APP下载

基于认证的Apache服务安全与实现

2020-10-09李剑勇

计算机时代 2020年9期
关键词:认证实现安全

摘要:在Linux系统中广为使用的Web服务器就是Apache HTTP Server,因此加强Apache服务的安全性就是一项重要的任务。在一般情况下Apache服务采用的协议是http,其数据在传输过程中采用的是明文传输方式,如果数据在传输过程中被截获,所造成的危险就相当大。如果将Apache服务进行认证,那么其传输数据的过程就会变为加密传输,即使数据被截获,攻击者也无法获取用户数据信息,保护了数据的安全。文章就RHEL(RedHat Enterprise Linux) Apache服务器的认证服务进行研究,以提高Apache服务的安全性,并进而提高网站服务的安全。

关键词:Apache;认证;安全;实现

中图分类号:TP393

文献标识码:A

文章编号:1006-8228(2020)09-54-03

Authentication based Apache service security and the implementation

Li Jianyong

(Chengdu Neusoft University, Chengdu, Sichuan 611844. China)

Abstract: The widely used web server in Linux system is Apache HTTP server. so it is an important task to strengthen thesecurity of Apache service. In general, the protocol adopted by Apache service is HTTP. and its data is transmitted in plaintext. Ifthe data is intercepted in the process of transmission. the danger will be quite great. If the Apache service is authenticated. theprocess of data transmission will become encrypted transmission. Even if the data is intercepted, the attacker cannot obtain the userdata information, thus protecting the data security. This paper studies the authentication service of Apache server on RHEL (RedHatEnterprise Linux), in order to improve the security of Apache service, and then improve the security of website service.

Key words: Apache; authentication; security; implementation

0引言

随着网络在现实生活中的日益普及,越来越多的企事业单位拥有了自己的网站以发布相关信息、进行产品的推广宣传等工作,极大地方便了用户对相关信息的获取。就专业性的网络管理工作而言,就是提供了Web服务。但是在Web服务的数据通信基本原理中,数据通信过程是明文传输的过程,表现在网站的协议就是HTTP协议,这也是用户在浏览器地址栏输入网站地址后自动显示HTTP的原因。因此数据在传输过程中一旦被截获,由于数据是明文传输形式没有安全性可言。特别是对于电子商务网站而言,用户传输的数据有可能包含用户的银行卡号、密码等,因此其数据一旦被截获,给用户造成的损失是不言而喻的,这也是为什么众多电子商务网站、金融网站逐渐使用HTTPS协议的原因。HTTPS协议就是在HTTP协议基础上增加了安全认证,使得数据在传输过程中使用的是加密传输,这样即使数据在传输过程中被截获,攻击者也无法获取用户的数据,从而保护了数据的安全。

1Web服务和认证Web服务的基本原理

1.1基本Web服务流程

一台普通的Web服务器与客户端PC通信过程如图1所示[2]。当PC端在浏览器地址栏输入网站地址后,PC端和Web服務器会建立TCP连接,服务器接受网站浏览请求后,从指定的位置渎取指定的网页文件。然后服务器将网页页面代码发送给浏览器,浏览器解析HTML代码并将解析的结果显示到PC端。

1.2带认证的Web服务流程

当客户端PC访问Web服务器时,其数据中带有需要与认证服务公钥相匹配的私钥。Web服务器接收到访问数据时需要与认证服务器中的公钥相匹配,只有在密钥体系检查通过的情况下才将数据以加密的方式传输给客户端PC。由于数据传输过程采用了加密措施,因此保护了数据传输的安全,其基本流程如图2所示,表现在外观上就是网站的通信协议是HTTPS。

通过使用带认证的Web服务,使得只有通过了认证的客户端才能访问服务器,保护了服务器的安全;同时也保证了客户端访问的是真正的服务器而不是仿冒的钓鱼网站,保护了客户端的安全。而客户端与服务器之间的数据传输采用了加密措施,也保护了数据的安全。

2基本Apache服务的配置(以下配置基于RHEL7进行)

由于在服务器领域Linux的性能与Windows相比占有很大的优势,因此在服务器市场Linux操作系统的占有率占统治地位,而RHEL( RedHat EnterpriseLinux)是Linux系统中的典型代表,在企业服务器市场占有优先的地位,因此本文以下内容基于RHEL进行。

在RHEL中,Web服务有另外的一个名词,即Apache服务。作为Apache服务的基本配置而言,基本上就是配置网站程序的存放位置和首页文件的名称,其配置过程比较基础简单,在本文中不进行相关配置过程的介绍,请读者参见其他文章。

