chuong 5 web server
TRANSCRIPT
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 130
Chương 5
02112011
Web Server
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 230
2
1 Tổng quan Web Server Web Server (maacutey phục vụ Web) maacutey tiacutenh magrave trecircnđoacute cagravei đặt phần mềm phục vụ Web đocirci khi người ta cũng gọi chiacutenh phần mềm đoacute lagrave Web Server
Web Server lagrave maacutey chủ coacute dung lượng lớn tốc độ cao
được dugraveng để lưu trữ thocircng tin như một ngacircn hagraveng dữ liệu chứa những website đatilde được thiết kế cugraveng với những thocircng tin liecircn quan khaacutec (caacutec matilde Script caacutecchương trigravenh vagrave caacutec file Multimedia)
Web Server coacute khả năng gửi đến maacutey khaacutech những trang Web thocircng qua mocirci trường Internet (hoặc Intranet)qua giao thức HTTP - giao thức được thiết kế để gửi caacutecfile đến trigravenh duyệt Web (Web Browser) vagrave caacutec giao thức
khaacutec
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 330
3
1 Tổng quan Web Server (tiếp) Tất cả caacutec Web Server đều coacute một địa chỉ IP (IP Address)hoặc cũng coacute thể coacute một Domain Name
Giả sử khi ta đaacutenh vagraveo thanh Address trecircn trigravenh duyệt của ta một dograveng httpwwwabccom sau đoacute gotilde phiacutem Enter thigrave
ta sẽ gửi một yecircu cầu đến một Server coacute Domain Name lagravehttpwwwabccom Server nagravey sẽ tigravem trang Web coacute tecircn lagraveindexhtm rồi gửi noacute đến trigravenh duyệt của ta
Tất cả caacutec Web Server đều hiểu vagrave chạy được caacutec file
htm vagrave html tuy nhiecircn mỗi Web Server lại phục vụ một số kiểu file chuyecircn biệt chẳng hạn như IIS của Microsoftdagravenh cho asp aspx Apache dagravenh cho php SunJava System Web Server của SUN dagravenh cho jsp
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 430
4
1 Tổng quan Web Server (tiếp) Khi maacutey tiacutenh của bạn kết nối đến một Web Server vagrave gửi đến yecircu cầu truy cập caacutec thocircng tin từ một trang Web nagraveo đoacute WebServer Software sẽ nhận yecircu cầu vagrave gửi lại cho bạn những thocircng tin magrave bạn mong muốn
Giống như những phần mềm khaacutec magrave bạn đatilde từng cagravei đặt trecircn maacutey tiacutenh của migravenh Web Server Software cũng chỉ lagrave một ứng dụng phần mềm Noacute được cagravei đặt vagrave chạy trecircn maacutey tiacutenhdugraveng lagravem Web Server nhờ coacute chương trigravenh nagravey magrave người sử dụng coacute thể truy cập đến caacutec thocircng tin của trang Web từ một
maacutey tiacutenh khaacutec ở trecircn mạng (Internet Intranet) Web Server Software cograven coacute thể được tiacutech hợp với CSDL(Database) hay điều khiển việc kết nối vagraveo CSDL để coacute thể truy cập vagrave kết xuất thocircng tin từ CSDL lecircn caacutec trang Web vagravetruyền tải chuacuteng đến người dugraveng
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 530
5
1 Tổng quan Web Server (tiếp) Database Server lagrave gigrave
Database server (maacutey phục vụ Cơ sở dữ liệu) Maacutey tiacutenhmagrave trecircn đoacute coacute cagravei đặt phần mềm Hệ quản trị Cơ sở dữ liệu (HQTCSDL) Chuacuteng ta coacute một số HQTCSDL chẳng hạn
như SQL Server MySQL Oracle Web Server phải hoạt động liecircn tục 2424 giờ 7 ngagraveymột tuần vagrave 365 ngagravey một năm để phục vụ cho việc cung cấp thocircng tin trực tuyến Vị triacute đặt server đoacuteng vai
trograve quan trọng trong chất lượng vagrave tốc độ lưu chuyển thocircng tin từ server vagrave maacutey tiacutenh truy cập
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 630
6
1 Tổng quan Web Server (tiếp) Dịch vụ web
Dịch vụ web (tiếng Anh web service) lagrave sự kết hợp caacutec maacuteytiacutenh caacute nhacircn với caacutec thiết bị khaacutec caacutec cơ sở dữ liệu vagrave caacutecmạng maacutey tiacutenh để tạo thagravenh một cơ cấu tiacutenh toaacuten ảo magrave người
sử dụng coacute thể lagravem việc thocircng qua caacutec trigravenh duyệt mạng Bản thacircn caacutec dịch vụ nagravey sẽ chạy trecircn caacutec maacutey phục vụ trecircnnền Internet chứ khocircng phải lagrave caacutec maacutey tiacutenh caacute nhacircn do vậy coacute thể chuyển caacutec chức nǎng từ maacutey tiacutenh caacute nhacircn lecircn InternetNgười sử dụng coacute thể lagravem việc với caacutec dịch vụ thocircng qua bất kỳ loại maacutey nagraveo coacute hỗ trợ web service vagrave coacute truy cập Internetkể cả caacutec thiết bị cầm tay Do đoacute caacutec web service sẽ lagravemInternet biến đổi thagravenh một nơi lagravem việc chứ khocircng phải lagrave một phương tiện để xem vagrave tải nội dung
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 730
7
1 Tổng quan Web Server (tiếp) Dịch vụ web
Điều nagravey cũng sẽ đưa caacutec dữ liệu vagrave caacutec ứng dụng từ maacuteytiacutenh caacute nhacircn tới caacutec maacutey phục vụ của một nhagrave cung cấp dịch vụ web Caacutec maacutey phục vụ nagravey cũng cần trở thagravenh nguồn cung
cấp cho người sử dụng cả về độ an toagraven độ riecircng tư vagrave khả nǎng truy nhập
Caacutec maacutey phục vụ ứng dụng sẽ lagrave một phần quan trọng của caacutec web service bởi vigrave thường thigrave caacutec maacutey phục vụ nagravey thực hiện caacutec hoạt động ứng dụng phức tạp dựa trecircn sự chuyển
giao giữa người sử dụng vagrave caacutec chương trigravenh kinh doanh hay
caacutec cơ sở dữ liệu của một tổ chức nagraveo đoacute
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 830
8
2 IIS lagrave gigrave
IIS lagrave viết tắt của từ (Internet Information Services _ caacutec dịch vụ cung cấp thocircng tin Internet) Noacute được điacutenh kegravem với caacutec phiecircn bản của Windows
Internet Information Services lagrave caacutec dịch vụ dagravenh cho
maacutey chủ chạy trecircn nền Hệ điều hagravenh Window nhằm cungcấp vagrave phacircn taacuten caacutec thocircng tin lecircn mạng noacute bao gồm nhiều dịch vụ khaacutec nhau như Web Server FTP Server
Noacute coacute thể được sử dụng để xuất bản nội dung của caacutec
trang Web lecircn InternetIntranet bằng việc sử dụng ldquoPhương thức chuyển giao siecircu văn bảnldquo - HypertextTransport Protocol (HTTP)
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 930
9
2 IIS lagrave gigrave (tiếp)
Như vậy sau khi thiết kế xong caacutec trang Web của migravenh nếu ta muốn đưa chuacuteng lecircn mạng để mọi người coacutethể truy cập vagrave xem chuacuteng thigrave ta phải nhờ đến một WebServer ở đacircy lagrave IIS
Nếu khocircng qua IIS thigrave trang Web đoacute chỉ coacute thể được xem trecircn chiacutenh maacutey của ta hoặc thocircng qua việc chia sẻ tệp (file sharing) như caacutec tệp bất kỳ trong mạng nội bộ magrave thocirci
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 1030
10
2 IIS lagrave gigrave (tiếp)
Chức năng của IIS
Nhiệm vụ của IIS lagrave tiếp nhận yecircu cầu của maacutey trạm vagraveđaacutep ứng lại yecircu cầu đoacute bằng caacutech gửi về maacutey trạm những thocircng tin magrave maacutey trạm yecircu cầu
Ta coacute thể sử dụng IIS để Xuất bản một Website của bạn trecircn Internet
Tạo caacutec giao dịch thương mại điện tử trecircn Internet (hiện caacuteccatalog vagrave nhận được caacutec đơn đặt hagraveng từ nguời tiecircu dugraveng)
Chia sẻ file dữ liệu thocircng qua giao thức FTP Cho pheacutep người ở xa coacute thể truy xuất database của bạn (gọi lagrave Database remoteaccess)
Vagrave rất nhiều khả năng khaacutec
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 1130
11
2 IIS lagrave gigrave (tiếp)
Hoạt động của IIS
IIS sử dụng caacutec giao thức mạng phổ biến lagrave HTTP (HyperText Transfer Protocol) vagrave FPT (File Transfer Protocol) vagrave một số giao thức khaacutec như SMTP POP3 để tiếp nhận yecircu cầu vagrave
truyền tải thocircng tin trecircn mạng với caacutec định dạng khaacutec nhau Một trong những dịch vụ phổ biến nhất của IIS magrave chuacuteng taquan tacircm trong chương trigravenh nagravey lagrave dịch vụ WWW (World WideWeb) noacutei tắt lagrave dịch vụ Web
Dịch vụ Web sử dụng giao thức HTTP để tiếp nhận yecircu cầu (Requests) của trigravenh duyệt Web (Web browser) dưới dạng một địa chỉ URL (Uniform Resource Locator) của một trang Web vagraveIIS phản hồi lại caacutec yecircu cầu bằng caacutech gửi về cho Web browser
nội dung của trang Web tương ứng
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 1230
12
2 IIS lagrave gigrave (tiếp)
Cagravei đặt IIS
Hiện tại đatilde coacute caacutec phiecircn bản 30 40 vagrave 51 Noacutei chung caacutechcagravei đặt khocircng coacute gigrave khoacute vagrave khaacutec nhau lắm giữa caacutec version
Lưu yacute Tốt nhất lagrave coacute bản cagravei ngoagravei (từ đĩa CD hoặc
download từ Internet) Hoặc cagravei Personal Web Server trong AddRemove Programstrong Control Panel Window NT server 40
Hoặc cagravei Internet Information Server trong AddRemove
Programs trong Control Panel hoặc trong Windows NT OptionPack Windows 2000
Hoặc cagravei Internet Information Server trong AddRemovePrograms trong Control Panel để cagravei IIS
Cagravei đặt IIS
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 1330
13
3 Apache server
31 Apache server lagrave gigrave
Apache hay lagrave chương trigravenh maacutey chủ HTTP lagrave một chương trigravenh dagravenh cho maacutey chủ đối thoại qua giao thức HTTP
Apache chạy trecircn caacutec hệ điều hagravenh tương tự như UnixMicrosoft Windows Novell Netware vagrave caacutec hệ điều hagravenhkhaacutec
Apache đoacuteng một vai trograve quan trọng trong quaacute trigravenh
phaacutet triển của mạng WEB thế giới (tiếng Anh World WideWeb)
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 1430
14
3 Apache server
31 Apache server lagrave gigrave
Khi được phaacutet hagravenh lần đầu Apache lagrave chương trigravenh maacuteychủ matilde nguồn mở duy nhất coacute khả năng cạnh tranh với chương trigravenh maacutey chủ tương tự của Netscape Communications
Corporation magrave ngagravey nay được biết đến qua tecircn thương mại Sun Java System Web Server
Từ đoacute trở đi Apache đatilde khocircng ngừng tiến triển vagrave trở thagravenhmột phần mềm coacute sức cạnh tranh mạnh so với caacutec chương trigravenh maacutey chủ khaacutec về mặt hiệu suất vagrave tiacutenh năng phong phuacute
Từ thaacuteng 4 natildem 1996 Apache trở thagravenh một chương trigravenhmaacutey chủ HTTP thocircng dụng nhất Tiacutenh đến thaacuteng 1 năm 2007 thigrave Apache chiếm đến 60 thị trường caacutec chương trigravenh phacircn phối trang web
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 1530
15
3 Apache server
31 Apache server lagrave gigrave Apache được phaacutet triển vagrave duy trigrave bởi một cộng đồng matildenguồn mở dưới sự bảo trợ của Apache Software Foundation
Apache được phaacutet hagravenh với giấy pheacutep Apache License vagrave lagrave
một phần mềm tự do vagrave miễn phiacute Apache HTTP Server lagrave web server mạnh mẽ uyển chuyển tương thiacutech với giao thức HTTP11 Phiecircn bản gốc của Apache được thiết kế để thay thế cho NCSA HTTP Server vagraveđến nay noacute đatilde phaacutet triển mạnh mẽ trở thagravenh web server phổ
biến nhất trecircn Internet Lagrave 1 dự aacuten của Apache Software Foundation những người phaacutet triển noacute đatilde hợp taacutec phaacutet triển vagrave duy trigrave để Apachetrở necircn mạnh mẽ hơn đạt được cấp độ thương mại vagrave chuẩn
server với matilde nguồn miễn phiacute
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 1630
16
3 Apache server
32 Cagravei đặt Apache serverĐể cagravei đặt 1 web server cần chuẩn bị Apache 2216 - httpd-2216-win32-x86-no_sslmsi
PHP 5212 - PHP 5212 zip package (khocircng necircn cagraveicaacutec bản mới vigrave noacute khoacute cagravei hơn caacutec hosting hiện naycũng vẫn dugraveng PHP 52)
MySQL 5151 - mysql-essential-5151-win32msi
phpMyAdmin - phpMyAdmin-337-englishzip
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 1730
17
3 Apache server
32 Cagravei đặt Apache server Ta cagravei đặt Apache với caacutec lựa chọn mặc định
Network domain localhost
Server name localhost
Administrators email address email của bạn Sau khi cagravei đặt xong Apache sẽ chạy dưới dạng 1
service của Windows vagrave noacute được thiết lập mặc định khởi động cugraveng Windows
Một chương trigravenh nhỏ coacute tecircn Apache Service Monitorcũng được tự động chạy dưới khay hệ thống để coacute thể mở hoặc tắt Apache thuận tiện
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 1830
18
3 Apache server
32 Cagravei đặt Apache serverĐể kiểm tra hatildey vagraveo trigravenh duyệt vagrave gotilde vagraveo khungaddress httplocalhost Dograveng url nagravey sẽ gọi fileindexhtml nằm trong thư mục htdocs trong thư mục cagravei
đặt Apache đacircy lagrave thư mục gốc mặc định của Apachewebsite của bạn sẽ được chứa tại đacircy
Sau khi chạy thagravenh cocircng Nếu muốn cấu higravenh lại Apachecho phugrave hợp hơn dugraveng Notepad mở file httpdconf nằm
trong thư mục conf trong thư mục cagravei đặt Apache (hoặc vagraveo Start menu để mở) vagrave tiến hagravenh chỉnh sửa
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 1930
19
3 Apache server
33 Tiacutenh năng của Apache server Apache lagrave một phần mềm coacute nhiều tiacutenh năng mạnh vagravelinh hoạt dugraveng để lagravem Web Server
Hỗ trợ đầy đủ những giao thức HTTP trước đacircy như HTTP11Coacute thể cấu higravenh vagrave mở rộng với những module của cocircngty thứ ba
Cung cấp source code đầy đủ với license khocircng hạn chế Chạy trecircn nhiều hệ điều hagravenh như Windows NT9xNetware 5x OS2 vagrave trecircn hầu hết caacutec hệ điều hagravenh Unix
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2030
20
3 Apache server
34 Bảo mật cho Apache serverTiacutenh đa năng của Apache tạo ra những khoacute khăn để thực hiện một mocirc thức tổng quaacutet với mục điacutech kiện toagravenbảo mật cho server trong mọi trường hợp coacute thể được
ETHacircy lagrave lyacute do để dựa trecircn caacutec chức năng sau Web server coacute thể truy cập từ Internet
Chỉ những trang HTML tĩnh (static HTML pages) sẽ được phục vụ
Server hỗ trợ tecircn miền cho cơ chế dịch vụ ảo
Caacutec trang web đatilde ấn định chỉ coacute thể truy cập từ caacutec cụm IPaddresses hoặc người dugraveng (khai baacuteo căn bản)
Server sẽ tường trigravenh trọn bộ caacutec yecircu cầu (bao gồm những thocircng tin về caacutec web browsers)
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2130
21
3 Apache server
34 Bảo mật cho Apache serverNhững trugrave bị bảo mật Một trong những nhacircn tố quan trọng nhất cho mọi cocircng trigravenhđiện toaacuten lagrave việc xaacutec thực caacutec trugrave bị bảo mật ETHiều nagravey phải
được thoả matilden trước khi cocircng trigravenh được ứng tạo Caacutec trugrave bị bảo mật cho web server của chuacuteng ta như sau
Hệ điều hagravenh phải được kiện toagraven cagraveng chặt chẽ cagraveng tốt baogồm việc phograveng bị cho những tấn cocircng từ becircn ngoagravei lẫn becircntrong
Server khocircng được cung cấp bất cứ dịch vụ nagraveo khaacutec ngoại trừ HTTP (80TCP)
Truy cập từ xa đến server phải được kiểm soaacutet bởi tường lửathiết bị nagravey chặn trọn bộ những tiếp nối cho lối ra vagrave cho pheacutepnhững tiếp nối cho lối vagraveo đến cổng 80TCP của web server
magrave thocirci
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2230
22
3 Apache server
34 Bảo mật cho Apache serverNhững trugrave bị bảo mật (tiếp)
Web server Apache lagrave dịch vụ duy nhất hiện hữu trecircn hệ thống
Chỉ coacute những modules nagraveo tuyệt đối cần thiết mới được cho pheacutep hoạt động
Caacutec trang web dugraveng cho cocircng taacutec chẩn xeacutet vagrave tự động hoaacute mục lục phải được tắt bỏ
Srver necircn giảm thiểu tối đa vấn đề tiết lộ những thocircng tin của chiacutenh server (mật tiacutenh qua ẩn tiacutenh)
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2330
23
3 Apache server
34 Bảo mật cho Apache serverNhững trugrave bị bảo mật (tiếp)
Apache server phải chạy bằng UIDGID riecircng biệt (định danh người dugraveng định danh nhoacutem) khocircngđược dugraveng bất cứ tiến trigravenh (process) nagraveo khaacutec
của hệ thống Caacutec process của Apache phải coacute giới hạn nhất
định đến hệ thư mục (chrooting)
Khocircng coacute bất cứ chương trigravenh dạng shell nagraveo hiện hữu trong mocirci trường chrooted (binsh bincshvv)
