22.2、Apache安全分析与增强
目录
- Apache Web安全分析与增强 - Apache Web概述
- Apache Web安全分析与增强 - Apache Web安全威胁
- Apache Web安全机制
- Apache Web安全增强
Apache Web安全分析与增强 - Apache Web概述
阿帕奇是一个用于搭建WEB服务器的应用程序,它是开源的,它的配置文件主要有四个,httpd.conf,这个文件是最核心最主要的,它是我们的主配置文件,里面存的是网站的一些属性端口,还有执行者的身份等等
conf/srm.conf是一个数据配置文件,这块其实用的比较少,其实实际项目当中基本上不怎么用它,它不是必须的,很多东西都是直接可以在主配置文件里面配
conf/access.conf是负责基本的读取文件控制,就是那些用户能读,那些用户不能读,它跟我们网络安全关联比较大
conf/mime.config,这是配置我们的网页,它能识别的后缀格式,一般来讲这个文件是不需要动的,比如说你里面配置我们的网页能识别HTML,还能识别PDF等等,这些文件配置了之后,你的网页才能够识别
阿帕奇的四个配置文件最主要,最核心的就是httpd.conf,其他三个配置文件的功能,简单了解一下就可以了,特别是conf/access.conf跟网络安全相关,跟用户接入控制相关
Apache Web安全分析与增强 - Apache Web安全威胁
阿帕奇web软件程序漏洞,是软件就可能有漏洞,攻击者可能针对这些漏洞来发起攻击,攻击者利用阿帕奇软件漏洞去攻击我们的网站,基本上所有的网站,所有的软件都有这样的问题,这个不存在什么特殊
软件配置问题,第一个是写程序的时候出了问题,第二个是程序写好之后,后期运营管理等等时候可能没有配好,比如说你的用户名密码配的很简单,如果用户名密码比较简单相当于后台管理员存在弱口令,很容易被黑客攻击,然后访问我们网站的一些敏感信息
安全机制威胁,比如说有口令暴力攻击,授权不当,弱口令等等
服务通信威胁,默认情况下,我们的网页都是HTTP协议传送的,这是明文传送,不安全
服务内容威胁,就是你的网站上有没有发一些非法的敏感内容
拒绝服务,WEB网站经常会被攻击,其中要么是把你的后台拿下,要么他拿不下,他用DOS或者ddos来攻击你的可用性,消耗网站服务器的CPU、内存,让你无法为正常的用户提供服务
Apache Web安全机制
针对如上的一些安全攻击、安全威胁。阿帕奇本身有一些安全机制,第一个就是本地文件安全,阿帕奇安装之后默认设置的文件属组和权限是比较合理,比较安全的,我们不必要去修改,当然,如果你想修改的话,也可以通过命令去修改
阿帕奇web模块管理机制,阿帕奇采用模块化的结构,使得阿帕奇的功能会比较灵活,当你不需要一些模块的时候,你就把它禁止掉,跟我们前面讲操作系统是一样的,不需要的服务,把它给禁用掉
阿帕奇认证机制,提供了简单的用户认证
针对连接耗尽,它也有一系列的应对机制,第一个就是减小超时的时间或者增大最大的一个连接设置,如果你0分钟或者是多久没有相应的流量,我可以把你这个连接给踢掉。还有最大的客户端,以前本来默认可能设置256个,给它设大一点,设成500,当然你设的更大,你对服务器的内存消耗也就更大了。还有就是限制同IP的最大连接数,一般来讲一个IP去连接我们服务器,不会超过200个连接,超过200个连接之后,可能就会有异常。所以我们把它限制一下,比如一个人给你搞了十万个连接,那肯定是攻击了
多线程下载保护技术,就是我们通过网页去下载一些资源的时候,速度比较慢,很可能是对端服务器开了多线程下载保护机制,就是我们去下载它不允许你开很多线程,因为开很多线程会浪费服务器的资源,所以你的下载速度就会比较慢,而迅雷这一类的下载软件基本上都是多线程下载
阿帕奇自带访问控制机制,它里面有一个文件就是access.conf限制我们对文件的访问权限,哪些用户可以访问,哪些IP可以访问都在里面都可以设置
