- •З дисципліни “Методи захисту Web-застосувань”
- •Луцьк 2011р.
- •Луцький біотехнічний інститут Міжнародного науково-технічного університету
- •Завдання на курсовий роботу студентові Бігуна Віталія Ігоровича
- •Календарний план
- •Реферат Сторінок – 114; рисунків – 24; таблиць – 10; літературних джерел – 35.
- •1. Конфігурування http-серверу Apache
- •1.1 Загальні положення. Основи конфігурування серверу Apache
- •1.2 Конфігураційні установки і їхнє настроювання
- •1.3 Редагування файлу httpd.Conf
- •1.4 Редагування файлу srm.Conf
- •1.5 Редагування файлу access.Conf
- •1.6 Конфігурування сервера inetd
- •2. Ідентифікація користувачів з допомогою команди htpasswd сервера Apache по імені та паролю
- •2.1 Загальні відомості
- •2.2 Базова аутентифікація
- •2.3 Перевірка роботи файла. Htaccess на сервері
- •2.3.1Створення файлу з паролями. Htpasswd
- •2.3.2 Захист файлів. Htpasswd
- •2.3.3 Створення файлу. Htaccess
- •2.4 Файли груп
- •2.4.1 Приклади файлів. Htaccess
- •3. Розробка власного Web-сайту
- •Висновки
- •Список використаної літератури
1.6 Конфігурування сервера inetd
WEB-сервер Apache звичайно працює або в автономному режимі, або в режимі демона. Робота сервера залежить від значення директиви ServerType у файлі conf/httpd.conf. Автономний сервер краще справляється зі своєю роботою, чим сервери, на яких виконується inetd, тому що його процес звичайно завжди готовий обслужити запит. Працюючи як inetd (Internet-демон), новий сервер запускається щораз, коли приходить запит на HTTP-порт. Значна кількість накладних витрат пов'язане із запуском нового сервера для кожного нового запиту.
За умовчуванням директива ServerType визначає автономний тип сервера. Якщо пропускна здатність вашого сайту досить низка, варто дотримуватися автономного режиму роботи. Щоб запустити сервер inetd, потрібно модифікувати файл conf/httpd.conf і змінити значення директиви ServerType з автономного типу на inetd, як показано нижче:
ServerType inetd
Директива Port не викликає ніякого ефекту на сервері inetd, оскільки inetd зв'язує порт із програмним забезпеченням, ця установка не має значення для конфігурації inetd. Автономний сервер використає цю конфігураційну інформацію, щоб знати, від якого порту потрібно чекати сигналу.
2. Ідентифікація користувачів з допомогою команди htpasswd сервера Apache по імені та паролю
2.1 Загальні відомості
Захист сайту засобами самого сервера Apache є одним з найпростіших і в той же час достатньо надійних способів. У цьому випадку Вам не потрібно досконально продумувати стратегію безпеки, здійснювати її проектування і реалізацію в коді. До того ж, для того, щоб створити хорошу систему захисту потрібно володіти достатньою кваліфікацією в цьому питанні.
Використовуючи вбудований захист WEB-сервера Apache, Ви значно спрощуєте собі завдання - все, що Ви повинні зробити - це виконати нескладну послідовність дій і Ваш сайт буде в достатній мірі захищений.
2.2 Базова аутентифікація
Аутентифікація - процес, за допомогою якого перевіряється, що хтось є саме тим, за кого він себе видає. Як правило, перевірка включає в себе введення імені та пароля. Розглянемо, як працює базова аутентифікація.
При зверненні відвідувача в захищену директорію, сервер Apache у відповідь на запит посилає заголовок з кодом 401 (401 authentication required header). Браузер відвідувача приймає заголовок з кодом 401 і виводить вікно з полями для введення імені користувача і пароля. Після введення імені і пароля ці дані відсилаються назад серверу, який перевіряє ім'я користувача на предмет знаходження в спеціальному списку, а пароль на правильність.
Якщо все вірно, то відвідувач отримує доступ до ресурсу. Разом із заголовком браузеру надсилається спеціальної ім'я, зване областю дії. Браузер кешує не тільки ім'я і пароль, щоб передавати їх при кожному запиті, а й область дії. Завдяки цьому, залогінитися в захищену директорію здійснюється тільки раз. В іншому разі їх необхідно було б вводити при кожному запиті до захищеної директорії. Кешування параметрів аутентифікації (ім'я, пароль, район дії), зазвичай здійснює тільки в межах одного сеансу.
При базовій аутентифікації ім'я користувача і його пароль передаються в мережу у відкритому вигляді протягом усього сеансу, коли відвідувач працює на захищеній директорії. Хакер може перехопити цю інформацію, використовуючи мережевий аналізатор пакетів. Даний вид аутентифікації не повинен використовуватися там, де потрібна реальна захист комерційно-цінної інформації.
WEB-сервер Apache підтримує ще один вид захисту - digest-аутентифікацію. При digest - аутентифікації пароль передається не у відкритому вигляді, а у вигляді хеш-коду, обчисленому за алгоритмом MD5. Тому пароль не може бути перехоплено при скануванні трафіку. Але, на жаль, для використання digest-аутентифікації необхідно встановити на сервер спеціальний модуль - mod auth_digest. А це знаходиться тільки в компетенції адміністрації сервера. Також, до недавнього часу, digest- аутентифікація підтримувалася не всіма видами браузерів.
Захист сайту - це просто. Для того щоб захистити сайт, потрібно виконати таку послідовність дій: створити файл з паролями, переписати його на сервер, створити файл. Htaccess і теж переписати його на сервер.
Для організації захисту знадобиться.
1. WEB-сайт і FTP-доступ до нього.
2. Права на створення файлів. Htpaccess і організацію захисту за допомогою них.
3. Утиліта генерації паролів htpasswd.exe