基于認證的Apache服務安全與實現

摘要：在Linux系統中廣為使用的Web服務器就是Apache HTTP Server，因此加強Apache服務的安全性就是一項重要的任務。在一般情況下Apache服務采用的協議是http，其數據在傳輸過程中采用的是明文傳輸方式，如果數據在傳輸過程中被截獲，所造成的危險就相當大。如果將Apache服務進行認證，那么其傳輸數據的過程就會變為加密傳輸，即使數據被截獲，攻擊者也無法獲取用戶數據信息，保護了數據的安全。文章就RHEL（RedHat Enterprise?Linux） Apache服務器的認證服務進行研究，以提高Apache服務的安全性，并進而提高網站服務的安全。

關鍵詞：Apache;認證;安全;實現

中圖分類號：TP393

文獻標識碼：A

文章編號：1006-8228（2020）09-54-03

Authentication based Apache service security and the implementation

Li Jianyong

（Chengdu Neusoft University， Chengdu， Sichuan 611844. China）

Abstract： The widely used web server in Linux system is Apache HTTP server. so it is an important task to strengthen thesecurity of Apache service. In general， the protocol adopted by Apache service is HTTP. and its data is transmitted in plaintext. Ifthe data is intercepted in the process of transmission. the danger will be quite great. If the Apache service is authenticated. theprocess of data transmission will become encrypted transmission. Even if the data is intercepted， the attacker cannot obtain the userdata information， thus protecting the data security. This paper studies the authentication service of Apache server on RHEL （RedHatEnterprise Linux）， in order to improve the security of Apache service， and then improve the security of website service.

Key words： Apache; authentication; security; implementation

0引言

隨著網絡在現實生活中的日益普及，越來越多的企事業單位擁有了自己的網站以發布相關信息、進行產品的推廣宣傳等工作，極大地方便了用戶對相關信息的獲取。就專業性的網絡管理工作而言，就是提供了Web服務。但是在Web服務的數據通信基本原理中，數據通信過程是明文傳輸的過程，表現在網站的協議就是HTTP協議，這也是用戶在瀏覽器地址欄輸入網站地址后自動顯示HTTP的原因。因此數據在傳輸過程中一旦被截獲，由于數據是明文傳輸形式沒有安全性可言。特別是對于電子商務網站而言，用戶傳輸的數據有可能包含用戶的銀行卡號、密碼等，因此其數據一旦被截獲，給用戶造成的損失是不言而喻的，這也是為什么眾多電子商務網站、金融網站逐漸使用HTTPS協議的原因。HTTPS協議就是在HTTP協議基礎上增加了安全認證，使得數據在傳輸過程中使用的是加密傳輸，這樣即使數據在傳輸過程中被截獲，攻擊者也無法獲取用戶的數據，從而保護了數據的安全。

1Web服務和認證Web服務的基本原理

1.1基本Web服務流程

一臺普通的Web服務器與客戶端PC通信過程如圖1所示[2]。當PC端在瀏覽器地址欄輸入網站地址后，PC端和Web服務器會建立TCP連接，服務器接受網站瀏覽請求后，從指定的位置瀆取指定的網頁文件。然后服務器將網頁頁面代碼發送給瀏覽器，瀏覽器解析HTML代碼并將解析的結果顯示到PC端。

1.2帶認證的Web服務流程

當客戶端PC訪問Web服務器時，其數據中帶有需要與認證服務公鑰相匹配的私鑰。Web服務器接收到訪問數據時需要與認證服務器中的公鑰相匹配，只有在密鑰體系檢查通過的情況下才將數據以加密的方式傳輸給客戶端PC。由于數據傳輸過程采用了加密措施，因此保護了數據傳輸的安全，其基本流程如圖2所示，表現在外觀上就是網站的通信協議是HTTPS。

通過使用帶認證的Web服務，使得只有通過了認證的客戶端才能訪問服務器，保護了服務器的安全;同時也保證了客戶端訪問的是真正的服務器而不是仿冒的釣魚網站，保護了客戶端的安全。而客戶端與服務器之間的數據傳輸采用了加密措施，也保護了數據的安全。

2基本Apache服務的配置（以下配置基于RHEL7進行）

由于在服務器領域Linux的性能與Windows相比占有很大的優勢，因此在服務器市場Linux操作系統的占有率占統治地位，而RHEL（ RedHat EnterpriseLinux）是Linux系統中的典型代表，在企業服務器市場占有優先的地位，因此本文以下內容基于RHEL進行。

在RHEL中，Web服務有另外的一個名詞，即Apache服務。作為Apache服務的基本配置而言，基本上就是配置網站程序的存放位置和首頁文件的名稱，其配置過程比較基礎簡單，在本文中不進行相關配置過程的介紹，請讀者參見其他文章。

