中间件是一类连接软件组件和应用的计算机软件,它包括一组服务,以便于运行在一台或多台机器上的多个软件通过网络进行交互。
搭建Apache
Apache HTTP Server(简称Apache)是Apache软件基金会的一个开放源代码的网页服务器软件,可以在大多数电脑操作系统中运行,由于其跨平台和安全性,被广泛使用,是最流行的Web服务器软件之一。
在Linux中安装Apache的方法,可以进行在线安装,通过命令yum -y install httpd*来进行安装。
Apache发布工程
Apache工程发布由两种方式,第一种是将工程放在/var/www/html中,或放入$APACHE_HOME/Apache24/htdocs中。第二种是配置httpd.conf,将conf/extra/httpd-chosts/conf前的“#”去掉,然后再extra目录下的httpd-vhosts.conf文件中进行配置。
我们进行第一种方法发布工程,进入/var/www/html目录,将工程copy到目录下。由于本例中并没有工程可用,所有,在/var/www/html目录下创建新工程,目录名为:demo。并入demo编辑并创建新文件test.html.内容如下:
<html>
<head>
<title>Apache 工程发布Demo</title>
</head>
<body>
<h1>Hello Apache<h1>
</body>
</html>完成后通过systemctl start httpd来运行Apache,在宿主机中通过浏览器输入IP访问才编写的工程页面。
Apache安全配置
1.错误详情页banner隐藏
渗透过程中,收集服务器的相关信息是至关重要的,这对于他在日后漏洞的利用上有很大的帮助。在访问站点时,访问一个不存在的页面,如果站点没有做404重定向的话,就会泄露一些敏感信息
2.重定性404页面
默认的404页面是非常不友好的,当一个用户访问到一些不存在的页面或者错误的连接时,如果我们没有制作一个页面去引导用户访问该站点的其他页面时,会损失大量的用户。自定义404页面会告诉百度,谷歌等搜索引擎的爬虫,这条记录本站已经删除,请搜索放弃收录,利于seo优化修复方法。
3.默认目录
当Web服务器配置不当的时候,如果当前目标不存在默认文件,Apache会列出当前目录下的所有文件,造成敏感信息泄露。
4.文件权限问题
现在大部分站点都存在文件上传,比如说头像上传,附件上传等等。如果在代码层上对上传的文件限制的不够严格,很容易感染上Webshell。
5.服务运行权限
查看Apache的进程:lsof -i:80
第一行是root运行的Apache主进程,需要将user和group修改成更低权限。
6.Apache日志
通过/var/log/httpd/error_log查看日志。