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2430
24
3 Apache server
34 Bảo mật cho Apache serverCagravei đặt hệ điều hagravenh
Trước khi cagravei đặt Apache chuacuteng ta phải chọn lấy một hệ điều hagravenh đoacute lagrave mocirci trường Apache sẽ hoạt động
Ở đacircy chuacuteng ta coacute khaacute nhiều chọn lựa vigrave Apache coacute thể được biecircn dịch vagrave cagravei đặt trecircn hầu hết caacutec hệ điều hagravenh
Tuy nhiecircn necircn chọn caacutec hệ điều hagravenh UNIXLINUX lyacute
do chiacutenh lagrave vigrave hệ điều hagravenh MS Windows bị giới hạn khả năng kiện toagraven bảo mật cho Apache
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2530
25
3 Apache server
34 Bảo mật cho Apache serverCagravei đặt hệ điều hagravenh
Bước đầu tiecircn trong vấn đề bảo mật Web server lagrave kiện toagraven hệ điều hagravenh
Sau khi hệ thống được cagravei đặt vagrave kiện toagraven chuacuteng tacần thecircm một nhoacutem vagrave một người dugraveng thocircng thường gọi lagrave apache
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2630
26
3 Apache server
34 Bảo mật cho Apache serverCagravei đặt hệ điều hagravenh
Theo mặc định caacutec process thuộc Apache chạy với chủ quyền của người dugraveng nobody (ngoại trừ process chiacutenh
phải chạy với chủ quyền root) vagrave GID thuộc nhoacutemnogroup
ETHiều nagravey coacute thể dẫn đến những đe dọa bảo mật nghiecircm trọng Trong trường hợp đột nhập thagravenh cocircng
tin tặc coacute thể lấy được quyền truy dụng đến những process khaacutec chạy cugraveng UIDGID
Bởi thế giải phaacutep tối ưu lagrave cho Apache chạy bằng UIDGID từ nhoacutem riecircng biệt chuyecircn chuacute đến software
ấy thocirci
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2730
27
3 Apache server
34 Bảo mật cho Apache serverChuẩn bị software
Bước kế tiếp lagrave bước tải phiecircn bản Apache mới nhất từ web site Apache
Sau khi tải software về chuacuteng ta phải giải neacuten Kế tiếp chuacuteng ta quyết định modules nagraveo được pheacutep hoạt động
Chọn lựa caacutec modules lagrave một trong những bước quan
trọng nhất trong vấn đề bảo mật Apache Chuacuteng ta necircntheo luật cagraveng iacutet cagraveng tốt
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2830
28
3 Apache server
34 Bảo mật cho Apache serverChuẩn bị software
ETHể thoả matilden chức năng vagrave những trugrave bị bảo mật caacutecmodules sau cần được cho pheacutep httpd_core Chứa caacutec chức năng cốt lotildei của Apache
cần thiết cho bất cứ Apache nagraveo
mod_access Cung cấp chế độ khiển taacutec dựa trecircn tecircnmaacutey địa chỉ IP hoặc caacutec tiacutenh chất yecircu cầu thuộc về caacutec clients Bởi vigrave module nagravey cần cho caacutec chỉ phối
(directive) order allow vagrave deny noacute cần được chopheacutep
mod_auth Cần thiết để ứng dụng vấn đề khai baacuteongười dugraveng cho việc sử dụng caacutec hồ sơ nguyecircn bản (khai baacuteo căn bản cho HTTP) được chỉ định trong chức
năng trugrave bị
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2930
29
3 Apache server
34 Bảo mật cho Apache server
Chuẩn bị software (tiếp) mod_dir Cần thiết để tigravem kiếm vagrave phục vụ caacutec hồ sơ
thư mục indexhtml defaulthtm vv
mod_log_config Cần thiết để ứng hiệu baacuteo caacuteo
những yecircu cầu thực hiện đến server mod_mime Cần thiết để chỉnh lyacute nhoacutem chữ caacutei matilde
hoaacute nội dung tugravey taacutec ngocircn ngữ nội dung vagrave caacutec loạiMIME đại diện cho caacutec loại tagravei liệu
Tất cả caacutec modules khaacutec của Apache phải được tắt bỏ
Web server
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 3030
30
Hết chương 5
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 230
2
1 Tổng quan Web Server Web Server (maacutey phục vụ Web) maacutey tiacutenh magrave trecircnđoacute cagravei đặt phần mềm phục vụ Web đocirci khi người ta cũng gọi chiacutenh phần mềm đoacute lagrave Web Server
Web Server lagrave maacutey chủ coacute dung lượng lớn tốc độ cao
được dugraveng để lưu trữ thocircng tin như một ngacircn hagraveng dữ liệu chứa những website đatilde được thiết kế cugraveng với những thocircng tin liecircn quan khaacutec (caacutec matilde Script caacutecchương trigravenh vagrave caacutec file Multimedia)
Web Server coacute khả năng gửi đến maacutey khaacutech những trang Web thocircng qua mocirci trường Internet (hoặc Intranet)qua giao thức HTTP - giao thức được thiết kế để gửi caacutecfile đến trigravenh duyệt Web (Web Browser) vagrave caacutec giao thức
khaacutec
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 330
3
1 Tổng quan Web Server (tiếp) Tất cả caacutec Web Server đều coacute một địa chỉ IP (IP Address)hoặc cũng coacute thể coacute một Domain Name
Giả sử khi ta đaacutenh vagraveo thanh Address trecircn trigravenh duyệt của ta một dograveng httpwwwabccom sau đoacute gotilde phiacutem Enter thigrave
ta sẽ gửi một yecircu cầu đến một Server coacute Domain Name lagravehttpwwwabccom Server nagravey sẽ tigravem trang Web coacute tecircn lagraveindexhtm rồi gửi noacute đến trigravenh duyệt của ta
Tất cả caacutec Web Server đều hiểu vagrave chạy được caacutec file
htm vagrave html tuy nhiecircn mỗi Web Server lại phục vụ một số kiểu file chuyecircn biệt chẳng hạn như IIS của Microsoftdagravenh cho asp aspx Apache dagravenh cho php SunJava System Web Server của SUN dagravenh cho jsp
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 430
4
1 Tổng quan Web Server (tiếp) Khi maacutey tiacutenh của bạn kết nối đến một Web Server vagrave gửi đến yecircu cầu truy cập caacutec thocircng tin từ một trang Web nagraveo đoacute WebServer Software sẽ nhận yecircu cầu vagrave gửi lại cho bạn những thocircng tin magrave bạn mong muốn
Giống như những phần mềm khaacutec magrave bạn đatilde từng cagravei đặt trecircn maacutey tiacutenh của migravenh Web Server Software cũng chỉ lagrave một ứng dụng phần mềm Noacute được cagravei đặt vagrave chạy trecircn maacutey tiacutenhdugraveng lagravem Web Server nhờ coacute chương trigravenh nagravey magrave người sử dụng coacute thể truy cập đến caacutec thocircng tin của trang Web từ một
maacutey tiacutenh khaacutec ở trecircn mạng (Internet Intranet) Web Server Software cograven coacute thể được tiacutech hợp với CSDL(Database) hay điều khiển việc kết nối vagraveo CSDL để coacute thể truy cập vagrave kết xuất thocircng tin từ CSDL lecircn caacutec trang Web vagravetruyền tải chuacuteng đến người dugraveng
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 530
5
1 Tổng quan Web Server (tiếp) Database Server lagrave gigrave
Database server (maacutey phục vụ Cơ sở dữ liệu) Maacutey tiacutenhmagrave trecircn đoacute coacute cagravei đặt phần mềm Hệ quản trị Cơ sở dữ liệu (HQTCSDL) Chuacuteng ta coacute một số HQTCSDL chẳng hạn
như SQL Server MySQL Oracle Web Server phải hoạt động liecircn tục 2424 giờ 7 ngagraveymột tuần vagrave 365 ngagravey một năm để phục vụ cho việc cung cấp thocircng tin trực tuyến Vị triacute đặt server đoacuteng vai
trograve quan trọng trong chất lượng vagrave tốc độ lưu chuyển thocircng tin từ server vagrave maacutey tiacutenh truy cập
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 630
6
1 Tổng quan Web Server (tiếp) Dịch vụ web
Dịch vụ web (tiếng Anh web service) lagrave sự kết hợp caacutec maacuteytiacutenh caacute nhacircn với caacutec thiết bị khaacutec caacutec cơ sở dữ liệu vagrave caacutecmạng maacutey tiacutenh để tạo thagravenh một cơ cấu tiacutenh toaacuten ảo magrave người
sử dụng coacute thể lagravem việc thocircng qua caacutec trigravenh duyệt mạng Bản thacircn caacutec dịch vụ nagravey sẽ chạy trecircn caacutec maacutey phục vụ trecircnnền Internet chứ khocircng phải lagrave caacutec maacutey tiacutenh caacute nhacircn do vậy coacute thể chuyển caacutec chức nǎng từ maacutey tiacutenh caacute nhacircn lecircn InternetNgười sử dụng coacute thể lagravem việc với caacutec dịch vụ thocircng qua bất kỳ loại maacutey nagraveo coacute hỗ trợ web service vagrave coacute truy cập Internetkể cả caacutec thiết bị cầm tay Do đoacute caacutec web service sẽ lagravemInternet biến đổi thagravenh một nơi lagravem việc chứ khocircng phải lagrave một phương tiện để xem vagrave tải nội dung
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 730
7
1 Tổng quan Web Server (tiếp) Dịch vụ web
Điều nagravey cũng sẽ đưa caacutec dữ liệu vagrave caacutec ứng dụng từ maacuteytiacutenh caacute nhacircn tới caacutec maacutey phục vụ của một nhagrave cung cấp dịch vụ web Caacutec maacutey phục vụ nagravey cũng cần trở thagravenh nguồn cung
cấp cho người sử dụng cả về độ an toagraven độ riecircng tư vagrave khả nǎng truy nhập
Caacutec maacutey phục vụ ứng dụng sẽ lagrave một phần quan trọng của caacutec web service bởi vigrave thường thigrave caacutec maacutey phục vụ nagravey thực hiện caacutec hoạt động ứng dụng phức tạp dựa trecircn sự chuyển
giao giữa người sử dụng vagrave caacutec chương trigravenh kinh doanh hay
caacutec cơ sở dữ liệu của một tổ chức nagraveo đoacute
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 830
8
2 IIS lagrave gigrave
IIS lagrave viết tắt của từ (Internet Information Services _ caacutec dịch vụ cung cấp thocircng tin Internet) Noacute được điacutenh kegravem với caacutec phiecircn bản của Windows
Internet Information Services lagrave caacutec dịch vụ dagravenh cho
maacutey chủ chạy trecircn nền Hệ điều hagravenh Window nhằm cungcấp vagrave phacircn taacuten caacutec thocircng tin lecircn mạng noacute bao gồm nhiều dịch vụ khaacutec nhau như Web Server FTP Server
Noacute coacute thể được sử dụng để xuất bản nội dung của caacutec
trang Web lecircn InternetIntranet bằng việc sử dụng ldquoPhương thức chuyển giao siecircu văn bảnldquo - HypertextTransport Protocol (HTTP)
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 930
9
2 IIS lagrave gigrave (tiếp)
Như vậy sau khi thiết kế xong caacutec trang Web của migravenh nếu ta muốn đưa chuacuteng lecircn mạng để mọi người coacutethể truy cập vagrave xem chuacuteng thigrave ta phải nhờ đến một WebServer ở đacircy lagrave IIS
Nếu khocircng qua IIS thigrave trang Web đoacute chỉ coacute thể được xem trecircn chiacutenh maacutey của ta hoặc thocircng qua việc chia sẻ tệp (file sharing) như caacutec tệp bất kỳ trong mạng nội bộ magrave thocirci
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 1030
10
2 IIS lagrave gigrave (tiếp)
Chức năng của IIS
Nhiệm vụ của IIS lagrave tiếp nhận yecircu cầu của maacutey trạm vagraveđaacutep ứng lại yecircu cầu đoacute bằng caacutech gửi về maacutey trạm những thocircng tin magrave maacutey trạm yecircu cầu
Ta coacute thể sử dụng IIS để Xuất bản một Website của bạn trecircn Internet
Tạo caacutec giao dịch thương mại điện tử trecircn Internet (hiện caacuteccatalog vagrave nhận được caacutec đơn đặt hagraveng từ nguời tiecircu dugraveng)
Chia sẻ file dữ liệu thocircng qua giao thức FTP Cho pheacutep người ở xa coacute thể truy xuất database của bạn (gọi lagrave Database remoteaccess)
Vagrave rất nhiều khả năng khaacutec
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 1130
11
2 IIS lagrave gigrave (tiếp)
Hoạt động của IIS
IIS sử dụng caacutec giao thức mạng phổ biến lagrave HTTP (HyperText Transfer Protocol) vagrave FPT (File Transfer Protocol) vagrave một số giao thức khaacutec như SMTP POP3 để tiếp nhận yecircu cầu vagrave
truyền tải thocircng tin trecircn mạng với caacutec định dạng khaacutec nhau Một trong những dịch vụ phổ biến nhất của IIS magrave chuacuteng taquan tacircm trong chương trigravenh nagravey lagrave dịch vụ WWW (World WideWeb) noacutei tắt lagrave dịch vụ Web
Dịch vụ Web sử dụng giao thức HTTP để tiếp nhận yecircu cầu (Requests) của trigravenh duyệt Web (Web browser) dưới dạng một địa chỉ URL (Uniform Resource Locator) của một trang Web vagraveIIS phản hồi lại caacutec yecircu cầu bằng caacutech gửi về cho Web browser
nội dung của trang Web tương ứng
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 1230
12
2 IIS lagrave gigrave (tiếp)
Cagravei đặt IIS
Hiện tại đatilde coacute caacutec phiecircn bản 30 40 vagrave 51 Noacutei chung caacutechcagravei đặt khocircng coacute gigrave khoacute vagrave khaacutec nhau lắm giữa caacutec version
Lưu yacute Tốt nhất lagrave coacute bản cagravei ngoagravei (từ đĩa CD hoặc
download từ Internet) Hoặc cagravei Personal Web Server trong AddRemove Programstrong Control Panel Window NT server 40
Hoặc cagravei Internet Information Server trong AddRemove
Programs trong Control Panel hoặc trong Windows NT OptionPack Windows 2000
Hoặc cagravei Internet Information Server trong AddRemovePrograms trong Control Panel để cagravei IIS
Cagravei đặt IIS
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 1330
13
3 Apache server
31 Apache server lagrave gigrave
Apache hay lagrave chương trigravenh maacutey chủ HTTP lagrave một chương trigravenh dagravenh cho maacutey chủ đối thoại qua giao thức HTTP
Apache chạy trecircn caacutec hệ điều hagravenh tương tự như UnixMicrosoft Windows Novell Netware vagrave caacutec hệ điều hagravenhkhaacutec
Apache đoacuteng một vai trograve quan trọng trong quaacute trigravenh
phaacutet triển của mạng WEB thế giới (tiếng Anh World WideWeb)
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 1430
14
3 Apache server
31 Apache server lagrave gigrave
Khi được phaacutet hagravenh lần đầu Apache lagrave chương trigravenh maacuteychủ matilde nguồn mở duy nhất coacute khả năng cạnh tranh với chương trigravenh maacutey chủ tương tự của Netscape Communications
Corporation magrave ngagravey nay được biết đến qua tecircn thương mại Sun Java System Web Server
Từ đoacute trở đi Apache đatilde khocircng ngừng tiến triển vagrave trở thagravenhmột phần mềm coacute sức cạnh tranh mạnh so với caacutec chương trigravenh maacutey chủ khaacutec về mặt hiệu suất vagrave tiacutenh năng phong phuacute
Từ thaacuteng 4 natildem 1996 Apache trở thagravenh một chương trigravenhmaacutey chủ HTTP thocircng dụng nhất Tiacutenh đến thaacuteng 1 năm 2007 thigrave Apache chiếm đến 60 thị trường caacutec chương trigravenh phacircn phối trang web
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 1530
15
3 Apache server
31 Apache server lagrave gigrave Apache được phaacutet triển vagrave duy trigrave bởi một cộng đồng matildenguồn mở dưới sự bảo trợ của Apache Software Foundation
Apache được phaacutet hagravenh với giấy pheacutep Apache License vagrave lagrave
một phần mềm tự do vagrave miễn phiacute Apache HTTP Server lagrave web server mạnh mẽ uyển chuyển tương thiacutech với giao thức HTTP11 Phiecircn bản gốc của Apache được thiết kế để thay thế cho NCSA HTTP Server vagraveđến nay noacute đatilde phaacutet triển mạnh mẽ trở thagravenh web server phổ
biến nhất trecircn Internet Lagrave 1 dự aacuten của Apache Software Foundation những người phaacutet triển noacute đatilde hợp taacutec phaacutet triển vagrave duy trigrave để Apachetrở necircn mạnh mẽ hơn đạt được cấp độ thương mại vagrave chuẩn
server với matilde nguồn miễn phiacute
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 1630
16
3 Apache server
32 Cagravei đặt Apache serverĐể cagravei đặt 1 web server cần chuẩn bị Apache 2216 - httpd-2216-win32-x86-no_sslmsi
PHP 5212 - PHP 5212 zip package (khocircng necircn cagraveicaacutec bản mới vigrave noacute khoacute cagravei hơn caacutec hosting hiện naycũng vẫn dugraveng PHP 52)
MySQL 5151 - mysql-essential-5151-win32msi
phpMyAdmin - phpMyAdmin-337-englishzip
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 1730
17
3 Apache server
32 Cagravei đặt Apache server Ta cagravei đặt Apache với caacutec lựa chọn mặc định
Network domain localhost
Server name localhost
Administrators email address email của bạn Sau khi cagravei đặt xong Apache sẽ chạy dưới dạng 1
service của Windows vagrave noacute được thiết lập mặc định khởi động cugraveng Windows
Một chương trigravenh nhỏ coacute tecircn Apache Service Monitorcũng được tự động chạy dưới khay hệ thống để coacute thể mở hoặc tắt Apache thuận tiện
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 1830
18
3 Apache server
32 Cagravei đặt Apache serverĐể kiểm tra hatildey vagraveo trigravenh duyệt vagrave gotilde vagraveo khungaddress httplocalhost Dograveng url nagravey sẽ gọi fileindexhtml nằm trong thư mục htdocs trong thư mục cagravei
đặt Apache đacircy lagrave thư mục gốc mặc định của Apachewebsite của bạn sẽ được chứa tại đacircy
