Tải bản đầy đủ (.docx) (21 trang)
  1. Trang chủ
    2. >>
  2. Công Nghệ Thông Tin
    3. >>
  3. An ninh - Bảo mật

BTL - Các chính sách an toàn trong dịch vụ webserver Apache

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (333.48 KB, 21 trang )

HỌC VIỆN KỸ THUẬT MẬT MÃ
KHOA AN TỒN THƠNG TIN

ĐỀ TÀI
AN TỒN CHO DỊCH VỤ WEB APACHE

Giảng viên hướng dẫn:
Nhóm sinh viên thực hiện:
Chu Văn Quân – AT1407xx
Ngô Nguyễn Anh Đức – AT140xx
Nguyễn Minh Hoàng – AT1407xx
Nguyễn Đức Nhân – AT1407xx
Nguyễn Tiến Tùng - AT1407xx

Hà Nội, 08/2020


Đề tài: AN TOÀN CHO DỊCH VỤ WEB
APACHE

Nhận xét của cán bộ hướng dẫn: .........................................................................................
.............................................................................................................................................
.............................................................................................................................................
.............................................................................................................................................
.............................................................................................................................................
.............................................................................................................................................
.............................................................................................................................................
.............................................................................................................................................
Điểm chuyên cần: ................................................................................................................
Điểm báo cáo: ......................................................................................................................
Xác nhận của cán bộ hướng dẫn




MỤC LỤC


DANH MỤC HÌNH ẢNH


LỜI MỞ ĐẦU
Hiện nay, lĩnh vực công nghệ ngày càng phát triển nhanh chóng. Các c̣c tấn
cơng mạng, tấn cơng từ hacker, các nguy cơ gây mất an tồn thơng tin xảy ra với
tần xuất nhiều hơn, mức độ nghiêm trọng cũng cao hơn. Bên cạnh đó trong thời đại
phát triển mạnh của công nghệ Internet như hiện nay, các vấn đề thuộc về an ninh
mạng như: sự tấn công, thâm nhập và đánh cắp dữ liệu website và trên hệ thống
máy chủ đã làm nổi lên những mối quan tâm, lo ngại từ phía người quản trị. Để
ngăn chặn điều này xảy ra người quản trị cần có những phương pháp thích hợp để
bảo vệ máy chỉ cũng như máy tính của mình. Vấn đề an tồn thơng tin lại càng trở
lên cấp thiết và đóng vai trị quan trọng.
Trong quá trình xây dựng website, điều thiết yếu là phải bảo mật website của bạn
trước những hiểm họa trên internet. Việc xây dựng bảo mật Web Server có vai trò
cực kỳ quan trọng trọng vấn đề này.
Vậy làm thế nào để giúp người quản trị thực hiện điều đó. Để trả lời cho câu hỏi,
trong bài tiểu luận này nhóm tiến hành “Tìm hiểu An tồn cho dịch vụ web
Apache” để có thể đưa ra câu trả lời cụ thể giúp bảo vệ thơng tin mợt cách an tồn
và hiệu quả nhất. Mặc dù đã cố gắng, dày công nghiên cứu xong quá trình làm
khơng thể tránh khỏi sai xót, rất mong nhận được sự góp ý đóng góp của quý thầy
cô và các bạn!


PHẦN I – TỔNG QUAN VỀ WEBSERVER

1.1

CÁC KHÁI NIỆM LIÊN QUAN ĐẾN WEBSERVER

Web server có nghĩa là máy chủ web, là máy tính lớn được kết nối với tập hợp
mạng máy tính mở rợng. Máy chủ chứa tồn bợ dữ liệu mà nó được giao quyền
quản lý. Mỗi máy chủ có mợt IP riêng và có thể đọc đa dạng ngơn ngữ như HTML,
HTM, File,… Máy chủ có dung lượng lớn và tốc đợ rất cao để có thể lưu trữ và
vận hành tốt kho dữ liệu trên internet. Thông qua cổng giao tiếp riêng biệt của mỗi
máy chủ mà hệ thống máy tính có khả năng hoạt đợng trơn tru hơn. Máy chủ phải
đảm bảo hoạt động liên tục để có thể cung cấp dữ liệu cho mạng lưới máy tính của
nó.
Web server có thể là phần cứng hoặc phần mềm cũng có thể bao gồm cả hai:




