古云“蜀道之難，難于上青天~”在我這個(gè)剛?cè)腴T不就得來說，想要維護(hù)一個(gè)網(wǎng)站的安全還真的挺不容易的，我們要時(shí)刻關(guān)注最新的安全動(dòng)態(tài)，關(guān)注系統(tǒng)的漏洞，并積極的做好應(yīng)對(duì)，對(duì)于一個(gè)網(wǎng)管，網(wǎng)站的維護(hù)，是比較重要的一個(gè)工程，先不論一些高層次的安全保護(hù)措施，對(duì)于httpd服務(wù)的基本安全措施，我們是應(yīng)該好好掌握的，否則好不容易架起來一個(gè)網(wǎng)站，分分鐘被一些電腦愛好者們給攻破了---------------》那那那就尷尬了。。。

創(chuàng)新互聯(lián)公司是專業(yè)的海陽網(wǎng)站建設(shè)公司，海陽接單;提供成都網(wǎng)站制作、網(wǎng)站設(shè)計(jì),網(wǎng)頁(yè)設(shè)計(jì),網(wǎng)站設(shè)計(jì),建網(wǎng)站,PHP網(wǎng)站建設(shè)等專業(yè)做網(wǎng)站服務(wù);采用PHP框架,可快速的進(jìn)行海陽網(wǎng)站開發(fā)網(wǎng)頁(yè)制作和功能擴(kuò)展;專業(yè)做搜索引擎喜愛的網(wǎng)站,專業(yè)的做網(wǎng)站團(tuán)隊(duì),希望更多企業(yè)前來合作!

    那么當(dāng)我們架好一個(gè)網(wǎng)站之后，怎樣去配置他的安全性呢？？

    在linux中，我們有這樣三種方法：

      1.身份驗(yàn)證：對(duì)要在網(wǎng)頁(yè)上執(zhí)行操作的用戶，進(jìn)行身份驗(yàn)證，驗(yàn)證其合法性，真實(shí)性。

      2.來源控制：某些東西比如公司的機(jī)密，我們是不能讓外來人登錄并查看的，假設(shè)：?jiǎn)挝粓F(tuán)隊(duì)好不容易研發(fā)出了科技成果，一個(gè)外界用戶一個(gè)”另存為“，或者“復(fù)制，粘貼”給考走了，那真是。。。。。

      3.ssl套接層：也就是我們常常發(fā)現(xiàn)的網(wǎng)頁(yè)上url的http變成了https，在有關(guān)金錢交易的購(gòu)物網(wǎng)站上用的很多很多。

    那下面我們就來看看如何走好這三部曲?。?！

---

第一部曲：身份驗(yàn)證

要實(shí)現(xiàn)身份驗(yàn)證大致的流程：

A．在站點(diǎn)的主目錄下寫說明文件.htacess，說明的內(nèi)容當(dāng)然就是要進(jìn)行身份驗(yàn)證了，這里有四個(gè)部分。

authuserfile   /var/www/.htpasswd說明對(duì)用戶身份驗(yàn)證，但是要?jiǎng)?chuàng)建用戶驗(yàn)證賬號(hào)庫(kù)，但這里的與系統(tǒng)的賬號(hào)庫(kù)不是一個(gè)。

authname “please input youusername and passwd??！”彈出驗(yàn)證的端口，要求用戶輸入口令

authtype     驗(yàn)證的類型

required      要求什么樣的用戶可以訪問

B．產(chǎn)生賬號(hào)文件

   htpasswd –c .htpasswd 賬號(hào)名；使用該命令新建用戶賬號(hào)【注意-c 參數(shù)只用添加一次就好】

1.修改配置文件，httpd.conf

  在 AllowOverride 設(shè)置為 None 時(shí)， .htaccess 文件將被完全忽略。當(dāng)此指令設(shè)置為 All 時(shí)，所有具有 ".htaccess" 作用域的指令都允許出現(xiàn)在 .htaccess 文件中。

2.創(chuàng)建站點(diǎn)的首頁(yè)

