Web安全與防護(hù) （微課版） 課件 08-1 項(xiàng)目八 任務(wù)一 生產(chǎn)環(huán)境搭建；08-2 項(xiàng)目八 任務(wù)二 Apache安全配置

項(xiàng)目八安全的應(yīng)用發(fā)布Web安全與防護(hù)本任務(wù)要點(diǎn)學(xué)習(xí)目標(biāo)生產(chǎn)環(huán)境搭建熟悉LAMP環(huán)境的快速搭建方法。熟悉部署博客管理系統(tǒng)的方法。能夠快速搭建LAMP環(huán)境。能夠進(jìn)行博客管理系統(tǒng)的部署。任務(wù)一生產(chǎn)環(huán)境搭建目錄CONTENTS01/LAMP環(huán)境的快速搭建02/部署博客管理系統(tǒng)LAMP環(huán)境的快速搭建01LAMP是指Linux（操作系統(tǒng)）+Apache（HTTP服務(wù)器）+MySQL（數(shù)據(jù)庫(kù)）和PHP（網(wǎng)絡(luò)編程語(yǔ)言），一般用來(lái)建立web應(yīng)用平臺(tái)。和Java/J2EE架構(gòu)相比，LAMP具有Web資源豐富、輕量、快速開(kāi)發(fā)等特點(diǎn)；與微軟的.NET架構(gòu)相比，LAMP具有通用、跨平臺(tái)、高性能、低價(jià)格的優(yōu)勢(shì)。因此LAMP無(wú)論是性能、質(zhì)量還是價(jià)格都是企業(yè)搭建網(wǎng)站的首選平臺(tái)。中文官網(wǎng)下載系統(tǒng)鏡像：/downloadLAMP環(huán)境的快速搭建01由于我們希望將博客管理系統(tǒng)部署在生產(chǎn)環(huán)境服務(wù)器中，因此在下載頁(yè)面，我們選擇服務(wù)器版：中文官網(wǎng)下載系統(tǒng)鏡像：/download注：若您的服務(wù)器非X86架構(gòu)，那么可以在下載頁(yè)面選擇其他架構(gòu)的鏡像進(jìn)行下載LAMP環(huán)境的快速搭建01下載好Ubuntu服務(wù)器版的鏡像后，我們需要準(zhǔn)備一個(gè)U盤來(lái)制作啟動(dòng)盤（注意！制作啟動(dòng)盤將格式化U盤，在此之前請(qǐng)妥善處理U盤中的數(shù)據(jù)），另外我們還需要一個(gè)制作系統(tǒng)啟動(dòng)U盤的工具——Ventoy。訪問(wèn)Ventoy官網(wǎng)：/cn/index.htmlLAMP環(huán)境的快速搭建01選擇下載欄目，在頁(yè)面中選擇對(duì)應(yīng)平臺(tái)的安裝包，這里我們選擇windows平臺(tái)的安裝包進(jìn)行下載：訪問(wèn)Ventoy官網(wǎng)：/cn/index.htmlLAMP環(huán)境的快速搭建01將壓縮包解壓后，直接執(zhí)行Ventoy2Disk.exe，如下圖所示，選擇對(duì)應(yīng)的移動(dòng)介質(zhì)，再點(diǎn)擊安裝按鈕即可：訪問(wèn)Ventoy官網(wǎng)：/cn/index.htmlLAMP環(huán)境的快速搭建01將已制作好的啟動(dòng)U盤插入到服務(wù)器上的USB接口，根據(jù)主板廠商的不同，按照對(duì)應(yīng)的方法選擇U盤引導(dǎo)啟動(dòng)（具體方法請(qǐng)參考對(duì)應(yīng)型號(hào)主板的參考資料，在此不進(jìn)行詳細(xì)描述），在引導(dǎo)界面選擇“ubuntu-20.04.4-live-server-amd64.iso”，接著選擇“normalmode”，接下來(lái)我們將進(jìn)入到Ubuntu的安裝界面：LAMP環(huán)境的快速搭建01選擇鍵盤布局，英文鍵盤對(duì)許多用戶來(lái)說(shuō)都具有更強(qiáng)的普適性。LAMP環(huán)境的快速搭建01Ubuntu安裝程序現(xiàn)在顯示它已在服務(wù)器上檢測(cè)到哪個(gè)網(wǎng)卡。自動(dòng)分配的網(wǎng)絡(luò)設(shè)備名稱為ens33。已通過(guò)DHCP自動(dòng)分配了IPv4地址。安裝基本系統(tǒng)后，我將在以后將其更改為固定IP地址。如果你的網(wǎng)絡(luò)沒(méi)有DHCP服務(wù)器，那么你現(xiàn)在可以通過(guò)選擇網(wǎng)卡來(lái)輸入固定的IP地址。