Хокинс С. - Администрирование Web-сервера Apache и руководст

Директивой Log Level рекомендуется устанавливать уровень warn или error. Лю бая установка уровней ниже этих приведет к выводу массы самой тривиальной диаг ностики, что приведет к потере информации о действительно важных сообщениях.

7.3. Журнал регистрации обмена данных

Журнал регистрации обмена данных (или журнал регистрации доступа) сохраняет детальную информацию о переданной и полученной информации на сервере. Эта функциональная возможность обеспечивается модулем mod_log_config, который может быть усилен модулем mod_log_common.

В отличие от журнала ошибок, журналы обмена данными не обязательны. Процедура записи информации требует времени, поэтому для повышения производительности можно отказаться от ведения журналов передачи вообще. Однако они представляют очень удоб ный механизм анализа трафика и не используются только в редком случае.

7.3.1. Отдельные журналы для виртуальных узлов

Существует возможность создания отдельных журналов для виртуальных узлов. Достаточно просто задать определенный файл и/или задать определенный формат в директиве virtualHost. При отсутствии такой директивы информация о виртуаль ных узлах будет регистрироваться в том же файле и формате (если вообще будет отли чаться), что и все остальные узлы.

7.3.2.Включение регистрации обмена данных: директива TransferLog

Директива Trans ferLog предназначена для определения местоположения файла регистрации обмена данных (абсолютный путь или путь относительно корневого ка талога ServerRoot). Поумолчанию файл регистрации обмена данных располагается в файле acc ess.log в подкаталоге logs каталога ServerRoot.

TransferLog logs/access_log

По умолчанию запись о каждой передаче данных имеет 7 полей. Они перечислены в табл. 7.2.

Таблица 7.2. Информация, которая заносится в журнал обмена данными по умолчанию

7.3.3. Настройка формата журнала регистрации

Формат файла access.log настраивается директивой LogFormat. Сервер распо знает множество переменных (перечень переменных приведен в табл. 7.3), которые предназначены для включения новых полей в файл регистрации передач. Эти пере менные могут задаваться в произвольном порядке. Например, директива LogFormat задает формат, содержащий имя узла клиента (%h), время и дату запроса (%t) и коли чество возвращаемых байтов (%b).

LogFormat "%h %t %b"

Чтобы сделать журнал более читабельным, можно включить в выводимые строки наименование данных.

LogFormat "Host=%h Date=%t BytesReturned=%b"

Таблица 7.3. Переменные формата журнала регистрации

Переменная Значение

7.3.4. Перенастройка журналов

Достаточно типичная ошибка, которая допускается начинающими пользователями сервера Apache заключается в том, что в регистрационные журналы записывается лю бая информация. Естественной реакцией пользователя на этобудет удалить или пере нести файл в предположении, что сервер Apache создаст новый файл и начнет все с начала. Это не так. Сервер Apache отслеживает с помощью внутренней переменной как далеко в файле находится следующее свободное пространство. Это значение, ко торое называется offset, не сбрасывается, когда файл, к которому оно относится, переносится или удаляется. Следовательно, сервер Apache начинает записывать новый файл точно в том же месте, в котором он должен был записывать старый. Единствен ным различием в такой ситуации станет то, что там, где старый файл содержит х сим волов регистрационной информации, новый файл будет содержать х символов произ вольного мусора. Вероятно, это не совсем то, к чему следует стремиться.

Чтобы произвести регистрацию с самого начала файла, необходимо сначала перенести или удалить старый регистрационный файл, а потом перезапустить сервер по сигналу HUP.

kill 1 'cat http.pld'

7.4. Модуль mod status

Модуль mod_status выводит результаты работы в двух форматах. В стандартном формате, который представляет собой счетную таблицу, выводимую в графике ASCII, она отображает информацию о порожденных процессах и статистику работы. Для по лучения более полной информации о состоянии порожденных процессов можно при бегнуть к помощи директивы ExtendedStatus. Следует помнить, однако, что приме нение директивы ExtendedStatus вызывает ощутимое снижение производительно сти. Потому этот вариант не из лучших.