Sau khi chạy thagravenh cocircng Nếu muốn cấu higravenh lại Apachecho phugrave hợp hơn dugraveng Notepad mở file httpdconf nằm
trong thư mục conf trong thư mục cagravei đặt Apache (hoặc vagraveo Start menu để mở) vagrave tiến hagravenh chỉnh sửa
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 1930
19
3 Apache server
33 Tiacutenh năng của Apache server Apache lagrave một phần mềm coacute nhiều tiacutenh năng mạnh vagravelinh hoạt dugraveng để lagravem Web Server
Hỗ trợ đầy đủ những giao thức HTTP trước đacircy như HTTP11Coacute thể cấu higravenh vagrave mở rộng với những module của cocircngty thứ ba
Cung cấp source code đầy đủ với license khocircng hạn chế Chạy trecircn nhiều hệ điều hagravenh như Windows NT9xNetware 5x OS2 vagrave trecircn hầu hết caacutec hệ điều hagravenh Unix
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2030
20
3 Apache server
34 Bảo mật cho Apache serverTiacutenh đa năng của Apache tạo ra những khoacute khăn để thực hiện một mocirc thức tổng quaacutet với mục điacutech kiện toagravenbảo mật cho server trong mọi trường hợp coacute thể được
ETHacircy lagrave lyacute do để dựa trecircn caacutec chức năng sau Web server coacute thể truy cập từ Internet
Chỉ những trang HTML tĩnh (static HTML pages) sẽ được phục vụ
Server hỗ trợ tecircn miền cho cơ chế dịch vụ ảo
Caacutec trang web đatilde ấn định chỉ coacute thể truy cập từ caacutec cụm IPaddresses hoặc người dugraveng (khai baacuteo căn bản)
Server sẽ tường trigravenh trọn bộ caacutec yecircu cầu (bao gồm những thocircng tin về caacutec web browsers)
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2130
21
3 Apache server
34 Bảo mật cho Apache serverNhững trugrave bị bảo mật Một trong những nhacircn tố quan trọng nhất cho mọi cocircng trigravenhđiện toaacuten lagrave việc xaacutec thực caacutec trugrave bị bảo mật ETHiều nagravey phải
được thoả matilden trước khi cocircng trigravenh được ứng tạo Caacutec trugrave bị bảo mật cho web server của chuacuteng ta như sau
Hệ điều hagravenh phải được kiện toagraven cagraveng chặt chẽ cagraveng tốt baogồm việc phograveng bị cho những tấn cocircng từ becircn ngoagravei lẫn becircntrong
Server khocircng được cung cấp bất cứ dịch vụ nagraveo khaacutec ngoại trừ HTTP (80TCP)
Truy cập từ xa đến server phải được kiểm soaacutet bởi tường lửathiết bị nagravey chặn trọn bộ những tiếp nối cho lối ra vagrave cho pheacutepnhững tiếp nối cho lối vagraveo đến cổng 80TCP của web server
magrave thocirci
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2230
22
3 Apache server
34 Bảo mật cho Apache serverNhững trugrave bị bảo mật (tiếp)
Web server Apache lagrave dịch vụ duy nhất hiện hữu trecircn hệ thống
Chỉ coacute những modules nagraveo tuyệt đối cần thiết mới được cho pheacutep hoạt động
Caacutec trang web dugraveng cho cocircng taacutec chẩn xeacutet vagrave tự động hoaacute mục lục phải được tắt bỏ
Srver necircn giảm thiểu tối đa vấn đề tiết lộ những thocircng tin của chiacutenh server (mật tiacutenh qua ẩn tiacutenh)
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2330
23
3 Apache server
34 Bảo mật cho Apache serverNhững trugrave bị bảo mật (tiếp)
Apache server phải chạy bằng UIDGID riecircng biệt (định danh người dugraveng định danh nhoacutem) khocircngđược dugraveng bất cứ tiến trigravenh (process) nagraveo khaacutec
của hệ thống Caacutec process của Apache phải coacute giới hạn nhất
định đến hệ thư mục (chrooting)
Khocircng coacute bất cứ chương trigravenh dạng shell nagraveo hiện hữu trong mocirci trường chrooted (binsh bincshvv)
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2430
24
3 Apache server
34 Bảo mật cho Apache serverCagravei đặt hệ điều hagravenh
Trước khi cagravei đặt Apache chuacuteng ta phải chọn lấy một hệ điều hagravenh đoacute lagrave mocirci trường Apache sẽ hoạt động
Ở đacircy chuacuteng ta coacute khaacute nhiều chọn lựa vigrave Apache coacute thể được biecircn dịch vagrave cagravei đặt trecircn hầu hết caacutec hệ điều hagravenh
Tuy nhiecircn necircn chọn caacutec hệ điều hagravenh UNIXLINUX lyacute
do chiacutenh lagrave vigrave hệ điều hagravenh MS Windows bị giới hạn khả năng kiện toagraven bảo mật cho Apache
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2530
25
3 Apache server
34 Bảo mật cho Apache serverCagravei đặt hệ điều hagravenh
Bước đầu tiecircn trong vấn đề bảo mật Web server lagrave kiện toagraven hệ điều hagravenh
Sau khi hệ thống được cagravei đặt vagrave kiện toagraven chuacuteng tacần thecircm một nhoacutem vagrave một người dugraveng thocircng thường gọi lagrave apache
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2630
26
3 Apache server
34 Bảo mật cho Apache serverCagravei đặt hệ điều hagravenh
Theo mặc định caacutec process thuộc Apache chạy với chủ quyền của người dugraveng nobody (ngoại trừ process chiacutenh
phải chạy với chủ quyền root) vagrave GID thuộc nhoacutemnogroup
ETHiều nagravey coacute thể dẫn đến những đe dọa bảo mật nghiecircm trọng Trong trường hợp đột nhập thagravenh cocircng
tin tặc coacute thể lấy được quyền truy dụng đến những process khaacutec chạy cugraveng UIDGID
Bởi thế giải phaacutep tối ưu lagrave cho Apache chạy bằng UIDGID từ nhoacutem riecircng biệt chuyecircn chuacute đến software
ấy thocirci
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2730
27
3 Apache server
34 Bảo mật cho Apache serverChuẩn bị software
Bước kế tiếp lagrave bước tải phiecircn bản Apache mới nhất từ web site Apache
Sau khi tải software về chuacuteng ta phải giải neacuten Kế tiếp chuacuteng ta quyết định modules nagraveo được pheacutep hoạt động
Chọn lựa caacutec modules lagrave một trong những bước quan
trọng nhất trong vấn đề bảo mật Apache Chuacuteng ta necircntheo luật cagraveng iacutet cagraveng tốt
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2830
28
3 Apache server
34 Bảo mật cho Apache serverChuẩn bị software
ETHể thoả matilden chức năng vagrave những trugrave bị bảo mật caacutecmodules sau cần được cho pheacutep httpd_core Chứa caacutec chức năng cốt lotildei của Apache
cần thiết cho bất cứ Apache nagraveo
mod_access Cung cấp chế độ khiển taacutec dựa trecircn tecircnmaacutey địa chỉ IP hoặc caacutec tiacutenh chất yecircu cầu thuộc về caacutec clients Bởi vigrave module nagravey cần cho caacutec chỉ phối
(directive) order allow vagrave deny noacute cần được chopheacutep
mod_auth Cần thiết để ứng dụng vấn đề khai baacuteongười dugraveng cho việc sử dụng caacutec hồ sơ nguyecircn bản (khai baacuteo căn bản cho HTTP) được chỉ định trong chức
năng trugrave bị
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2930
29
3 Apache server
34 Bảo mật cho Apache server
Chuẩn bị software (tiếp) mod_dir Cần thiết để tigravem kiếm vagrave phục vụ caacutec hồ sơ
thư mục indexhtml defaulthtm vv
mod_log_config Cần thiết để ứng hiệu baacuteo caacuteo
những yecircu cầu thực hiện đến server mod_mime Cần thiết để chỉnh lyacute nhoacutem chữ caacutei matilde
hoaacute nội dung tugravey taacutec ngocircn ngữ nội dung vagrave caacutec loạiMIME đại diện cho caacutec loại tagravei liệu
Tất cả caacutec modules khaacutec của Apache phải được tắt bỏ
Web server
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 3030
30
Hết chương 5
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 330
3
1 Tổng quan Web Server (tiếp) Tất cả caacutec Web Server đều coacute một địa chỉ IP (IP Address)hoặc cũng coacute thể coacute một Domain Name
Giả sử khi ta đaacutenh vagraveo thanh Address trecircn trigravenh duyệt của ta một dograveng httpwwwabccom sau đoacute gotilde phiacutem Enter thigrave
ta sẽ gửi một yecircu cầu đến một Server coacute Domain Name lagravehttpwwwabccom Server nagravey sẽ tigravem trang Web coacute tecircn lagraveindexhtm rồi gửi noacute đến trigravenh duyệt của ta
Tất cả caacutec Web Server đều hiểu vagrave chạy được caacutec file
htm vagrave html tuy nhiecircn mỗi Web Server lại phục vụ một số kiểu file chuyecircn biệt chẳng hạn như IIS của Microsoftdagravenh cho asp aspx Apache dagravenh cho php SunJava System Web Server của SUN dagravenh cho jsp
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 430
4
1 Tổng quan Web Server (tiếp) Khi maacutey tiacutenh của bạn kết nối đến một Web Server vagrave gửi đến yecircu cầu truy cập caacutec thocircng tin từ một trang Web nagraveo đoacute WebServer Software sẽ nhận yecircu cầu vagrave gửi lại cho bạn những thocircng tin magrave bạn mong muốn
Giống như những phần mềm khaacutec magrave bạn đatilde từng cagravei đặt trecircn maacutey tiacutenh của migravenh Web Server Software cũng chỉ lagrave một ứng dụng phần mềm Noacute được cagravei đặt vagrave chạy trecircn maacutey tiacutenhdugraveng lagravem Web Server nhờ coacute chương trigravenh nagravey magrave người sử dụng coacute thể truy cập đến caacutec thocircng tin của trang Web từ một
maacutey tiacutenh khaacutec ở trecircn mạng (Internet Intranet) Web Server Software cograven coacute thể được tiacutech hợp với CSDL(Database) hay điều khiển việc kết nối vagraveo CSDL để coacute thể truy cập vagrave kết xuất thocircng tin từ CSDL lecircn caacutec trang Web vagravetruyền tải chuacuteng đến người dugraveng
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 530
5
1 Tổng quan Web Server (tiếp) Database Server lagrave gigrave
Database server (maacutey phục vụ Cơ sở dữ liệu) Maacutey tiacutenhmagrave trecircn đoacute coacute cagravei đặt phần mềm Hệ quản trị Cơ sở dữ liệu (HQTCSDL) Chuacuteng ta coacute một số HQTCSDL chẳng hạn
như SQL Server MySQL Oracle Web Server phải hoạt động liecircn tục 2424 giờ 7 ngagraveymột tuần vagrave 365 ngagravey một năm để phục vụ cho việc cung cấp thocircng tin trực tuyến Vị triacute đặt server đoacuteng vai
trograve quan trọng trong chất lượng vagrave tốc độ lưu chuyển thocircng tin từ server vagrave maacutey tiacutenh truy cập
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 630
6
1 Tổng quan Web Server (tiếp) Dịch vụ web
Dịch vụ web (tiếng Anh web service) lagrave sự kết hợp caacutec maacuteytiacutenh caacute nhacircn với caacutec thiết bị khaacutec caacutec cơ sở dữ liệu vagrave caacutecmạng maacutey tiacutenh để tạo thagravenh một cơ cấu tiacutenh toaacuten ảo magrave người
sử dụng coacute thể lagravem việc thocircng qua caacutec trigravenh duyệt mạng Bản thacircn caacutec dịch vụ nagravey sẽ chạy trecircn caacutec maacutey phục vụ trecircnnền Internet chứ khocircng phải lagrave caacutec maacutey tiacutenh caacute nhacircn do vậy coacute thể chuyển caacutec chức nǎng từ maacutey tiacutenh caacute nhacircn lecircn InternetNgười sử dụng coacute thể lagravem việc với caacutec dịch vụ thocircng qua bất kỳ loại maacutey nagraveo coacute hỗ trợ web service vagrave coacute truy cập Internetkể cả caacutec thiết bị cầm tay Do đoacute caacutec web service sẽ lagravemInternet biến đổi thagravenh một nơi lagravem việc chứ khocircng phải lagrave một phương tiện để xem vagrave tải nội dung
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 730
7
1 Tổng quan Web Server (tiếp) Dịch vụ web
Điều nagravey cũng sẽ đưa caacutec dữ liệu vagrave caacutec ứng dụng từ maacuteytiacutenh caacute nhacircn tới caacutec maacutey phục vụ của một nhagrave cung cấp dịch vụ web Caacutec maacutey phục vụ nagravey cũng cần trở thagravenh nguồn cung
cấp cho người sử dụng cả về độ an toagraven độ riecircng tư vagrave khả nǎng truy nhập
Caacutec maacutey phục vụ ứng dụng sẽ lagrave một phần quan trọng của caacutec web service bởi vigrave thường thigrave caacutec maacutey phục vụ nagravey thực hiện caacutec hoạt động ứng dụng phức tạp dựa trecircn sự chuyển
giao giữa người sử dụng vagrave caacutec chương trigravenh kinh doanh hay
caacutec cơ sở dữ liệu của một tổ chức nagraveo đoacute
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 830
8
2 IIS lagrave gigrave
IIS lagrave viết tắt của từ (Internet Information Services _ caacutec dịch vụ cung cấp thocircng tin Internet) Noacute được điacutenh kegravem với caacutec phiecircn bản của Windows
Internet Information Services lagrave caacutec dịch vụ dagravenh cho
maacutey chủ chạy trecircn nền Hệ điều hagravenh Window nhằm cungcấp vagrave phacircn taacuten caacutec thocircng tin lecircn mạng noacute bao gồm nhiều dịch vụ khaacutec nhau như Web Server FTP Server
Noacute coacute thể được sử dụng để xuất bản nội dung của caacutec
trang Web lecircn InternetIntranet bằng việc sử dụng ldquoPhương thức chuyển giao siecircu văn bảnldquo - HypertextTransport Protocol (HTTP)
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 930
9
2 IIS lagrave gigrave (tiếp)
Như vậy sau khi thiết kế xong caacutec trang Web của migravenh nếu ta muốn đưa chuacuteng lecircn mạng để mọi người coacutethể truy cập vagrave xem chuacuteng thigrave ta phải nhờ đến một WebServer ở đacircy lagrave IIS
Nếu khocircng qua IIS thigrave trang Web đoacute chỉ coacute thể được xem trecircn chiacutenh maacutey của ta hoặc thocircng qua việc chia sẻ tệp (file sharing) như caacutec tệp bất kỳ trong mạng nội bộ magrave thocirci
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 1030
10
2 IIS lagrave gigrave (tiếp)
Chức năng của IIS
Nhiệm vụ của IIS lagrave tiếp nhận yecircu cầu của maacutey trạm vagraveđaacutep ứng lại yecircu cầu đoacute bằng caacutech gửi về maacutey trạm những thocircng tin magrave maacutey trạm yecircu cầu
Ta coacute thể sử dụng IIS để Xuất bản một Website của bạn trecircn Internet
Tạo caacutec giao dịch thương mại điện tử trecircn Internet (hiện caacuteccatalog vagrave nhận được caacutec đơn đặt hagraveng từ nguời tiecircu dugraveng)
Chia sẻ file dữ liệu thocircng qua giao thức FTP Cho pheacutep người ở xa coacute thể truy xuất database của bạn (gọi lagrave Database remoteaccess)
Vagrave rất nhiều khả năng khaacutec
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 1130
11
2 IIS lagrave gigrave (tiếp)
Hoạt động của IIS
IIS sử dụng caacutec giao thức mạng phổ biến lagrave HTTP (HyperText Transfer Protocol) vagrave FPT (File Transfer Protocol) vagrave một số giao thức khaacutec như SMTP POP3 để tiếp nhận yecircu cầu vagrave
truyền tải thocircng tin trecircn mạng với caacutec định dạng khaacutec nhau Một trong những dịch vụ phổ biến nhất của IIS magrave chuacuteng taquan tacircm trong chương trigravenh nagravey lagrave dịch vụ WWW (World WideWeb) noacutei tắt lagrave dịch vụ Web
Dịch vụ Web sử dụng giao thức HTTP để tiếp nhận yecircu cầu (Requests) của trigravenh duyệt Web (Web browser) dưới dạng một địa chỉ URL (Uniform Resource Locator) của một trang Web vagraveIIS phản hồi lại caacutec yecircu cầu bằng caacutech gửi về cho Web browser
nội dung của trang Web tương ứng
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 1230
12
2 IIS lagrave gigrave (tiếp)
Cagravei đặt IIS
Hiện tại đatilde coacute caacutec phiecircn bản 30 40 vagrave 51 Noacutei chung caacutechcagravei đặt khocircng coacute gigrave khoacute vagrave khaacutec nhau lắm giữa caacutec version
Lưu yacute Tốt nhất lagrave coacute bản cagravei ngoagravei (từ đĩa CD hoặc
download từ Internet) Hoặc cagravei Personal Web Server trong AddRemove Programstrong Control Panel Window NT server 40
Hoặc cagravei Internet Information Server trong AddRemove
Programs trong Control Panel hoặc trong Windows NT OptionPack Windows 2000
Hoặc cagravei Internet Information Server trong AddRemovePrograms trong Control Panel để cagravei IIS
Cagravei đặt IIS
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 1330
13
3 Apache server
31 Apache server lagrave gigrave
Apache hay lagrave chương trigravenh maacutey chủ HTTP lagrave một chương trigravenh dagravenh cho maacutey chủ đối thoại qua giao thức HTTP
Apache chạy trecircn caacutec hệ điều hagravenh tương tự như UnixMicrosoft Windows Novell Netware vagrave caacutec hệ điều hagravenhkhaacutec
Apache đoacuteng một vai trograve quan trọng trong quaacute trigravenh
phaacutet triển của mạng WEB thế giới (tiếng Anh World WideWeb)
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 1430
14
3 Apache server
31 Apache server lagrave gigrave
Khi được phaacutet hagravenh lần đầu Apache lagrave chương trigravenh maacuteychủ matilde nguồn mở duy nhất coacute khả năng cạnh tranh với chương trigravenh maacutey chủ tương tự của Netscape Communications
Corporation magrave ngagravey nay được biết đến qua tecircn thương mại Sun Java System Web Server
Từ đoacute trở đi Apache đatilde khocircng ngừng tiến triển vagrave trở thagravenhmột phần mềm coacute sức cạnh tranh mạnh so với caacutec chương trigravenh maacutey chủ khaacutec về mặt hiệu suất vagrave tiacutenh năng phong phuacute