LAMP環(huán)境的快速搭建01現(xiàn)在，你可以設(shè)置代理服務(wù)器地址，以訪問(wèn)互聯(lián)網(wǎng)需要代理。如果你不需要代理，選擇“完成”進(jìn)入下一步安裝在這里，你可以選擇從中下載Ubuntu鏡像服務(wù)器更新和安裝文件。國(guó)外鏡像源國(guó)內(nèi)訪問(wèn)較慢，可以設(shè)置為/ubuntu/，也就是阿里云的鏡像源。LAMP環(huán)境的快速搭建01Ubuntu服務(wù)器安裝程序現(xiàn)在顯示在服務(wù)器中檢測(cè)到的硬分叉。安裝磁盤在/dev/sda上為40GBHD。我將選擇使用整個(gè)磁盤進(jìn)行Ubuntu安裝。如果你需要由多個(gè)分區(qū)組成的自定義布局，請(qǐng)選擇“自定義布局”，然后根據(jù)需要?jiǎng)?chuàng)建分區(qū)。LAMP環(huán)境的快速搭建01安裝程序?qū)⒃谙旅骘@示默認(rèn)存儲(chǔ)配置。它包含一個(gè)1MB的bios_grub分區(qū)以及一個(gè)包含操作系統(tǒng)安裝的大分區(qū)。選擇“完成”進(jìn)入下一個(gè)屏幕。LAMP環(huán)境的快速搭建01接著設(shè)置用戶密碼等，需要注意，為了使操作系統(tǒng)的安全性得到保障，我們應(yīng)該盡量設(shè)置復(fù)雜不易猜解的密碼。LAMP環(huán)境的快速搭建01作為L(zhǎng)inux服務(wù)器，我們?cè)谕瓿煞?wù)器的部署后，將不會(huì)長(zhǎng)期通過(guò)顯示器、鍵盤、鼠標(biāo)接入服務(wù)器進(jìn)行使用，更多的操作是使用SSH通過(guò)網(wǎng)絡(luò)進(jìn)行管理。在此步驟中，Ubuntu安裝程序可以直接安裝SSH服務(wù)器。選中“安裝OpenSSH服務(wù)器”復(fù)選框，然后繼續(xù)下一步。LAMP環(huán)境的快速搭建01在此步驟中，你可以通過(guò)Snap安裝程序預(yù)安裝常用服務(wù)。我這里沒(méi)有選擇任何服務(wù)，因?yàn)闆](méi)有我們需要的LAMP中的組件。我們可以在安裝完成后通過(guò)apt或snap安裝所需的服務(wù)LAMP環(huán)境的快速搭建01Ubuntu安裝成功完成。選擇“重新啟動(dòng)”將服務(wù)器啟動(dòng)到全新安裝的UbuntuServer20.04系統(tǒng)中。LAMP環(huán)境的快速搭建01進(jìn)入系統(tǒng)，輸入安裝時(shí)設(shè)置的賬號(hào)密碼，即可進(jìn)入終端界面：LAMP環(huán)境的快速搭建01安裝Apache服務(wù)器Ubuntu默認(rèn)使用APT包管理工具進(jìn)行軟件的下載自動(dòng)安裝，進(jìn)入服務(wù)器終端后，我們使用APT下載Apache服務(wù)器軟件，執(zhí)行：sudoapt-getinstallapache2我們可以通過(guò)執(zhí)行：apache2-V，來(lái)確認(rèn)Apache是否安裝成功，如下輸出Apache的版本信息等內(nèi)容即表示安裝成功設(shè)置Apache服務(wù)器開(kāi)機(jī)自啟，執(zhí)行：sudosystemctlenableapache2LAMP環(huán)境的快速搭建01到此，安裝Apache的工作已經(jīng)結(jié)束，我們執(zhí)行：sudoserviceapache2start，開(kāi)啟Apache服務(wù)，通過(guò)一臺(tái)客戶端主機(jī)打開(kāi)瀏覽器，訪問(wèn)服務(wù)器IP地址的80端口來(lái)確認(rèn)Apache服務(wù)的工作狀態(tài)。LAMP環(huán)境的快速搭建01安裝PHP環(huán)境在終端中執(zhí)行：sudoapt-getinstallphp通過(guò)執(zhí)行：php-v，來(lái)確認(rèn)PHP的安裝情況LAMP環(huán)境的快速搭建01安裝MySQL數(shù)據(jù)庫(kù)在終端中執(zhí)行：sudoapt-getinstallmysql-server通過(guò)執(zhí)行：php-v，來(lái)確認(rèn)PHP的安裝情況執(zhí)行：sudosystemctlenablemySQL，使MySQL數(shù)據(jù)庫(kù)開(kāi)機(jī)自啟。