Phần cứng: Máy chủ web là mợt máy tính lưu trữ các file ảnh, tài liệu
HTML, CSS, file JavaScript của một website và chuyển chúng tới thiết bị của Enduser. Máy chủ được kết nối internet và truy cập thông qua một tên miền như
Mozilla.org.
Phần mềm: Web server gồm một số phần điều khiển người dùng truy
cập đến file lưu trữ trên một máy chủ HTTP. Máy chủ HTTP là một phần mềm, nó
có khả năng hiểu được các địa chỉ website (URL) và giao thức trình duyệt sử dụng
để xem các website (HTTP).
Bất cứ khi nào mợt trình duyệt cần đến file được lưu trữ trên máy chủ, trình
duyệt gửi yêu cầu file đó thơng qua HTTP. Khi u cầu tới đúng máy chủ (phần
cứng), HTTP (phần mềm) sẽ gửi tài liệu được yêu cầu trở lại thông qua HTTP.
1.2

CÁC BƯỚC LẤY DỮ LIỆU CỦA MỘT WEBSITE

Bước 1: Web server lưu trữ các file của website – Hosting file

Web server lưu trữ các file của website (bao gồm các tài liệu HTML, ảnh file
CSS, fonts, video, file JavaScript). Người dùng hoàn tồn có thể lưu trữ chúng trên
máy tính của mình nhưng khi lưu trên máy chủ web sẽ có những lợi ích sau:





Ln sẵn sàng – up and running
Ln kết nối tới mạng internet
Địa chỉ IP cố định
Được bảo dưỡng và bảo vệ bởi nhà cung cấp


Bước 2: Giao tiếp qua HTTP
Web server sẽ hỗ trợ giao thức truyền phát siêu văn bản – HTTP. HTTP là tập
hợp các quy tắc kết nối giữa hai máy tính bao gồm Textual và Stateless.



Textual: Mọi lệnh đều là văn bản thuần túy và người dùng có thể đọc được
nó.
Stateless: Khi cả người dùng và máy chủ khơng nhớ kết nối trước đó.

HTTP có quy tắc rõ ràng về giao tiếp giữa client và server như sau:





Duy nhất client có thể tạo ra yêu cầu HTTP đến server. Các server chỉ có thể
đáp trả yêu cầu HTTP của client.
Client phải cung cấp URL của file khi yêu cầu file đó thơng qua HTTP.
Tất cả u cầu HTTP sẽ được web server trả lời.

HTTP có trách nhiệm xử lý và trả lời các yêu cầu đến qua các bước:




1.3

Khi nhận được một yêu cầu, HTTP sẽ kiểm tra URL được u cầu có khớp
với file hiện có khơng?
Nếu trùng khớp, máy chủ web sẽ gửi nội dung file trả lại trình duyệt. Trường
hợp khơng trùng khớp, mợt Application server sẽ tạo ra file được yêu cầu.
Web server sẽ gửi trả lại mợt thơng điệp lỗi cho trình duyệt (phổ biến nhất là
404 Not Found) nếu nó khơng thể xử lý được.

CÁC LOẠI WEB SERVER PHỔ BIẾN HIỆN NAY
• Web server Apache
• Web server IIS
• Web server Nginx
• Web server LiteSpeed


PHẦN II – TÌM HIỂU VỀ WEB SERVER APACHE
2.1 TỔNG QUAN VỀ WEBSERVER APACHE
Mặc dù chúng ta gọi Apache là web server, nhưng nó lại khơng phải là

server vật lý, nó là mợt phần mềm chạy trên server đó. Cơng việc của nó là thiết
lập kết nối giữa server và trình duyệt người dùng (Firefox, Google Chrome,
Safari,...) rồi chuyển file tới và đi giữa chúng (cấu trúc 2 chiều dạng client-server).
Apache là mợt phần mềm đa nền tảng, nó hoạt động tốt với cả server Unix và
Windows.
Khi một khách truy cập tải mợt trang web trên website, ví dụ, trang chủ “About
Us”,trình duyệt người dùng sẽ gửi yêu cầu tải trang web đó lên server và Apache sẽ
trả kết quả với tất cả đầy đủ các file cấu thành nên trang About Us (hình ảnh, chữ,
…). Server và client giao tiếp với nhau qua giao thức HTTP và Apache chịu trách
nhiệm cho việc đảm bảo tiến trình này diễn ra mượt mà và bảo mật giữa 2 máy.
Apache là một nền tảng module có đợ tùy biến rất cao. Moduels cho phép quản trị
server tắt hoặc thêm chức năng. Apache có modules cho bảo mật caching, URL
rewriting, chứng thực mật khẩu,…
2.2 ƯU ĐIỂM VÀ KHUYẾT ĐIỂM CỦA APACHE
Apache web server là lựa chọn ưu việt để vận hành một website ổn định
và có thể tùy chỉnh linh hoạt. Tuy nhiên, nó cũng có mợt số điểm bất lợi mà bạn
nên biết.
Ưu điểm:


