Linux操作系统安全配置 课件 项目6　Web服务安全配置

单击此处编辑母版标题样式

ApacheWeb配置文件学习内容项目需求0102Apache服务器文件和目录03Apache的模块管理和支持04总结httpd.conf文件配置项目需求1某公司需要配置WWW服务器实现内部网站访问，使用CentOS7中默认的Apache系统搭建http网络访问，Web服务器系统名称解析要求如下：角色名称IP地址备注Web服务器www00项目需求1环境说明：Server安装CentOS7基础设施服务器Client安装CentOS7桌面环境Server、Client均已配置网络和主机名Server已关闭防火墙

Apache服务器文件和目录2WEB站点目录

描述/var/www

ApacheWEB站点文件的目录/var/www/html

WEB站点的WEB文件/var/www/cgi-bin

CGI程序文件/var/www/html/manual

ApacheWEB服务器手册/var/www/htmll/usage

webalizer程序文件

Apache服务器文件和目录2配置文件/etc/httpd/conf

基于目录的配置文件，.htaccess文件包含对它所在目录中文件的访问控制指令/etc/httpd/conf/httpd.conf

ApacheWEB服务器配置文件目录/etc/httpd/conf/srm.conf

主要的ApacheWEB服务器配置文件/etc/httpd/conf/access.conf

用来处理文档规范，配置文件类型昨未知的老式配置文件

Apache服务器文件和目录2启动脚本/etc/rc.d/init.d/httpd

Web服务器守护进程的启动脚本/etc/rc.d/rc3.d/S85httpd

将运行级目录（/etc/rc3.d）连接到目录/etc/rc.d/init.d中的启动脚本

Apache服务器文件和目录2应用文件/usr/sbin

ApacheWeb服务器程序文件和应用程序的位置/usr/doc/

ApacheWeb服务器文档/var/log/http

Apache日志文件的位置

httpd.conf文件配置3旧版中的srm.conf与access.conf文件的内容都被整合到了httpd.conf文件中，文件中部分配置作用及要求ServerRoot“/etc/httpd”#ServerRoot:指出服务器保存其配置、出错和日志文件等的根目录。路径的结尾不要添加斜线。

httpd.conf文件配置3DocumentRoot"/var/www/html"#DocumentRoot:你的文档的根目录。默认情况下，所有的请求从这个目录进行应答。但是可以使用符号链接和别名来指向到其他的位置。

httpd.conf文件配置3<Directory/>OptionsFollowSymLinksAllowOverrideNone</Directory>#Apache可以存取的每个目录都可以配置存取权限（包括它的子目录）。配置一个高限制的特征，这将禁止访问文件系统所在的目录，并添加你希望允许访问的目录块。如下所示OrderDeny,AllowDenyfromall

httpd.conf文件配置3VirtualHost:你可以通过设置虚拟主机容器以实现在你的主机上保有多个域名/主机名。大多数配置信息只使用基于名字的虚拟主机，因此服务器不必担心IP地址的问题，下面的命令以*号代替虚拟主机名。可以使用命令行选项“-S”来检验你的虚拟主机配置。

httpd.conf文件配置3NameVirtualHost*<VirtualHost*>ServerAdminwebmaster@DocumentRoot/www/docs/ServerNameErrorLoglogs/-error_logCustomLoglogs/-access_logcommom</virtualHost>虚拟主机示例：几乎所有的Apache命令都可以在虚拟主机容器中使用

第一个虚拟主机区是用于向服务名未知的请求进行应答的配置。总结4Apache服务器文件和目录httpd.conf文件配置单击此处编辑母版标题样式

ApacheWeb访问控制学习内容项目需求0102什么是访问控制03Apache的模块管理和支持04总结Apache的访问控制策略项目需求1某公司需要配置WWW服务器实现内部网站访问，使用CentOS7中默认的Apache系统搭建http网络访问，Web服务器系统名称解析要求如下：角色名称IP地址备注Web服务器www00/24允许项目需求1环境说明：Server安装CentOS7基础设施服务器Client安装CentOS7桌面环境Server、Client均已配置网络和主机名Server已关闭防火墙什么是访问控制2按用户身份及其所归属的某项定义组来限制用户对某些信息项的访问，或限制对某些控制功能的使用的一种技术。访问控制通常用于系统管理员控制用户对服务器、目录、文件等网络资源的访问。访问控制是几乎所有系统(包括计算机系统和非计算机系统)都需要用到的一种技术。访问控制是:给出一套方法，将系统中的所有功能标识出来，组织起来，托管起来，将所有的数据组织起来标识出来托管起来，然后提供一个简单的唯一的接口，这个接口的一端是应用系统一端是权限引擎。权限引擎所回答的只是:谁是否对某资源具有实施某个动作(运动、计算)的权限。返回的结果只有:有、没有、权限引擎异常了。什么是访问控制2实现策略（1）入网访问控制（2）网络权限限制（3）目录级安全控制（4）属性安全控制（5）网络服务器安全控制（6）网络监测和锁定控制（7）网络端口和节点的安全控制（8）防火墙控制

