Bảo mật cho máy chủ web Apache pps

Bảo mật cho máy chủ web Apache

trang này đã được đọc lần

Theo thống kê tháng 9 của Netcraft, Apache là máy chủ web được dùng nhiều nhất trên Internet

(chiếm đến 64,52% thị phần). Tuy nhiên, để cấu hình một máy chủ web Apache sao cho bảo

mật không phải là một chuyện đơn giản và ai cũng có thể làm được. Bài viết "Bảo mật cho máy

chủ web Apache" (Securing Apache: Step-by-Step) do anh hnd dịch sẽ giúp cho việc xây dựng

một máy chủ web có tính an tòan bảo mật cao dễ dàng hơn.

Bảo mật Apache: từng bước một

Tác giả: Artur Maj)

Chào các fan quan tâm đến bảo mật cho Apache.

Tôi quyết định dịch bài này và thêm vào phần "Lời bàn và mở rộng" cho các đoạn quan trọng

trong bài viết, hy vọng phần nào giúp các bạn ứng dụng những vấn đề này trong môi trường

thật sự. Mời các bạn xem phần thứ nhất.

Tài liệu này theo dạng chỉ dẫn từng bước cách cài đặt và chỉnh lý Apache 1.3.x web server với

mục đích xử lý và phòng tránh các trường hợp đột nhập lúc những yếu điểm của chương trình

này được khám phá.

Chức năng

Trước khi bắt đầu kiện toàn bảo mật Apache, chúng ta phải xác định rõ chức năng cần thiết nào

của server sẽ được xử dụng. Tính đa năng của Apache tạo ra những khó khăn để thực hiện một

mô thức tổng quát với mục đích kiện toàn bảo mật cho server trong mọi trường hợp có thể được.

Ðây là lý do tài liệu này dựa trên các chức năng sau:

- Web server có thể truy cập từ Internet; và,

- Chỉ những trang HTML tĩnh (static HTML pages) sẽ được phục vụ

- server hỗ trợ tên miền cho cơ chế dịch vụ ảo

- các trang web đã ấn định chỉ có thể truy cập từ các cụm IP addresses hoặc người dùng (khai

báo căn bản)

- server sẽ tường trình trọn bộ các thỉnh cầu (bao gồm những thông tin về các web browsers)

Ðiều đáng nhấn mạnh ở đây là mô hình trên không hỗ trợ PHP, JSP, CGI hoặc bất cứ công nghệ

nào khác có thể tạo cơ hội tương tác đến các dịch vụ Web. Ứng dụng cho những công nghệ trên

có thể dẫn đến những đe dọa to lớn cho vấn đề bảo mật, dù chỉ là một đoạn script nhỏ, kín đáo

cũng có thể giảm thiểu mức triệt để bảo mật của server. Tại sao? trước hết, các ứng trình

ASP/CGI có thể chứa những yếu điểm bảo mật (ví dụ SQL injection, cross-site-scripting). Kế tiếp,

chính các kỹ nghệ ấy có thể nguy hiểm (các yếu điểm trong PHP, các module của Perl v..v..). Ðó

là lý do tại sao tôi mạnh mẽ đề nghị xử dụng những công nghệ ấy chỉ khi nào nhu cầu tương tác

với một web site hoàn toàn cần thiết mà thôi.

Lời bàn và mở rộng:

Việc kiện toàn bảo mật cho một web server liên quan đến nhiều thủ thuật ở nhiều mức độ khác

nhau. Tác giả chuộng nguyên tắc "tối thiểu" để giảm thiểu những lỗ hổng bảo mật có thể hiện

diện trên một web server. Lý thuyết mà nói, nguyên tắc này đưa đến những ứng dụng và chỉnh

định chặt chẽ hơn cho vấn đề bảo mật. Tuy nhiên, hoạt tính và nhu cầu làm việc của một web

server không thể dừng lại ở khuôn khổ "tối thiểu" và bị áp đặt trong giới hạn các trang static