[root@localhost html]# echo"welcome to lining's web" >> index.html

開啟httpd服務(wù)，然后登陸，顯示我們的測(cè)試頁(yè)面。

3.配置身份驗(yàn)證

在網(wǎng)站根目錄下 /var/www/html 建立 .htacss文件

4.在/var/www目錄下，創(chuàng)建賬號(hào)庫(kù)文件，創(chuàng)建用戶 lining

[root@localhostwww]# htpasswd -c .htpasswd lining

New password:

Re-type new password:

測(cè)試：

---

第二部曲------》來源控制

直接配置httpd.conf文件。

重啟httpd服務(wù)，測(cè)試。

在這里我們進(jìn)入到了其他的頁(yè)面，而不是我們的主頁(yè)面，因?yàn)槲冶痪芙^訪問了。

---

第二部曲-----》網(wǎng)站的加密訪問【https】

在訪問網(wǎng)站的時(shí)候我們通常，使用的是http開頭的網(wǎng)站，http提供的是明碼的傳送方式，十分不安全。所以我們需要讓他進(jìn)行密文的傳輸，來提供安全性。

但是當(dāng)我們?yōu)g覽銀行網(wǎng)站的時(shí)候，就變成https的網(wǎng)站。那么https是怎么實(shí)現(xiàn)的呢？？？

答：它是通過安全套階層協(xié)議 ssl 實(shí)現(xiàn)的。

那么我們?cè)趌inux中又怎么實(shí)現(xiàn)安全套階層呢？？

答：在linux要實(shí)現(xiàn)安全套接層時(shí)間加密訪問我們就需要知道兩樣?xùn)|西。

    1.openssl命令的使用

    2.PKI公鑰基礎(chǔ)設(shè)施

首先我們來了解一下openssl命令的使用。

1.查看openssl的文件目錄，使用rpm -ql openssl命令。

查看openssl的功能，包括對(duì)稱加密，非對(duì)稱加密，校驗(yàn)等等功能?。?！

2.摘要的做法【使用md5】。摘要的用途，可以用來檢驗(yàn)內(nèi)容的完整性，當(dāng)我們使用MD5算法對(duì)內(nèi)容進(jìn)行運(yùn)算，產(chǎn)生一個(gè)定長(zhǎng)的摘要，我們可以將摘要和內(nèi)容發(fā)給接收方，接收方通過再次計(jì)算摘要，對(duì)比兩份摘要來確定內(nèi)容是否被更改過。

【小例子】

復(fù)制inittab到以我的名字命名的文件夾，并做一個(gè)摘要。

[root@localhostlining]# openssl md5 inittab

MD5(inittab)=9d49303d50eb59151fc24eb0e3802232

更改inittab文件中的內(nèi)容，再次做一個(gè)摘要。

[root@localhostlining]# openssl md5 inittab

MD5(inittab)=a30c76ea4096ab1eddf06657d4e9a590

3.加密 passwd【引入salt概念，當(dāng)我們查看/etc/shadow文件時(shí)，你可能會(huì)發(fā)現(xiàn)，用戶設(shè)置的密碼在顯示中是不一樣的亂碼，這些亂碼就是由系統(tǒng)加密過得密碼。系統(tǒng)通過添加一組字符串，然后混入輸入的密碼中，進(jìn)行加密?！?/p>

4.對(duì)稱加密/解密文件 des/des3

[root@localhost lining]# openssldes3 -a -in inittab -out f1 //用3倍des算法加密inittab文件，并將加密后的內(nèi)容輸出為f1文件。

enter des-ede3-cbcencryption password:   lining     //加密時(shí)所用的密碼。解密是要用到。

Verifying -enter des-ede3-cbc encryption password:   lining

[root@localhostlining]# openssl des3 -a -d -in f1 -out inittab2    //在此之前我刪除inittab文件，將f1文件解密為inittab2 文件

enterdes-ede3-cbc decryption password:

