灵魂腐蚀 发表于 2015-1-14 20:24:45

给大家带来apache的web宁静三部曲

如果您觉得本篇CentOSLinux教程讲得好,请记得点击右边漂浮的分享程序,把好文章分享给你的小伙伴们!古云“蜀道之难,难于上彼苍~”在我这个刚进门不就得来讲,想要保护一个网站的宁静还真的挺不简单的,我们要时候存眷最新的宁静静态,存眷体系的毛病,并主动的做好应对,关于一个网管,网站的保护,是对照主要的一个工程,先不管一些高条理的宁静回护办法,关于httpd办事的基础宁静办法,我们是应当好好把握的,不然十分困难架起来一个网站,分分钟被一些电脑喜好者们给攻破了---------------》那那那就为难了。。。

那末当我们架好一个网站以后,如何往设置他的宁静性呢??

在linux中,我们有如许三种***:

1.身份考证:对要在网页上实行操纵的用户,举行身份考证,考证其正当性,实在性。

2.来历把持:某些器材好比公司的秘密,我们是不克不及让外来人登录并检察的,假定:单元团队十分困难研收回了科技功效,一个外界用户一个”另存为“,大概“复制,粘贴”给考走了,那真是。。。。。

3.ssl套接层:也就是我们经常发明的网页上url的http酿成了https,在有关款项买卖的购物网站上用的良多良多。

那上面我们就来看看怎样走好这三部曲!!!






第一部曲:身份考证

要完成身份考证大抵的流程:

A.在站点的主目次下写申明文件.htacess,申明的内容固然就是要举行身份考证了,这里有四个局部。
authuserfile/var/www/.htpasswd申明对用户身份考证,可是要创立用户考证账号库,但这里的与体系的账号库不是一个。
authname“pleaseinputyouusernameandpasswd!!”弹出考证的端口,请求用户输出口令
authtype考证的范例
required请求甚么样的用户能够会见

B.发生账号文件
htpasswdCc.htpasswd账号名;利用该下令新建用户账号【注重-c参数只用增加一次就好】
1.修正设置文件,httpd.conf

在AllowOverride设置为None时,.htaccess文件将被完整疏忽。当此指令设置为All时,一切具有".htaccess"感化域的指令都同意呈现在.htaccess文件中。
2.创立站点的首页

#echo"welcometoliningsweb">>index.html
开启httpd办事,然后上岸,显现我们的测试页面。


3.设置身份考证
在网站根目次下/var/www/html创建.htacss文件

4.在/var/www目次下,创立账号库文件,创立用户lining
#htpasswd-c.htpasswdlining
Newpassword:
Re-typenewpassword:



测试:

第二部曲------》来历把持
间接设置httpd.conf文件。




重启httpd办事,测试。

在这里我们进进到了其他的页面,而不是我们的主页面,由于我被回绝会见了。

第二部曲-----》网站的加密会见【https】

在会见网站的时分我们一般,利用的是http开首的网站,http供应的是密码的传送体例,非常不宁静。以是我们必要让他举行密文的传输,来供应宁静性。
可是当我们扫瞄银行网站的时分,就酿成https的网站。那末https是怎样完成的呢???
答:它是经由过程宁静套阶级协定ssl完成的。
那末我们在linux中又怎样完成宁静套阶级呢??
答:在linux要完成宁静套接层工夫加密会见我们就必要晓得两样器材。
1.openssl下令的利用
2.PKI公钥基本举措措施



起首我们来懂得一下openssl下令的利用。

1.检察openssl的文件目次,利用rpm-qlopenssl下令。


检察openssl的功效,包含对称加密,非对称加密,校验等等功效!!!

2.择要的做法【利用md5】。择要的用处,能够用来查验内容的完全性,当我们利用MD5算法对内容举行运算,发生一个定长的择要,我们能够将择要和内容发给吸收方,吸收方经由过程再次盘算择要,对照两份择要来断定内容是不是被变动过。
【小例子】

复制inittab到以我的名字定名的文件夹,并做一个择要。
#opensslmd5inittab
MD5(inittab)=9d49303d50eb59151fc24eb0e3802232
变动inittab文件中的内容,再次做一个择要。

#opensslmd5inittab
MD5(inittab)=a30c76ea4096ab1eddf06657d4e9a590

3.加密passwd【引进salt观点,当我们检察/etc/shadow文件时,你大概会发明,用户设置的暗码在显现中是纷歧样的乱码,这些乱码就是由体系加密过得暗码。体系经由过程增加一组字符串,然后混进输出的暗码中,举行加密。】

