目录
Web服务器是Web应用的载体,如果这个载体出现安全问题,那么运行在其中的web应用程序的安全也无法得到保障。Web服务器安全,考虑的是应用部署时的运行环境安全,这个运行环境包括Web Server、脚本语言解释器、中间件等。
无论是哪种web服务器,都应该做到最小权限原则,即启动该web服务器的用户不应该是 root/Administrator 用户。并且需要保护好Web服务器的日志文件。
- 启动Web服务器时,应该以单独的用户身份运行,通常单独为Web服务器建立一个 User/Group。
- 保护好Web服务器的日志文件。一般来说,攻击者入侵成功后,做的第一件事就是清除入侵痕迹,修改、删除日志文件,因为Web服务器的日志文件应当妥善保管,比如实时发送到远程的日志服务器上。
Apache
Apache HTTP Server(以下简称Apache)是Apache软件基金会的一个开放源码的网页服务器,可以在大多数计算机操作系统中运行,是最流行的Web服务器软件之一。虽然近年来Nginx和Lighttpd等Web Server的市场份额增长得很快,但Apache仍然是这个领域中独一无二的巨头,互联网上大多数的Web应用依然运行在Apache上。
纵观Apache的漏洞史,它曾经出现过很多高危漏洞&#x