22.2、Apache安全分析与增强
目录
- Apache Web安全分析与增强 - Apache Web概述
- Apache Web安全分析与增强 - Apache Web安全威胁
- Apache Web安全机制
- Apache Web安全增强
Apache Web安全分析与增强 - Apache Web概述
阿帕奇是一个用于搭建WEB服务器的应用程序,它是开源的,它的配置文件主要有四个,httpd.conf,这个文件是最核心最主要的,它是我们的主配置文件,里面存的是网站的一些属性端口,还有执行者的身份等等
conf/srm.conf是一个数据配置文件,这块其实用的比较少,其实实际项目当中基本上不怎么用它,它不是必须的,很多东西都是直接可以在主配置文件里面配
conf/access.conf是负责基本的读取文件控制,就是那些用户能读,那些用户不能读,它跟我们网络安全关联比较大
conf/mime.config,这是配置我们的网页,它能识别的后缀格式,一般来讲这个文件是不需要动的,比如说你里面配置我们的网页能识别HTML,还能识别PDF等等,这些文件配置了之后,你的网页才能够识别
阿帕奇的四个配置文件最主要,最核心的就是httpd.conf,其他三个配置文件的功能,简单了解一下就可以了,特别是conf/access.conf跟网络安全相关,跟用户接入控制相关
Apache Web安全分析与增强 - Apache Web安全威胁
阿帕奇web软件程序漏洞,是软件就可能有漏洞,攻击者可能针对这些漏洞来发起攻击,攻击者利用阿帕奇软件漏洞去攻击我们的网站,基本上所有的网站,所有的软件都有这样的问题,这个不存在什么特殊
软件配置问题,第一个是写程序的时候出了问题,第二个是程序写好之后,后期运营管理等等时候可能没有配好,比如说你的用户名密码配的很简单,如果用户名密码比较简单相当于后台管理员存在弱口令,很容易被黑客攻击,然后访问我们网站的一些敏感信息
安全机制威胁,比如说有口令暴力攻击,授权不当,弱口令等等
服务通信威胁,默认情况下,我们的网页都是HTTP协议传送的,这是明文传送,不安全
服务内容威胁,就是你的网站上有没有发一些非法的敏感内容
拒绝服务,WEB网站经常会被攻击,其中要么是把你的后台拿下,要么他拿不下,他用DOS或者ddos来攻击你的可用性,消耗网站服务器的CPU、内存,让你无法为正常的用户提供服务
Apache Web安全机制
针对如上的一些安全攻击、安全威胁。阿帕奇本身有一些安全机制,第一个就是本地文件安全,阿帕奇安装之后默认设置的文件属组和权限是比较合理,比较安全的,我们不必要去修改,当然,如果你想修改的话,也可以通过命令去修改
阿帕奇web模块管理机制,阿帕奇采用模块化的结构,使得阿帕奇的功能会比较灵活,当你不需要一些模块的时候,你就把它禁止掉,跟我们前面讲操作系统是一样的,不需要的服务,把它给禁用掉
阿帕奇认证机制,提供了简单的用户认证
针对连接耗尽,它也有一系列的应对机制,第一个就是减小超时的时间或者增大最大的一个连接设置,如果你0分钟或者是多久没有相应的流量,我可以把你这个连接给踢掉。还有最大的客户端,以前本来默认可能设置256个,给它设大一点,设成500,当然你设的更大,你对服务器的内存消耗也就更大了。还有就是限制同IP的最大连接数,一般来讲一个IP去连接我们服务器,不会超过200个连接,超过200个连接之后,可能就会有异常。所以我们把它限制一下,比如一个人给你搞了十万个连接,那肯定是攻击了
多线程下载保护技术,就是我们通过网页去下载一些资源的时候,速度比较慢,很可能是对端服务器开了多线程下载保护机制,就是我们去下载它不允许你开很多线程,因为开很多线程会浪费服务器的资源,所以你的下载速度就会比较慢,而迅雷这一类的下载软件基本上都是多线程下载
阿帕奇自带访问控制机制,它里面有一个文件就是access.conf限制我们对文件的访问权限,哪些用户可以访问,哪些IP可以访问都在里面都可以设置
它有两个访问控制文件,deny和allow,首先deny是deny from all就所有的都把你deny掉,那最后只允许这样的一个网段,能够访问我们的服务器,相当于是一个访问控制。
审计机制,所有的应用程序和操作系统都在审计机制里面,有两个,access.log是接入审计日志,error.log是错误信息审计日志
