【正文】 時(shí)間和內(nèi)存) 需求的劇增，最終造成 Apache 系統(tǒng)變慢甚至完全癱瘓。 （2）緩沖區(qū)溢出的安全缺陷 該方法攻擊者利用程序編寫的一些缺陷，使程序偏離正常的流程。程序使用靜態(tài)分配的內(nèi)存保存請(qǐng)求數(shù)據(jù)，攻擊者就可以發(fā)送一個(gè)超長(zhǎng)請(qǐng)求使緩沖區(qū)溢出。比如一些 Perl 編寫的處理用戶請(qǐng)求的網(wǎng)關(guān)腳本。一旦緩沖區(qū)溢出，攻擊者可以執(zhí)行其惡意指令或者使系統(tǒng)宕機(jī)。 （3）被攻擊者獲得 root 權(quán)限的安全缺陷 該安全缺陷主要是因?yàn)?Apache 服務(wù)器一般以 root 權(quán)限運(yùn)行( 父進(jìn)程)，攻擊者會(huì)通過(guò)它獲得 root 權(quán)限，進(jìn)而控制整個(gè) Apache 系統(tǒng)。 （4）惡意的攻擊者進(jìn)行 “拒絕服務(wù)”(DoS)攻擊的安全缺陷 這個(gè)漏洞主要是存在于 Apache 的 chunk encoding 中，這是一個(gè) HTTP 協(xié)議定義的用于接受 web 用戶所提交數(shù)據(jù)的功能。 利用黑客程序可以對(duì)于運(yùn)行在 FreeBSD , OpenBSD / , NetBSD 平臺(tái)上的 Apache 服務(wù)器均可進(jìn)行有效的攻擊. 因此使用最高和最新安全版本對(duì)于加強(qiáng) Apache Web 服務(wù)器的安全是至關(guān)33 / 40重要的。服務(wù)器管理員必須去下載補(bǔ)丁程序以確保其 WEB 服務(wù)器安全！. 建立 Chroot 環(huán)境任何 Web 服務(wù)器安全性的討論，都至少應(yīng)簡(jiǎn)要地包括為 Web 服務(wù)器建立一個(gè) chroot 環(huán)境這一主題，否則就不全面了。而且，雖然改變 chroot Web 服務(wù)器安裝的根目錄是提供 Web 頁(yè)面服務(wù)最安全最全面的解決方案之一，但它也是實(shí)作起來(lái)最復(fù)雜的一個(gè)，因?yàn)榻M成執(zhí)行著的 Web 服務(wù)器環(huán)境的各種目錄和組件全都必須與主文件系統(tǒng)徹底隔離。由于這一原因，我強(qiáng)烈建議：在將 chroot 安裝移至生產(chǎn)角色前，您要在開(kāi)發(fā)系統(tǒng)上全面測(cè)試它。 建立 chroot 環(huán)境背后的概念很簡(jiǎn)單：在正確實(shí)作了 chroot 環(huán)境后，它防止使用者獲得對(duì)服務(wù)器上主“root”文件系統(tǒng)（您將使用者所看到的變更為 root 文件系統(tǒng)，由此得名）的存取權(quán)。注：建立 chroot 環(huán)境并不只有只有用于保護(hù) Web 服務(wù)器。您可以 chroot 幾乎任何程序，包括使用者的預(yù)設(shè)登入 shell。有關(guān)建立多用途 chroot 環(huán)境（包括將適當(dāng)?shù)逆溄訋?kù)和程序文件復(fù)制到 chroot 樹(shù)中的指令碼）的詳細(xì)信息，請(qǐng)檢視 Juan Casillas 編寫并支持的 Jail Chroot Project（請(qǐng)參閱進(jìn)一步參考數(shù)據(jù)）。 chroot 安裝的優(yōu)缺點(diǎn)如下：? 如果 Web 服務(wù)器曾受到威脅，則攻擊者無(wú)法獲得對(duì)主文件系統(tǒng)的存取權(quán)；他們被局限在 chroot 禁錮目錄樹(shù)。 ? 會(huì)潛在地容許使用者存取主文件系統(tǒng)的一個(gè)編寫拙劣的 CGI 指令碼將完全失敗。 ? 因未正確組態(tài)服務(wù)器而導(dǎo)致的任何負(fù)面結(jié)果都限于 chroot 環(huán)境中。 ? 您必須將 Web 服務(wù)器安裝必需的任何額外鏈接庫(kù)或模塊復(fù)制到 chroot 樹(shù)中。 ? Web 服務(wù)器安裝必需的任何外部程序或語(yǔ)言也必須駐留在 chroot 樹(shù)中。這包括監(jiān)控實(shí)用程序、諸如 Perl 或 PHP 等語(yǔ)言、SSL 鏈接庫(kù)和用于 Web 服務(wù)所需的任何程序（例如：LDAP、mySQL、PostgreSQL 或 FrontPage 擴(kuò)充）的所有必需34 / 40的組件（二進(jìn)制文件、鏈接庫(kù)和組態(tài)文件等）。 注：這一章假設(shè)程序 /usr/sbin/chroot 安裝在系統(tǒng)上。如果沒(méi)有安裝，請(qǐng)?jiān)诶^續(xù)完成給出的范例前安裝它。 以下將簡(jiǎn)略列出建立 chroot 環(huán)境所需的步驟（假設(shè)您已安裝 Web 服務(wù)器并正在執(zhí)行它）： ? 建立 Web 服務(wù)器使用的所有共享鏈接庫(kù)相關(guān)性的清單。 ? 建立在其下執(zhí)行 Web 服務(wù)器的唯一 UID 和 GID（如果尚未這樣做的話）。 ? 建立必需的 chroot 目錄結(jié)構(gòu)。 ? 停止 Web 服務(wù)。 ? 將所有程序、組態(tài)和使用者文件復(fù)制到 chroot 樹(shù)。 ? 將任何必需的共享系統(tǒng)鏈接庫(kù)復(fù)制到 chroot 樹(shù)。 ? 復(fù)制并編輯 passwd 和 group 文件。 ? 將 Web 服務(wù)器組態(tài)文件復(fù)制到 chroot 樹(shù)，并根據(jù)需要進(jìn)行編輯。當(dāng)完成時(shí)，“鎖定”組態(tài)文件。 ? 編輯系統(tǒng)啟動(dòng)指令碼以反映所做的變更。 ? 編輯 syslog 守護(hù)程序以反映所做的變更。 ? 重新啟動(dòng) Web 服務(wù)并測(cè)試 chroot 環(huán)境。 以下詳細(xì)論述如何實(shí)作以上工作。 1. 確定共享鏈接庫(kù) 建立 chroot 環(huán)境的第一步是確定 Web 服務(wù)器需要哪些共享系統(tǒng)鏈接庫(kù)。正如簡(jiǎn)介中提到的，本教學(xué)中提供的范例都是基于 Apache 的預(yù)設(shè)安裝。如果您在使用另一個(gè)程序或定制的安裝目錄，則需要修改指令以反映您特定的組態(tài)。 使用 ldd 指令，以列出給定程序的鏈接庫(kù)相關(guān)性。在控制臺(tái)上以 root 身份輸入： [root@thor bin] ldd /usr/local/apache/bin/d = /lib/i686/ (0x40027000) = /lib/ (0x4004a000) = /usr/lib/ (0x40077000)35 / 40 = /lib/i686/ (0x42022000) /lib/ = /lib/ (0x40000000)可根據(jù)需要將路徑置換成您的 d 二進(jìn)制文件的路徑。寫下所提供的訊息，以便以后引言，或者簡(jiǎn)單地將輸出重新導(dǎo)向至純文字文件（ldd /usr/local/apache/bin/d /root/apache_shared）。 2. 為 d 守護(hù)程序建立一個(gè)新的 UID/GID 接著，建立在其下執(zhí)行服務(wù)器守護(hù)程序的唯一的使用者和群組識(shí)別數(shù)據(jù)（如果您還沒(méi)有這么做的話）。如絕對(duì)不要以 root 身份執(zhí)行守護(hù)程序中說(shuō)明的，您絕對(duì)不應(yīng)該以 root 身份執(zhí)行該服務(wù)。在已經(jīng)改變了根目錄的環(huán)境下，要避免使用系統(tǒng)上已存在的使用者或群組識(shí)別數(shù)據(jù)（例如，nobody），因?yàn)檫@會(huì)容許某個(gè)服務(wù)能夠存取同一識(shí)別數(shù)據(jù)下執(zhí)行的任何其它服務(wù)的資源，從而使 chroot 禁錮的目的完全失效了。 