3認證服務的配置實現

認證服務涉及到認證證書[3]的問題，即客戶端怎么識別證書有效性的問題。在國際上有一個專門的證書頒發機構（CA），經過CA認證頒發的證書是有效可靠的保證，但是該證書的申請需要一定費用，比較適合大型企業使用。對于一般的中小型企業而言，如果企業網絡的使用范圍不是太大，為了節約成本起見可以采用自頒發證書的方式來進行認證。以下內容基于采用自頒發證書的方式來進行認證的實現過程。

由于自頒發證書是企業自己頒發證書，因此在客戶端訪問時會看到“該證書由您沒有信任的公司頒發”或類似的警告信息[4]。但是不影響Apache服務的使用，也是最簡單的進行認證的方式。

（1）創建企業網站所在目錄及首頁文件，以備測試所用。

（2）安裝SSL模塊，如圖3所示[5]。

（3）創建存放證書的目錄。

（4）創建網站的私鑰，如圖4所示，圖中所示表示創建一個RSA密碼的私鑰，其長度為1024位。

（5）創建網站證書文件，如圖5所示，圖中所示表示創建一個以私鑰為基礎的證書文件server.crt。

注意在此配置過程中需要回答一些問題，其中“common name”就是企業網站的全名。

（6）修改證書目錄的權限以保護證書的安全，將目錄權限修改為400即可。

（7）編輯Apache服務主配置文件，配置好網站目錄及首頁文件。

（8）編輯證書配置文件ssl.conf，如圖6所示，主要是確定證書文件及秘鑰文件的路徑及名稱。

（9）重啟服務，驗證效果。

此時采用https協議訪問網站會出現“此連接不受信任”的界面，如圖7所示。這是因為證書是企業自己創建的，沒有經過CA機構認證，前文已經對此有所表述。對于知道并且信任此網站的客戶，可以選擇“我已充分了解可能的風險”，再選擇下方的“添加例外”，如圖8所示，從而將此網站添加到可以訪問的網站中，如圖9所示。然后就可以正常顯示網站內容，如圖10所示。

4結束語

在企業的網絡服務使用中，Apache服務是應用最廣泛的服務之一[6]，其所受到的網絡安全攻擊也是最多的。要保護Apache服務的安全，使用加密傳輸數據是其中的手段之一。加密傳輸數據的協議從HTTP變為HTTPS，不僅使得數據在傳輸過程中是加密傳輸（即使攻擊者攻擊成功也不能解密數據），而且由于加密傳輸使用的是非對稱密鑰，使得服務端和客戶端能夠相互驗證身份，也能夠實現信息安全中的抵賴性要求，滿足電子商務交易的需要。因此，越來越多的網站使用了HTTPS協議，這也是大勢所趨。

本文就目前企業服務器中使用較多的RHEL系統進行了Apache服務安全性的研究，主要通過認征服務的方式加強了服務器的安全并講述了認證服務的實現過程。本文中的認證服務證書采取自頒發方式，減少了證書申請的費用，主要適用于中小型企業網絡，相對于中大型企業而言，本文提出的解決方案雖然也能夠解決Apache認證服務的問題，但是由于要求客戶對網站進行確認，可能會對客戶訪問造成一定影響，因此一般采用向證書頒發機構（CA）申請證書的方式，這樣客戶在訪問企業網站時就能夠進行直接訪問。通過對Apache服務進行認證，提高了網絡服務的安全，提升了網絡服務器和客戶端的相互信任。相對于其他安全措施而言，通過自頒發證書的方式實現證書服務以提高網絡服務的安全性不僅易于實現，而且也不會增加企業的成本負擔，具有廣泛的應用前景。

參考文獻（References）：

[1]李劍勇，基于認證的WEB安全及實現[J].網絡空間安全，2018.4：44-47

[2]楊云.RHEL7.4& CentOS7.4網絡操作系統詳解（第二版）[M].清華大學出版社，2019.

[3]王闖，呂堯.我國網站可信認證的實現路徑研究[J].網絡空間安全.2013.10：9-11

[4]張勤，楊章明.Linux服務器配置全程實錄[M].人民郵電出版社.2010.

[5]張金石.網絡操作系統-Linux配置與管理[M].人民郵電出版社.2012.

[6]孫亞男，李勇.Red Hat Enterprise Linux 7高薪運維入門[M]，清華大學出版社，2016.

收稿日期：2020-05-29

作者簡介：李劍勇（1969-），男，四川成都人，本科，副教授，重慶人工智能學會理事，主要研究方向：網絡安全與管理。