[root@localhostlining]# ll

total 20

-rw-r--r-- 1root root 2288 Jul 11 03:44 f1

-rw-r--r-- 1root root 1665 Jul 11 04:11 inittab2

5.非對(duì)稱加密  rsa【非對(duì)稱算法中要用到公鑰和私鑰，私鑰我們可以使用命令創(chuàng)建出來，公鑰是從私鑰中提取的】

首先產(chǎn)生公鑰秘鑰對(duì)~ 使用genrsa 1024  產(chǎn)生1024位的私鑰，然后從私鑰中提取公鑰。

[root@localhostlining]# openssl rsa -in key.pem -pubout -out public.k   //從私鑰中導(dǎo)出公鑰

writing RSA key

其次我們需要了解一下HTTPS在PKI上的運(yùn)用：

由于PKI內(nèi)容比較多所以暫不在本篇幅說明。。。。

那么現(xiàn)在我們就著手實(shí)現(xiàn)一個(gè)https的站點(diǎn)：

1.CA認(rèn)證中心的實(shí)現(xiàn)，先修改openssl的配置文件【CA中心來對(duì)客戶端進(jìn)行驗(yàn)證并發(fā)放證書】

2.對(duì)于外部的客戶端，他們需要請(qǐng)求證書，對(duì)于根CA，只需要 私鑰----》請(qǐng)求文件

https默認(rèn)使用端口443.所以要加裝另外的模塊。

[root@localhost~]# rpm -qa  mod_ssl

mod_ssl-2.2.3-31.el5                  //我的已經(jīng)安裝了這個(gè)模塊我們之前說過，模塊式動(dòng)態(tài)加載的，也就是當(dāng)你使用的時(shí)候，它自動(dòng)加載，所以并沒有什么操作。

然后再創(chuàng)建httpd的私鑰請(qǐng)求文件以及證書

[root@localhosthttpd]# mkdir certs

[root@localhostcerts]# openssl genrsa 1024 > httpd.key    //私鑰文件

GeneratingRSA private key, 1024 bit long modulus

...++++++

...........................++++++

eis 65537 (0x10001)

[root@localhostcerts]# openssl req -new -in httpd.key -out httpd.req  //請(qǐng)求文件

Generatinga 1024 bit RSA private key

...............................................................++++++

.......++++++

發(fā)放證書

[root@localhostCA]# cat index.txt        //在證書數(shù)據(jù)庫(kù)中更新了httpd證書的信息

V  140711013035Z      01  unknown  /C=CN/ST=HENAN/O=MyCompany Ltd

httpd 和 證書捆綁：

[root@localhost CA]# vim /etc/httpd/conf.d/ssl.conf

112SSLCertificateFile /etc/httpd/certs/httpd.cert   //指明站點(diǎn)的證書文件，用戶也是要通過它來確定是否訪問到了正確站點(diǎn)，而不是釣魚網(wǎng)站

119SSLCertificateKeyFile /etc/httpd/certs/httpd.key   //指明網(wǎng)站的公鑰

登陸測(cè)試：

112SSLCertificateFile /etc/httpd/certs/httpd.cert

119SSLCertificateKeyFile /etc/httpd/certs/httpd.key

128SSLCertificateChainFile /etc/pki/CA/cacert.pem

繼續(xù)修改配置文件ssl.conf，我們可以通過查看站點(diǎn)的證書鏈然后將證書導(dǎo)出安裝到自己的計(jì)算機(jī)上面。從而實(shí)現(xiàn)客戶端與服務(wù)器的加密訪問。

另外有需要云服務(wù)器可以了解下創(chuàng)新互聯(lián)scvps.cn，海內(nèi)外云服務(wù)器15元起步，三天無理由+7*72小時(shí)售后在線，公司持有idc許可證，提供“云服務(wù)器、裸金屬服務(wù)器、高防服務(wù)器、香港服務(wù)器、美國(guó)服務(wù)器、虛擬主機(jī)、免備案服務(wù)器”等云主機(jī)租用服務(wù)以及企業(yè)上云的綜合解決方案，具有“安全穩(wěn)定、簡(jiǎn)單易用、服務(wù)可用性高、性價(jià)比高”等特點(diǎn)與優(yōu)勢(shì)，專為企業(yè)上云打造定制，能夠滿足用戶豐富、多元化的應(yīng)用場(chǎng)景需求。

網(wǎng)站名稱：apache的web安全三部曲-創(chuàng)新互聯(lián)
分享鏈接：http://sd-ha.com/article38/cdhppp.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供標(biāo)簽優(yōu)化、動(dòng)態(tài)網(wǎng)站、微信小程序、網(wǎng)站制作、企業(yè)網(wǎng)站制作、網(wǎng)站設(shè)計(jì)公司

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來源： 創(chuàng)新互聯(lián)