Apache HTTP Server软件一直都是最流行的Web服务器软件。Apache占Web服务器市场的份额超过50%,这也使其成为最热门的攻击目标。而面对恶意攻击,企业必须制定Apache安全最佳做法,并且企业需要意识到,不安全的Apache Web服务器可能引起严重的后果。那么,企业怎么保护Apache服务器抵御现代攻击呢?
大多数情况下,Apache服务器感染是因为过时的模块、配置或甚至Web服务器托管的Web代码。企业应该使用最新版本的Apache HTTP及其附件,同时还应该保持HTTP服务器的更新。但是目前攻击者的趋势是专注于外部组件框架、模块和附件,这些方面的漏洞让Apache HTTP很容易受到攻击,并且很难摆脱。企业应该追踪这些新组件,同时确保这些数据包安装了最新补丁,以及升级到最新版本。另外,在更新时,企业还应该记得要仔细检查下载来源,聪明的攻击往往试图将恶意软件伪装成软件更新。
除了保持更新外,企业还应该配置Apache HTTP Server以将攻击面减到最小。虽然这听起来很简单,但这只有系统管理员可以处理的几十个考虑因素(通常还需要与Web开发人员协作)。例如,分布式拒绝服务攻击的最新趋势是使用最少量的流量消耗系统资源。这种攻击的影响可以通过配置参数来最小化,例如配置RequestReadTimeout、TimeOut、KeepAliveTimeout 和MaxRequestWorkers来减少资源消耗值。此外,系统管理员应该考虑的以下其他因素:
1、使用限制特权的账户运行HTTPd,如果攻击者试图攻击后台程序本身的话,这样做能够最大限度地减少对整个系统的影响。
2、 通过配置AllowOverride参数到None,拒绝对. htaccess文件的使用。这能够确保htaccess文件不能使用。
3、 配置模式(例如mod_python 和 mod_php)来使用安全模式,在有必要的地方进行这种配置,但在新版本中可能没有这个必要。
4、锁定文件系统,这样只有根用户可以重写Apache二进制文件,这样做将防止httpd二进制文件被恶意版本替换。
