FreeBSD下构建安全的Web服务器(2)

# 程式崩溃时不记录 kern.coredump=0 # lo本地数据流接收和发送空间 net.local.stream.recvspace=65536 net.local.dgram.maxdgram=16384 net.local.dgram.recvspace=65536 # 数据包数据段大小，ADSL为1452。 net.inet.tcp.mssdflt=1460 # 为网络数据连接时提供缓冲 net.inet.tcp.inflight_enable=1 # 数据包数据段最小值，ADSL为1452 net.inet.tcp.minmss=1460 # 本地数据最大数量 net.inet.raw.maxdgram=65536 # 本地数据流接收空间 net.inet.raw.recvspace=65536 #ipfw防火墙动态规则数量，默认为4096，增大该值能够防止某些病毒发送大量TCP连接，导致不能建立正常连接 net.inet.ip.fw.dyn_max=65535 #配置ipf防火墙TCP连接空闲保留时间，默认8640000（120小时） net.inet.ipf.fr_tcpidletimeout=864000

三、 服务程式的安全配置

到这里就是本文的重点所在了，我们将花费比较多的文字进行描述，当然，所以描述不一定是很正确的，也希望能够对您有一些帮助。我们系统默认是运行了包括Apache、Mysql、vsFTPd，SSH等服务，我们以下进行一一讲解。

1. Apache的安全配置

Apache的核心配置就是在 httpd.conf 里面，我们安装的Apache的目录是在 /usr/local/apache2/ 下，那么我们的配置文档就是在/usr/local/apache2/conf/httpd.conf ，假如您是使用ports等安装的，配置文档应该是在/etc或/usr/local/etc目录下。使用ee或vi打开配置文档：

# ee /usr/local/apache2/conf/httpd.conf

下面我们就要进行比较多的安全配置了，基本的服务、端口、主目录等等配置就不说了，只讲和安全有关的配置。

(1)指定运行Apache服务的用户和组

这是比较重要的，因为权限是继承的，假如运行Apache服务的用户权限太高，那么很可能使得入侵者通过WebShell等就会对系统构成严重威胁。一般我们运行Apache的是nobody用户和nobody组。在httpd.conf的250-275行之间找到User和Group选项，比如我们默认配置如下(去掉了注释信息)：

<IfModule !mpm_winnt.c> <IfModule !mpm_netware.c> User nobody Group #-1 </IfModule> </IfModule>

(2) Apache的日志文档

Apache的日志文档是很重要的，能够发现apache的运行状况和访问情况，对于判断入侵等有重要帮助。他的默认选项是：

# 错误日志存放目录，默认是存放在apache安装目录的logs下

ErrorLog logs/error_log

# 日志记录的级别，级别有debug, info, notice, warn, error, crit等，默认是“warn”级别

LogLevel warn

# 访问日志记录的格式，每一种格式都有不同的内容，根据您的需要进行定制，以获取最多访问信息

LogFormat "%h %l %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\"" combined LogFormat "%h %l %u %t \"%r\" %>s %b" common LogFormat "%{Referer}i -> %U" referer LogFormat "%{User-agent}i" agent

# 使用上面格式的那一种，默认是使用common

CustomLog logs/access_log common

文档格式预定义的格式内容：

%a 远程用户IP %A 本地httpd服务器的ip %f 传送的文档名 %h 远程主机 %m 请求方式 %l identd给出的远程名 %p 连接的httpd端口号 %P 请求的httpd进程 %t 时间 %T 服务请求时间

您能够定制自己的日志格式，然后通过CustomLog logs/access_log common来进行调用。

注意，日志文档是由运行Apache的用户进行打开的，要注意该文档的安全，防止被黑客改写或删除。

(3) Apache服务信息显示控制

在配置文档中有个选项是控制是否显示apache版本信息、主机名称、端口、支持的cgi等信息的：

ServerSignature On

默认为On，那么将显示任何信息：

我故意访问一个不存在的文档：http://www.target.com/404.html

标签：

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点，本站所提供的摄影照片，插画，设计作品，如需使用，请与原作者联系，版权归原作者所有