它有两个访问控制文件,deny和allow,首先deny是deny from all就所有的都把你deny掉,那最后只允许这样的一个网段,能够访问我们的服务器,相当于是一个访问控制。
审计机制,所有的应用程序和操作系统都在审计机制里面,有两个,access.log是接入审计日志,error.log是错误信息审计日志
阿帕奇WEB服务器还具有防dos功能,它本身有一个防dos的模块,但是说实话,它本身的这个东西是防不住的,基础的简单的能防得住,如果他能够防得住,我们还用流量清洗干啥,完全不用了,这就是阿帕奇本身的一些安全机制
Apache Web安全增强
及时安装补丁,这个什么程序都一样,第二个启用.htaccess文件保护网页,第三设置专门的用户组,并且按照组设置最小特权原则,每个用户组给予他执行任务的合适权限就行了,第四个隐藏阿帕奇的版本号,因为我们要攻击你,首先要找到你的漏洞,如果我知道通过端口扫描或者是其他扫描方式知道了你的版本号,那么我就可以找这个版本号相应的一些漏洞来攻击你
第五个目录访问增强,因为我们用户访问网站,本质上你是访问在WEB服务器上的某个文件,我们把这个文件或者这个文件的目录做了一些安全设置,不是所有用户能访问,这时候也能够提升Apache的安全性
第六个文件目录保护,阿帕奇的web文件目录设置可以通过操作系统来实现,这就是文件目录的功能和访问权限,它本质上就是操作系统的一个文件夹,我们在操作系统上去设置哪些用户可以访问
第七个删除一些不必要的一些组件和目录,第八个使用第三方的安全软件来增强我们的阿帕奇服务,或者硬件也行,典型的就是WAF
相关文章:
22.2、Apache安全分析与增强
目录 Apache Web安全分析与增强 - Apache Web概述Apache Web安全分析与增强 - Apache Web安全威胁Apache Web安全机制Apache Web安全增强 Apache Web安全分析与增强 - Apache Web概述 阿帕奇是一个用于搭建WEB服务器的应用程序,它是开源的,它的配置文件…...
Day.23
leetcode 413.等差数列划分 问题:如果一个数列 至少有三个元素 ,并且任意两个相邻元素之差相同,则称该数列为等差数列。给你一个整数数组 nums ,返回数组 nums 中所有为等差数组的 子数组 个数。 子数组 是数组中的一个连续序列…...
CentOS虚机在线扩容系统盘数据盘
最近在制作Openstack下的镜像,用户需要CentOS6以及CentOS7的虚机镜像,遇到了些关于系统盘以及数据盘在线扩容的问题,故此整理一下。 传统我们想对磁盘在线热扩容,必然会想到LVM逻辑卷。如果没有LVM逻辑卷的情况下,…...
动手写ORM框架 - GeeORM第一天 database/sql 基础
文章目录 1 初识 SQLite2 database/sql 标准库3 实现一个简单的 log 库4 核心结构 Session本文是7天用Go从零实现ORM框架GeeORM的第一篇。介绍了 SQLite 的基础操作(连接数据库,创建表、增删记录等)。使用 Go 语言标准库 database/sql 连接并操作 SQLite 数据库,并简单封装…...
绘制中国平安股价的交互式 K 线图
在本文中,探索如何使用 Python 的强大库进行股市数据分析与可视化。我们将以中国平安(股票代码:sh601318)为例,展示如何获取其股票数据,并绘制一张交互式 K 线图。 K 线图是股市分析中不可或缺的工具,它能够直观地显示股票的波动情况,包括开盘价、收盘价、最高价和最低…...
[渗透测试]热门搜索引擎推荐— — shodan篇
[渗透测试]热门搜索引擎推荐— — shodan篇 免责声明:本文仅用于分享渗透测试工具,大家使用时,一定需要遵守相关法律法规。 除了shodan,还有很多其他热门的,比如:fofa、奇安信的鹰图、钟馗之眼等࿰…...