7.4.1.Настройка сервера Apache для работы с модулем mod_status

Модуль mod_status не компилируется по умолчанию. Чтобы получить к нему доступ, сначала необходимо подключить его к работающему ядру. Более детальную информацию по компиляции сервера Apache и/или отдельных модулей можно найти в главе 2, "Инсталляция Web сервера Apache"

После включения в ядро модуля mod_status вам потребуется активизировать его, предварительно связав с определенным каталогом. Напомним, что модуль mod__status генерирует результирующий файл в формате HTML. Чтобы получить к нему доступ, необходимо задать его расположение (с помощью директивы Location). Это приведет к запуску дескриптора server status. А потому необходимо добавить в конфигурационный файл httpd.conf следующие строки:

<Location /server status> SetHandler server status

</Location>

Чтобы получить информацию о статусе сервера из броузера, достаточно задать ка талог /server status на вашем сервере. Это показано на рис. 7.1.

Рис. 7.1. Общая информация о состоянии сервера

Каждая позиция в счетной таблице представляет информацию о потенциальном порожденном процессе. Состояние порожденного процесса отображается определен ным ASCII символом. Они описаны в табл. 7.4.

Таблица 7.4. Счетная таблица

Символ ASCII Значение

Процесс не выполняется. Точка сохраняется для общности отображе ния количества параллельно выполняющихся процессов.

&Процесс существует, но неактивен.

WПроцесс выполняет операцию записи.

LПроцесс выполняет операцию записи в журнал регистрации.

SПроцесс активизируется.

КПроцесс находится в состоянии ожидания запроса от клиента.

GПорожденный процесс получил сигнал на плавное выключение. (Подробно об этом в главе 4, "Запуск, перезапуск и остановка")

Окончание табл. 7.4

Символ ASCII Значение

RПроцесс выполняет операцию чтения запроса, поступившего от клиента.

DПроцесс идентифицирует доменное имя или IP адрес.

7.4.2.Проблемы с производительностью: много идентифицируемых доменных имен или IP адресов

Помимо прочей информации счетная таблица показывает, что много процессов находятся в стадии идентификации доменного имени или IP адреса. В таком случае может потребоваться модифицировать одну или более конфигурационных директив. Ряд директив (например директива VirtualHosts) оперируют как доменными име нами, так и IP адресами. С одной стороны использование доменных имен делает конфигурационный файл более читабельным, но в этом случае серверу придется идентифицировать доменное имя всякий раз, когда оно упоминается. В зависимости от того, где находится ваш DNS сервер (локальный или удаленный), это отражается на производительности сервера. Такая ситуация отображается на счетной таблице множеством символов D. Исправить сложившуюся ситуацию можно следующим обра зом: везде, где это возможно, заменить в конфигурационном файле доменные имена на IP адреса.

7.4.3. Проблемы с производительностью: много пользователей

Ситуация, когда много процессов находятся на стадии регистрации (что отображе но избыточным количеством символов L), сигнализирует о необходимости изменения размещения регистрационного журнала. В качестве общих рекомендаций можно предложить избегать записывать журнал на магнитную ленту или на устройства сете вой файловой системы.

7.4.4. Получение детальной информации о процессах

Как было сказано выше, модуль mod_status можно настроить таким образом, чтобы он генерировал более детализированную информацию об отдельных процессах. Иногда это временно необходимо для диагностирования возникших проблем с произ водительностью или других проблем. Однако, вполне можно ограничиться основной информацией, которую дает модуль mod_status, так как избыточная информация порождает перегрузку. Чтобы получить детальную информацию о процессе, необхо димо установить директиву ExtendedStatus в состояние On. В результате имеется от чет, изображенный на рис. 7.2.

Заметим, что полученная распечатка включает описание столбцов.

7.4.5. Перезапуск сервера

После плавного перезапуска сервера Apache (например, с помощью сигнала USR1 в ОС Unix), статистика сервера не сбрасывается. Она сбрасывается при использовании сигналов HUP или TERM.