阿帕奇WEB服务器还具有防dos功能,它本身有一个防dos的模块,但是说实话,它本身的这个东西是防不住的,基础的简单的能防得住,如果他能够防得住,我们还用流量清洗干啥,完全不用了,这就是阿帕奇本身的一些安全机制
Apache Web安全增强
及时安装补丁,这个什么程序都一样,第二个启用.htaccess文件保护网页,第三设置专门的用户组,并且按照组设置最小特权原则,每个用户组给予他执行任务的合适权限就行了,第四个隐藏阿帕奇的版本号,因为我们要攻击你,首先要找到你的漏洞,如果我知道通过端口扫描或者是其他扫描方式知道了你的版本号,那么我就可以找这个版本号相应的一些漏洞来攻击你
第五个目录访问增强,因为我们用户访问网站,本质上你是访问在WEB服务器上的某个文件,我们把这个文件或者这个文件的目录做了一些安全设置,不是所有用户能访问,这时候也能够提升Apache的安全性
第六个文件目录保护,阿帕奇的web文件目录设置可以通过操作系统来实现,这就是文件目录的功能和访问权限,它本质上就是操作系统的一个文件夹,我们在操作系统上去设置哪些用户可以访问
第七个删除一些不必要的一些组件和目录,第八个使用第三方的安全软件来增强我们的阿帕奇服务,或者硬件也行,典型的就是WAF
相关文章:
22.2、Apache安全分析与增强
目录 Apache Web安全分析与增强 - Apache Web概述Apache Web安全分析与增强 - Apache Web安全威胁Apache Web安全机制Apache Web安全增强 Apache Web安全分析与增强 - Apache Web概述 阿帕奇是一个用于搭建WEB服务器的应用程序,它是开源的,它的配置文件…...
开发面试题及参考答案)
理邦仪器嵌入式(C/C++开发)开发面试题及参考答案
C++ 虚函数的概念和作用 C++ 中的虚函数是一种非常重要的机制,它在实现多态性方面起着关键作用。 概念上来说,虚函数是在基类中使用关键字 virtual 声明的成员函数。当基类的指针或引用指向派生类的对象时,通过这个基类的指针或引用调用虚函数,实际执行的是派生类中重写的该…...
windows + visual studio 2019 使用cmake 编译构建静、动态库并调用详解
环境 windows visual studio 2019 visual studio 2019创建cmake工程 1. 静态库.lib 1.1 静态库编译生成 以下是我创建的cmake工程文件结构,只关注高亮文件夹部分 libout 存放编译生成的.lib文件libsrc 存放编译用的源代码和头文件CMakeLists.txt 此次编译CMak…...
Chrome 浏览器 支持多账号登录和管理的浏览器容器解决方案
根据搜索结果,目前没有直接提到名为“chrometable”的浏览器容器或插件。不过,从功能描述来看,您可能需要的是一个能够支持多账号登录和管理的浏览器容器解决方案。以下是一些可能的实现方式: 1. 使用 Docker 容器化部署 Chrome …...
GrassWebProxy
GrassWebProxy第一版: using System; using System.Collections.Generic; using System.Linq; using System.Net.Sockets; using System.Net; using System.Text; using System.Threading; using System.Threading.Tasks; using System.IO; using Newtonsoft.Json;…...
DeepSeek API 调用 - Spring Boot 实现
DeepSeek API 调用 - Spring Boot 实现 1. 项目依赖 在 pom.xml 中添加以下依赖: <dependencies><dependency><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-webflux</artifactId></depe…...
【DeepSeek】Deepseek辅组编程-通过卫星轨道计算终端距离、相对速度和多普勒频移
引言 笔者在前面的文章中,介绍了基于卫星轨道参数如何计算终端和卫星的距离,相对速度和多普勒频移。 【一文读懂】卫星轨道的轨道参数(六根数)和位置速度矢量转换及其在终端距离、相对速度和多普勒频移计算中的应用 Matlab程序 …...