Phần mềm mã nguồn mở và miễn phí, kể cả cho mục đích thương mại.



Phần mềm đáng tin cậy, ổn định.



Được cập nhật thường xuyên, nhiều bản vá lỗi bảo mật liên tục.




Linh hoạt vì có cấu trúc module.



Dễ cấu hình, thân thiện với người mới bắt đầu



Đa nền tảng (hoạt động được cả với server Unix và Windows).




Hoạt đợng cực kỳ hiệu quả với WordPress Sites.



Có cợng đồng lớn và sẵn sàng hỗ trợ với bất kỳ vấn đề nào.



Hỗ trợ PHP, Perl, SSL, …

Nhược điểm:


Gặp vấn đề hiệu năng nếu website có lượng truy cập cực lớn.




Quá nhiều lựa chọn thiết lập có thể gây ra các điểm yếu bảo mật.

PHẦN III – VẤN ĐỀ AN TOÀN TRONG APACHE
3.1 SỰ CẦN THIẾT CỦA VIỆC ĐỀ RA CÁC CHÍNH SÁCH AN TỒN
Trong thời đại phát triển mạnh của công nghệ Internet như hiện nay, các vấn
đề thuộc về an ninh mạng như: sự tấn công, thâm nhập và đánh cắp dữ liệu trên
website và trên hệ thống máy chủ ngày càng gia tăng và có xu thế ngày càng nhiều
hơn, trước sự lo ngại của những hệ thống webserver Apache cịn yếu kém, cũng
như có nhiều lỗ hổng trong hệ thống, người điều hành nên có những phương pháp
thích hợp để bảo vệ máy chủ trước những hiểm họa đã nêu trên.
Các webserver luôn là những vùng đất màu mỡ cho các hacker tìm kiếm các thơng
tin giá trị hay gây rối vì mợt mục đích xấu nào đó. Hiểm họa có thể là bất kì
phương thức nào từ kiểu tấn công từ chối dịch vụ, quảng cáo các website có nợi
dung đợc hại, xóa, thay đổi nội dung các file hay phần mềm chưa mã nguy hiểm,
hay tiêm nhiễm các đoạn mã độc để đánh cắp thông tin người dùng theo thời gian.
3.2 HIỆN THỰC CÁC LỖ HỔNG ĐÃ BỊ TẤN CÔNG
Mới đây, Apache đã phát hành bản vá cho các lỗ hổng trong phần mềm máy
chủ web của hãng. Những lỗ hổng này có thể dẫn đến các cuộc tấn công thực thi
mã tùy ý. Thậm chí, trong mợt số trường hợp cịn có thể cho phép kẻ tấn công đánh
sập hệ thống và thực hiện tấn cơng từ chối dịch vụ.
Ba lỗ hổng có định danh CVE-2020-9490, CVE-2020-11984, CVE-2020-11993, đã
được phát hiện bởi chuyên gia bảo mật Felix Wilhelm thuộc Google Project Zero.


Apache sau đó đã nhanh chóng phát hành mợt bản cập nhật mới (2.4.46) để khắc
phục các lỗ hổng này.
Lỗ hổng CVE-2020-11984 có thể dẫn đến thực thi mã từ xa do vấn đề tràn bợ đệm
trong mơ-đun "mod_uwsgi", có khả năng cho phép kẻ tấn công xem, thay đổi hoặc