Рис. 7.2. Детализированная информация о состоянии сервера

7.5. Модуль mod_infо

Модуль mod_infо отображает информацию о текущей конфигурации сервера. Эта информация включает:

•Список скомпилированных модулей сервера.

•Конфигурационные директивы, влияющие на этимодули.

Как и в случае с модулем mod_status, необходимо убедиться, что модуль скомпи лирован и активен. (Этот процесс аналогичен процессу, описанному в разделе "Настройка сервера Apache для работы с модулем mod_status", за исключением того, что в этом случае используется модуль mod_inf о.)

После подключения модуля mod_infо к работающему серверу httpd, его необхо димо настроить на обработку некоторых определенных URL, чтобы получить доступ к отчету. Например, директива

<Location /server info> SetHandler server info

</Location>

сообщает серверу Apache о том, что запросы для получения информации по серверу нужно пересылать в подкаталог server info для обработки модулем mod_info. Теперь этот от чет можно получить, указав в броузере адрес, заданный директивой Location. В результа те вы имеете достаточно объемный отчет, аналогичный изображенному на рис. 7.3.

Рис. 7.3. Информация о сервере

Этот отчет занимает несколько экранов. Самая верхняя позиция содержит гипер связи, содержащие информацию об активных модулях. Ниже приводится распечатка общей информации о сервере с последующей информацией о модулях.

Подсказка

Чтобы модуль mod_infо показывал представленную детальную информацию, пользователь, под управлени ем которого работаетсервер httpd, должен иметьправо начтениеконфигурационного файла.

7.5.1. Дополнительная информация о модулях

При необходимости отображения модулем mod_info дополнительной информации (в текстовом формате или формате HTML), воспользуйтесь директивой AddModulelnfo. AddModulelnfo mod custom.с "<A HREF=/docs/mod custom/index.html>Notes</A>"

8.1. Введение

Независимо от задач, которые призван решать ваш узел, вопросы его безопасности (права доступа к каталогам, ограничение доступа <Directory> и т.д.) требуют особого внимания. Особенного внимания проблема безопасности требует при создании узла, предназначенного для электронной коммерции. Это гарантирует вам спокойную жизнь в будущем. Когда покупатель делает покупку товара с вашего узла с помощью кредитной карты, он доверяет вам важную информацию. Если при этом вами не было предпринято существенных мероприятий по укреплению безопасности, в результате чего был украден номер кредитной карты, вашу компанию скорее всего ожидает банкротство.

Именно поэтому необходимо уделить пристальное внимание вопросам безопасности. В контексте сервера Apache проблемабезопасности является одной из приоритетных. Снача ла будут рассмотрены проблемы безопасности на уровне операционной системы и спосо бы предотвращения нескольких очевидных "дыр" в ее защите. Отдельные части главы по священы проведению соответствующего исследования. Затем мы рассмотрим методы на стройки сервера Apache для обеспечения максимальной безопасности. Этот раздел включает информацию о том, что не следует делать для того, чтобы повысить безопасность системы. Затем мы обсудим проблему санкционирования доступа пользователей. Сущест вует множество механизмов идентификации пользователей. Одни из них гарантируют дос туп на основании анализа источника запросов; другие базируются на схемах идентифика ции имени пользователя и его пароля. Наконец, будут обсуждены механизмы обеспечения безопасной передачи данных в Apache с применением протокола SSL (Secure Sockets Layer — протокол защищенных сокетов).

8.2. Указания по настройке

Без достаточно надежной операционной системы нет смысла предпринимать все остальные шаги для зашиты сервера. В этом разделе описываются некоторые основ ные этапы повышения безопасности работы сервера в операционной системе и на стройки сервера Apache.

