Web安全与防护 （微课版） 课件 08-2 项目八 任务二 Apache安全配置

项目八

安全的应用发布Web安全与防护本任务要点学习目标配置Apache的安全配置项以满足安全需求。熟悉Apache禁止目录浏览的配置方法。熟悉Apache隐藏服务器banner信息的配置方法。熟悉Apache配置网站脚本解析规则的配置方法。熟悉Apache配置自定义错误页面的配置方法。任务二Apache安全配置目录CONTENTS01/禁止目录浏览02/隐藏服务器banner信息03/配置网站脚本解析规则04/自定义错误页面禁止目录浏览01默认情况下，Apache服务器在网站路径下没有默认索引文件（index.html或inedx.php）时，会将网站的目录结构直接返回给浏览器，访问者可以直接观看到网站的目录结构对于Apache的目录遍历这个问题，我们可以通过修改Apache的配置文件来进行加固，Ubuntu中Apache的配置文件路径位于：/etc/apache2/apache2.conf，我们可以定位到配置文件中的如下位置禁止目录浏览01其中OptionsIndexesFollowSymLinks，修改为Options–Indexes+FollowSymLinks，然后执行：sudoserviceapache2restart，重启Apache，再次使用浏览器访问目录，服务器响应403，显示没有权限隐藏服务器banner信息02当我们在访问Apache服务器时，默认情况下，在HTTP的响应报文中，我们能从响应报文的头部发现一个叫Server的字段中带有详细的服务器种类及版本信息，通过F12查看在服务器响应404/403等响应码时的浏览器页面也会显示具体的服务器软件的版本信息隐藏服务器banner信息02对该安全风险进行加固，首先打开Apache的安全配置文件：/etc/apache2/conf-enabled/security.conf，修改其中的两行配置为ServerTokensProdServerSignatureoff接着重启Apache，在通过浏览器访问网站，查看响应，提示所请求资源不存在配置网站脚本解析规则03Apache中规定会把哪些文件当做PHP脚本进行解析的配置文件位于：/etc/apache2/mods-enabled/php7.4.conf重点关注如下片段：<FilesMatch“.+\.ph(ar|p|tml)$”> SetHandlerapplication/x-httpd-php</FilesMatch>配置网站脚本解析规则03上述配置项通过正则表达式规定了，以.phar、.php、.phtml三种后缀结尾的文件都会被当作php脚本进行解析！而在这之中，我们大多数人只会用到php为了进行测试，我们在网站根目录下创建一个名为test.phtml的文件，内容为：<?phpphpinfo();使用浏览器访问该文件，发现我们创建的文件被正常解析了配置网站脚本解析规则03规避这项安全风险，将解析规则部分修改为：<FilesMatch“.+\.php$”> SetHandlerapplication/x-httpd-php</FilesMatch>重启Apache后，我们再次使用浏览器访问test.phtml文件可以发现phtml文件已经无法正常解析了，那么这样修改之后，Apache将只会把php文件当做脚本解析了。自定义错误页面04在用户访问网站出错、找不到页面时，会出现HTTP404,403错误信息，为了提高用户体验，我们需要自定义404、403错误页面Ubuntu中需要在/etc/apache2/conf-enabled/localized-errors.conf这个配置文件中配置自定义错误页面,首先我们先在网站根目录下创建一个error_page的目录用来存放我们的自定义错误页面推荐大家使用/alexphelps/server-errors，这个项目提供了一套美观简洁易于使用的专业错误页面自定义错误页面04保存配置文件后，重启Apache，再使用浏览器访问，确认配置之后的效果至此，自定义错误页面已经配置完成，错误页面都会以统一的模板展示给浏览者。课堂实践一、任务名称：Apache安全配置二、任务内容：对已搭建的生产环境中的Apache进行安全配置三、工具需求：浏览器、Vmware、Apache四、任务要求：完成实践练习后，由老师检查完成情况。课堂思考一、Apache作为WEB中间件有哪些优势？二、除Apache之外还有哪些应用广泛的替代品？三、Apache配置不当可能会造成哪些危害？课后拓展：Apache的历史漏洞请同学们通过互联网查