xóa dữ liệu nhạy cảm tùy tḥc vào các đặc quyền liên quan với một ứng dụng
đang chạy trên máy chủ.
Lỗ hổng CVE-2020-11993 xảy ra khi kích hoạt tính năng gỡ lỗi trong mô-đun
"mod_http2", khiến báo cáo ghi nhật ký được thực hiện trên kết nối sai và do đó
dẫn đến lỗi bợ nhớ.
Lỗ hổng cịn lại được đánh giá là nghiêm trọng nhất, tồn tại trong môđun HTTP/2.
Tin tặc khai thác lỗ hổng này bằng cách sử dụng tiêu đề 'Cache-Digest' được thiết
kế đặc biệt để gây hỏng bộ nhớ dẫn đến lỗi và từ chối dịch vụ.
Mặc dù, cho tới hiện tại chưa có báo cáo nào cho thấy những lỗ hổng này bị khai
thác trên thực tế. Tuy nhiên, các bản vá bảo mật vẫn cần được nhanh chóng áp
dụng cho các hệ thống bị ảnh hưởng, ngay sau khi hồn tất việc kiểm tra tính tương
thích, cũng như đảm bảo rằng ứng dụng được định cấu hình với duy nhất các đặc
quyền cần thiết để giảm thiểu tối đa các tác đợng của lỗ hổng. (Trích [1])
PHẦN IV – CÁC CHÍNH SÁCH AN TỒN CHO DỊCH VỤ WEB APACHE
4.1 BẢO VỆ AN TOÀN TỪ PHẦN CỨNG (BIOS)
Khi khởi đợng hệ thống máy tính, thành phần đầu tiên được chạy chính là
BIOS. Để đảm bảo an tồn cho hệ thống, nên tắt chế độ boot từ các thiết bị như ổ
đĩa CD/DVD. Các thiết bị ngoại vi, đĩa mềm… ở trong cấu hình BIOS. Sau đó cần
tạo mật khẩu cho BIOS nhằm hạn chế các truy cập trái phép từ trong chính hệ
thống.
4.2 PHÂN VÙNG Ổ CỨNG
Mợt cách thức để đảm bảo an toàn dữ liệu trước rủi ro là nên phân vùng ổ
cứng cho hệ thống. Bằng cách tạo ra các phân vùng khác nhau, dữ liệu được chia
nhỏ và nhóm lại. Khi có sự cố xảy ra tại mợt phân vùng nào đó, chỉ có những dữ
liệu ở cùng phân vùng đó bị hỏng cịn tại các phân vùng khác dữ liệu vẫn an toàn.


4.3 SAO LƯU DỮ LIỆU ĐỊNH KỲ



Mục đích của bản sao lưu: là tạo mợt bản dữ liệu khác có thể được phục
hồi trong trường hợp xảy ra với bản chính với bất kỳ nguyên nhân nào. Lỗi
dữ liệu chính có thể là kết quả của lỗi phần cứng hoặc phần mềm, do hỏng
hoặc do con người gây ra, chẳng hạn như virus tấn công (vi-rút hoặc phần
mềm độc hại) hoặc xóa nhầm dữ liệu ngẫu nhiên. Bản sao lưu cho phép dữ
liệu được khôi phục từ thời điểm trước đó để giúp người quản trị khơi phục
từ những việc bất khả kháng.



Lưu trữ bản sao của dữ liệu trên một thiết bị riêng biệt là rất quan trọng để
bảo vệ chống mất dữ liệu xảy ra. Thiết bị sao lưu đơn giản nhất có thể như ổ
đĩa gắn ngồi, HDD di đợng gắn ngồi hoặc USB… Phương tiện thay thế có
thể ở cùng vị trí với dữ liệu chính hoặc tại mợt vị trí ở bất cứ nơi đâu.



Để có kết quả tốt nhất, các bản sao lưu được thực hiện trên cơ sở nhất quán,
thường xuyên để giảm thiểu số lượng dữ liệu bị mất giữa các bản sao lưu.
Càng nhiều thời gian trôi qua nếu dữ liệu chưa được sao lưu, càng có nhiều
khả năng mất dữ liệu xảy ra khi khôi phục từ bản sao lưu chính.

