Безопасность web-сервера Apache

Apache имеет различные механизмы обеспечения безопасности и разграничения доступа к данным. Основными методами обеспечения информационной безопасности являются:

• ? ограничение доступа к определённым директориям или файлам;
• ? механизм авторизации пользователей для доступа к директории по методу HTTP-авторизации (mod_auth_basic) и digest-авторизации (mod_auth_digest);
• ? ограничение доступа к определённым директориям или всему серверу, основанное на IP-адресах пользователей;
• ? запрет доступа к определённым типам файлов для всех или части пользователей, в том числе запрет доступа к конфигурационным файлам и файлам баз данных;
• ? использование модулей, реализующих авторизацию через СУБД или PAM (Pluggable Authentication Modules — подключаемые модули аутентификации; библиотека, предоставляющая API для управления методами аутентификации в Unix-подобных операционных системах).

В Unix-подобных операционных системах присутствует возможность запуска каждого процесса Apache, используя различные uid и gid, соответствующие этим пользователям и группам пользователей.

Также, существует механизм suexec, используемый для запуска скриптов и CGI-приложений с правами и идентификационными данными пользователя.

Для реализации шифрования данных, передающихся между клиентом и сервером используется механизм SSL, реализованный через библиотеку OpenSSL. Для удостоверения подлинности веб-сервера используются сертификаты X.509.

Внешними средствами обеспечения безопасности являются межсетевые экраны (комплексы аппаратных или программных средств, осуществляющие контроль и фильтрацию проходящих через них сетевых пакетов на различных уровнях модели OSI в соответствии с заданными правилами).

Конфигурационные директивы сервера Apache находятся в файле httpd.conf. Файлом, который дает возможность конфигурировать работу сервера в отдельных директориях (папках), не предоставляя доступа к главному конфигурационному файлу httpd. conf, является. htaccess [21].

Для того чтобы дать директивам файлов. htaccess максимальные права следует прописать в httpd. conf:

# FollowSymLinks — следовать ссылке.

Options FollowSymLinks.

AllowOverride None.

#Запрет доступа ко всем файлам.

Order deny, allow.

Deny from all.

…

# AllowOverride определяет, какие директивы могут быть использованы в файлах.

# .htaccess. Она может принимать значения «All», «None», или любую.

# комбинацию из: «Options», «FileInfo», «AuthConfig», и «Limit» .

#.

AllowOverride All.

…

Файл .htaccess:

#Изменение названия индексной страницы.

DirectoryIndex index. html index.php.

#Выполнять код PHP в файлах HTML.

RemoveHandler .html .htm.

AddType application/x-httpd-php .php .htm .html .phtml.

#Обработка ошибок Apache.

ErrorDocument 401 /401.html.

ErrorDocument 403 /403.html.

ErrorDocument 404 /404.html.

ErrorDocument 500 /500.html.

#Запрет на отображение содержимого каталога при отсутствии индексного файла.

OptionsIndexes.

#Разрешить доступ только с определенного IP-адреса.

order deny, allow.

deny from all.

allow from 94.230.33.123.

#Защита файла.htpasswd.

deny from all.

#Запрет доступа к файлам с расширениями .inc, .conf, .cfg.

deny from all.

#Пароль на директорию.

AuthType Basic.

AuthName «Password Required» .

AuthUserFile /serverAN/.htpasswd.

Require valid-user.