3认证服务的配置实现

认证服务涉及到认证证书[3]的问题,即客户端怎么识别证书有效性的问题。在国际上有一个专门的证书颁发机构(CA),经过CA认证颁发的证书是有效可靠的保证,但是该证书的申请需要一定费用,比较适合大型企业使用。对于一般的中小型企业而言,如果企业网络的使用范围不是太大,为了节约成本起见可以采用自颁发证书的方式来进行认证。以下内容基于采用自颁发证书的方式来进行认证的实现过程。

由于自颁发证书是企业自己颁发证书,因此在客户端访问时会看到“该证书由您没有信任的公司颁发”或类似的警告信息[4]。但是不影响Apache服务的使用,也是最简单的进行认证的方式。

(1)创建企业网站所在目录及首页文件,以备测试所用。

(2)安装SSL模块,如图3所示[5]。

(3)创建存放证书的目录。

(4)创建网站的私钥,如图4所示,图中所示表示创建一个RSA密码的私钥,其长度为1024位。

(5)创建网站证书文件,如图5所示,图中所示表示创建一个以私钥为基础的证书文件server.crt。

注意在此配置过程中需要回答一些问题,其中“common name”就是企业网站的全名。

(6)修改证书目录的权限以保护证书的安全,将目录权限修改为400即可。

(7)编辑Apache服务主配置文件,配置好网站目录及首页文件。

(8)编辑证书配置文件ssl.conf,如图6所示,主要是确定证书文件及秘钥文件的路径及名称。

(9)重启服务,验证效果。

此时采用https协议访问网站会出现“此连接不受信任”的界面,如图7所示。这是因为证书是企业自己创建的,没有经过CA机构认证,前文已经对此有所表述。对于知道并且信任此网站的客户,可以选择“我已充分了解可能的风险”,再选择下方的“添加例外”,如图8所示,从而将此网站添加到可以访问的网站中,如图9所示。然后就可以正常显示网站内容,如图10所示。

4结束语

在企业的网络服务使用中,Apache服务是应用最广泛的服务之一[6],其所受到的网络安全攻击也是最多的。要保护Apache服务的安全,使用加密传输数据是其中的手段之一。加密传输数据的协议从HTTP变为HTTPS,不仅使得数据在传输过程中是加密传输(即使攻击者攻击成功也不能解密数据),而且由于加密传输使用的是非对称密钥,使得服务端和客户端能够相互验证身份,也能够实现信息安全中的抵赖性要求,满足电子商务交易的需要。因此,越来越多的网站使用了HTTPS协议,这也是大势所趋。

本文就目前企业服务器中使用较多的RHEL系统进行了Apache服务安全性的研究,主要通过认征服务的方式加强了服务器的安全并讲述了认证服务的实现过程。本文中的认证服务证书采取自颁发方式,减少了证书申请的费用,主要适用于中小型企业网络,相对于中大型企业而言,本文提出的解决方案虽然也能够解决Apache认证服务的问题,但是由于要求客户对网站进行确认,可能会对客户访问造成一定影响,因此一般采用向证书颁发机构(CA)申请证书的方式,这样客户在访问企业网站时就能够进行直接访问。通过对Apache服务进行认证,提高了网络服务的安全,提升了网络服务器和客户端的相互信任。相对于其他安全措施而言,通过自颁发证书的方式实现证书服务以提高网络服务的安全性不仅易于实现,而且也不会增加企业的成本负担,具有广泛的应用前景。

参考文献(References):

[1]李剑勇,基于认证的WEB安全及实现[J].网络空间安全,2018.4:44-47

[2]杨云.RHEL7.4& CentOS7.4网络操作系统详解(第二版)[M].清华大学出版社,2019.

[3]王闯,吕尧.我国网站可信认证的实现路径研究[J].网络空间安全.2013.10:9-11

[4]张勤,杨章明.Linux服务器配置全程实录[M].人民邮电出版社.2010.

[5]张金石.网络操作系统-Linux配置与管理[M].人民邮电出版社.2012.

[6]孙亚男,李勇.Red Hat Enterprise Linux 7高薪运维入门[M],清华大学出版社,2016.

收稿日期:2020-05-29

作者簡介:李剑勇(1969-),男,四川成都人,本科,副教授,重庆人工智能学会理事,主要研究方向:网络安全与管理。

猜你喜欢

认证实现安全
中职校园网络安全管理系统设计
ASME钢印锅炉安全阀PE认证实践
办公室人员尚需制定个人发展规划
苏州信息学院教务管理系统的设计与实现
浅析铁路通信传输的构成及实现方法