【kafka实战】05 Kafka消费者消费消息过程源码剖析
1. 概述 Kafka消费者(Consumer)是Kafka系统中负责从Kafka集群中拉取消息的客户端组件。消费者消费消息的过程涉及多个步骤,包括消费者组的协调、分区分配、消息拉取、消息处理等。本文将深入剖析Kafka消费者消费消息的源码,并结合…...
[EAI-033] SFT 记忆,RL 泛化,LLM和VLM的消融研究
Paper Card 论文标题:SFT Memorizes, RL Generalizes: A Comparative Study of Foundation Model Post-training 论文作者:Tianzhe Chu, Yuexiang Zhai, Jihan Yang, Shengbang Tong, Saining Xie, Dale Schuurmans, Quoc V. Le, Sergey Levine, Yi Ma 论…...
算法与数据结构(字符串相乘)
题目 思路 这道题我们可以使用竖式乘法,从右往左遍历每个乘数,将其相乘,并且把乘完的数记录在nums数组中,然后再进行进位运算,将同一列的数进行相加,进位。 解题过程 首先求出两个数组的长度,…...
DeepSeek从入门到精通:全面掌握AI大模型的核心能力
文章目录 一、DeepSeek是什么?性能对齐OpenAI-o1正式版 二、Deepseek可以做什么?能力图谱文本生成自然语言理解与分析编程与代码相关常规绘图 三、如何使用DeepSeek?四、DeepSeek从入门到精通推理模型推理大模型非推理大模型 快思慢想&#x…...
家族函数使用指南)
【Pytorch函数】PyTorch随机数生成全解析 | torch.rand()家族函数使用指南
🌟 PyTorch随机数生成全解析 | torch.rand()家族函数使用指南 🌟 📌 一、核心函数参数详解 PyTorch提供多种随机数生成函数(注意:无直接torch.random()函数),以下是常用函数及参数:…...
vue print 打印
vue 点击打印页面部分内容,或者打印弹窗内的内容 打印页面部分内容 <template><div><div id"print"><div class"info"><div class"bx_title">费用报销单<span class"code">NO.<s…...
【异常解决】在idea中提示 hutool 提示 HttpResponse used withoud try-with-resources statement
博主介绍:✌全网粉丝22W,CSDN博客专家、Java领域优质创作者,掘金/华为云/阿里云/InfoQ等平台优质作者、专注于Java技术领域✌ 技术范围:SpringBoot、SpringCloud、Vue、SSM、HTML、Nodejs、Python、MySQL、PostgreSQL、大数据、物…...
【Uniapp-Vue3】UniCloud云数据库获取指定字段的数据
使用where方法可以获取指定的字段: let db uniCloud.database(); db.collection("数据表").where({字段名1:数据, 字段名2:数据}).get({getOne:true}) 如果我们不在get中添加{getOne:true},在只获取到一个数据res.result.data将会是一个数组&…...
信息科技伦理与道德3-2:智能决策
2.2 智能推荐 推荐算法介绍 推荐系统:猜你喜欢 https://blog.csdn.net/search_129_hr/article/details/120468187 推荐系统–矩阵分解 https://blog.csdn.net/search_129_hr/article/details/121598087 案例一:YouTube推荐算法向儿童推荐不适宜视频 …...
openssl使用
openssl使用 提取密钥对 数字证书pfx包含公钥和私钥,而cer证书只包含公钥。提取需输入证书保护密码 openssl pkcs12 -in xxx.pfx -nocerts -nodes -out pare.key提取私钥 openssl rsa -in pare.key -out pri.key提取公钥 openssl rsa -in pare.key -pubout -ou…...
Visual Studio 2022 中使用 Google Test
要在 Visual Studio 2022 中使用 Google Test (gtest),可以按照以下步骤进行: 安装 Google Test:确保你已经安装了 Google Test。如果没有安装,可以通过 Visual Studio Installer 安装。在安装程序中,找到并选择 Googl…...