當(dāng)前版本的MySQL默認(rèn)通過(guò)Linux的root用戶可以直接本地免密登錄，因此我們要進(jìn)入數(shù)據(jù)庫(kù)需要執(zhí)行：sudomySQL來(lái)進(jìn)入數(shù)據(jù)庫(kù)：部署博客管理系統(tǒng)02上傳源碼WindTerm官網(wǎng)下載鏈接：https://kingtoolbox.github.io/download/WindTerm不僅開(kāi)源免費(fèi)，還支持多平臺(tái)（Windows、Linux、macOS），其性能更是優(yōu)于同類型的其他軟件，更快地速度和更低的占用也是本書(shū)推薦的重要原因部署博客管理系統(tǒng)02上傳源碼連接至將WindTerm左側(cè)的“文件管理器”切換路徑到Apache的網(wǎng)站根目錄/home/ubuntu下，再將開(kāi)發(fā)完成的博客管理系統(tǒng)的源代碼文件夾拖動(dòng)到“文件管理器”中。上傳成功后，將目錄移動(dòng)到網(wǎng)站根目錄下：sudomv~/blog/var/www/html/部署博客管理系統(tǒng)02創(chuàng)建數(shù)據(jù)庫(kù)博客管理系統(tǒng)的安裝指南，接下來(lái)我只需要按照安裝指南進(jìn)行配置即可；首先打開(kāi)MySQL數(shù)據(jù)庫(kù)新建一個(gè)庫(kù)，我們?nèi)∶麨閎log。將網(wǎng)站根目錄下backup目錄下的數(shù)據(jù)庫(kù)文件導(dǎo)入blog庫(kù)中。部署博客管理系統(tǒng)02創(chuàng)建數(shù)據(jù)庫(kù)進(jìn)入MySQL中新建一個(gè)低權(quán)限的數(shù)據(jù)庫(kù)用戶，專供網(wǎng)站業(yè)務(wù)使用。（注意設(shè)置復(fù)雜密碼，并且只允許本地登錄）。修改inc目錄下的config.inc.php網(wǎng)站配置文件，根據(jù)代碼中的注釋填寫數(shù)據(jù)庫(kù)連接信息。部署博客管理系統(tǒng)02訪問(wèn)網(wǎng)站，成功訪問(wèn)到博客管理系統(tǒng)至此，博客管理系統(tǒng)的部署的工作就全部完成了。課堂實(shí)踐一、任務(wù)名稱：搭建生產(chǎn)環(huán)境二、任務(wù)內(nèi)容：搭建博客系統(tǒng)的生產(chǎn)環(huán)境，包括Ubuntu操作系統(tǒng)、Apache服務(wù)器、MySQL數(shù)據(jù)庫(kù)、PHP開(kāi)發(fā)環(huán)境三、工具需求：瀏覽器、Vmware、Ubuntu、Apache、Ventoy、MySQL、PHP四、任務(wù)要求：完成實(shí)踐練習(xí)后，由老師檢查完成情況。課堂思考一、主流的Linux系統(tǒng)有哪些發(fā)行版？二、業(yè)界常用的WEB中間件有哪些？三、有哪些我國(guó)自主研發(fā)的國(guó)產(chǎn)數(shù)據(jù)庫(kù)系統(tǒng)？四、WEB中間件的工作原理是什么？課后拓展：國(guó)產(chǎn)操作系統(tǒng)請(qǐng)同學(xué)們通過(guò)互聯(lián)網(wǎng)檢索國(guó)產(chǎn)操作系統(tǒng)的相關(guān)資料，了解并體驗(yàn)相關(guān)操作系統(tǒng)，提交word文檔或PPT，下節(jié)課會(huì)抽點(diǎn)部分同學(xué)上來(lái)給大家分享一下自己了解到的國(guó)產(chǎn)操作系統(tǒng)的案例。THANK

YOUToBeContinued項(xiàng)目八

