apache服务器配置:Apache HTTP安全服务器配置

本章提供了有关启用了 mod_ssl 安全模块来使用 OpenSSL 库和工具包HTML 格式 Apache 计划 Apache User's Guide 介绍说明指南该指南还可在 http://httpd.apache.org/docs-2.0/ 中找到

OpenSSH 软件Software包The OpenSSH 软件Software包提供了组用来在远程机器上登录和执行命令 OpenSSH网络连接工具集合OpenSSH 工具加密所有交通(包括口令)因此你可以避免被窃听防范截取连接和其它对你机器和远程机器间通信攻击

openssh 软件Software包包括 OpenSSH 客户和 服务器都需要核心文件 openssh 软件Software包还包括 scp 它是 rcp (用来在机器间复制文件)和ftp(用来在机器间传输文件)安全替换

openssh-askpass 软件Software包支持对话框窗口显示该窗口在使用 OpenSSH 代理时提示你输入口令

openssh-askpass-gnome 软件Software包可以在 OpenSSH 提示你输入口令时和 GNOME 桌面环境起使用来显示图形化对话窗口如果你运行是 GNOME并使用 OpenSSH 工具你应该安装该软件Software包

openssh-server 软件Software包包括 sshd 安全 shell 守护进程和相关文件 安全 shell 守护进程是 OpenSSH 套件服务器方如果你 想允许 SSH 客户连接到你主机你必须在主机上安装该软件Software包

openssh-clients 软件Software包包含进行加密 SSH 服务器连接所需客户其中包括: ssh ( rsh 安全替换)； sftp ( ftp 安全替换用来在机器间传输文件)； slogin (用于远程登录 rlogin 和通过Telnet协议和另主机通信 telnet 安全替换)

有关 OpenSSH 详细信息请参阅第15章、 Red Hat Linux 参考指南 、以及 OpenSSH 网站WebSite: http://www.openssh.com

openssl-developenssl-devel 软件Software包包含编译带有各类加密算式和协议支持应用所需静态库和包含文件你只有在开发包括 SSL 支持应用时才需要安装该软件Software包 — 仅使用 SSL 不必安装该软件Software包

stunnelstunnel 软件Software包提供了 Stunnel SSL 会绕Stunnel 支持 TCP 连接 SSL 加密因此它可以为无 SSL 守护进程和协议(如 POP、IMAP 和 LDAP)提供加密却不需对守护进程编码做任何修改

表 20-1 显示了安全服务器软件Software包摘要并向你表明每个软件Software包对安全万维网服务安装是否必不可少

软件Software包名称 是否可选可不选？ httpd 否 mod_ssl 否 openssl 否 httpd-devel 是 httpd-manual 是 openssh 是 openssh-askpass 是 openssh-askpass-gnome 是 openssh-clients 是 openssh-server 是 openssl-devel 是 stunnel 是表 20-1.安全软件Software包

20.3. 证书和安全概述

你安全服务器使用安全套接字层(SSL)和(多数情况下)来自证书权威(CA)数码证书组合来提供安全性SSL 处理浏览器和你安全服务器间加密通讯和互相验证CA 认可数码证书为你安全服务器提供验证(CA 以它名誉担保对你机构组织身份认证)当你浏览器使用 SSL 加密通讯时你会看到导航栏上划资源定位(URL)开头有个“http://”前缀

加密依赖于钥匙使用(你可以把它们当做数据格式秘密编码和解码钥匙)传统或对称加密术中事务两端都使用同把钥匙它们可以用这把钥匙来破译彼此传输在公共或非对称加密术中有两把钥匙并存:公钥和密钥某人或某机构把他们密钥保密只公布他们公钥；使用密钥编码数据只能用公钥才能解码

要设置你安全服务器你将会使用公共加密术来创建公钥和密钥对在多数情况下你会向某 CA 发送证书请求(包括你公钥)、你公司身份证据、以及付款CA 将会校验你证书请求和身份然后把你安全万维网证书寄回给你

安全服务器使用证书来向万维网浏览器标明身份你可以生成你自己证书(叫做“自签”证书)或者你可以从证书权威中获取证书来自有声望 CA 证书会担保和某特定公司或机构相连网站WebSite身份

另外你也可以创建你自己自签证书然而请注意自签证书不应该被用在多数生产环境中自签证书不会被用户浏览器自动接受 — 浏览器将会征询用户是否要接受该证书并创建安全连接请参阅 第 20.5 节 来获取有关自签和 CA 签名证书区别详细信息

在你有了自签证书或来自 CA 证书后你需要把它安装在你安全服务器上

20.4. 使用已存钥匙和证书

如果你已有现存钥匙和证书(例如如果你要安装安全服务器来替换另家公司安全服务器产品)你可能将能够在安全服务器中使用你现存钥匙和证书在下面这两种情况下你将无法使用现存钥匙和证书:

• 如果你改变了你 IP 地址和域名 — 证书是向特定 IP 地址和域名对颁发如果你改变了域名或 IP 地址你需要申请份新证书
  
  

延伸阅读

• 2009-12-24-- 服务器安全配置:安全漏洞问题 RPC服务器安全配置
• 2008-12-4-- redhatlinux9:Red hat linux9中的Apache服务器的配置
• 2009-1-4-- apache服务器配置:Apache服务器配置全攻略( 8)
• 2009-9-5-- apache服务器配置:Apache服务器配置安全规范标准及其缺陷
• 2009-1-4-- apache服务器配置:Apache服务器配置全攻略( 2)
• 2009-1-4-- apache服务器配置:Apache服务器配置全攻略( 5)
• 2009-1-4-- apache服务器配置:Apache服务器配置全攻略( 6)
• 2009-9-2-- apache服务器配置:Apache服务器配置全攻略( 6)
• 2009-9-2-- apache服务器配置:Apache服务器配置全攻略( 3)
• 2009-1-4-- apache服务器:Apache服务器的安全性及实现