本文摘要Apache服务器走到那里，unix/linux就跟到那里，这足以说明在WEB服务器领域Apache的优良性能与市场占有率这今天互联网的大下，web服务已经成为公司企业必不可少的业务，大多数的安全问题也跟随而来，重点也转移为web，许多web与颇有价值的客户服务与电子商业活动结合在一起，这也是吸引恶意重要原因。

　　Apache服务器走到那里，unix/linux就跟到那里，这足以说明在WEB服务器领域Apache的优良性能与市场占有率这今天互联网的大下，web服务已经成为公司企业必不可少的业务，大多数的安全问题也跟随而来，重点也转移为web，许多web与颇有价值的客户服务与电子商业活动结合在一起，这也是吸引恶意重要原因。

　　先来了解下web所面临的安全风险HTTP服务者通过某些手段使服务器对http应答，这使Apache对系统资源（cup时间与内存）需求巨增，最终造成系统变慢甚至完全瘫痪，Apache服务器最大的缺点是，它的普遍性使它成为众矢之的，Apache服务器无时无刻不受到DoS，主要有下边几种1.数据包洪水一种中断服务器或本地网络的方法是数据包洪水，它通常使用internet控制报文协议（ICMP，属于网络层协议）包或是udp包，在最简单的形式下，这些都是使服务器或网络负载过重，这意味这者的网络速度必须比目标主机网络速度要快，使用udp包的优势是不会有任何包返回到黑客的计算机（udp效率要比tcp高17倍），而使用ICMP包的优势是者能让更加富与变化，发送有缺陷的包会搞乱并锁住者的网络，目前流行的趋势是者服务器，让其相信正在受来自自身的洪水2.磁盘这是一种很不的，它不仅影响计算机的通信，还其硬件，伪造的用户请求利用写命令目标计算机硬盘，让其超过极限，并强制关闭，结局很悲惨3.路由不可达通常DoS，集中在路由器上，者首先获得控制权并目标机器，当者能更改路由表条目时候，会导致整个网络无法通信，这种很，隐蔽，因为网络管理员需要排除的网络不通原因很多，其中一些原因需要详细分辨4.分布式服务这也是最具有的DDoS，名称很容易理解，简单说就是群欧，很多客户机同时单条服务器，你会发现你将伤痕累累，Apache服务器特别容易受到，无论是DDos还是隐藏来源的，因为Apache无处不在，特别是为Apache特意打造的病毒（特选SSL蠕虫），潜伏在许多主机上，者通过病毒可以大量被感染的机器，对特定目标发动一次浩大的DDoS，通过将蠕虫到大量主机，大规模的点对点得以进行，除非你不提供服务，要不然几乎无法这样的，这种通常会定位到大型的网站上。

　　缓冲区溢出，这种很普遍，者利用CGI程序编写一些缺陷程序偏离正常的流程，程序使用静态的内存分配，者就可以发送一个超长的请求使缓冲区溢出，比如，一些perl编写的处理用户请求的网192.168.1.254关脚本，一但缓冲区溢出，者就可以执意指令非法获取root权限如果Apache以root权限运行，系统上一些程序的逻辑缺陷或缓冲区溢出漏洞，会让者很容易在本地系统获取linux服务器上的管理者权限，在一些远程情况下，者会利用一些以root身份执行的有缺陷的系统守护进程来取得root权限，或利用有缺陷的服务进程漏洞来取得普通用户权限，以远程登陆，进而控制整个系统。

　　这边这些都是服务将会遇到的手段，下边来说，如何打造安全的Apache服务器如果你能遵守下边这些，那么你将得到一台相对安全的apache服务器一：勤打补丁你必须要相信这个是最有用的手段，缓冲区溢出等漏洞都必须使用这种手段来防御，勤快点相信对你没有坏处在http:上最新的changelog中都写有：bugfix,securitybugfix的字样，做为负责任的管理员要经常关注相关漏洞，及时升级系统添加补丁。使用最新安全版本对加强apache至关重要二：隐藏和伪装Apache的版本打乱者的步骤，给者带来麻烦，相信是管理员愿意看到的。软件的漏洞信息和版本是相关的，在者收集你服务软件信息时候给与是个不错的选择，何况版本号，对者来说相当与GPS定位一样重要默认情况，系统会把apache版本模块都显示出来（http返回头），如果列举目录的话，会显示域名信息（文件列表正文），去除Apache版本号的方法是修改配置文件，找到关键字,修改为下边ServerSignatureoffServerTokensprod通过分析web服务器类型，大致可以推测操作系统类型，win使用iis,linux普遍apache，默认的Apache配置里没有任何信息机制，并且允许目录浏览，通过目录浏览，通常可以得到类似“apache/1.37Serveratapache.linuxforum.netPort80”或“apache/2.0.49(unix)PHP/4.3.8”的信息通过修改配置文件中的ServerTokens参数，可以将Apache的相关信息隐藏起来，如果不行的话，可能是提示信息被编译在程序里了，要隐藏需要修改apache的源代码，然后重新编译程序，以替换内容编辑ap_release.h文件，修改#defineAP_SERVER_BASEPRODUCTApache为#defineAP_SERVER_BASEPRODUCTMicrosoft-IIS/5.0编辑os/unix/os.h文件修改#definePLATFORMUnix为#definePLATFORMWin32修改完成后，重新编译，安装apache,在修改配置文件为上边做过的，再次启动apache后，用工具扫描，发现提示信息中已经显示为windows操作系统了顺便说下，现在这个论坛，就有点不太讲究，这是论坛错误的返回信息，看了有点汗地感觉Apache/2.2.8(Ubuntu)DAV/2SVN/1.4.6mod_ssl/2.2.8OpenSSL/0.9.8gServeratforum.ubuntu.org.cnPort80这个等于告诉恶意用户很多有用信息，虽然说不算开了门，但等于被告诉了门在那里，还是相当的三：建立安全的目录结构apache服务器包括四个目录结构ServerRoot#保存配置文件，二进制文件与其他服务器配置文件DocumentRoot#保存web站点内容，包括HTML文件和图片等ScripAlias#保存CGI脚本Customlog和Errorlog#保存日志和错误日志的目录结构为，以上四种目录相互并且不存在父子逻辑关系注：

　　ServerRoot目录只能为root用户访问

　　DocumentRoot目录应该能够被管理web站点内容的用户访问和使用apache服务器的apache用户与组访问ScripAlias目录应该只能被CGI开发人员和apache用户访问Customlog和Errorlog只能被root访问下边是一个安全目录结构的事例+-------/etc/+----/http(ServerRoot)+----/logs(Customlog和Errorlog)+-------var/www+---/cgi-bin(ScripAlias)+---/html(DocumentRoot)这样的目录结构是比较安全的，因为目录之间，某个目录权限错误不会影响到其他目录四：为apache使用专门的用户与组按照最小的原则，需要给apache分配一个合适的权限，让其能够完成web服务注：