Từ thaacuteng 4 natildem 1996 Apache trở thagravenh một chương trigravenhmaacutey chủ HTTP thocircng dụng nhất Tiacutenh đến thaacuteng 1 năm 2007 thigrave Apache chiếm đến 60 thị trường caacutec chương trigravenh phacircn phối trang web
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 1530
15
3 Apache server
31 Apache server lagrave gigrave Apache được phaacutet triển vagrave duy trigrave bởi một cộng đồng matildenguồn mở dưới sự bảo trợ của Apache Software Foundation
Apache được phaacutet hagravenh với giấy pheacutep Apache License vagrave lagrave
một phần mềm tự do vagrave miễn phiacute Apache HTTP Server lagrave web server mạnh mẽ uyển chuyển tương thiacutech với giao thức HTTP11 Phiecircn bản gốc của Apache được thiết kế để thay thế cho NCSA HTTP Server vagraveđến nay noacute đatilde phaacutet triển mạnh mẽ trở thagravenh web server phổ
biến nhất trecircn Internet Lagrave 1 dự aacuten của Apache Software Foundation những người phaacutet triển noacute đatilde hợp taacutec phaacutet triển vagrave duy trigrave để Apachetrở necircn mạnh mẽ hơn đạt được cấp độ thương mại vagrave chuẩn
server với matilde nguồn miễn phiacute
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 1630
16
3 Apache server
32 Cagravei đặt Apache serverĐể cagravei đặt 1 web server cần chuẩn bị Apache 2216 - httpd-2216-win32-x86-no_sslmsi
PHP 5212 - PHP 5212 zip package (khocircng necircn cagraveicaacutec bản mới vigrave noacute khoacute cagravei hơn caacutec hosting hiện naycũng vẫn dugraveng PHP 52)
MySQL 5151 - mysql-essential-5151-win32msi
phpMyAdmin - phpMyAdmin-337-englishzip
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 1730
17
3 Apache server
32 Cagravei đặt Apache server Ta cagravei đặt Apache với caacutec lựa chọn mặc định
Network domain localhost
Server name localhost
Administrators email address email của bạn Sau khi cagravei đặt xong Apache sẽ chạy dưới dạng 1
service của Windows vagrave noacute được thiết lập mặc định khởi động cugraveng Windows
Một chương trigravenh nhỏ coacute tecircn Apache Service Monitorcũng được tự động chạy dưới khay hệ thống để coacute thể mở hoặc tắt Apache thuận tiện
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 1830
18
3 Apache server
32 Cagravei đặt Apache serverĐể kiểm tra hatildey vagraveo trigravenh duyệt vagrave gotilde vagraveo khungaddress httplocalhost Dograveng url nagravey sẽ gọi fileindexhtml nằm trong thư mục htdocs trong thư mục cagravei
đặt Apache đacircy lagrave thư mục gốc mặc định của Apachewebsite của bạn sẽ được chứa tại đacircy
Sau khi chạy thagravenh cocircng Nếu muốn cấu higravenh lại Apachecho phugrave hợp hơn dugraveng Notepad mở file httpdconf nằm
trong thư mục conf trong thư mục cagravei đặt Apache (hoặc vagraveo Start menu để mở) vagrave tiến hagravenh chỉnh sửa
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 1930
19
3 Apache server
33 Tiacutenh năng của Apache server Apache lagrave một phần mềm coacute nhiều tiacutenh năng mạnh vagravelinh hoạt dugraveng để lagravem Web Server
Hỗ trợ đầy đủ những giao thức HTTP trước đacircy như HTTP11Coacute thể cấu higravenh vagrave mở rộng với những module của cocircngty thứ ba
Cung cấp source code đầy đủ với license khocircng hạn chế Chạy trecircn nhiều hệ điều hagravenh như Windows NT9xNetware 5x OS2 vagrave trecircn hầu hết caacutec hệ điều hagravenh Unix
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2030
20
3 Apache server
34 Bảo mật cho Apache serverTiacutenh đa năng của Apache tạo ra những khoacute khăn để thực hiện một mocirc thức tổng quaacutet với mục điacutech kiện toagravenbảo mật cho server trong mọi trường hợp coacute thể được
ETHacircy lagrave lyacute do để dựa trecircn caacutec chức năng sau Web server coacute thể truy cập từ Internet
Chỉ những trang HTML tĩnh (static HTML pages) sẽ được phục vụ
Server hỗ trợ tecircn miền cho cơ chế dịch vụ ảo
Caacutec trang web đatilde ấn định chỉ coacute thể truy cập từ caacutec cụm IPaddresses hoặc người dugraveng (khai baacuteo căn bản)
Server sẽ tường trigravenh trọn bộ caacutec yecircu cầu (bao gồm những thocircng tin về caacutec web browsers)
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2130
21
3 Apache server
34 Bảo mật cho Apache serverNhững trugrave bị bảo mật Một trong những nhacircn tố quan trọng nhất cho mọi cocircng trigravenhđiện toaacuten lagrave việc xaacutec thực caacutec trugrave bị bảo mật ETHiều nagravey phải
được thoả matilden trước khi cocircng trigravenh được ứng tạo Caacutec trugrave bị bảo mật cho web server của chuacuteng ta như sau
Hệ điều hagravenh phải được kiện toagraven cagraveng chặt chẽ cagraveng tốt baogồm việc phograveng bị cho những tấn cocircng từ becircn ngoagravei lẫn becircntrong
Server khocircng được cung cấp bất cứ dịch vụ nagraveo khaacutec ngoại trừ HTTP (80TCP)
Truy cập từ xa đến server phải được kiểm soaacutet bởi tường lửathiết bị nagravey chặn trọn bộ những tiếp nối cho lối ra vagrave cho pheacutepnhững tiếp nối cho lối vagraveo đến cổng 80TCP của web server
magrave thocirci
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2230
22
3 Apache server
34 Bảo mật cho Apache serverNhững trugrave bị bảo mật (tiếp)
Web server Apache lagrave dịch vụ duy nhất hiện hữu trecircn hệ thống
Chỉ coacute những modules nagraveo tuyệt đối cần thiết mới được cho pheacutep hoạt động
Caacutec trang web dugraveng cho cocircng taacutec chẩn xeacutet vagrave tự động hoaacute mục lục phải được tắt bỏ
Srver necircn giảm thiểu tối đa vấn đề tiết lộ những thocircng tin của chiacutenh server (mật tiacutenh qua ẩn tiacutenh)
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2330
23
3 Apache server
34 Bảo mật cho Apache serverNhững trugrave bị bảo mật (tiếp)
Apache server phải chạy bằng UIDGID riecircng biệt (định danh người dugraveng định danh nhoacutem) khocircngđược dugraveng bất cứ tiến trigravenh (process) nagraveo khaacutec
của hệ thống Caacutec process của Apache phải coacute giới hạn nhất
định đến hệ thư mục (chrooting)
Khocircng coacute bất cứ chương trigravenh dạng shell nagraveo hiện hữu trong mocirci trường chrooted (binsh bincshvv)
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2430
24
3 Apache server
34 Bảo mật cho Apache serverCagravei đặt hệ điều hagravenh
Trước khi cagravei đặt Apache chuacuteng ta phải chọn lấy một hệ điều hagravenh đoacute lagrave mocirci trường Apache sẽ hoạt động
Ở đacircy chuacuteng ta coacute khaacute nhiều chọn lựa vigrave Apache coacute thể được biecircn dịch vagrave cagravei đặt trecircn hầu hết caacutec hệ điều hagravenh
Tuy nhiecircn necircn chọn caacutec hệ điều hagravenh UNIXLINUX lyacute
do chiacutenh lagrave vigrave hệ điều hagravenh MS Windows bị giới hạn khả năng kiện toagraven bảo mật cho Apache
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2530
25
3 Apache server
34 Bảo mật cho Apache serverCagravei đặt hệ điều hagravenh
Bước đầu tiecircn trong vấn đề bảo mật Web server lagrave kiện toagraven hệ điều hagravenh
Sau khi hệ thống được cagravei đặt vagrave kiện toagraven chuacuteng tacần thecircm một nhoacutem vagrave một người dugraveng thocircng thường gọi lagrave apache
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2630
26
3 Apache server
34 Bảo mật cho Apache serverCagravei đặt hệ điều hagravenh
Theo mặc định caacutec process thuộc Apache chạy với chủ quyền của người dugraveng nobody (ngoại trừ process chiacutenh
phải chạy với chủ quyền root) vagrave GID thuộc nhoacutemnogroup
ETHiều nagravey coacute thể dẫn đến những đe dọa bảo mật nghiecircm trọng Trong trường hợp đột nhập thagravenh cocircng
tin tặc coacute thể lấy được quyền truy dụng đến những process khaacutec chạy cugraveng UIDGID
Bởi thế giải phaacutep tối ưu lagrave cho Apache chạy bằng UIDGID từ nhoacutem riecircng biệt chuyecircn chuacute đến software
ấy thocirci
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2730
27
3 Apache server
34 Bảo mật cho Apache serverChuẩn bị software
Bước kế tiếp lagrave bước tải phiecircn bản Apache mới nhất từ web site Apache
Sau khi tải software về chuacuteng ta phải giải neacuten Kế tiếp chuacuteng ta quyết định modules nagraveo được pheacutep hoạt động
Chọn lựa caacutec modules lagrave một trong những bước quan
trọng nhất trong vấn đề bảo mật Apache Chuacuteng ta necircntheo luật cagraveng iacutet cagraveng tốt
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2830
28
3 Apache server
34 Bảo mật cho Apache serverChuẩn bị software
ETHể thoả matilden chức năng vagrave những trugrave bị bảo mật caacutecmodules sau cần được cho pheacutep httpd_core Chứa caacutec chức năng cốt lotildei của Apache
cần thiết cho bất cứ Apache nagraveo
mod_access Cung cấp chế độ khiển taacutec dựa trecircn tecircnmaacutey địa chỉ IP hoặc caacutec tiacutenh chất yecircu cầu thuộc về caacutec clients Bởi vigrave module nagravey cần cho caacutec chỉ phối
(directive) order allow vagrave deny noacute cần được chopheacutep
mod_auth Cần thiết để ứng dụng vấn đề khai baacuteongười dugraveng cho việc sử dụng caacutec hồ sơ nguyecircn bản (khai baacuteo căn bản cho HTTP) được chỉ định trong chức
năng trugrave bị
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2930
29
3 Apache server
34 Bảo mật cho Apache server
Chuẩn bị software (tiếp) mod_dir Cần thiết để tigravem kiếm vagrave phục vụ caacutec hồ sơ
thư mục indexhtml defaulthtm vv
mod_log_config Cần thiết để ứng hiệu baacuteo caacuteo
những yecircu cầu thực hiện đến server mod_mime Cần thiết để chỉnh lyacute nhoacutem chữ caacutei matilde
hoaacute nội dung tugravey taacutec ngocircn ngữ nội dung vagrave caacutec loạiMIME đại diện cho caacutec loại tagravei liệu
Tất cả caacutec modules khaacutec của Apache phải được tắt bỏ
Web server
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 3030
30
Hết chương 5
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 430
4
1 Tổng quan Web Server (tiếp) Khi maacutey tiacutenh của bạn kết nối đến một Web Server vagrave gửi đến yecircu cầu truy cập caacutec thocircng tin từ một trang Web nagraveo đoacute WebServer Software sẽ nhận yecircu cầu vagrave gửi lại cho bạn những thocircng tin magrave bạn mong muốn
Giống như những phần mềm khaacutec magrave bạn đatilde từng cagravei đặt trecircn maacutey tiacutenh của migravenh Web Server Software cũng chỉ lagrave một ứng dụng phần mềm Noacute được cagravei đặt vagrave chạy trecircn maacutey tiacutenhdugraveng lagravem Web Server nhờ coacute chương trigravenh nagravey magrave người sử dụng coacute thể truy cập đến caacutec thocircng tin của trang Web từ một
maacutey tiacutenh khaacutec ở trecircn mạng (Internet Intranet) Web Server Software cograven coacute thể được tiacutech hợp với CSDL(Database) hay điều khiển việc kết nối vagraveo CSDL để coacute thể truy cập vagrave kết xuất thocircng tin từ CSDL lecircn caacutec trang Web vagravetruyền tải chuacuteng đến người dugraveng
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 530
5
1 Tổng quan Web Server (tiếp) Database Server lagrave gigrave
Database server (maacutey phục vụ Cơ sở dữ liệu) Maacutey tiacutenhmagrave trecircn đoacute coacute cagravei đặt phần mềm Hệ quản trị Cơ sở dữ liệu (HQTCSDL) Chuacuteng ta coacute một số HQTCSDL chẳng hạn
như SQL Server MySQL Oracle Web Server phải hoạt động liecircn tục 2424 giờ 7 ngagraveymột tuần vagrave 365 ngagravey một năm để phục vụ cho việc cung cấp thocircng tin trực tuyến Vị triacute đặt server đoacuteng vai
trograve quan trọng trong chất lượng vagrave tốc độ lưu chuyển thocircng tin từ server vagrave maacutey tiacutenh truy cập
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 630
6
1 Tổng quan Web Server (tiếp) Dịch vụ web
Dịch vụ web (tiếng Anh web service) lagrave sự kết hợp caacutec maacuteytiacutenh caacute nhacircn với caacutec thiết bị khaacutec caacutec cơ sở dữ liệu vagrave caacutecmạng maacutey tiacutenh để tạo thagravenh một cơ cấu tiacutenh toaacuten ảo magrave người
sử dụng coacute thể lagravem việc thocircng qua caacutec trigravenh duyệt mạng Bản thacircn caacutec dịch vụ nagravey sẽ chạy trecircn caacutec maacutey phục vụ trecircnnền Internet chứ khocircng phải lagrave caacutec maacutey tiacutenh caacute nhacircn do vậy coacute thể chuyển caacutec chức nǎng từ maacutey tiacutenh caacute nhacircn lecircn InternetNgười sử dụng coacute thể lagravem việc với caacutec dịch vụ thocircng qua bất kỳ loại maacutey nagraveo coacute hỗ trợ web service vagrave coacute truy cập Internetkể cả caacutec thiết bị cầm tay Do đoacute caacutec web service sẽ lagravemInternet biến đổi thagravenh một nơi lagravem việc chứ khocircng phải lagrave một phương tiện để xem vagrave tải nội dung
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 730
7
1 Tổng quan Web Server (tiếp) Dịch vụ web
Điều nagravey cũng sẽ đưa caacutec dữ liệu vagrave caacutec ứng dụng từ maacuteytiacutenh caacute nhacircn tới caacutec maacutey phục vụ của một nhagrave cung cấp dịch vụ web Caacutec maacutey phục vụ nagravey cũng cần trở thagravenh nguồn cung
cấp cho người sử dụng cả về độ an toagraven độ riecircng tư vagrave khả nǎng truy nhập
Caacutec maacutey phục vụ ứng dụng sẽ lagrave một phần quan trọng của caacutec web service bởi vigrave thường thigrave caacutec maacutey phục vụ nagravey thực hiện caacutec hoạt động ứng dụng phức tạp dựa trecircn sự chuyển
giao giữa người sử dụng vagrave caacutec chương trigravenh kinh doanh hay
caacutec cơ sở dữ liệu của một tổ chức nagraveo đoacute
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 830
8
2 IIS lagrave gigrave
IIS lagrave viết tắt của từ (Internet Information Services _ caacutec dịch vụ cung cấp thocircng tin Internet) Noacute được điacutenh kegravem với caacutec phiecircn bản của Windows
Internet Information Services lagrave caacutec dịch vụ dagravenh cho
maacutey chủ chạy trecircn nền Hệ điều hagravenh Window nhằm cungcấp vagrave phacircn taacuten caacutec thocircng tin lecircn mạng noacute bao gồm nhiều dịch vụ khaacutec nhau như Web Server FTP Server
Noacute coacute thể được sử dụng để xuất bản nội dung của caacutec
trang Web lecircn InternetIntranet bằng việc sử dụng ldquoPhương thức chuyển giao siecircu văn bảnldquo - HypertextTransport Protocol (HTTP)
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 930
9
2 IIS lagrave gigrave (tiếp)
Như vậy sau khi thiết kế xong caacutec trang Web của migravenh nếu ta muốn đưa chuacuteng lecircn mạng để mọi người coacutethể truy cập vagrave xem chuacuteng thigrave ta phải nhờ đến một WebServer ở đacircy lagrave IIS
Nếu khocircng qua IIS thigrave trang Web đoacute chỉ coacute thể được xem trecircn chiacutenh maacutey của ta hoặc thocircng qua việc chia sẻ tệp (file sharing) như caacutec tệp bất kỳ trong mạng nội bộ magrave thocirci
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 1030
10
2 IIS lagrave gigrave (tiếp)
Chức năng của IIS
Nhiệm vụ của IIS lagrave tiếp nhận yecircu cầu của maacutey trạm vagraveđaacutep ứng lại yecircu cầu đoacute bằng caacutech gửi về maacutey trạm những thocircng tin magrave maacutey trạm yecircu cầu
Ta coacute thể sử dụng IIS để Xuất bản một Website của bạn trecircn Internet
Tạo caacutec giao dịch thương mại điện tử trecircn Internet (hiện caacuteccatalog vagrave nhận được caacutec đơn đặt hagraveng từ nguời tiecircu dugraveng)
Chia sẻ file dữ liệu thocircng qua giao thức FTP Cho pheacutep người ở xa coacute thể truy xuất database của bạn (gọi lagrave Database remoteaccess)
Vagrave rất nhiều khả năng khaacutec
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 1130
11
2 IIS lagrave gigrave (tiếp)
Hoạt động của IIS
IIS sử dụng caacutec giao thức mạng phổ biến lagrave HTTP (HyperText Transfer Protocol) vagrave FPT (File Transfer Protocol) vagrave một số giao thức khaacutec như SMTP POP3 để tiếp nhận yecircu cầu vagrave
truyền tải thocircng tin trecircn mạng với caacutec định dạng khaacutec nhau Một trong những dịch vụ phổ biến nhất của IIS magrave chuacuteng taquan tacircm trong chương trigravenh nagravey lagrave dịch vụ WWW (World WideWeb) noacutei tắt lagrave dịch vụ Web
Dịch vụ Web sử dụng giao thức HTTP để tiếp nhận yecircu cầu (Requests) của trigravenh duyệt Web (Web browser) dưới dạng một địa chỉ URL (Uniform Resource Locator) của một trang Web vagraveIIS phản hồi lại caacutec yecircu cầu bằng caacutech gửi về cho Web browser
nội dung của trang Web tương ứng