JavaScript 在 VSCode 中的优势与应用
JavaScript 在 VSCode 中的优势与应用 引言 随着前端技术的发展,JavaScript 已经成为了网页开发中最流行的编程语言之一。Visual Studio Code(简称 VSCode)作为一款轻量级、可扩展的代码编辑器,因其强大的功能和良好的用户体验,深受广大开发者的喜爱。本文将探讨 JavaSc…...
深度学习之StyleGAN算法解析
StyleGAN 算法解析及详细介绍 1. StyleGAN 算法由来 StyleGAN(Style-Based Generative Adversarial Network)是 NVIDIA 于 2018 年 提出的 高质量图像生成算法,由 Tero Karras 等人在论文 《A Style-Based Generator Architecture for Generative Adversarial Networks》 …...
数据结构之排序
排序 参考链接: https://zq99299.github.io/dsalg-tutorial/dsalg-java-hsp/07/09.html#%E7%AE%80%E5%8D%95%E4%BB%8B%E7%BB%8D 基数排序 计数排序 https://www.hello-algo.com/chapter_sorting/counting_sort/...
Vue.js 与第三方插件的集成
Vue.js 与第三方插件的集成 今天我们来聊聊如何在 Vue 项目中集成第三方插件。随着项目功能不断增多,我们常常需要引入各种第三方库和插件,比如国际化、图表、日期处理等,来提升开发效率和用户体验。下面就跟大家分享一下集成第三方插件的常…...
基于Docker搭建ES集群,并设置冷热数据节点
1.背景 存在三台服务器分别是 192.168.2.91(master节点、data-content节点、data-hot节点)、192.168.2.92(data-cold节点、ingest节点)、192.168.2.93(master节点、data-content节点、data-hot节点) 冷热数据分离搭建教程 2.搭建91节点 热数据节点 (1࿰…...
MyBatis常见知识点
#{} 和 ${} 的区别是什么? 答: ${}是 Properties 文件中的变量占位符,它可以用于标签属性值和 sql 内部,属于原样文本替换,可以替换任意内容,比如${driver}会被原样替换为com.mysql.jdbc. Driver。 一个…...
Redis --- 使用GEO实现经纬度距离计算
什么是GEO? Spring Boot 项目中可以通过 Spring Data Redis 来使用 Redis GEO 功能,主要通过 RedisTemplate 和 GeoOperations 接口来操作地理位置数据。 Service public class GeoService {Autowiredprivate RedisTemplate<String, Object> red…...
【0403】Postgres内核 检查(procArray )给定 db 是否有其他 backend process 正在运行
文章目录 1. 给定 db 是否有其他 backend 正在运行1.1 获取 allPgXact[] 索引1.1.1 MyProc 中 databaseId 初始化实现1.2 allProcs[] 中各 databaseId 判断1. 给定 db 是否有其他 backend 正在运行 CREATE DATABASE 语句创建用户指定 数据库名(database-name)时候, 会通过 …...
[数据结构] Set的使用与注意事项
目录 Set的说明 常见方法说明 注意事项 TreeSet使用案例 Set的说明 Set与Map主要的不同有两点: Set是继承自Collection的接口类,Set中只存储了Key. 常见方法说明 方法解释boolean add(E e)添加元素,但重复元素不会被添加成功void clear()清空集合boolean contains(Object…...
amis组件crud使用踩坑
crud注意 过滤条件参数同步地址栏 默认 CRUD 会将过滤条件参数同步至浏览器地址栏中,比如搜索条件、当前页数,这也做的目的是刷新页面的时候还能进入之前的分页。 但也会导致地址栏中的参数数据合并到顶层的数据链中,例如:自动…...
离线统信系统的python第三方库批量安装流程
一、关于UOS本机 操作系统:UOS(基于Debian的Linux发行版) CPU:海光x86 二、具体步骤 1、在联网的电脑上用控制台的pip命令批量下载指定版本的第三方库 方法A cd <目标位置的绝对路径> pip download -d . --platform many…...