Apache的访问控制策略3Apache的配置文件中提供了基本的访问控制功能使用下列的语句来实现Orderallow,denyOrder选项用于定义默认的访问权限与Allow和Deny语句的处理顺序。该语句可以针对默认页面和某个虚拟目录进行设置必须在<Directory>和</Directory>内。Allow和Deny语句可以针对客户机的域名或IP地址进行设置，以决定哪些客户机能够访问服务器。

Apache的访问控制策略31.Allow指令

Allow指令影响哪些主机可以访问服务器的一个区域。可以用主机名、IP地址、IP地址范围或者其他环境变量中捕获的客户端请求特性来对访问进行控制。

Apache的访问控制策略31.Allow指令

（1）一个域名(部分)

例子：Allowfrom

允许名字与给定字符串匹配或者以该字符串结尾的主机访问。只有完整的名字组成部分才被匹配，因此上述例子将匹配而不能匹配。这样的配置将引起服务器执行一个对客户IP地址的反查域名操作而不管HostnameLookups指令是否设置

Apache的访问控制策略31.Allow指令

（2）完整的IP地址

例子：Allowfrom

允许一个主机的一个IP地址访问。

Apache的访问控制策略31.Allow指令

（3）IP地址范围

①部分IP地址例子：Allowfrom10.1

IP地址的开始1到3个字节，用于子网限制。②网络/掩码例子：Allowfrom/

一个网络a.b.c.d，和一个掩码w.x.y.z。用于更精确的子网限制。③网络/n无内别域间路由规格例子：Allowfrom/16

同前一种情况相似，除了掩码由n个高位字节构成。注意以上后三个例子完全匹配同一组主机。

Apache的访问控制策略31.Allow指令

（4）其他环境变量

Allow指令的参数格式允许对服务器的访问由环境变量的一个扩展指定。指定Allowfromenv=env-variable时，如果环境变量env-variable存在则访问请求被允许。使用由mod_setenvif提供的指令，服务器用一种基于客户端请求的弹性方式提供了设置环境变量的能力。因此，这条指令可以用于允许基于像User-Agent(浏览器类型)、Referer或者其他Http请求头字段的访问。

Apache的访问控制策略31.Allow指令

例子：

SetEnvIfUser-Agent^KnockKnock/2.0let_me_in

<Directory/docroot>

OrderDeny,Allow

Denyfromall

Allowfromenv=let_me_in

</Directory>这种情况下，发送以KnockKnock/2.0开头的用户代理标示的浏览器将被允许访问，而所有其他浏览器将被禁止访问。

Apache的访问控制策略32.Deny指令

说明:控制哪些主机被禁止访问服务器

语法:Denyfromall|host|env=env-variable[host|env=env-variable]...与allow语法类似

Apache的访问控制策略33.Order指令

说明:控制缺省的访问状态和Allow与Deny指令被评估的顺序。

语法:Orderordering

默认值:OrderDeny,Allow

Apache的访问控制策略33.Order指令

Order指令控制缺省的访问状态和Allow与Deny指令被评估的顺序。Ordering是以下几种范例之一：Deny,Allow

Deny指令在Allow指令之前被评估。缺省允许所有访问。任何不匹配Deny指令或者匹配Allow指令的客户都被允许访问服务器。Allow,Deny

Allow指令在Deny指令之前被评估。缺省禁止所有访问。任何不匹配Allow指令或者匹配Deny指令的客户都将被禁止访问服务器。

Apache的访问控制策略33.Order指令

Mutual-failure

只有出现在Allow列表并且不出现在Deny列表中的主机才被允许访问。这种顺序与OrderAllow,Deny具有同样效果，不赞成使用，它包括了哪一种配置。

关键字只能用逗号分隔；它们之间不能有空格。注意在所有情况下每个Allow和Deny指令语句都将被评估。

Apache的访问控制策略3例1：允许所有客户机访问Orderallow,denyAllowfromall例2：除了来自hacker域和IP地址为11的客户机外，允许所有客户机访问Orderdeny,allowDenyfromDenyfrom11

Apache的访问控制策略3例3：仅允许来自网络/24客户机的访问Orderallow,denyAllowfrom/24-------------------------------------Orderdeny,allowAllowfrom/24