顯示的范例建立使用者 和群組 ，它們的識(shí)別數(shù)據(jù)都是 80。還請(qǐng)注意：把使用者指定給特殊 shell /bin/false，表示沒(méi)人可以透過(guò)使用該識(shí)別數(shù)據(jù)登入系統(tǒng)。 [root@thor bin] useradd c Apache Server u 80 s /bin/false r d /home/d 2/dev/null ||:有關(guān)上面指令中使用的選項(xiàng)的解釋，請(qǐng)輸入 man useradd。 3. 建立必需的 chroot 目錄 現(xiàn)在，建立必需的 chroot 目錄結(jié)構(gòu)。該結(jié)構(gòu)的位置理論上可以是文件系統(tǒng)中的任何地方（理想情況下，為了安全性和維護(hù)，它應(yīng)該駐留在一個(gè)單獨(dú)的分區(qū)）。鑒于本教學(xué)的目的，將使用 /chroot/d 作為 chroot 環(huán)境的基礎(chǔ)，而使用 /chroot/d/ 作為服務(wù)器 DocumentRoot。下面建立的結(jié)構(gòu)只是一個(gè)范例；系統(tǒng)管理員可以根據(jù)個(gè)人喜好修改目錄名和位置。 [root@thor root ] mkdir /chroot/d[root@thor root ] mkdir /chroot/d/dev[root@thor root ] mkdir /chroot/d/lib[root@thor root ] mkdir /chroot/d/etc36 / 40[root@thor root ] mkdir p /chroot/d/usr/sbin[root@thor root ] mkdir p /chroot/d/var/run[root@thor root ] mkdir p /chroot/d/var/log/d[root@thor root ] chmod 750 /chroot/d/var/log/d/[root@thor root ] mkdir p /chroot/d/4. 傳送組態(tài)和內(nèi)容 下一步是停止 Apache 服務(wù)器（如果它在執(zhí)行的話），并將任何現(xiàn)有的組態(tài)文件、cgibin 目錄的內(nèi)容、DocumentRoot 和 d 二進(jìn)制文件傳送到 chroot 目錄結(jié)構(gòu)中。當(dāng)然，這里使用的指令將根據(jù)您 chroot 目錄結(jié)構(gòu)和現(xiàn)有 Web 服務(wù)器文件的位置而變化。如果以前的安裝位于 /home/d 下，而且 d 程序二進(jìn)制文件在 /usr/sbin 目錄中，過(guò)程將是： [root@thor root ] cp r /etc/d /chroot/d/etc/[root@thor root ] cp r /home/d/cgibin /chroot/d//[root@thor root ] cp r /home/d/ /chroot/d//[root@thor root ] mknod /chroot/d/dev/null c 1 3[root@thor root ] chmod 666 /chroot/d/dev/null[root@thor root ] cp /usr/sbin/d /chroot/d/usr/sbin/5. 對(duì)于 SSL 安裝 如果服務(wù)器支持 SSL 聯(lián)機(jī)，您還必須將所有私密金鑰和公開(kāi)金鑰從 /etc/ssl 移到 chroot 樹(shù)中。 [root@thor root ] cp r /etc/ssl /chroot/d/etc/[root@thor root ] chmod 600 /chroot/d/etc/ssl/certs/[root@thor root ] chmod 600 /chroot/d//etc/ssl/certs/[root@thor root ] chmod 600 /chroot/d/etc/ssl/private/[root@thor root ] chmod 600 /chroot/d/etc/ssl/private/6. 