SpringBoot3 + Jedis5 + Redis集群 如何通过scan方法分页获取所有keys
背景: 由于需要升级老项目代码,从SpringBoot1.5.x 升级到 SpringBoot3.3.x,框架中引用的Jedis自动升级到了 5.x;正好代码中有需要获取Redis集群的所有keys的需求存在;代码就不适用了,修改如下: POM 由于…...
WGCLOUD监控系统部署教程
官网地址:下载WGCLOUD安装包 - WGCLOUD官网 第一步、环境配置 #安装jdk 1、安装 EPEL 仓库: sudo yum install -y epel-release 2、安装 OpenJDK 11: sudo yum install java-11-openjdk-devel 3、如果成功,你可以通过运行 java …...
协议-WebRTC-HLS
是什么? WebRTC(Web Real-Time Communication) 实现 Web 浏览器和移动应用程序之间通过互联网直接进行实时通信。允许点对点音频、视频和数据共享,而无需任何插件或其他软件。WebRTC 广泛用于构建视频会议、语音通话、直播、在线游…...
jQuery UI 下载指南
jQuery UI 下载指南 引言 jQuery UI 是一个基于 jQuery 的用户界面和交互库,它提供了一套丰富的交互组件和视觉效果,可以帮助开发者快速构建美观、交互性强的网页应用。本文将为您详细介绍如何下载 jQuery UI,并指导您进行安装和使用。 jQ…...
MySQL系列之数据类型(String)
导览 前言一、字符串类型知多少 1. 类型说明2. 字符和字节的转换 二、字符串类型的异同 1. CHAR & VARCHAR2. BINARY & VARBINARY3. BLOB & TEXT4. ENUM & SET 结语精彩回放 前言 MySQL数据类型第三弹闪亮登场,欢迎关注O。 本篇博主开始谈谈MySQ…...
if、when)
Kotlin 2.1.0 入门教程(十)if、when
if 表达式 if 是一个表达式,它会返回一个值。 不存在三元运算符(condition ? then : else),因为 if 在这种场景下完全可以胜任。 var max aif (a < b) max bif (a > b) {max a } else {max b }max if (a > b) a…...
编程式路由
<script> export default {name: video-Info1,created () {setTimeout(() > {this.$router.push({ name: home })}, 3000)} } </script> 编程式路由:实现 不需要用户点击router-link,由代码实现路由跳转。 应用场景:用户登录…...
)
openAI官方prompt技巧(一)
1. 使用最新的模型 2. 将指令放在提示词的开头,并使用 ### 或 """ 来分隔指令和上下文,例如 错误示范❌ 将下面的文本总结为一个要点列表,列出最重要的内容。 Summarize the text below as a bullet point list of the most…...
利用 Python 爬虫获取按关键字搜索淘宝商品的完整指南
在电商数据分析和市场研究中,获取商品的详细信息是至关重要的一步。淘宝作为中国最大的电商平台之一,提供了丰富的商品数据。通过 Python 爬虫技术,我们可以高效地获取按关键字搜索的淘宝商品信息。本文将详细介绍如何利用 Python 爬虫技术获…...
LeetCode 0080.删除有序数组中的重复项 II:双指针 - C++/Java5 行版
【LetMeFly】80.删除有序数组中的重复项 II:双指针 - C/Java5 行版 力扣题目链接:https://leetcode.cn/problems/remove-duplicates-from-sorted-array-ii/ 给你一个有序数组 nums ,请你 原地 删除重复出现的元素,使得出现次数超…...
【C++高并发服务器WebServer】-15:poll、epoll详解及实现
本文目录 一、poll二、epoll2.1 相对poll和select的优点2.2 epoll的api2.3 epoll的demo实现2.5 epoll的工作模式 一、poll poll是对select的一个改进,我们先来看看select的缺点。 我们来看看poll的实现。 struct pollfd {int fd; /* 委托内核检测的文件描述符 */s…...
MapReduce是什么?
MapReduce 是一种编程模型,最初由 Google 提出,旨在处理大规模数据集。它是分布式计算的一个重要概念,通常用于处理海量数据并进行并行计算。MapReduce的基本思想是将计算任务分解为两个阶段:Map 阶段和 Reduce 阶段。 Map 阶段&a…...