8.2.1. Безопасность каталогов

Сервер Apache обычно запускается с правами пользователя root. Так вот, возможность не только root пользователей производить операции записи в каталоги, храня щие программы и конфигурационные файлы, создает пробел в системе зашиты. Убе дитесь в том, что владельцем всех перечисленных ниже файлов является пользователь root, и что они не доступны никому кроме пользователя root:

$АРАСНЕ $APACHE/bin $APACHE/logs $APACHE/conf

В частности, каталог, содержащий конфигурационные файлы, не должен быть дос тупен для записи пользователем apache.

8.2.2. Должна существовать четко сформулированная и опубликованная политика безопасности

Политика безопасности, изложенная на бумаге, поможет вам сконцентрировать мысли и пригодится при наказании нарушителей в соответствии с законодательством. Принципы этой политики должны быть четко и ясно сформулированы и опубликова ны в вашей организации. Политика должна определять, кому разрешен доступ к ва шим компьютерам, когда им разрешается осуществлять этот доступ и что разрешается делать в системе после регистрации.

8.2.3. Сервер должен работать на специально выделенном компьютере

Сервер не должен работать на машине, где производится разработка программного обеспечения. Если на ваш компьютер возложена только задача обработки Web запросов, все остальные задачи с нее нужно убрать. Кроме того, чем меньше людей имеют возможность для регистрации на сервере, тем меньше возможности появления "дыр" в системе безопасности как случайных, так и преднамеренных.

8.2.4. Внимательно следите за новыми доработками

Фактически каждый продавец программного обеспечения как коммерческого, так и некоммерческого, периодически рассылает доработки, произведенные в связи с найденными ошибками и пробелами в системе безопасности. Раз в месяц необходимо посвятить несколько часов для загрузки новых доработок к операционной системе и основным программным пакетам. Обязательно ведите дневник обновлений.

8.2.5. Отказ в доступе

Стандартной политикой должна быть политика отказа в доступе, начиная с ката лога root:

<Directory/>

Order deny, allow Deny from all

</Directory>

По мере необходимости каталогам, находящимся под этим каталогом, можно раз решить доступ:

<Directory /opt/apache/htdocs> Order deny,allow

Allow from all </Directory>

8.2.6. CGI$сценарии

CGI сценарии и программы уже сами по себе несут опасность, так как они разрешают произвольному пользователю запускать программы в вашей системе. Предна меренно или нет, каждый новый сценарий может содержать ошибки. Вот не сколько советов, как сделать работу с CGI сценариями относительно безопасной.

• Обучить разработчиков системы и обучиться самому ситуациям, при которых возникают пробелы в системе зашиты. Например, всегда необходимо прове рять размер длины строк, вводимых пользователями, для того, чтобы избе жать использования злоумышленником ситуации переполнения буфера. Суще ствует множество Web узлов, которые специализируются исключительно на про блемах безопасности. Вот их краткий перечень:

http://www.lOpht.com

http://www.privacy.org

http://www.hideaway.net

http://www.genocide2600.com

•Никогда не загружайте программы из Internet, если нет четкого понимания их функций.

•Храните свои CGI сценарии и программы в отдельном подкаталоге. Любое другое место кроет в себе возможность оплошности или ошибки. Существует вероятность возникновения такой ситуации, при которой вы не можете чет

8.2.7. РНР

Уязвимость ранних версий РНР коренилась в возможности переполнения буфера, что позволяло пользователям выполнять на локальном компьютере произвольные программы. Эта проблема была решена только в последних версиях. Таким образом, достаточно убедиться в том, что вы работаете с последней версией РНР.

8.2.8. Вставки на стороне сервера

Вставки на стороне сервера могут быть настроены таким образом, чтобы пользователи имели возможность запускать на сервере произвольные программы. Если такое возможно, то есть смысл отключить права на выполнение с помощью директивы Options.

Options IncludesNOEXEC

8.2.9. Отключение автоматического индексирования

Модуль mod_autoindex автоматически генерирует перечень содержимого каждого каталога в файле inde x.html. Эта информация используется взломщиками для поис ка файлов, которые можно применить в личных целях. Скомпилируйте или отключи те его с помощью директивы ClearModuleList.