安全的應(yīng)用發(fā)布Web安全與防護(hù)本任務(wù)要點(diǎn)學(xué)習(xí)目標(biāo)配置Apache的安全配置項(xiàng)以滿足安全需求。熟悉Apache禁止目錄瀏覽的配置方法。熟悉Apache隱藏服務(wù)器banner信息的配置方法。熟悉Apache配置網(wǎng)站腳本解析規(guī)則的配置方法。熟悉Apache配置自定義錯(cuò)誤頁(yè)面的配置方法。任務(wù)二Apache安全配置目錄CONTENTS01/禁止目錄瀏覽02/隱藏服務(wù)器banner信息03/配置網(wǎng)站腳本解析規(guī)則04/自定義錯(cuò)誤頁(yè)面禁止目錄瀏覽01默認(rèn)情況下，Apache服務(wù)器在網(wǎng)站路徑下沒(méi)有默認(rèn)索引文件（index.html或inedx.php）時(shí)，會(huì)將網(wǎng)站的目錄結(jié)構(gòu)直接返回給瀏覽器，訪問(wèn)者可以直接觀看到網(wǎng)站的目錄結(jié)構(gòu)對(duì)于Apache的目錄遍歷這個(gè)問(wèn)題，我們可以通過(guò)修改Apache的配置文件來(lái)進(jìn)行加固，Ubuntu中Apache的配置文件路徑位于：/etc/apache2/apache2.conf，我們可以定位到配置文件中的如下位置禁止目錄瀏覽01其中OptionsIndexesFollowSymLinks，修改為Options–Indexes+FollowSymLinks，然后執(zhí)行：sudoserviceapache2restart，重啟Apache，再次使用瀏覽器訪問(wèn)目錄，服務(wù)器響應(yīng)403，顯示沒(méi)有權(quán)限隱藏服務(wù)器banner信息02當(dāng)我們?cè)谠L問(wèn)Apache服務(wù)器時(shí)，默認(rèn)情況下，在HTTP的響應(yīng)報(bào)文中，我們能從響應(yīng)報(bào)文的頭部發(fā)現(xiàn)一個(gè)叫Server的字段中帶有詳細(xì)的服務(wù)器種類及版本信息，通過(guò)F12查看在服務(wù)器響應(yīng)404/403等響應(yīng)碼時(shí)的瀏覽器頁(yè)面也會(huì)顯示具體的服務(wù)器軟件的版本信息隱藏服務(wù)器banner信息02對(duì)該安全風(fēng)險(xiǎn)進(jìn)行加固，首先打開(kāi)Apache的安全配置文件：/etc/apache2/conf-enabled/security.conf，修改其中的兩行配置為ServerTokensProdServerSignatureoff接著重啟Apache，在通過(guò)瀏覽器訪問(wèn)網(wǎng)站，查看響應(yīng)，提示所請(qǐng)求資源不存在配置網(wǎng)站腳本解析規(guī)則03Apache中規(guī)定會(huì)把哪些文件當(dāng)做PHP腳本進(jìn)行解析的配置文件位于：/etc/apache2/mods-enabled/php7.4.conf重點(diǎn)關(guān)注如下片段：<FilesMatch“.+\.ph(ar|p|tml)$”> SetHandlerapplication/x-httpd-php</FilesMatch>配置網(wǎng)站腳本解析規(guī)則03上述配置項(xiàng)通過(guò)正則表達(dá)式規(guī)定了，以.phar、.php、.phtml三種后綴結(jié)尾的文件都會(huì)被當(dāng)作php腳本進(jìn)行解析！而在這之中，我們大多數(shù)人只會(huì)用到php為了進(jìn)行測(cè)試，我們?cè)诰W(wǎng)站根目錄下創(chuàng)建一個(gè)名為test.phtml的文件，內(nèi)容為：<?phpphpinfo();使用瀏覽器訪問(wèn)該文件，發(fā)現(xiàn)我們創(chuàng)建的文件被正常解析了配置網(wǎng)站腳本解析規(guī)則03規(guī)避這項(xiàng)安全風(fēng)險(xiǎn)，將解析規(guī)則部分修改為：<FilesMatch“.+\.php$”> SetHandlerapplication/x-httpd-php</FilesMatch>重啟Apache后，我們?cè)俅问褂脼g覽器訪問(wèn)test.phtml文件可以發(fā)現(xiàn)phtml文件已經(jīng)無(wú)法正常解析了，那么這樣修改之后，Apache將只會(huì)把php文件當(dāng)做腳本解析了。自定義錯(cuò)誤頁(yè)面04在用戶訪問(wèn)網(wǎng)站出錯(cuò)、找不到頁(yè)面時(shí)，會(huì)出現(xiàn)HTTP404,403錯(cuò)誤信息，為了提高用戶體驗(yàn)，我們需要自定義404、403錯(cuò)誤頁(yè)面U