項(xiàng)目八

安全的應(yīng)用發(fā)布Web安全與防護(hù)本任務(wù)要點(diǎn)學(xué)習(xí)目標(biāo)配置Apache的安全配置項(xiàng)以滿足安全需求。熟悉Apache禁止目錄瀏覽的配置方法。熟悉Apache隱藏服務(wù)器banner信息的配置方法。熟悉Apache配置網(wǎng)站腳本解析規(guī)則的配置方法。熟悉Apache配置自定義錯誤頁面的配置方法。任務(wù)二Apache安全配置目錄CONTENTS01/禁止目錄瀏覽02/隱藏服務(wù)器banner信息03/配置網(wǎng)站腳本解析規(guī)則04/自定義錯誤頁面禁止目錄瀏覽01默認(rèn)情況下，Apache服務(wù)器在網(wǎng)站路徑下沒有默認(rèn)索引文件（index.html或inedx.php）時，會將網(wǎng)站的目錄結(jié)構(gòu)直接返回給瀏覽器，訪問者可以直接觀看到網(wǎng)站的目錄結(jié)構(gòu)對于Apache的目錄遍歷這個問題，我們可以通過修改Apache的配置文件來進(jìn)行加固，Ubuntu中Apache的配置文件路徑位于：/etc/apache2/apache2.conf，我們可以定位到配置文件中的如下位置禁止目錄瀏覽01其中OptionsIndexesFollowSymLinks，修改為Options–Indexes+FollowSymLinks，然后執(zhí)行：sudoserviceapache2restart，重啟Apache，再次使用瀏覽器訪問目錄，服務(wù)器響應(yīng)403，顯示沒有權(quán)限隱藏服務(wù)器banner信息02當(dāng)我們在訪問Apache服務(wù)器時，默認(rèn)情況下，在HTTP的響應(yīng)報文中，我們能從響應(yīng)報文的頭部發(fā)現(xiàn)一個叫Server的字段中帶有詳細(xì)的服務(wù)器種類及版本信息，通過F12查看在服務(wù)器響應(yīng)404/403等響應(yīng)碼時的瀏覽器頁面也會顯示具體的服務(wù)器軟件的版本信息隱藏服務(wù)器banner信息02對該安全風(fēng)險進(jìn)行加固，首先打開Apache的安全配置文件：/etc/apache2/conf-enabled/security.conf，修改其中的兩行配置為ServerTokensProdServerSignatureoff接著重啟Apache，在通過瀏覽器訪問網(wǎng)站，查看響應(yīng)，提示所請求資源不存在配置網(wǎng)站腳本解析規(guī)則03Apache中規(guī)定會把哪些文件當(dāng)做PHP腳本進(jìn)行解析的配置文件位于：/etc/apache2/mods-enabled/php7.4.conf重點(diǎn)關(guān)注如下片段：<FilesMatch“.+\.ph(ar|p|tml)$”> SetHandlerapplication/x-httpd-php</FilesMatch>配置網(wǎng)站腳本解析規(guī)則03上述配置項(xiàng)通過正則表達(dá)式規(guī)定了，以.phar、.php、.phtml三種后綴結(jié)尾的文件都會被當(dāng)作php腳本進(jìn)行解析！而在這之中，我們大多數(shù)人只會用到php為了進(jìn)行測試，我們在網(wǎng)站根目錄下創(chuàng)建一個名為test.phtml的文件，內(nèi)容為：<?phpphpinfo();使用瀏覽器訪問該文件，發(fā)現(xiàn)我們創(chuàng)建的文件被正常解析了配置網(wǎng)站腳本解析規(guī)則03規(guī)避這項(xiàng)安全風(fēng)險，將解析規(guī)則部分修改為：<FilesMatch“.+\.php$”> SetHandlerapplication/x-httpd-php</FilesMatch>重啟Apache后，我們再次使用瀏覽器訪問test.phtml文件可以發(fā)現(xiàn)phtml文件已經(jīng)無法正常解析了，那么這樣修改之后，Apache將只會把php文件當(dāng)做腳本解析了。自定義錯誤頁面04在用戶訪問網(wǎng)站出錯、找不到頁面時，會出現(xiàn)HTTP404,403錯誤信息，為了提高用戶體驗(yàn)，我們需要自定義404、403錯誤頁面Ubuntu中需要在/etc/apache2/conf-enabled/localized-errors.conf這個配置文件中配置自定義錯誤頁面,首先我們先在網(wǎng)站根目錄下創(chuàng)建一個error_page的目錄用來存放我們的自定義錯誤頁面推薦大家使用/alexphelps/server-errors，這個項(xiàng)目提供了一套美觀簡潔易于使用的專業(yè)錯誤頁面自定義錯誤頁面04保存配置文件后，重啟Apache，再使用瀏覽器訪問，確認(rèn)配置之后的效果至此，自定義錯誤頁面已經(jīng)配置完成，錯誤頁面都會以統(tǒng)一的模板展示給瀏覽者。課堂實(shí)踐一、任務(wù)名稱：Apache安全配置二、任務(wù)內(nèi)容：對已搭建的生產(chǎn)環(huán)境中的Apache進(jìn)行安全配置三、工具需求：瀏覽器、Vmware、Apache四、任務(wù)要求：完成實(shí)踐練習(xí)后，由老師檢查完成情況。課堂思考一、Apache作為WEB中間件有哪些優(yōu)勢？二、除Apache之外還有哪些應(yīng)用廣泛的替代品？三、Apache配置不當(dāng)可能會造成哪些危害？課后拓展：Apache的歷史漏洞請同學(xué)們通過互聯(lián)網(wǎng)查