windows2003下Apache实现ssl.docVIP

网络安全实践报告实验目的打造安全的WEB服务器 实验内容： 在服务器上安装WEB服务器（可以是WINDOWS下APACHE），并实现基本的安全配置。除此之外，还要求WEB服务器支持SSL通信 实验： 安装了Server2003的虚拟机，WEB服务器Apache 2.2 四、实验步骤： 综述：Windows 2003 + Apache2003 的安全用户密码策略登陆策略权限ServerRoot目录的权限??CGI脚本的安全考虑?Apache Server基于主机的访问控制 ServerSignature Off ServerTokens Prod (注：此属性Apache 2.0版本可以配置，2.2以上版本就没有了) 2）Apache 的默认设置只能保障一定程度的安全，如果服务器能够通过正常的映射规则找到文件, 那么客户端便会获取该文件。安装Apache后允许访问Apache默认自带的站点htdocs、icons、manual和cgi-bin，这些站点允许目录访问，这样可能会导致信息泄露。解决办法是加固Apache默认配置，取消Apache默认站点和目录访问。其实加固主要是修改Apache的默认配置文件，将上述配置文件中的Directory /Directory标签内的 Options Indexes MultiViews AllowOverride None Order allow,deny Allow from all 选项改为 Options MultiViews AllowOverride None Order deny,allow Deny from all 以上配置将将禁止对文件系统的缺省访问。 （注：以上为Appache2.0的访问特性，在Apache 2.2版本中，规定Options 命令后只能跟属性None或All, 再或者是跟Index与FollowSymLinks， SymLinksifOwnerMatch, ExecCGI, MultiViews属性之一的组合。其中，原来的Options MultiViews只能写成Options All） 3）SSI的配置。Apache 2配置文件access.conf 或httpd.conf中的确Options指令处加入IncludesNOEXEC选项，用以禁用Apache Server 中的执行功能。避免用户直接执行Apache 服务器中的执行程序，而造成服务器系统的公开化。 　Options Includes Noexec (注：Option命令同上，在Apache2.2版本以后，options命令后不再有IncludesNoexec属性) 4）Apache Server基于主机的访问控制Apache Server默认情况下的安全配置是拒绝一切访问。假定Apache Server内容存放在/usr/local/apache/share 目录下，下面的指令将实现这种设置： 　　Deny from all　　则禁止在任一目录下改变认证和访问控制方法。　　同样，可以用特有的命令Deny、Allow指定某些用户可以访问，哪些用户不能访问，提供一定的灵活性。当Deny、Allow一起用时，用命令Order决定Deny和Allow合用的顺序。Order Allow, Deny　　Allow from all 　　Deny from www.***.com让所有的人访问Apache服务器，但不希望来自http://www.***.com/的任何访问。2，基于Server 2003的安全策略 Apache首次安装为服务后，会以本地系统账号System运行。因为System的安全权限，会具对此WEB服务器有很大的威胁本地系统账号是一个很有特权的本地账号，因此你不应该用它运行任何共享软件应用程序。 但是，它没有网络权限，不能通过任何NT安全机制离开本地机器，包括文件系统、命名管道、DCOM或secure RPC。永远不要把网络权限授予SYSTEM账号！所以最好的办法是创建一个新的用户帐号来代替它， 给这个用户授予合适的权限启动pache：1）在计算机管理里的本地用户和组里面创建一个帐户，例如：apache，密码设置好，加入guests组（如果出现问题，可以赋予user权限）；打开开始-管理工具-本地安全策略，在用户权限分配中选择“作为服务登陆”，添加apache；3）计算机管理-服务-apache，先停止apache服务，右击-属性，选择登陆，把单选框从本地系统帐户切换到此帐户，然后查找选择 apache，输入之前设置的密码，然后点确定（这个时候apache还不能正常启动，一般情况肯定会报错：Apache