(dāng)做腳本解析了。自定義錯(cuò)誤頁(yè)面04在用戶訪問網(wǎng)站出錯(cuò)、找不到頁(yè)面時(shí)，會(huì)出現(xiàn)HTTP404,403錯(cuò)誤信息，為了提高用戶體驗(yàn)，我們需要自定義404、403錯(cuò)誤頁(yè)面Ubuntu中需要在/etc/apache2/conf-enabled/localized-errors.conf這個(gè)配置文件中配置自定義錯(cuò)誤頁(yè)面,首先我們先在網(wǎng)站根目錄下創(chuàng)建一個(gè)error_page的目錄用來(lái)存放我們的自定義錯(cuò)誤頁(yè)面推薦大家使用/alexphelps/server-errors，這個(gè)項(xiàng)目提供了一套美觀簡(jiǎn)潔易于使用的專業(yè)錯(cuò)誤頁(yè)面自定義錯(cuò)誤頁(yè)面04保存配置文件后，重啟Apache，再使用瀏覽器訪問，確認(rèn)配置之后的效果至此，自定義錯(cuò)誤頁(yè)面已經(jīng)配置完成，錯(cuò)誤頁(yè)面都會(huì)以統(tǒng)一的模板展示給瀏覽者。課堂實(shí)踐一、任務(wù)名稱：Apache安全配置二、任務(wù)內(nèi)容：對(duì)已搭建的生產(chǎn)環(huán)境中的Apache進(jìn)行安全配置三、工具需求：瀏覽器、Vmware、Apache四、任務(wù)要求：完成實(shí)踐練習(xí)后，由老師檢查完成情況。課堂思考一、Apache作為WEB中間件有哪些優(yōu)勢(shì)？二、除Apache之外還有哪些應(yīng)用廣泛的替代品？三、Apache配置不當(dāng)可能會(huì)造成哪些危害？課后拓展：Apache的歷史漏洞請(qǐng)同學(xué)們通過互聯(lián)網(wǎng)查