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 1230
12
2 IIS lagrave gigrave (tiếp)
Cagravei đặt IIS
Hiện tại đatilde coacute caacutec phiecircn bản 30 40 vagrave 51 Noacutei chung caacutechcagravei đặt khocircng coacute gigrave khoacute vagrave khaacutec nhau lắm giữa caacutec version
Lưu yacute Tốt nhất lagrave coacute bản cagravei ngoagravei (từ đĩa CD hoặc
download từ Internet) Hoặc cagravei Personal Web Server trong AddRemove Programstrong Control Panel Window NT server 40
Hoặc cagravei Internet Information Server trong AddRemove
Programs trong Control Panel hoặc trong Windows NT OptionPack Windows 2000
Hoặc cagravei Internet Information Server trong AddRemovePrograms trong Control Panel để cagravei IIS
Cagravei đặt IIS
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 1330
13
3 Apache server
31 Apache server lagrave gigrave
Apache hay lagrave chương trigravenh maacutey chủ HTTP lagrave một chương trigravenh dagravenh cho maacutey chủ đối thoại qua giao thức HTTP
Apache chạy trecircn caacutec hệ điều hagravenh tương tự như UnixMicrosoft Windows Novell Netware vagrave caacutec hệ điều hagravenhkhaacutec
Apache đoacuteng một vai trograve quan trọng trong quaacute trigravenh
phaacutet triển của mạng WEB thế giới (tiếng Anh World WideWeb)
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 1430
14
3 Apache server
31 Apache server lagrave gigrave
Khi được phaacutet hagravenh lần đầu Apache lagrave chương trigravenh maacuteychủ matilde nguồn mở duy nhất coacute khả năng cạnh tranh với chương trigravenh maacutey chủ tương tự của Netscape Communications
Corporation magrave ngagravey nay được biết đến qua tecircn thương mại Sun Java System Web Server
Từ đoacute trở đi Apache đatilde khocircng ngừng tiến triển vagrave trở thagravenhmột phần mềm coacute sức cạnh tranh mạnh so với caacutec chương trigravenh maacutey chủ khaacutec về mặt hiệu suất vagrave tiacutenh năng phong phuacute
Từ thaacuteng 4 natildem 1996 Apache trở thagravenh một chương trigravenhmaacutey chủ HTTP thocircng dụng nhất Tiacutenh đến thaacuteng 1 năm 2007 thigrave Apache chiếm đến 60 thị trường caacutec chương trigravenh phacircn phối trang web
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 1530
15
3 Apache server
31 Apache server lagrave gigrave Apache được phaacutet triển vagrave duy trigrave bởi một cộng đồng matildenguồn mở dưới sự bảo trợ của Apache Software Foundation
Apache được phaacutet hagravenh với giấy pheacutep Apache License vagrave lagrave
một phần mềm tự do vagrave miễn phiacute Apache HTTP Server lagrave web server mạnh mẽ uyển chuyển tương thiacutech với giao thức HTTP11 Phiecircn bản gốc của Apache được thiết kế để thay thế cho NCSA HTTP Server vagraveđến nay noacute đatilde phaacutet triển mạnh mẽ trở thagravenh web server phổ
biến nhất trecircn Internet Lagrave 1 dự aacuten của Apache Software Foundation những người phaacutet triển noacute đatilde hợp taacutec phaacutet triển vagrave duy trigrave để Apachetrở necircn mạnh mẽ hơn đạt được cấp độ thương mại vagrave chuẩn
server với matilde nguồn miễn phiacute
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 1630
16
3 Apache server
32 Cagravei đặt Apache serverĐể cagravei đặt 1 web server cần chuẩn bị Apache 2216 - httpd-2216-win32-x86-no_sslmsi
PHP 5212 - PHP 5212 zip package (khocircng necircn cagraveicaacutec bản mới vigrave noacute khoacute cagravei hơn caacutec hosting hiện naycũng vẫn dugraveng PHP 52)
MySQL 5151 - mysql-essential-5151-win32msi
phpMyAdmin - phpMyAdmin-337-englishzip
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 1730
17
3 Apache server
32 Cagravei đặt Apache server Ta cagravei đặt Apache với caacutec lựa chọn mặc định
Network domain localhost
Server name localhost
Administrators email address email của bạn Sau khi cagravei đặt xong Apache sẽ chạy dưới dạng 1
service của Windows vagrave noacute được thiết lập mặc định khởi động cugraveng Windows
Một chương trigravenh nhỏ coacute tecircn Apache Service Monitorcũng được tự động chạy dưới khay hệ thống để coacute thể mở hoặc tắt Apache thuận tiện
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 1830
18
3 Apache server
32 Cagravei đặt Apache serverĐể kiểm tra hatildey vagraveo trigravenh duyệt vagrave gotilde vagraveo khungaddress httplocalhost Dograveng url nagravey sẽ gọi fileindexhtml nằm trong thư mục htdocs trong thư mục cagravei
đặt Apache đacircy lagrave thư mục gốc mặc định của Apachewebsite của bạn sẽ được chứa tại đacircy
Sau khi chạy thagravenh cocircng Nếu muốn cấu higravenh lại Apachecho phugrave hợp hơn dugraveng Notepad mở file httpdconf nằm
trong thư mục conf trong thư mục cagravei đặt Apache (hoặc vagraveo Start menu để mở) vagrave tiến hagravenh chỉnh sửa
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 1930
19
3 Apache server
33 Tiacutenh năng của Apache server Apache lagrave một phần mềm coacute nhiều tiacutenh năng mạnh vagravelinh hoạt dugraveng để lagravem Web Server
Hỗ trợ đầy đủ những giao thức HTTP trước đacircy như HTTP11Coacute thể cấu higravenh vagrave mở rộng với những module của cocircngty thứ ba
Cung cấp source code đầy đủ với license khocircng hạn chế Chạy trecircn nhiều hệ điều hagravenh như Windows NT9xNetware 5x OS2 vagrave trecircn hầu hết caacutec hệ điều hagravenh Unix
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2030
20
3 Apache server
34 Bảo mật cho Apache serverTiacutenh đa năng của Apache tạo ra những khoacute khăn để thực hiện một mocirc thức tổng quaacutet với mục điacutech kiện toagravenbảo mật cho server trong mọi trường hợp coacute thể được
ETHacircy lagrave lyacute do để dựa trecircn caacutec chức năng sau Web server coacute thể truy cập từ Internet
Chỉ những trang HTML tĩnh (static HTML pages) sẽ được phục vụ
Server hỗ trợ tecircn miền cho cơ chế dịch vụ ảo
Caacutec trang web đatilde ấn định chỉ coacute thể truy cập từ caacutec cụm IPaddresses hoặc người dugraveng (khai baacuteo căn bản)
Server sẽ tường trigravenh trọn bộ caacutec yecircu cầu (bao gồm những thocircng tin về caacutec web browsers)
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2130
21
3 Apache server
34 Bảo mật cho Apache serverNhững trugrave bị bảo mật Một trong những nhacircn tố quan trọng nhất cho mọi cocircng trigravenhđiện toaacuten lagrave việc xaacutec thực caacutec trugrave bị bảo mật ETHiều nagravey phải
được thoả matilden trước khi cocircng trigravenh được ứng tạo Caacutec trugrave bị bảo mật cho web server của chuacuteng ta như sau
Hệ điều hagravenh phải được kiện toagraven cagraveng chặt chẽ cagraveng tốt baogồm việc phograveng bị cho những tấn cocircng từ becircn ngoagravei lẫn becircntrong
Server khocircng được cung cấp bất cứ dịch vụ nagraveo khaacutec ngoại trừ HTTP (80TCP)
Truy cập từ xa đến server phải được kiểm soaacutet bởi tường lửathiết bị nagravey chặn trọn bộ những tiếp nối cho lối ra vagrave cho pheacutepnhững tiếp nối cho lối vagraveo đến cổng 80TCP của web server
magrave thocirci
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2230
22
3 Apache server
34 Bảo mật cho Apache serverNhững trugrave bị bảo mật (tiếp)
Web server Apache lagrave dịch vụ duy nhất hiện hữu trecircn hệ thống
Chỉ coacute những modules nagraveo tuyệt đối cần thiết mới được cho pheacutep hoạt động
Caacutec trang web dugraveng cho cocircng taacutec chẩn xeacutet vagrave tự động hoaacute mục lục phải được tắt bỏ
Srver necircn giảm thiểu tối đa vấn đề tiết lộ những thocircng tin của chiacutenh server (mật tiacutenh qua ẩn tiacutenh)
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2330
23
3 Apache server
34 Bảo mật cho Apache serverNhững trugrave bị bảo mật (tiếp)
Apache server phải chạy bằng UIDGID riecircng biệt (định danh người dugraveng định danh nhoacutem) khocircngđược dugraveng bất cứ tiến trigravenh (process) nagraveo khaacutec
của hệ thống Caacutec process của Apache phải coacute giới hạn nhất
định đến hệ thư mục (chrooting)
Khocircng coacute bất cứ chương trigravenh dạng shell nagraveo hiện hữu trong mocirci trường chrooted (binsh bincshvv)
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2430
24
3 Apache server
34 Bảo mật cho Apache serverCagravei đặt hệ điều hagravenh
Trước khi cagravei đặt Apache chuacuteng ta phải chọn lấy một hệ điều hagravenh đoacute lagrave mocirci trường Apache sẽ hoạt động
Ở đacircy chuacuteng ta coacute khaacute nhiều chọn lựa vigrave Apache coacute thể được biecircn dịch vagrave cagravei đặt trecircn hầu hết caacutec hệ điều hagravenh
Tuy nhiecircn necircn chọn caacutec hệ điều hagravenh UNIXLINUX lyacute
do chiacutenh lagrave vigrave hệ điều hagravenh MS Windows bị giới hạn khả năng kiện toagraven bảo mật cho Apache
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2530
25
3 Apache server
34 Bảo mật cho Apache serverCagravei đặt hệ điều hagravenh
Bước đầu tiecircn trong vấn đề bảo mật Web server lagrave kiện toagraven hệ điều hagravenh
Sau khi hệ thống được cagravei đặt vagrave kiện toagraven chuacuteng tacần thecircm một nhoacutem vagrave một người dugraveng thocircng thường gọi lagrave apache
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2630
26
3 Apache server
34 Bảo mật cho Apache serverCagravei đặt hệ điều hagravenh
Theo mặc định caacutec process thuộc Apache chạy với chủ quyền của người dugraveng nobody (ngoại trừ process chiacutenh
phải chạy với chủ quyền root) vagrave GID thuộc nhoacutemnogroup
ETHiều nagravey coacute thể dẫn đến những đe dọa bảo mật nghiecircm trọng Trong trường hợp đột nhập thagravenh cocircng
tin tặc coacute thể lấy được quyền truy dụng đến những process khaacutec chạy cugraveng UIDGID
Bởi thế giải phaacutep tối ưu lagrave cho Apache chạy bằng UIDGID từ nhoacutem riecircng biệt chuyecircn chuacute đến software
ấy thocirci
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2730
27
3 Apache server
34 Bảo mật cho Apache serverChuẩn bị software
Bước kế tiếp lagrave bước tải phiecircn bản Apache mới nhất từ web site Apache
Sau khi tải software về chuacuteng ta phải giải neacuten Kế tiếp chuacuteng ta quyết định modules nagraveo được pheacutep hoạt động
Chọn lựa caacutec modules lagrave một trong những bước quan
trọng nhất trong vấn đề bảo mật Apache Chuacuteng ta necircntheo luật cagraveng iacutet cagraveng tốt
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2830
28
3 Apache server
34 Bảo mật cho Apache serverChuẩn bị software
ETHể thoả matilden chức năng vagrave những trugrave bị bảo mật caacutecmodules sau cần được cho pheacutep httpd_core Chứa caacutec chức năng cốt lotildei của Apache
cần thiết cho bất cứ Apache nagraveo
mod_access Cung cấp chế độ khiển taacutec dựa trecircn tecircnmaacutey địa chỉ IP hoặc caacutec tiacutenh chất yecircu cầu thuộc về caacutec clients Bởi vigrave module nagravey cần cho caacutec chỉ phối
(directive) order allow vagrave deny noacute cần được chopheacutep
mod_auth Cần thiết để ứng dụng vấn đề khai baacuteongười dugraveng cho việc sử dụng caacutec hồ sơ nguyecircn bản (khai baacuteo căn bản cho HTTP) được chỉ định trong chức
năng trugrave bị
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2930
29
3 Apache server
34 Bảo mật cho Apache server
Chuẩn bị software (tiếp) mod_dir Cần thiết để tigravem kiếm vagrave phục vụ caacutec hồ sơ
thư mục indexhtml defaulthtm vv
mod_log_config Cần thiết để ứng hiệu baacuteo caacuteo
những yecircu cầu thực hiện đến server mod_mime Cần thiết để chỉnh lyacute nhoacutem chữ caacutei matilde
hoaacute nội dung tugravey taacutec ngocircn ngữ nội dung vagrave caacutec loạiMIME đại diện cho caacutec loại tagravei liệu
Tất cả caacutec modules khaacutec của Apache phải được tắt bỏ
Web server
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 3030
30
Hết chương 5
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 530
5
1 Tổng quan Web Server (tiếp) Database Server lagrave gigrave
Database server (maacutey phục vụ Cơ sở dữ liệu) Maacutey tiacutenhmagrave trecircn đoacute coacute cagravei đặt phần mềm Hệ quản trị Cơ sở dữ liệu (HQTCSDL) Chuacuteng ta coacute một số HQTCSDL chẳng hạn
như SQL Server MySQL Oracle Web Server phải hoạt động liecircn tục 2424 giờ 7 ngagraveymột tuần vagrave 365 ngagravey một năm để phục vụ cho việc cung cấp thocircng tin trực tuyến Vị triacute đặt server đoacuteng vai
trograve quan trọng trong chất lượng vagrave tốc độ lưu chuyển thocircng tin từ server vagrave maacutey tiacutenh truy cập
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 630
6
1 Tổng quan Web Server (tiếp) Dịch vụ web
Dịch vụ web (tiếng Anh web service) lagrave sự kết hợp caacutec maacuteytiacutenh caacute nhacircn với caacutec thiết bị khaacutec caacutec cơ sở dữ liệu vagrave caacutecmạng maacutey tiacutenh để tạo thagravenh một cơ cấu tiacutenh toaacuten ảo magrave người
sử dụng coacute thể lagravem việc thocircng qua caacutec trigravenh duyệt mạng Bản thacircn caacutec dịch vụ nagravey sẽ chạy trecircn caacutec maacutey phục vụ trecircnnền Internet chứ khocircng phải lagrave caacutec maacutey tiacutenh caacute nhacircn do vậy coacute thể chuyển caacutec chức nǎng từ maacutey tiacutenh caacute nhacircn lecircn InternetNgười sử dụng coacute thể lagravem việc với caacutec dịch vụ thocircng qua bất kỳ loại maacutey nagraveo coacute hỗ trợ web service vagrave coacute truy cập Internetkể cả caacutec thiết bị cầm tay Do đoacute caacutec web service sẽ lagravemInternet biến đổi thagravenh một nơi lagravem việc chứ khocircng phải lagrave một phương tiện để xem vagrave tải nội dung
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 730
7
1 Tổng quan Web Server (tiếp) Dịch vụ web
Điều nagravey cũng sẽ đưa caacutec dữ liệu vagrave caacutec ứng dụng từ maacuteytiacutenh caacute nhacircn tới caacutec maacutey phục vụ của một nhagrave cung cấp dịch vụ web Caacutec maacutey phục vụ nagravey cũng cần trở thagravenh nguồn cung
cấp cho người sử dụng cả về độ an toagraven độ riecircng tư vagrave khả nǎng truy nhập
Caacutec maacutey phục vụ ứng dụng sẽ lagrave một phần quan trọng của caacutec web service bởi vigrave thường thigrave caacutec maacutey phục vụ nagravey thực hiện caacutec hoạt động ứng dụng phức tạp dựa trecircn sự chuyển
giao giữa người sử dụng vagrave caacutec chương trigravenh kinh doanh hay
caacutec cơ sở dữ liệu của một tổ chức nagraveo đoacute
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 830
8
2 IIS lagrave gigrave
IIS lagrave viết tắt của từ (Internet Information Services _ caacutec dịch vụ cung cấp thocircng tin Internet) Noacute được điacutenh kegravem với caacutec phiecircn bản của Windows
Internet Information Services lagrave caacutec dịch vụ dagravenh cho
maacutey chủ chạy trecircn nền Hệ điều hagravenh Window nhằm cungcấp vagrave phacircn taacuten caacutec thocircng tin lecircn mạng noacute bao gồm nhiều dịch vụ khaacutec nhau như Web Server FTP Server
Noacute coacute thể được sử dụng để xuất bản nội dung của caacutec
trang Web lecircn InternetIntranet bằng việc sử dụng ldquoPhương thức chuyển giao siecircu văn bảnldquo - HypertextTransport Protocol (HTTP)
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 930
9
2 IIS lagrave gigrave (tiếp)
Như vậy sau khi thiết kế xong caacutec trang Web của migravenh nếu ta muốn đưa chuacuteng lecircn mạng để mọi người coacutethể truy cập vagrave xem chuacuteng thigrave ta phải nhờ đến một WebServer ở đacircy lagrave IIS
Nếu khocircng qua IIS thigrave trang Web đoacute chỉ coacute thể được xem trecircn chiacutenh maacutey của ta hoặc thocircng qua việc chia sẻ tệp (file sharing) như caacutec tệp bất kỳ trong mạng nội bộ magrave thocirci
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 1030
10
2 IIS lagrave gigrave (tiếp)
Chức năng của IIS
Nhiệm vụ của IIS lagrave tiếp nhận yecircu cầu của maacutey trạm vagraveđaacutep ứng lại yecircu cầu đoacute bằng caacutech gửi về maacutey trạm những thocircng tin magrave maacutey trạm yecircu cầu
Ta coacute thể sử dụng IIS để Xuất bản một Website của bạn trecircn Internet
Tạo caacutec giao dịch thương mại điện tử trecircn Internet (hiện caacuteccatalog vagrave nhận được caacutec đơn đặt hagraveng từ nguời tiecircu dugraveng)
Chia sẻ file dữ liệu thocircng qua giao thức FTP Cho pheacutep người ở xa coacute thể truy xuất database của bạn (gọi lagrave Database remoteaccess)
Vagrave rất nhiều khả năng khaacutec
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 1130
11
2 IIS lagrave gigrave (tiếp)
Hoạt động của IIS