4.对称加密/解密文件des/des3
#openssldes3-a-ininittab-outf1//用3倍des算法加密inittab文件,并将加密后的内容输入为f1文件。
enterdes-ede3-cbcencryptionpassword:lining//加密时所用的暗码。解密是要用到。
Verifying-enterdes-ede3-cbcencryptionpassword:lining

#openssldes3-a-d-inf1-outinittab2//在此之前我删除inittab文件,将f1文件解密为inittab2文件
enterdes-ede3-cbcdecryptionpassword:
#ll
total20
-rw-r--r--1rootroot2288Jul1103:44f1
-rw-r--r--1rootroot1665Jul1104:11inittab2

5.非对称加密rsa【非对称算法中要用到公钥和私钥,私钥我们可使用下令创立出来,公钥是从私钥中提取的】
起首发生公钥秘钥对~利用genrsa1024发生1024位的私钥,然后从私钥中提取公钥。

#opensslrsa-inkey.pem-pubout-outpublic.k//从私钥中导出公钥
writingRSAkey

其次我们必要懂得一下HTTPS在PKI上的使用:
因为PKI内容对照多以是暂不在本篇幅申明。。。。



那末如今我们就动手完成一个https的站点:
1.CA认证中央的完成,先修正openssl的设置文件【CA中央来对客户端举行考证并发放证书】



2.关于内部的客户端,他们必要哀求证书,关于根CA,只必要私钥----》哀求文件

https默许利用端口443.以是要加装别的的模块。
#rpm-qamod_ssl
mod_ssl-2.2.3-31.el5//我的已装置了这个模块我们之前说过,模块式静态加载的,也就是当你利用的时分,它主动加载,以是并没有甚么操纵。


然后再创立httpd的私钥哀求文件和证书
#mkdircerts
#opensslgenrsa1024>httpd.key//私钥文件
GeneratingRSAprivatekey,1024bitlongmodulus
...++++++
...........................++++++
eis65537(0x10001)


#opensslreq-new-inhttpd.key-outhttpd.req//哀求文件
Generatinga1024bitRSAprivatekey
...............................................................++++++
.......++++++
发放证书

#catindex.txt//在证书数据库中更新了httpd证书的信息
V140711013035Z01unknown/C=CN/ST=HENAN/O=MyCompanyLtd




httpd和证书***:
#vim/etc/httpd/conf.d/ssl.conf
112SSLCertificateFile/etc/httpd/certs/httpd.cert//指明站点的证书文件,用户也是要经由过程它来断定是不是会见到了准确站点,而不是垂纶网站
119SSLCertificateKeyFile/etc/httpd/certs/httpd.key//指明网站的公钥


上岸测试:

112SSLCertificateFile/etc/httpd/certs/httpd.cert
119SSLCertificateKeyFile/etc/httpd/certs/httpd.key
128SSLCertificateChainFile/etc/pki/CA/cacert.pem
持续修正设置文件ssl.conf,我们能够经由过程检察站点的证书链然后将证书导出装置到本人的盘算机下面。从而完成客户端与办事器的加密会见。
本文出自“LN__@linux”博客,请务必保存此出处http://6839976.blog.51cto.com/6829976/1283404


欢迎大家来到仓酷云论坛!

金色的骷髅 发表于 2015-1-16 17:21:48

给大家带来apache的web宁静三部曲

这种补充有助于他人在邮件列表/新闻组/论坛中搜索对你有过帮助的完整解决方案,这可能对他们也很有用。

活着的死人 发表于 2015-1-22 17:21:08

学习Linux系统在服务中的配置方法及使用方法。Linux在服务器中应用相当广,应对常用的apache,samba,ftp等服务器基本配置清楚了解。[重点,应巩固学习]

若天明 发表于 2015-1-31 14:23:37

不同于Windows?系统需要花钱购买,因为Linux的核心是免费的,自由使用的,核心源代码是开放的。

蒙在股里 发表于 2015-2-6 20:36:24

在系统检测不到与Linux兼容的显卡,那么此次安装就可能不支持图形化界面安装,而只能用文本模式安装等等。

谁可相欹 发表于 2015-2-18 18:57:03

linux鸟哥的私房菜,第三版,基础篇,网上有pdf下的,看它的目录和每章的介绍就行了,这个绝对原创!

飘飘悠悠 发表于 2015-3-6 10:58:54

永中office 2004增强版安装只需要默认安装即可使用并操作大多与win系统雷同,打印机的配置和管理,记录光盘等。

山那边是海 发表于 2015-3-13 01:09:34

选择交流平台,如QQ群,网站论坛等。

小妖女 发表于 2015-3-20 09:46:30

了解Linux的网络安全,系统的安全,用户的安全等。安全对于每位用户,管理员来说是非常重要的。
页: [1]
查看完整版本: 给大家带来apache的web宁静三部曲