復(fù)制任何必需的系統(tǒng)鏈接庫(kù) 37 / 40現(xiàn)在，找出確定共享鏈接庫(kù)下建立的清單，并將每個(gè)系統(tǒng)鏈接庫(kù)復(fù)制到 /chroot/d/lib。 [root@thor root ] cp /lib/ /chroot/d/lib/[root@thor root ] cp /lib/ /chroot/d/lib/[root@thor root ] cp /lib/ /chroot/d/lib/[root@thor root ] cp /lib/ /chroot/d/lib/[root@thor root ] cp /lib/ /chroot/d/lib/根據(jù)您用來(lái)編譯服務(wù)器的選項(xiàng)，必需的共享鏈接庫(kù)在不同的系統(tǒng)會(huì)有所不同。您還需要下列系統(tǒng)鏈接庫(kù)來(lái)實(shí)作某些網(wǎng)絡(luò)功能和名稱解析： [root@thor root ] cp /lib/libnss_pat* /chroot/d/lib/[root@thor root ] cp /lib/libnss_dns* /chroot/d/lib/[root@thor root ] cp /lib/libnss_files* /chroot/d/lib/除了以上鏈接庫(kù)外，還要將 /etc/ 復(fù)制到 /chroot/d/etc 中；這是名稱解析必需的。 7. 復(fù)制并編輯使用者認(rèn)證文件 接著，將 /etc/passwd 和 /etc/group 復(fù)制到 /chroot/d/etc 中，并編輯這些副本，使得它們只包括將在其下執(zhí)行 Web 服務(wù)器的使用者和群組。根據(jù)這一章使用的范例組態(tài)，/chroot/d/etc/passwd 將只保留以下一行： :x:80:80:Apache Server:/:/bin/false而 /chroot/d/etc/group 將有下列一項(xiàng)： :x:80:8. 編輯組態(tài)和啟動(dòng)文件 在測(cè)試已經(jīng)改變了根目錄的服務(wù)器前，剩下最后一步︰編輯幾個(gè)服務(wù)器組態(tài)文件、syslogd 指令碼以及在系統(tǒng)引導(dǎo)時(shí)啟動(dòng) d 守護(hù)程序的初始化文件。 首先，編輯 /chroot/d/etc/ 以說(shuō)明您對(duì)文件位置所做的任何變更。如果目錄結(jié)構(gòu)與以前的安裝相同，則無(wú)需編輯。請(qǐng)記住，Apach 讀取并38 / 40解釋關(guān)于 ServerRoot 偽指令的 組態(tài)文件。只要您對(duì)于該“root”位置沒(méi)有做任何目錄變更，將 Apache 下移到 chroot 目錄樹(shù)中將不會(huì)影響服務(wù)器希望在其中找到各種組件的位置。一旦完成了所有必需的編輯，透過(guò)對(duì)所有文件設(shè)定不可變（immutable）位來(lái)“鎖定”/chroot/d/etc 的內(nèi)容。 [root@thor root ] chattr +i /chroot/d/etc/*這確保沒(méi)有人（甚至 root）能夠編輯這些文件。在進(jìn)行任何變更之前，root 使用者必須明確地逆轉(zhuǎn)不可變位（chattr i filename）。 9. 完成組態(tài)過(guò)程 將 /etc/localtime 文件復(fù)制到 /chroot/d/etc 中。這確保寫入的 Apache 日志項(xiàng)的時(shí)間是本地時(shí)區(qū)。 請(qǐng)確保您有以前 Apache 安裝的目前備份，接著將舊的資料／組態(tài)文件從 /var/log/d、/etc/d 和 /home/d（或以前所用的 DocumentRoot）中除去，然后刪除舊的 d 二進(jìn)制文件（在預(yù)設(shè) Red Hat 安裝下，該文件通常是 /usr/sbin/d）。 編輯 /etc/。找到 daemon sy