IIS sử dụng caacutec giao thức mạng phổ biến lagrave HTTP (HyperText Transfer Protocol) vagrave FPT (File Transfer Protocol) vagrave một số giao thức khaacutec như SMTP POP3 để tiếp nhận yecircu cầu vagrave
truyền tải thocircng tin trecircn mạng với caacutec định dạng khaacutec nhau Một trong những dịch vụ phổ biến nhất của IIS magrave chuacuteng taquan tacircm trong chương trigravenh nagravey lagrave dịch vụ WWW (World WideWeb) noacutei tắt lagrave dịch vụ Web
Dịch vụ Web sử dụng giao thức HTTP để tiếp nhận yecircu cầu (Requests) của trigravenh duyệt Web (Web browser) dưới dạng một địa chỉ URL (Uniform Resource Locator) của một trang Web vagraveIIS phản hồi lại caacutec yecircu cầu bằng caacutech gửi về cho Web browser
nội dung của trang Web tương ứng
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 1230
12
2 IIS lagrave gigrave (tiếp)
Cagravei đặt IIS
Hiện tại đatilde coacute caacutec phiecircn bản 30 40 vagrave 51 Noacutei chung caacutechcagravei đặt khocircng coacute gigrave khoacute vagrave khaacutec nhau lắm giữa caacutec version
Lưu yacute Tốt nhất lagrave coacute bản cagravei ngoagravei (từ đĩa CD hoặc
download từ Internet) Hoặc cagravei Personal Web Server trong AddRemove Programstrong Control Panel Window NT server 40
Hoặc cagravei Internet Information Server trong AddRemove
Programs trong Control Panel hoặc trong Windows NT OptionPack Windows 2000
Hoặc cagravei Internet Information Server trong AddRemovePrograms trong Control Panel để cagravei IIS
Cagravei đặt IIS
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 1330
13
3 Apache server
31 Apache server lagrave gigrave
Apache hay lagrave chương trigravenh maacutey chủ HTTP lagrave một chương trigravenh dagravenh cho maacutey chủ đối thoại qua giao thức HTTP
Apache chạy trecircn caacutec hệ điều hagravenh tương tự như UnixMicrosoft Windows Novell Netware vagrave caacutec hệ điều hagravenhkhaacutec
Apache đoacuteng một vai trograve quan trọng trong quaacute trigravenh
phaacutet triển của mạng WEB thế giới (tiếng Anh World WideWeb)
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 1430
14
3 Apache server
31 Apache server lagrave gigrave
Khi được phaacutet hagravenh lần đầu Apache lagrave chương trigravenh maacuteychủ matilde nguồn mở duy nhất coacute khả năng cạnh tranh với chương trigravenh maacutey chủ tương tự của Netscape Communications
Corporation magrave ngagravey nay được biết đến qua tecircn thương mại Sun Java System Web Server
Từ đoacute trở đi Apache đatilde khocircng ngừng tiến triển vagrave trở thagravenhmột phần mềm coacute sức cạnh tranh mạnh so với caacutec chương trigravenh maacutey chủ khaacutec về mặt hiệu suất vagrave tiacutenh năng phong phuacute
Từ thaacuteng 4 natildem 1996 Apache trở thagravenh một chương trigravenhmaacutey chủ HTTP thocircng dụng nhất Tiacutenh đến thaacuteng 1 năm 2007 thigrave Apache chiếm đến 60 thị trường caacutec chương trigravenh phacircn phối trang web
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 1530
15
3 Apache server
31 Apache server lagrave gigrave Apache được phaacutet triển vagrave duy trigrave bởi một cộng đồng matildenguồn mở dưới sự bảo trợ của Apache Software Foundation
Apache được phaacutet hagravenh với giấy pheacutep Apache License vagrave lagrave
một phần mềm tự do vagrave miễn phiacute Apache HTTP Server lagrave web server mạnh mẽ uyển chuyển tương thiacutech với giao thức HTTP11 Phiecircn bản gốc của Apache được thiết kế để thay thế cho NCSA HTTP Server vagraveđến nay noacute đatilde phaacutet triển mạnh mẽ trở thagravenh web server phổ
biến nhất trecircn Internet Lagrave 1 dự aacuten của Apache Software Foundation những người phaacutet triển noacute đatilde hợp taacutec phaacutet triển vagrave duy trigrave để Apachetrở necircn mạnh mẽ hơn đạt được cấp độ thương mại vagrave chuẩn
server với matilde nguồn miễn phiacute
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 1630
16
3 Apache server
32 Cagravei đặt Apache serverĐể cagravei đặt 1 web server cần chuẩn bị Apache 2216 - httpd-2216-win32-x86-no_sslmsi
PHP 5212 - PHP 5212 zip package (khocircng necircn cagraveicaacutec bản mới vigrave noacute khoacute cagravei hơn caacutec hosting hiện naycũng vẫn dugraveng PHP 52)
MySQL 5151 - mysql-essential-5151-win32msi
phpMyAdmin - phpMyAdmin-337-englishzip
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 1730
17
3 Apache server
32 Cagravei đặt Apache server Ta cagravei đặt Apache với caacutec lựa chọn mặc định
Network domain localhost
Server name localhost
Administrators email address email của bạn Sau khi cagravei đặt xong Apache sẽ chạy dưới dạng 1
service của Windows vagrave noacute được thiết lập mặc định khởi động cugraveng Windows
Một chương trigravenh nhỏ coacute tecircn Apache Service Monitorcũng được tự động chạy dưới khay hệ thống để coacute thể mở hoặc tắt Apache thuận tiện
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 1830
18
3 Apache server
32 Cagravei đặt Apache serverĐể kiểm tra hatildey vagraveo trigravenh duyệt vagrave gotilde vagraveo khungaddress httplocalhost Dograveng url nagravey sẽ gọi fileindexhtml nằm trong thư mục htdocs trong thư mục cagravei
đặt Apache đacircy lagrave thư mục gốc mặc định của Apachewebsite của bạn sẽ được chứa tại đacircy
Sau khi chạy thagravenh cocircng Nếu muốn cấu higravenh lại Apachecho phugrave hợp hơn dugraveng Notepad mở file httpdconf nằm
trong thư mục conf trong thư mục cagravei đặt Apache (hoặc vagraveo Start menu để mở) vagrave tiến hagravenh chỉnh sửa
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 1930
19
3 Apache server
33 Tiacutenh năng của Apache server Apache lagrave một phần mềm coacute nhiều tiacutenh năng mạnh vagravelinh hoạt dugraveng để lagravem Web Server
Hỗ trợ đầy đủ những giao thức HTTP trước đacircy như HTTP11Coacute thể cấu higravenh vagrave mở rộng với những module của cocircngty thứ ba
Cung cấp source code đầy đủ với license khocircng hạn chế Chạy trecircn nhiều hệ điều hagravenh như Windows NT9xNetware 5x OS2 vagrave trecircn hầu hết caacutec hệ điều hagravenh Unix
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2030
20
3 Apache server
34 Bảo mật cho Apache serverTiacutenh đa năng của Apache tạo ra những khoacute khăn để thực hiện một mocirc thức tổng quaacutet với mục điacutech kiện toagravenbảo mật cho server trong mọi trường hợp coacute thể được
ETHacircy lagrave lyacute do để dựa trecircn caacutec chức năng sau Web server coacute thể truy cập từ Internet
Chỉ những trang HTML tĩnh (static HTML pages) sẽ được phục vụ
Server hỗ trợ tecircn miền cho cơ chế dịch vụ ảo
Caacutec trang web đatilde ấn định chỉ coacute thể truy cập từ caacutec cụm IPaddresses hoặc người dugraveng (khai baacuteo căn bản)
Server sẽ tường trigravenh trọn bộ caacutec yecircu cầu (bao gồm những thocircng tin về caacutec web browsers)
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2130
21
3 Apache server
34 Bảo mật cho Apache serverNhững trugrave bị bảo mật Một trong những nhacircn tố quan trọng nhất cho mọi cocircng trigravenhđiện toaacuten lagrave việc xaacutec thực caacutec trugrave bị bảo mật ETHiều nagravey phải
được thoả matilden trước khi cocircng trigravenh được ứng tạo Caacutec trugrave bị bảo mật cho web server của chuacuteng ta như sau
Hệ điều hagravenh phải được kiện toagraven cagraveng chặt chẽ cagraveng tốt baogồm việc phograveng bị cho những tấn cocircng từ becircn ngoagravei lẫn becircntrong
Server khocircng được cung cấp bất cứ dịch vụ nagraveo khaacutec ngoại trừ HTTP (80TCP)
Truy cập từ xa đến server phải được kiểm soaacutet bởi tường lửathiết bị nagravey chặn trọn bộ những tiếp nối cho lối ra vagrave cho pheacutepnhững tiếp nối cho lối vagraveo đến cổng 80TCP của web server
magrave thocirci
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2230
22
3 Apache server
34 Bảo mật cho Apache serverNhững trugrave bị bảo mật (tiếp)
Web server Apache lagrave dịch vụ duy nhất hiện hữu trecircn hệ thống
Chỉ coacute những modules nagraveo tuyệt đối cần thiết mới được cho pheacutep hoạt động
Caacutec trang web dugraveng cho cocircng taacutec chẩn xeacutet vagrave tự động hoaacute mục lục phải được tắt bỏ
Srver necircn giảm thiểu tối đa vấn đề tiết lộ những thocircng tin của chiacutenh server (mật tiacutenh qua ẩn tiacutenh)
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2330
23
3 Apache server
34 Bảo mật cho Apache serverNhững trugrave bị bảo mật (tiếp)
Apache server phải chạy bằng UIDGID riecircng biệt (định danh người dugraveng định danh nhoacutem) khocircngđược dugraveng bất cứ tiến trigravenh (process) nagraveo khaacutec
của hệ thống Caacutec process của Apache phải coacute giới hạn nhất
định đến hệ thư mục (chrooting)
Khocircng coacute bất cứ chương trigravenh dạng shell nagraveo hiện hữu trong mocirci trường chrooted (binsh bincshvv)
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2430
24
3 Apache server
34 Bảo mật cho Apache serverCagravei đặt hệ điều hagravenh
Trước khi cagravei đặt Apache chuacuteng ta phải chọn lấy một hệ điều hagravenh đoacute lagrave mocirci trường Apache sẽ hoạt động
Ở đacircy chuacuteng ta coacute khaacute nhiều chọn lựa vigrave Apache coacute thể được biecircn dịch vagrave cagravei đặt trecircn hầu hết caacutec hệ điều hagravenh
Tuy nhiecircn necircn chọn caacutec hệ điều hagravenh UNIXLINUX lyacute
do chiacutenh lagrave vigrave hệ điều hagravenh MS Windows bị giới hạn khả năng kiện toagraven bảo mật cho Apache
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2530
25
3 Apache server
34 Bảo mật cho Apache serverCagravei đặt hệ điều hagravenh
Bước đầu tiecircn trong vấn đề bảo mật Web server lagrave kiện toagraven hệ điều hagravenh
Sau khi hệ thống được cagravei đặt vagrave kiện toagraven chuacuteng tacần thecircm một nhoacutem vagrave một người dugraveng thocircng thường gọi lagrave apache
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2630
26
3 Apache server
34 Bảo mật cho Apache serverCagravei đặt hệ điều hagravenh
Theo mặc định caacutec process thuộc Apache chạy với chủ quyền của người dugraveng nobody (ngoại trừ process chiacutenh
phải chạy với chủ quyền root) vagrave GID thuộc nhoacutemnogroup
ETHiều nagravey coacute thể dẫn đến những đe dọa bảo mật nghiecircm trọng Trong trường hợp đột nhập thagravenh cocircng
tin tặc coacute thể lấy được quyền truy dụng đến những process khaacutec chạy cugraveng UIDGID
Bởi thế giải phaacutep tối ưu lagrave cho Apache chạy bằng UIDGID từ nhoacutem riecircng biệt chuyecircn chuacute đến software
ấy thocirci
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2730
27
3 Apache server
34 Bảo mật cho Apache serverChuẩn bị software
Bước kế tiếp lagrave bước tải phiecircn bản Apache mới nhất từ web site Apache
Sau khi tải software về chuacuteng ta phải giải neacuten Kế tiếp chuacuteng ta quyết định modules nagraveo được pheacutep hoạt động
Chọn lựa caacutec modules lagrave một trong những bước quan
trọng nhất trong vấn đề bảo mật Apache Chuacuteng ta necircntheo luật cagraveng iacutet cagraveng tốt
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2830
28
3 Apache server
34 Bảo mật cho Apache serverChuẩn bị software
ETHể thoả matilden chức năng vagrave những trugrave bị bảo mật caacutecmodules sau cần được cho pheacutep httpd_core Chứa caacutec chức năng cốt lotildei của Apache
cần thiết cho bất cứ Apache nagraveo
mod_access Cung cấp chế độ khiển taacutec dựa trecircn tecircnmaacutey địa chỉ IP hoặc caacutec tiacutenh chất yecircu cầu thuộc về caacutec clients Bởi vigrave module nagravey cần cho caacutec chỉ phối
(directive) order allow vagrave deny noacute cần được chopheacutep
mod_auth Cần thiết để ứng dụng vấn đề khai baacuteongười dugraveng cho việc sử dụng caacutec hồ sơ nguyecircn bản (khai baacuteo căn bản cho HTTP) được chỉ định trong chức
năng trugrave bị
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2930
29
3 Apache server
34 Bảo mật cho Apache server
Chuẩn bị software (tiếp) mod_dir Cần thiết để tigravem kiếm vagrave phục vụ caacutec hồ sơ
thư mục indexhtml defaulthtm vv
mod_log_config Cần thiết để ứng hiệu baacuteo caacuteo
những yecircu cầu thực hiện đến server mod_mime Cần thiết để chỉnh lyacute nhoacutem chữ caacutei matilde
hoaacute nội dung tugravey taacutec ngocircn ngữ nội dung vagrave caacutec loạiMIME đại diện cho caacutec loại tagravei liệu
Tất cả caacutec modules khaacutec của Apache phải được tắt bỏ
Web server
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 3030
30
Hết chương 5
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 630
6
1 Tổng quan Web Server (tiếp) Dịch vụ web
Dịch vụ web (tiếng Anh web service) lagrave sự kết hợp caacutec maacuteytiacutenh caacute nhacircn với caacutec thiết bị khaacutec caacutec cơ sở dữ liệu vagrave caacutecmạng maacutey tiacutenh để tạo thagravenh một cơ cấu tiacutenh toaacuten ảo magrave người
sử dụng coacute thể lagravem việc thocircng qua caacutec trigravenh duyệt mạng Bản thacircn caacutec dịch vụ nagravey sẽ chạy trecircn caacutec maacutey phục vụ trecircnnền Internet chứ khocircng phải lagrave caacutec maacutey tiacutenh caacute nhacircn do vậy coacute thể chuyển caacutec chức nǎng từ maacutey tiacutenh caacute nhacircn lecircn InternetNgười sử dụng coacute thể lagravem việc với caacutec dịch vụ thocircng qua bất kỳ loại maacutey nagraveo coacute hỗ trợ web service vagrave coacute truy cập Internetkể cả caacutec thiết bị cầm tay Do đoacute caacutec web service sẽ lagravemInternet biến đổi thagravenh một nơi lagravem việc chứ khocircng phải lagrave một phương tiện để xem vagrave tải nội dung
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 730
7
1 Tổng quan Web Server (tiếp) Dịch vụ web
Điều nagravey cũng sẽ đưa caacutec dữ liệu vagrave caacutec ứng dụng từ maacuteytiacutenh caacute nhacircn tới caacutec maacutey phục vụ của một nhagrave cung cấp dịch vụ web Caacutec maacutey phục vụ nagravey cũng cần trở thagravenh nguồn cung
cấp cho người sử dụng cả về độ an toagraven độ riecircng tư vagrave khả nǎng truy nhập
Caacutec maacutey phục vụ ứng dụng sẽ lagrave một phần quan trọng của caacutec web service bởi vigrave thường thigrave caacutec maacutey phục vụ nagravey thực hiện caacutec hoạt động ứng dụng phức tạp dựa trecircn sự chuyển
giao giữa người sử dụng vagrave caacutec chương trigravenh kinh doanh hay
caacutec cơ sở dữ liệu của một tổ chức nagraveo đoacute
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 830
8
2 IIS lagrave gigrave
IIS lagrave viết tắt của từ (Internet Information Services _ caacutec dịch vụ cung cấp thocircng tin Internet) Noacute được điacutenh kegravem với caacutec phiecircn bản của Windows
Internet Information Services lagrave caacutec dịch vụ dagravenh cho
maacutey chủ chạy trecircn nền Hệ điều hagravenh Window nhằm cungcấp vagrave phacircn taacuten caacutec thocircng tin lecircn mạng noacute bao gồm nhiều dịch vụ khaacutec nhau như Web Server FTP Server
Noacute coacute thể được sử dụng để xuất bản nội dung của caacutec
trang Web lecircn InternetIntranet bằng việc sử dụng ldquoPhương thức chuyển giao siecircu văn bảnldquo - HypertextTransport Protocol (HTTP)
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 930
9
2 IIS lagrave gigrave (tiếp)
Như vậy sau khi thiết kế xong caacutec trang Web của migravenh nếu ta muốn đưa chuacuteng lecircn mạng để mọi người coacutethể truy cập vagrave xem chuacuteng thigrave ta phải nhờ đến một WebServer ở đacircy lagrave IIS
Nếu khocircng qua IIS thigrave trang Web đoacute chỉ coacute thể được xem trecircn chiacutenh maacutey của ta hoặc thocircng qua việc chia sẻ tệp (file sharing) như caacutec tệp bất kỳ trong mạng nội bộ magrave thocirci
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 1030
10
2 IIS lagrave gigrave (tiếp)
Chức năng của IIS
Nhiệm vụ của IIS lagrave tiếp nhận yecircu cầu của maacutey trạm vagraveđaacutep ứng lại yecircu cầu đoacute bằng caacutech gửi về maacutey trạm những thocircng tin magrave maacutey trạm yecircu cầu
Ta coacute thể sử dụng IIS để Xuất bản một Website của bạn trecircn Internet
Tạo caacutec giao dịch thương mại điện tử trecircn Internet (hiện caacuteccatalog vagrave nhận được caacutec đơn đặt hagraveng từ nguời tiecircu dugraveng)
Chia sẻ file dữ liệu thocircng qua giao thức FTP Cho pheacutep người ở xa coacute thể truy xuất database của bạn (gọi lagrave Database remoteaccess)
Vagrave rất nhiều khả năng khaacutec
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 1130
11