4.4 HẠN CHẾ CÁC DỊCH VỤ KHƠNG CẦN THIẾT
Để bảo mật Apache, có thể muốn tắt mợt số dịch vụ nhất định, chẳng hạn
như thực thi CGI và các liên kết tượng trưng, nếu chúng khơng cần thiết. Có thể tắt
các dịch vụ này bằng cách sử dụng lệnh Options trong tệp cấu hình httpd.conf và
bạn cũng có thể tắt các dịch vụ này chỉ cho một thư mục cụ thể.
Ví dụ dưới đây cho thấy những gì cần đưa vào tệp cấu hình httpd.conf của để vơ
hiệu hóa việc thực thi tập lệnh CGI, liên kết tượng trưng và bao gồm phía máy chủ
cho thư mục gốc của máy chủ web và các thư mục con của nó.



4.5 ẨN PHIÊN BẢN APACHE VÀ NHẬN DẠNG HỆ ĐIỀU HÀNH
Khi bạn cài đặt Apache bằng nguồn hoặc bất kỳ trình cài đặt gói nào khác như
yum , nó sẽ hiển thị phiên bản của máy chủ web Apache được cài đặt trên máy chủ của
bạn với tên hệ điều hành của máy chủ của bạn trong lỗi. Nó cũng hiển thị thông tin về các
mô-đun apache được cài đặt trong máy chủ của bạn.

Trong hình trên, bạn có thể thấy rằng Apache đang hiển thị phiên bản của nó với hệ
điều hành được cài đặt trong máy chủ của bạn. Đây có thể là mợt mối đe dọa bảo
mật lớn đối với máy chủ web cũng như hộp Linux của bạn. Để ngăn Apache không
hiển thị những thông tin này với mọi người, chúng ta cần thực hiện một số thay đổi
trong tệp cấu hình chính của Apache.
Mở tệp cấu hình bằng trình soạn thảo vim và tìm kiếm “ ServerSignature ”, theo
mặc định là Bật. Chúng ta cần Tắt chữ ký máy chủ này và dòng thứ hai
“ ServerTokens Prod ” cho Apache chỉ trả lại Apache dưới dạng sản phẩm trong
tiêu đề phản hồi của máy chủ trên mọi u cầu trang, Nó ngăn chặn thơng tin về hệ
điều hành, phiên bản chính và phụ.


4.6 TẮT DANH SÁCH THƯ MỤC
Theo mặc định, Apache liệt kê tất cả nội dung của thư mục gốc Tài liệu
trong trường hợp khơng có tệp chỉ mục.


Chúng ta có thể tắt danh sách thư mục bằng cách sử dụng Options directive trong
tệp cấu hình cho mợt thư mục cụ thể. Để làm được điều đó, chúng ta cần tạo một
mục nhập trong tệp httpd.conf hoặc apache2.conf.

4.7 TIẾP TỤC CẬP NHẬT APACHE THƯỜNG XUYÊN



Cộng đồng nhà phát triển Apache đang liên tục giải quyết các vấn đề bảo
mật và phát hành phiên bản cập nhật với các tùy chọn bảo mật mới . Vì vậy, Nó
ln ln khuyến khích sử dụng các phiên bản mới nhất của Apache là máy chủ
web của bạn.
Để kiểm tra phiên bản Apache : Bạn có thể kiểm tra phiên bản hiện tại của mình
bằng lệnh httpd -v.

Bạn có thể cập nhật phiên bản của mình bằng lệnh sau.

Bạn cũng nên cập nhật Kernel và HĐH của mình lên các bản phát hành ổn định
mới nhất nếu bạn không chạy bất kỳ ứng dụng cụ thể nào chỉ hoạt đợng trên HĐH
hoặc Kernel cụ thể.
4.8 TẮT CÁC MƠ ĐUN KHƠNG CẦN THIẾT
Ln ln là giải pháp tốt để giảm thiểu nguy cơ trở thành nạn nhân của bất
kỳ c̣c tấn cơng web nào. Vì vậy, bạn nên tắt tất cả những mơ-đun hiện khơng
được sử dụng. Bạn có thể liệt kê tất cả các mô-đun đã biên dịch của máy chủ web
bằng cách sử dụng lệnh sau.


Trên đây là danh sách các module được bật mặc định nhưng thường không cần
thiết: mod_imap , mod_include , mod_info , mod_userdir , mod_autoindex . Để tắt
mô-đun cụ thể, bạn có thể chèn “ # ” vào đầu dịng đó và khởi động lại dịch vụ.
4.9 CHẠY APACHE TƯ CÁCH NGƯỜI DÙNG VÀ NHÓM RIÊNG BIỆT
Với cài đặt mặc định Apache chạy quy trình của nó mà khơng cần người
dùng hoặc daemon . Vì lý do bảo mật, bạn nên chạy Apache trong tài khoản khơng
đặc quyền của chính nó . Ví dụ: http-web.

