开源Apache服务器安全防护技术精要及实战

　　Apache 服务简介

　　Web服务器也称为WWW服务器或HTTP服务器(HTTPServer)，它是Internet上最常见也是使用最频繁的服务器之一，Web服务器能够为用户提供网页浏览、论坛访问等等服务。

　　由于用户在通过Web浏览器访问信息资源的过程中，无须再关心一些技术性的细节，而且界面非常友好，因而Web在Internet上一推出就得到了爆炸性的发展。现在Web服务器已经成为Internet上最大的计算机群，Web文档之多、链接的网络之广，也令人难以想像。因此，Web服务器软件的数量也开始增加，Web服务器软件市场的竞争也越来越激烈。本文所讨论的就是一款最常用的Web服务器软件——Apache。

　　Apache是一个免费的软件，用户可以免费从Apache的官方网站下载。任何人都可以参加其组成部分的开发。Apache允许世界各地的人对其提供新特性。当新代码提交到ApacheGroup后，ApacheGroup对其具体内容进行审查并测试和质量检查。如果他们满意，该代码就会被集成到Apache的主要发行版本中。

　　Apache的其他主要特征有：

　　支持最新的HTTP协议：是最先支持HTTP1.1的Web服务器之一，其与新的HTTP协议完全兼容，同时与HTTP1.0、HTTP1.1向后兼容。Apache还为支持新协议做好了准备。

　　简单而强大的基于文件的配置：该服务器没有为管理员提供图形用户界面，提供了三个简单但是功能异常强大的配置文件。用户可以根据需要用这三个文件随心所欲地完成自己希望的Apache配置。

　　支持通用网关接口（CGI）：采用mod_cgi模块支持CGI。Apache支持CGI/1.1标准，并且提供了一些扩充。

　　支持虚拟主机：是首批既支持IP虚拟主机又支持命名虚拟主机的Web服务器之一。

　　支持HTTP认证：支持基于Web的基本认证。它还有望支持基于消息摘要的认证。

　　内部集成Perl：Perl是CGI脚本编程的事实标准。Apache对Perl提供了良好的支持，通过使用其mod_perl模块，还可以将Perl的脚本装入内存。

　　集成代理服务器：用户还可以选择Apache作为代理服务器。

　　支持SSL：由于版本法和美国法律在进出口方面的限制，Apache本身不支持SSL。但是用户可以通过安装Apache的补丁程序集合（Apache－SSL）使得Apache支持SSL。

　　支持HTTPCookie：通过支持Cookie，可以对用户浏览Web站点进行跟踪。

　　Apache服务面临的网络威胁

　　一般说来，Apache服务器主要面临如下几种网络威胁：

　　使用HTTP协议进行的拒绝服务攻击：攻击者会通过某些手段使服务器拒绝对HTIP应答。这样会使Apache对系统资源（CPU时间和内存）需求巨增，造成Apache系统变慢甚至完全瘫痪，从而引起HTTP服务的中断或者合法用户的合法请求得不到及时地响应；

　　缓冲区溢出攻击：由于Apache源代码完全开放，攻击者就可以利用程序编写的一些缺陷，使程序偏离正常流程。程序使用静态分配的内存保存请求数据，攻击者就可以发送一个超长请求使缓冲区溢出，从而导致缓冲区溢出攻击；

　　被攻击者获得root权限，威胁系统安全：由于Apache服务器一般以root权限运行，攻击者通过它获得root权限，进而控制整个Apache系统；

　　Apache服务器与客户端通信安全：如果采用明文传输，则服务器与客户端的敏感通信信息将有可能被黑客或者不法用户获取；

　　由于Apache配置文件设置不当引起的安全问题：恶意者可以随意下载或修改删除系统文件。这主要涉及到对访问者的内容和权限的限制。

　　要应对上述这些安全威胁，要从Apache服务器端配置、运行环境、通信链路安全保障、安全模块使用、日志管理等各方面、全方位的进行保障，下面将进行分门别类的详细介绍。