2 IIS lagrave gigrave (tiếp)
Hoạt động của IIS
IIS sử dụng caacutec giao thức mạng phổ biến lagrave HTTP (HyperText Transfer Protocol) vagrave FPT (File Transfer Protocol) vagrave một số giao thức khaacutec như SMTP POP3 để tiếp nhận yecircu cầu vagrave
truyền tải thocircng tin trecircn mạng với caacutec định dạng khaacutec nhau Một trong những dịch vụ phổ biến nhất của IIS magrave chuacuteng taquan tacircm trong chương trigravenh nagravey lagrave dịch vụ WWW (World WideWeb) noacutei tắt lagrave dịch vụ Web
Dịch vụ Web sử dụng giao thức HTTP để tiếp nhận yecircu cầu (Requests) của trigravenh duyệt Web (Web browser) dưới dạng một địa chỉ URL (Uniform Resource Locator) của một trang Web vagraveIIS phản hồi lại caacutec yecircu cầu bằng caacutech gửi về cho Web browser
nội dung của trang Web tương ứng
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 1230
12
2 IIS lagrave gigrave (tiếp)
Cagravei đặt IIS
Hiện tại đatilde coacute caacutec phiecircn bản 30 40 vagrave 51 Noacutei chung caacutechcagravei đặt khocircng coacute gigrave khoacute vagrave khaacutec nhau lắm giữa caacutec version
Lưu yacute Tốt nhất lagrave coacute bản cagravei ngoagravei (từ đĩa CD hoặc
download từ Internet) Hoặc cagravei Personal Web Server trong AddRemove Programstrong Control Panel Window NT server 40
Hoặc cagravei Internet Information Server trong AddRemove
Programs trong Control Panel hoặc trong Windows NT OptionPack Windows 2000
Hoặc cagravei Internet Information Server trong AddRemovePrograms trong Control Panel để cagravei IIS
Cagravei đặt IIS
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 1330
13
3 Apache server
31 Apache server lagrave gigrave
Apache hay lagrave chương trigravenh maacutey chủ HTTP lagrave một chương trigravenh dagravenh cho maacutey chủ đối thoại qua giao thức HTTP
Apache chạy trecircn caacutec hệ điều hagravenh tương tự như UnixMicrosoft Windows Novell Netware vagrave caacutec hệ điều hagravenhkhaacutec
Apache đoacuteng một vai trograve quan trọng trong quaacute trigravenh
phaacutet triển của mạng WEB thế giới (tiếng Anh World WideWeb)
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 1430
14
3 Apache server
31 Apache server lagrave gigrave
Khi được phaacutet hagravenh lần đầu Apache lagrave chương trigravenh maacuteychủ matilde nguồn mở duy nhất coacute khả năng cạnh tranh với chương trigravenh maacutey chủ tương tự của Netscape Communications
Corporation magrave ngagravey nay được biết đến qua tecircn thương mại Sun Java System Web Server
Từ đoacute trở đi Apache đatilde khocircng ngừng tiến triển vagrave trở thagravenhmột phần mềm coacute sức cạnh tranh mạnh so với caacutec chương trigravenh maacutey chủ khaacutec về mặt hiệu suất vagrave tiacutenh năng phong phuacute
Từ thaacuteng 4 natildem 1996 Apache trở thagravenh một chương trigravenhmaacutey chủ HTTP thocircng dụng nhất Tiacutenh đến thaacuteng 1 năm 2007 thigrave Apache chiếm đến 60 thị trường caacutec chương trigravenh phacircn phối trang web
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 1530
15
3 Apache server
31 Apache server lagrave gigrave Apache được phaacutet triển vagrave duy trigrave bởi một cộng đồng matildenguồn mở dưới sự bảo trợ của Apache Software Foundation
Apache được phaacutet hagravenh với giấy pheacutep Apache License vagrave lagrave
một phần mềm tự do vagrave miễn phiacute Apache HTTP Server lagrave web server mạnh mẽ uyển chuyển tương thiacutech với giao thức HTTP11 Phiecircn bản gốc của Apache được thiết kế để thay thế cho NCSA HTTP Server vagraveđến nay noacute đatilde phaacutet triển mạnh mẽ trở thagravenh web server phổ
biến nhất trecircn Internet Lagrave 1 dự aacuten của Apache Software Foundation những người phaacutet triển noacute đatilde hợp taacutec phaacutet triển vagrave duy trigrave để Apachetrở necircn mạnh mẽ hơn đạt được cấp độ thương mại vagrave chuẩn
server với matilde nguồn miễn phiacute
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 1630
16
3 Apache server
32 Cagravei đặt Apache serverĐể cagravei đặt 1 web server cần chuẩn bị Apache 2216 - httpd-2216-win32-x86-no_sslmsi
PHP 5212 - PHP 5212 zip package (khocircng necircn cagraveicaacutec bản mới vigrave noacute khoacute cagravei hơn caacutec hosting hiện naycũng vẫn dugraveng PHP 52)
MySQL 5151 - mysql-essential-5151-win32msi
phpMyAdmin - phpMyAdmin-337-englishzip
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 1730
17
3 Apache server
32 Cagravei đặt Apache server Ta cagravei đặt Apache với caacutec lựa chọn mặc định
Network domain localhost
Server name localhost
Administrators email address email của bạn Sau khi cagravei đặt xong Apache sẽ chạy dưới dạng 1
service của Windows vagrave noacute được thiết lập mặc định khởi động cugraveng Windows
Một chương trigravenh nhỏ coacute tecircn Apache Service Monitorcũng được tự động chạy dưới khay hệ thống để coacute thể mở hoặc tắt Apache thuận tiện
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 1830
18
3 Apache server
32 Cagravei đặt Apache serverĐể kiểm tra hatildey vagraveo trigravenh duyệt vagrave gotilde vagraveo khungaddress httplocalhost Dograveng url nagravey sẽ gọi fileindexhtml nằm trong thư mục htdocs trong thư mục cagravei
đặt Apache đacircy lagrave thư mục gốc mặc định của Apachewebsite của bạn sẽ được chứa tại đacircy
Sau khi chạy thagravenh cocircng Nếu muốn cấu higravenh lại Apachecho phugrave hợp hơn dugraveng Notepad mở file httpdconf nằm
trong thư mục conf trong thư mục cagravei đặt Apache (hoặc vagraveo Start menu để mở) vagrave tiến hagravenh chỉnh sửa
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 1930
19
3 Apache server
33 Tiacutenh năng của Apache server Apache lagrave một phần mềm coacute nhiều tiacutenh năng mạnh vagravelinh hoạt dugraveng để lagravem Web Server
Hỗ trợ đầy đủ những giao thức HTTP trước đacircy như HTTP11Coacute thể cấu higravenh vagrave mở rộng với những module của cocircngty thứ ba
Cung cấp source code đầy đủ với license khocircng hạn chế Chạy trecircn nhiều hệ điều hagravenh như Windows NT9xNetware 5x OS2 vagrave trecircn hầu hết caacutec hệ điều hagravenh Unix
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2030
20
3 Apache server
34 Bảo mật cho Apache serverTiacutenh đa năng của Apache tạo ra những khoacute khăn để thực hiện một mocirc thức tổng quaacutet với mục điacutech kiện toagravenbảo mật cho server trong mọi trường hợp coacute thể được
ETHacircy lagrave lyacute do để dựa trecircn caacutec chức năng sau Web server coacute thể truy cập từ Internet
Chỉ những trang HTML tĩnh (static HTML pages) sẽ được phục vụ
Server hỗ trợ tecircn miền cho cơ chế dịch vụ ảo
Caacutec trang web đatilde ấn định chỉ coacute thể truy cập từ caacutec cụm IPaddresses hoặc người dugraveng (khai baacuteo căn bản)
Server sẽ tường trigravenh trọn bộ caacutec yecircu cầu (bao gồm những thocircng tin về caacutec web browsers)
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2130
21
3 Apache server
34 Bảo mật cho Apache serverNhững trugrave bị bảo mật Một trong những nhacircn tố quan trọng nhất cho mọi cocircng trigravenhđiện toaacuten lagrave việc xaacutec thực caacutec trugrave bị bảo mật ETHiều nagravey phải
được thoả matilden trước khi cocircng trigravenh được ứng tạo Caacutec trugrave bị bảo mật cho web server của chuacuteng ta như sau
Hệ điều hagravenh phải được kiện toagraven cagraveng chặt chẽ cagraveng tốt baogồm việc phograveng bị cho những tấn cocircng từ becircn ngoagravei lẫn becircntrong
Server khocircng được cung cấp bất cứ dịch vụ nagraveo khaacutec ngoại trừ HTTP (80TCP)
Truy cập từ xa đến server phải được kiểm soaacutet bởi tường lửathiết bị nagravey chặn trọn bộ những tiếp nối cho lối ra vagrave cho pheacutepnhững tiếp nối cho lối vagraveo đến cổng 80TCP của web server
magrave thocirci
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2230
22
3 Apache server
34 Bảo mật cho Apache serverNhững trugrave bị bảo mật (tiếp)
Web server Apache lagrave dịch vụ duy nhất hiện hữu trecircn hệ thống
Chỉ coacute những modules nagraveo tuyệt đối cần thiết mới được cho pheacutep hoạt động
Caacutec trang web dugraveng cho cocircng taacutec chẩn xeacutet vagrave tự động hoaacute mục lục phải được tắt bỏ
Srver necircn giảm thiểu tối đa vấn đề tiết lộ những thocircng tin của chiacutenh server (mật tiacutenh qua ẩn tiacutenh)
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2330
23
3 Apache server
34 Bảo mật cho Apache serverNhững trugrave bị bảo mật (tiếp)
Apache server phải chạy bằng UIDGID riecircng biệt (định danh người dugraveng định danh nhoacutem) khocircngđược dugraveng bất cứ tiến trigravenh (process) nagraveo khaacutec
của hệ thống Caacutec process của Apache phải coacute giới hạn nhất
định đến hệ thư mục (chrooting)
Khocircng coacute bất cứ chương trigravenh dạng shell nagraveo hiện hữu trong mocirci trường chrooted (binsh bincshvv)
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2430
24
3 Apache server
34 Bảo mật cho Apache serverCagravei đặt hệ điều hagravenh
Trước khi cagravei đặt Apache chuacuteng ta phải chọn lấy một hệ điều hagravenh đoacute lagrave mocirci trường Apache sẽ hoạt động
Ở đacircy chuacuteng ta coacute khaacute nhiều chọn lựa vigrave Apache coacute thể được biecircn dịch vagrave cagravei đặt trecircn hầu hết caacutec hệ điều hagravenh
Tuy nhiecircn necircn chọn caacutec hệ điều hagravenh UNIXLINUX lyacute
do chiacutenh lagrave vigrave hệ điều hagravenh MS Windows bị giới hạn khả năng kiện toagraven bảo mật cho Apache
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2530
25
3 Apache server
34 Bảo mật cho Apache serverCagravei đặt hệ điều hagravenh
Bước đầu tiecircn trong vấn đề bảo mật Web server lagrave kiện toagraven hệ điều hagravenh
Sau khi hệ thống được cagravei đặt vagrave kiện toagraven chuacuteng tacần thecircm một nhoacutem vagrave một người dugraveng thocircng thường gọi lagrave apache
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2630
26
3 Apache server
34 Bảo mật cho Apache serverCagravei đặt hệ điều hagravenh
Theo mặc định caacutec process thuộc Apache chạy với chủ quyền của người dugraveng nobody (ngoại trừ process chiacutenh
phải chạy với chủ quyền root) vagrave GID thuộc nhoacutemnogroup
ETHiều nagravey coacute thể dẫn đến những đe dọa bảo mật nghiecircm trọng Trong trường hợp đột nhập thagravenh cocircng
tin tặc coacute thể lấy được quyền truy dụng đến những process khaacutec chạy cugraveng UIDGID
Bởi thế giải phaacutep tối ưu lagrave cho Apache chạy bằng UIDGID từ nhoacutem riecircng biệt chuyecircn chuacute đến software
ấy thocirci
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2730
27
3 Apache server
34 Bảo mật cho Apache serverChuẩn bị software
Bước kế tiếp lagrave bước tải phiecircn bản Apache mới nhất từ web site Apache
Sau khi tải software về chuacuteng ta phải giải neacuten Kế tiếp chuacuteng ta quyết định modules nagraveo được pheacutep hoạt động
Chọn lựa caacutec modules lagrave một trong những bước quan
trọng nhất trong vấn đề bảo mật Apache Chuacuteng ta necircntheo luật cagraveng iacutet cagraveng tốt
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2830
28
3 Apache server
34 Bảo mật cho Apache serverChuẩn bị software
ETHể thoả matilden chức năng vagrave những trugrave bị bảo mật caacutecmodules sau cần được cho pheacutep httpd_core Chứa caacutec chức năng cốt lotildei của Apache
cần thiết cho bất cứ Apache nagraveo
mod_access Cung cấp chế độ khiển taacutec dựa trecircn tecircnmaacutey địa chỉ IP hoặc caacutec tiacutenh chất yecircu cầu thuộc về caacutec clients Bởi vigrave module nagravey cần cho caacutec chỉ phối
(directive) order allow vagrave deny noacute cần được chopheacutep
mod_auth Cần thiết để ứng dụng vấn đề khai baacuteongười dugraveng cho việc sử dụng caacutec hồ sơ nguyecircn bản (khai baacuteo căn bản cho HTTP) được chỉ định trong chức
năng trugrave bị
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2930
29
3 Apache server
34 Bảo mật cho Apache server
Chuẩn bị software (tiếp) mod_dir Cần thiết để tigravem kiếm vagrave phục vụ caacutec hồ sơ
thư mục indexhtml defaulthtm vv
mod_log_config Cần thiết để ứng hiệu baacuteo caacuteo
những yecircu cầu thực hiện đến server mod_mime Cần thiết để chỉnh lyacute nhoacutem chữ caacutei matilde
hoaacute nội dung tugravey taacutec ngocircn ngữ nội dung vagrave caacutec loạiMIME đại diện cho caacutec loại tagravei liệu
Tất cả caacutec modules khaacutec của Apache phải được tắt bỏ
Web server
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 3030
30
Hết chương 5
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 730
7
1 Tổng quan Web Server (tiếp) Dịch vụ web
Điều nagravey cũng sẽ đưa caacutec dữ liệu vagrave caacutec ứng dụng từ maacuteytiacutenh caacute nhacircn tới caacutec maacutey phục vụ của một nhagrave cung cấp dịch vụ web Caacutec maacutey phục vụ nagravey cũng cần trở thagravenh nguồn cung
cấp cho người sử dụng cả về độ an toagraven độ riecircng tư vagrave khả nǎng truy nhập
Caacutec maacutey phục vụ ứng dụng sẽ lagrave một phần quan trọng của caacutec web service bởi vigrave thường thigrave caacutec maacutey phục vụ nagravey thực hiện caacutec hoạt động ứng dụng phức tạp dựa trecircn sự chuyển
giao giữa người sử dụng vagrave caacutec chương trigravenh kinh doanh hay
caacutec cơ sở dữ liệu của một tổ chức nagraveo đoacute
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 830
8
2 IIS lagrave gigrave
IIS lagrave viết tắt của từ (Internet Information Services _ caacutec dịch vụ cung cấp thocircng tin Internet) Noacute được điacutenh kegravem với caacutec phiecircn bản của Windows
Internet Information Services lagrave caacutec dịch vụ dagravenh cho
maacutey chủ chạy trecircn nền Hệ điều hagravenh Window nhằm cungcấp vagrave phacircn taacuten caacutec thocircng tin lecircn mạng noacute bao gồm nhiều dịch vụ khaacutec nhau như Web Server FTP Server
Noacute coacute thể được sử dụng để xuất bản nội dung của caacutec
trang Web lecircn InternetIntranet bằng việc sử dụng ldquoPhương thức chuyển giao siecircu văn bảnldquo - HypertextTransport Protocol (HTTP)
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 930
9
2 IIS lagrave gigrave (tiếp)
Như vậy sau khi thiết kế xong caacutec trang Web của migravenh nếu ta muốn đưa chuacuteng lecircn mạng để mọi người coacutethể truy cập vagrave xem chuacuteng thigrave ta phải nhờ đến một WebServer ở đacircy lagrave IIS
Nếu khocircng qua IIS thigrave trang Web đoacute chỉ coacute thể được xem trecircn chiacutenh maacutey của ta hoặc thocircng qua việc chia sẻ tệp (file sharing) như caacutec tệp bất kỳ trong mạng nội bộ magrave thocirci
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 1030
10
2 IIS lagrave gigrave (tiếp)
Chức năng của IIS
Nhiệm vụ của IIS lagrave tiếp nhận yecircu cầu của maacutey trạm vagraveđaacutep ứng lại yecircu cầu đoacute bằng caacutech gửi về maacutey trạm những thocircng tin magrave maacutey trạm yecircu cầu
Ta coacute thể sử dụng IIS để Xuất bản một Website của bạn trecircn Internet
Tạo caacutec giao dịch thương mại điện tử trecircn Internet (hiện caacuteccatalog vagrave nhận được caacutec đơn đặt hagraveng từ nguời tiecircu dugraveng)
Chia sẻ file dữ liệu thocircng qua giao thức FTP Cho pheacutep người ở xa coacute thể truy xuất database của bạn (gọi lagrave Database remoteaccess)
Vagrave rất nhiều khả năng khaacutec
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 1130
11
2 IIS lagrave gigrave (tiếp)
Hoạt động của IIS
IIS sử dụng caacutec giao thức mạng phổ biến lagrave HTTP (HyperText Transfer Protocol) vagrave FPT (File Transfer Protocol) vagrave một số giao thức khaacutec như SMTP POP3 để tiếp nhận yecircu cầu vagrave
truyền tải thocircng tin trecircn mạng với caacutec định dạng khaacutec nhau Một trong những dịch vụ phổ biến nhất của IIS magrave chuacuteng taquan tacircm trong chương trigravenh nagravey lagrave dịch vụ WWW (World WideWeb) noacutei tắt lagrave dịch vụ Web
Dịch vụ Web sử dụng giao thức HTTP để tiếp nhận yecircu cầu (Requests) của trigravenh duyệt Web (Web browser) dưới dạng một địa chỉ URL (Uniform Resource Locator) của một trang Web vagraveIIS phản hồi lại caacutec yecircu cầu bằng caacutech gửi về cho Web browser
nội dung của trang Web tương ứng
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 1230
12
2 IIS lagrave gigrave (tiếp)
Cagravei đặt IIS
Hiện tại đatilde coacute caacutec phiecircn bản 30 40 vagrave 51 Noacutei chung caacutechcagravei đặt khocircng coacute gigrave khoacute vagrave khaacutec nhau lắm giữa caacutec version