韶音科技:消费电子行业售后服务实现数字化转型,重塑客户服务体系
韶音科技:消费电子行业售后服务实现数字化转型,重塑客户服务体系 在当今这个科技日新月异的时代,企业之间的竞争早已超越了单纯的产品质量比拼,**售后服务成为了衡量消费电子行业各品牌实力与客户满意度的关键一环。**深圳市韶音…...
神经网络|(九)概率论基础知识-泊松分布及python仿真
【1】引言 在前序学习进程中,我们已经知晓二项分布是多重伯努利分布,二伯努利分布对应的是可以无限重复、结果只有两种可能的随机试验。 相关文章链接为: 神经网络|(八)概率论基础知识-二项分布及python仿真-CSDN博客 上述文章还调用nump…...
114,【6】攻防世界 web wzsc_文件上传
进入靶场 传个桌面有的 直接空白了 我们 访问一下上传的东西 /index 没显示用于解析的.htaccess和.user.ini 文件,还两个都不显示 .htaccess 和 .user.ini 文件分别用于 Apache 服务器和 PHP-FPM 环境的目录级配置 但上传的时候bp查看状态码是200,…...
【Kubernetes的SpringCloud最佳实践】有Service是否还需要Eureka?
在 Kubernetes 中部署 Spring Cloud 微服务时,是否还需要 Eureka 取决于具体场景和架构设计。以下是详细的实践建议和结论: 1. Kubernetes 原生服务发现 vs Eureka Kubernetes 自身提供了完善的服务发现机制(通过 Service 资源)&…...
SQL最佳实践(笔记)
写在前面: 之前baeldung的Java Weekly Reviews里面推荐了一篇关于SQL优化的文章,正好最近在学习数据库相关知识,记一些学习笔记 原文地址:SQL Best Practices Every Java Engineer Must Know 1. 使用索引 使用索引…...
vue3学习四
七 标签ref属性 设置标签ref属性,类似于设置标签id。 普通标签 <template name"test4"> <p ref"title" id"title" click"showinfo">VIEW4</p> <View3/><script lang"ts" setup>…...
C# LiteDB 使用教程
一、引言 在软件开发中,数据存储和管理是至关重要的一环。对于小型项目或者对性能和便捷性有较高要求的场景,传统的大型数据库可能显得过于笨重。而 LiteDB 作为一款轻量级的嵌入式 NoSQL 数据库,为开发者提供了一个简洁、高效的解决方案。它…...
Python Pandas(3):DataFrame
1 介绍 DataFrame 是 Pandas 中的另一个核心数据结构,类似于一个二维的表格或数据库中的数据表。它含有一组有序的列,每列可以是不同的值类型(数值、字符串、布尔型值)。DataFrame 既有行索引也有列索引,它可以被看做由…...
使用通义灵码 ai编程 来提高开发效率
1、我们先新建一个Hello,world的vue3项目(快速上手 | Vue.js) 创建好以后,运行以下界面: about界面如下,现在我们让灵码给我们修改一下这个字体的颜色及加点其它的样式: 2、先选中样式…...
【OpenCV】入门教学
🏠大家好,我是Yui_💬 🍑如果文章知识点有错误的地方,请指正!和大家一起学习,一起进步👀 🚀如有不懂,可以随时向我提问,我会全力讲解~ ὒ…...
大数据项目4:基于spark的智慧交通项目设计与实现
项目概述 项目直达 www.baiyuntu.com 随着交通数据的快速增长,传统的交通管理方式已无法满足现代城市的需求。交通大数据分析系统通过整合各类交通数据,利用大数据技术解决交通瓶颈问题,提升交通管理效率。本项目旨在通过大数据技术&#…...
netcore openTelemetry+prometheus+grafana
一、netcore项目 二、openTelemetry 三、prometheus 四、grafana添加Dashborad aspire/src/Grafana/dashboards at main dotnet/aspire GitHub 导入:aspnetcore.json和aspnetcore-endpoint.json 效果:...
Spring Boot接入Deep Seek的API
1,首先进入deepseek的官网:DeepSeek | 深度求索,单击右上角的API开放平台。 2,单击API keys,创建一个API,创建完成务必复制!!不然关掉之后会看不看api key!!&…...