Bây giờ bạn cần yêu cầu Apache chạy với người dùng mới này và để làm như vậy,

chúng ta cần thực hiện một mục nhập trong /etc/httpd/conf/httpd.conf và khởi đợng
lại dịch vụ.
Mở /etc/httpd/conf/httpd.conf bằng trình soạn thảo vim và tìm kiếm từ khóa
“ User ” và “ Group ” và ở đó bạn sẽ cần chỉ định user và group để sử dụng.


4.10 CHO PHÉP VÀ TỪ CHỐI, HẠN CHẾ TRUY CẬP VÀO THƯ MỤC
Chúng tơi có thể hạn chế quyền truy cập vào các thư mục với các tùy
chọn “Allow” và “Deny” trong tệp httpd.conf. Ở đây trong ví dụ này, chúng tôi sẽ
bảo mật thư mục gốc bằng cách thiết lập phần sau trong tệp httpd.conf.





Tùy chọn “None” - Tùy chọn này sẽ không cho phép người dùng bật bất kỳ
tính năng tùy chọn nào.
Lệnh từ deny, allow - Đây là thứ tự trong đó lệnh " Từ chối " và " Cho
phép " sẽ được xử lý. Ở đây nó sẽ “ từ chối ” trước và “ cho phép ” tiếp theo.
Deny form all - Điều này sẽ từ chối yêu cầu từ mọi người đến thư mục gốc,
khơng ai có thể truy cập thư mục gốc.

4.11 SỬ DỤNG MƠ ĐUN MOD_SECURITY ĐỂ BẢO MẬT APACHE
Mod_security hoạt đợng như một bức tường lửa cho các ứng dụng web của
chúng tôi và cho phép chúng tôi theo dõi lưu lượng truy cập trên cơ sở thời gian
thực. Nó cũng giúp chúng tôi bảo vệ các trang web hoặc máy chủ web của mình
khỏi các c̣c tấn cơng mạnh. Bạn có thể chỉ cần cài đặt mod_security trên máy
chủ của mình với sự trợ giúp của trình cài đặt gói mặc định.



Cài đặt trên Ubuntu/Debian



Cài đặt trên CentOS,…


4.12 TẮT CHỨC NĂNG THEO DÕI CỦA SYMBOLIC LINKS
Mặc định Apache tuân theo các liên kết tượng trưng, chúng ta có thể tắt tính
năng này bằng FollowSymLinks với Options . Và để làm như vậy, chúng ta cần
thực hiện mục sau trong tệp cấu hình chính.

Và, nếu bất kỳ người dùng hoặc trang web cụ thể nào cần bật FollowSymLinks ,
chúng tơi có thể chỉ cần viết quy tắc trong tệp “ .htaccess ” từ trang web đó.

Lưu ý: Để kích hoạt các quy tắc viết lại bên trong tệp “ .htaccess ”,
“ AllowOverride All ” phải có trong cấu hình chính trên tồn cục.
4.13 KÍCH THƯỚC U CẦU GIỚI HẠN
Theo mặc định, Apache khơng có giới hạn về tổng kích thước của u cầu
HTTP, tức là khơng giới hạn và khi bạn cho phép các yêu cầu lớn trên máy chủ
web, bạn có thể là nạn nhân của các c̣c tấn cơng Từ chối dịch vụ. Chúng tơi có
thể giới hạn kích thước yêu cầu của chỉ thị Apache “ LimitRequestBody ” bằng thẻ
thư mục.
Bạn có thể đặt giá trị theo byte từ 0 ( unlimited ) đến 2147483647 ( 2GB ) được
phép trong phần thân yêu cầu. Bạn có thể đặt giới hạn này theo nhu cầu trang web
của mình, Giả sử bạn có mợt trang web mà bạn cho phép tải lên và bạn muốn giới
hạn kích thước tải lên cho một thư mục cụ thể.
Ở đây trong ví dụ này, user_uploads là mợt thư mục chứa các tệp do người dùng tải
lên. Chúng tôi đang đặt giới hạn 500K cho việc này.



4.14 BẢO VỆ TRONG CÁC CUỘC TẤN CÔNG DDOS VÀ KIỂM SỐT
Đúng là chúng ta khơng thể bảo vệ hồn tồn trang web của mình khỏi các c̣c
tấn cơng DDos. Dưới đây là mợt số chỉ thị có thể giúp bạn kiểm soát nó.


TimeOut : Chỉ thị này cho phép bạn đặt khoảng thời gian máy chủ sẽ đợi
các sự kiện nhất định hồn thành trước khi nó bị lỗi. Giá trị mặc định là 300
giây. Tốt, nếu giữ giá trị này ở mức thấp trên những trang web bị tấn cơng
DDOS. Giá trị này hồn tồn phụ tḥc vào loại yêu cầu bạn nhận được trên
trang web của mình.
Lưu ý : Nó có thể gây ra vấn đề với các tập lệnh CGI đi kèm .



MaxClients : Chỉ thị này cho phép bạn đặt giới hạn về các kết nối sẽ được
phục vụ đồng thời. Mọi kết nối mới sẽ được xếp hàng sau giới hạn này. Nó
có sẵn với Prefork và Worker cả MPM . Giá trị mặc định là 256.



KeepAliveTimeout : Đó là khoảng thời gian máy chủ sẽ đợi mợt u cầu
tiếp theo trước khi đóng kết nối. Giá trị mặc định là 5 giây.



LimitRequestFields : Nó giúp chúng ta đặt giới hạn về số lượng trường tiêu
đề của yêu cầu HTTP sẽ được chấp nhận từ các máy khách. Giá trị mặc định
là 100. Bạn nên giảm giá trị này nếu các cuộc tấn công DDos đang xảy ra do
quá nhiều tiêu đề yêu cầu http.




LimitRequestFieldSize : Giúp chúng ta đặt giới hạn kích thước trên tiêu đề
HTTP Request.

4.15 KÍCH HOẠT NHẬT KÝ APACHE
Apache cho phép bạn ghi nhật ký độc lập với ghi nhật ký hệ điều hành của
bạn. Bạn nên bật tính năng ghi nhật ký Apache vì nó cung cấp nhiều thơng tin hơn,
chẳng hạn như các lệnh được nhập bởi người dùng đã tương tác với máy chủ Web
của bạn.
Để làm như vậy, bạn cần bao gồm mơ-đun mod_log_config. Có ba chỉ thị chính
liên quan đến ghi nhật ký có sẵn với Apache.




TransferLog : Tạo tệp nhật ký.
LogFormat : Chỉ định một định dạng tùy chỉnh.
CustomLog : Tạo và định dạng tệp nhật ký.


Chúng ta cũng có thể sử dụng chúng cho mợt trang web cụ thể mà bạn đang sử
dụng Máy chủ ảo và bạn cần chỉ định nó trong phần máy chủ ảo. Ví dụ: đây là cấu
hình máy chủ ảo trang web của tơi có bật tính năng ghi nhật ký.

PHẦN V – KẾT LUẬN
Đảm bảo an tồn thơng tin cần được thực hiện định kỳ một cách thường
xuyên, nhằm đảm bảo cho hệ thống thơng tin được an tồn. Tránh được các rủi ro
đáng tiếc xảy ra, gây ảnh hưởng tới hoạt động, trao đổi của server.

Việc một webserver hay người quản trị viên thực hiện và cấu hình các chính
sách an tồn trên là mợt bước tiến lớn trong việc đảm bảo an tồn thơng tin của tổ
chức. Tuy nhiên, việc tn thủ hay cấu hình cách chính sách an tồn dịch vụ
webserver apache khơng khẳng định là tổ chức an toàn tuyệt đối. Do vậy, cần liên
tục kiểm soát, đánh giá rủi ro, xác định các mối đe dọa và điểm yếu của hệ thống
để có những hiểu biết tốt hơn về hệ thống thông tin. Từ đó đưa được các giải pháp
để giảm thiểu rủi ro. Nên đánh giá hệ thống định kỳ 6 tháng/1 lần để có những cải
tiến phù hợp với hệ thống quản lý an tồn thơng tin. Đảm bảo tài sản thơng tin ln
đáp ứng được ba tḥc tính là tính bảo mật, tính tồn vẹn và tính sẵn sàng.

PHẦN VI – TÀI LIỆU THAM KHẢO


-

/> /> /> /> /> />


Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×