Lưu yacute Tốt nhất lagrave coacute bản cagravei ngoagravei (từ đĩa CD hoặc
download từ Internet) Hoặc cagravei Personal Web Server trong AddRemove Programstrong Control Panel Window NT server 40
Hoặc cagravei Internet Information Server trong AddRemove
Programs trong Control Panel hoặc trong Windows NT OptionPack Windows 2000
Hoặc cagravei Internet Information Server trong AddRemovePrograms trong Control Panel để cagravei IIS
Cagravei đặt IIS
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 1330
13
3 Apache server
31 Apache server lagrave gigrave
Apache hay lagrave chương trigravenh maacutey chủ HTTP lagrave một chương trigravenh dagravenh cho maacutey chủ đối thoại qua giao thức HTTP
Apache chạy trecircn caacutec hệ điều hagravenh tương tự như UnixMicrosoft Windows Novell Netware vagrave caacutec hệ điều hagravenhkhaacutec
Apache đoacuteng một vai trograve quan trọng trong quaacute trigravenh
phaacutet triển của mạng WEB thế giới (tiếng Anh World WideWeb)
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 1430
14
3 Apache server
31 Apache server lagrave gigrave
Khi được phaacutet hagravenh lần đầu Apache lagrave chương trigravenh maacuteychủ matilde nguồn mở duy nhất coacute khả năng cạnh tranh với chương trigravenh maacutey chủ tương tự của Netscape Communications
Corporation magrave ngagravey nay được biết đến qua tecircn thương mại Sun Java System Web Server
Từ đoacute trở đi Apache đatilde khocircng ngừng tiến triển vagrave trở thagravenhmột phần mềm coacute sức cạnh tranh mạnh so với caacutec chương trigravenh maacutey chủ khaacutec về mặt hiệu suất vagrave tiacutenh năng phong phuacute
Từ thaacuteng 4 natildem 1996 Apache trở thagravenh một chương trigravenhmaacutey chủ HTTP thocircng dụng nhất Tiacutenh đến thaacuteng 1 năm 2007 thigrave Apache chiếm đến 60 thị trường caacutec chương trigravenh phacircn phối trang web
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 1530
15
3 Apache server
31 Apache server lagrave gigrave Apache được phaacutet triển vagrave duy trigrave bởi một cộng đồng matildenguồn mở dưới sự bảo trợ của Apache Software Foundation
Apache được phaacutet hagravenh với giấy pheacutep Apache License vagrave lagrave
một phần mềm tự do vagrave miễn phiacute Apache HTTP Server lagrave web server mạnh mẽ uyển chuyển tương thiacutech với giao thức HTTP11 Phiecircn bản gốc của Apache được thiết kế để thay thế cho NCSA HTTP Server vagraveđến nay noacute đatilde phaacutet triển mạnh mẽ trở thagravenh web server phổ
biến nhất trecircn Internet Lagrave 1 dự aacuten của Apache Software Foundation những người phaacutet triển noacute đatilde hợp taacutec phaacutet triển vagrave duy trigrave để Apachetrở necircn mạnh mẽ hơn đạt được cấp độ thương mại vagrave chuẩn
server với matilde nguồn miễn phiacute
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 1630
16
3 Apache server
32 Cagravei đặt Apache serverĐể cagravei đặt 1 web server cần chuẩn bị Apache 2216 - httpd-2216-win32-x86-no_sslmsi
PHP 5212 - PHP 5212 zip package (khocircng necircn cagraveicaacutec bản mới vigrave noacute khoacute cagravei hơn caacutec hosting hiện naycũng vẫn dugraveng PHP 52)
MySQL 5151 - mysql-essential-5151-win32msi
phpMyAdmin - phpMyAdmin-337-englishzip
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 1730
17
3 Apache server
32 Cagravei đặt Apache server Ta cagravei đặt Apache với caacutec lựa chọn mặc định
Network domain localhost
Server name localhost
Administrators email address email của bạn Sau khi cagravei đặt xong Apache sẽ chạy dưới dạng 1
service của Windows vagrave noacute được thiết lập mặc định khởi động cugraveng Windows
Một chương trigravenh nhỏ coacute tecircn Apache Service Monitorcũng được tự động chạy dưới khay hệ thống để coacute thể mở hoặc tắt Apache thuận tiện
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 1830
18
3 Apache server
32 Cagravei đặt Apache serverĐể kiểm tra hatildey vagraveo trigravenh duyệt vagrave gotilde vagraveo khungaddress httplocalhost Dograveng url nagravey sẽ gọi fileindexhtml nằm trong thư mục htdocs trong thư mục cagravei
đặt Apache đacircy lagrave thư mục gốc mặc định của Apachewebsite của bạn sẽ được chứa tại đacircy
Sau khi chạy thagravenh cocircng Nếu muốn cấu higravenh lại Apachecho phugrave hợp hơn dugraveng Notepad mở file httpdconf nằm
trong thư mục conf trong thư mục cagravei đặt Apache (hoặc vagraveo Start menu để mở) vagrave tiến hagravenh chỉnh sửa
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 1930
19
3 Apache server
33 Tiacutenh năng của Apache server Apache lagrave một phần mềm coacute nhiều tiacutenh năng mạnh vagravelinh hoạt dugraveng để lagravem Web Server
Hỗ trợ đầy đủ những giao thức HTTP trước đacircy như HTTP11Coacute thể cấu higravenh vagrave mở rộng với những module của cocircngty thứ ba
Cung cấp source code đầy đủ với license khocircng hạn chế Chạy trecircn nhiều hệ điều hagravenh như Windows NT9xNetware 5x OS2 vagrave trecircn hầu hết caacutec hệ điều hagravenh Unix
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2030
20
3 Apache server
34 Bảo mật cho Apache serverTiacutenh đa năng của Apache tạo ra những khoacute khăn để thực hiện một mocirc thức tổng quaacutet với mục điacutech kiện toagravenbảo mật cho server trong mọi trường hợp coacute thể được
ETHacircy lagrave lyacute do để dựa trecircn caacutec chức năng sau Web server coacute thể truy cập từ Internet
Chỉ những trang HTML tĩnh (static HTML pages) sẽ được phục vụ
Server hỗ trợ tecircn miền cho cơ chế dịch vụ ảo
Caacutec trang web đatilde ấn định chỉ coacute thể truy cập từ caacutec cụm IPaddresses hoặc người dugraveng (khai baacuteo căn bản)
Server sẽ tường trigravenh trọn bộ caacutec yecircu cầu (bao gồm những thocircng tin về caacutec web browsers)
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2130
21
3 Apache server
34 Bảo mật cho Apache serverNhững trugrave bị bảo mật Một trong những nhacircn tố quan trọng nhất cho mọi cocircng trigravenhđiện toaacuten lagrave việc xaacutec thực caacutec trugrave bị bảo mật ETHiều nagravey phải
được thoả matilden trước khi cocircng trigravenh được ứng tạo Caacutec trugrave bị bảo mật cho web server của chuacuteng ta như sau
Hệ điều hagravenh phải được kiện toagraven cagraveng chặt chẽ cagraveng tốt baogồm việc phograveng bị cho những tấn cocircng từ becircn ngoagravei lẫn becircntrong
Server khocircng được cung cấp bất cứ dịch vụ nagraveo khaacutec ngoại trừ HTTP (80TCP)
Truy cập từ xa đến server phải được kiểm soaacutet bởi tường lửathiết bị nagravey chặn trọn bộ những tiếp nối cho lối ra vagrave cho pheacutepnhững tiếp nối cho lối vagraveo đến cổng 80TCP của web server
magrave thocirci
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2230
22
3 Apache server
34 Bảo mật cho Apache serverNhững trugrave bị bảo mật (tiếp)
Web server Apache lagrave dịch vụ duy nhất hiện hữu trecircn hệ thống
Chỉ coacute những modules nagraveo tuyệt đối cần thiết mới được cho pheacutep hoạt động
Caacutec trang web dugraveng cho cocircng taacutec chẩn xeacutet vagrave tự động hoaacute mục lục phải được tắt bỏ
Srver necircn giảm thiểu tối đa vấn đề tiết lộ những thocircng tin của chiacutenh server (mật tiacutenh qua ẩn tiacutenh)
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2330
23
3 Apache server
34 Bảo mật cho Apache serverNhững trugrave bị bảo mật (tiếp)
Apache server phải chạy bằng UIDGID riecircng biệt (định danh người dugraveng định danh nhoacutem) khocircngđược dugraveng bất cứ tiến trigravenh (process) nagraveo khaacutec
của hệ thống Caacutec process của Apache phải coacute giới hạn nhất
định đến hệ thư mục (chrooting)
Khocircng coacute bất cứ chương trigravenh dạng shell nagraveo hiện hữu trong mocirci trường chrooted (binsh bincshvv)
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2430
24
3 Apache server
34 Bảo mật cho Apache serverCagravei đặt hệ điều hagravenh
Trước khi cagravei đặt Apache chuacuteng ta phải chọn lấy một hệ điều hagravenh đoacute lagrave mocirci trường Apache sẽ hoạt động
Ở đacircy chuacuteng ta coacute khaacute nhiều chọn lựa vigrave Apache coacute thể được biecircn dịch vagrave cagravei đặt trecircn hầu hết caacutec hệ điều hagravenh
Tuy nhiecircn necircn chọn caacutec hệ điều hagravenh UNIXLINUX lyacute
do chiacutenh lagrave vigrave hệ điều hagravenh MS Windows bị giới hạn khả năng kiện toagraven bảo mật cho Apache
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2530
25
3 Apache server
34 Bảo mật cho Apache serverCagravei đặt hệ điều hagravenh
Bước đầu tiecircn trong vấn đề bảo mật Web server lagrave kiện toagraven hệ điều hagravenh
Sau khi hệ thống được cagravei đặt vagrave kiện toagraven chuacuteng tacần thecircm một nhoacutem vagrave một người dugraveng thocircng thường gọi lagrave apache
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2630
26
3 Apache server
34 Bảo mật cho Apache serverCagravei đặt hệ điều hagravenh
Theo mặc định caacutec process thuộc Apache chạy với chủ quyền của người dugraveng nobody (ngoại trừ process chiacutenh
phải chạy với chủ quyền root) vagrave GID thuộc nhoacutemnogroup
ETHiều nagravey coacute thể dẫn đến những đe dọa bảo mật nghiecircm trọng Trong trường hợp đột nhập thagravenh cocircng
tin tặc coacute thể lấy được quyền truy dụng đến những process khaacutec chạy cugraveng UIDGID
Bởi thế giải phaacutep tối ưu lagrave cho Apache chạy bằng UIDGID từ nhoacutem riecircng biệt chuyecircn chuacute đến software
ấy thocirci
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2730
27
3 Apache server
34 Bảo mật cho Apache serverChuẩn bị software
Bước kế tiếp lagrave bước tải phiecircn bản Apache mới nhất từ web site Apache
Sau khi tải software về chuacuteng ta phải giải neacuten Kế tiếp chuacuteng ta quyết định modules nagraveo được pheacutep hoạt động
Chọn lựa caacutec modules lagrave một trong những bước quan
trọng nhất trong vấn đề bảo mật Apache Chuacuteng ta necircntheo luật cagraveng iacutet cagraveng tốt
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2830
28
3 Apache server
34 Bảo mật cho Apache serverChuẩn bị software
ETHể thoả matilden chức năng vagrave những trugrave bị bảo mật caacutecmodules sau cần được cho pheacutep httpd_core Chứa caacutec chức năng cốt lotildei của Apache
cần thiết cho bất cứ Apache nagraveo
mod_access Cung cấp chế độ khiển taacutec dựa trecircn tecircnmaacutey địa chỉ IP hoặc caacutec tiacutenh chất yecircu cầu thuộc về caacutec clients Bởi vigrave module nagravey cần cho caacutec chỉ phối
(directive) order allow vagrave deny noacute cần được chopheacutep
mod_auth Cần thiết để ứng dụng vấn đề khai baacuteongười dugraveng cho việc sử dụng caacutec hồ sơ nguyecircn bản (khai baacuteo căn bản cho HTTP) được chỉ định trong chức
năng trugrave bị
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2930
29
3 Apache server
34 Bảo mật cho Apache server
Chuẩn bị software (tiếp) mod_dir Cần thiết để tigravem kiếm vagrave phục vụ caacutec hồ sơ
thư mục indexhtml defaulthtm vv
mod_log_config Cần thiết để ứng hiệu baacuteo caacuteo
những yecircu cầu thực hiện đến server mod_mime Cần thiết để chỉnh lyacute nhoacutem chữ caacutei matilde
hoaacute nội dung tugravey taacutec ngocircn ngữ nội dung vagrave caacutec loạiMIME đại diện cho caacutec loại tagravei liệu
Tất cả caacutec modules khaacutec của Apache phải được tắt bỏ
Web server
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 3030
30
Hết chương 5
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 830
8
2 IIS lagrave gigrave
IIS lagrave viết tắt của từ (Internet Information Services _ caacutec dịch vụ cung cấp thocircng tin Internet) Noacute được điacutenh kegravem với caacutec phiecircn bản của Windows
Internet Information Services lagrave caacutec dịch vụ dagravenh cho
maacutey chủ chạy trecircn nền Hệ điều hagravenh Window nhằm cungcấp vagrave phacircn taacuten caacutec thocircng tin lecircn mạng noacute bao gồm nhiều dịch vụ khaacutec nhau như Web Server FTP Server
Noacute coacute thể được sử dụng để xuất bản nội dung của caacutec
trang Web lecircn InternetIntranet bằng việc sử dụng ldquoPhương thức chuyển giao siecircu văn bảnldquo - HypertextTransport Protocol (HTTP)
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 930
9
2 IIS lagrave gigrave (tiếp)
Như vậy sau khi thiết kế xong caacutec trang Web của migravenh nếu ta muốn đưa chuacuteng lecircn mạng để mọi người coacutethể truy cập vagrave xem chuacuteng thigrave ta phải nhờ đến một WebServer ở đacircy lagrave IIS
Nếu khocircng qua IIS thigrave trang Web đoacute chỉ coacute thể được xem trecircn chiacutenh maacutey của ta hoặc thocircng qua việc chia sẻ tệp (file sharing) như caacutec tệp bất kỳ trong mạng nội bộ magrave thocirci
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 1030
10
2 IIS lagrave gigrave (tiếp)
Chức năng của IIS
Nhiệm vụ của IIS lagrave tiếp nhận yecircu cầu của maacutey trạm vagraveđaacutep ứng lại yecircu cầu đoacute bằng caacutech gửi về maacutey trạm những thocircng tin magrave maacutey trạm yecircu cầu
Ta coacute thể sử dụng IIS để Xuất bản một Website của bạn trecircn Internet
Tạo caacutec giao dịch thương mại điện tử trecircn Internet (hiện caacuteccatalog vagrave nhận được caacutec đơn đặt hagraveng từ nguời tiecircu dugraveng)
Chia sẻ file dữ liệu thocircng qua giao thức FTP Cho pheacutep người ở xa coacute thể truy xuất database của bạn (gọi lagrave Database remoteaccess)
Vagrave rất nhiều khả năng khaacutec
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 1130
11
2 IIS lagrave gigrave (tiếp)
Hoạt động của IIS
IIS sử dụng caacutec giao thức mạng phổ biến lagrave HTTP (HyperText Transfer Protocol) vagrave FPT (File Transfer Protocol) vagrave một số giao thức khaacutec như SMTP POP3 để tiếp nhận yecircu cầu vagrave
truyền tải thocircng tin trecircn mạng với caacutec định dạng khaacutec nhau Một trong những dịch vụ phổ biến nhất của IIS magrave chuacuteng taquan tacircm trong chương trigravenh nagravey lagrave dịch vụ WWW (World WideWeb) noacutei tắt lagrave dịch vụ Web
Dịch vụ Web sử dụng giao thức HTTP để tiếp nhận yecircu cầu (Requests) của trigravenh duyệt Web (Web browser) dưới dạng một địa chỉ URL (Uniform Resource Locator) của một trang Web vagraveIIS phản hồi lại caacutec yecircu cầu bằng caacutech gửi về cho Web browser
nội dung của trang Web tương ứng
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 1230
12
2 IIS lagrave gigrave (tiếp)
Cagravei đặt IIS
Hiện tại đatilde coacute caacutec phiecircn bản 30 40 vagrave 51 Noacutei chung caacutechcagravei đặt khocircng coacute gigrave khoacute vagrave khaacutec nhau lắm giữa caacutec version
Lưu yacute Tốt nhất lagrave coacute bản cagravei ngoagravei (từ đĩa CD hoặc
download từ Internet) Hoặc cagravei Personal Web Server trong AddRemove Programstrong Control Panel Window NT server 40
Hoặc cagravei Internet Information Server trong AddRemove
Programs trong Control Panel hoặc trong Windows NT OptionPack Windows 2000
Hoặc cagravei Internet Information Server trong AddRemovePrograms trong Control Panel để cagravei IIS
Cagravei đặt IIS
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 1330
13
3 Apache server
31 Apache server lagrave gigrave
Apache hay lagrave chương trigravenh maacutey chủ HTTP lagrave một chương trigravenh dagravenh cho maacutey chủ đối thoại qua giao thức HTTP
Apache chạy trecircn caacutec hệ điều hagravenh tương tự như UnixMicrosoft Windows Novell Netware vagrave caacutec hệ điều hagravenhkhaacutec
Apache đoacuteng một vai trograve quan trọng trong quaacute trigravenh
phaacutet triển của mạng WEB thế giới (tiếng Anh World WideWeb)
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 1430
14
3 Apache server
31 Apache server lagrave gigrave
Khi được phaacutet hagravenh lần đầu Apache lagrave chương trigravenh maacuteychủ matilde nguồn mở duy nhất coacute khả năng cạnh tranh với chương trigravenh maacutey chủ tương tự của Netscape Communications
Corporation magrave ngagravey nay được biết đến qua tecircn thương mại Sun Java System Web Server
Từ đoacute trở đi Apache đatilde khocircng ngừng tiến triển vagrave trở thagravenhmột phần mềm coacute sức cạnh tranh mạnh so với caacutec chương trigravenh maacutey chủ khaacutec về mặt hiệu suất vagrave tiacutenh năng phong phuacute
Từ thaacuteng 4 natildem 1996 Apache trở thagravenh một chương trigravenhmaacutey chủ HTTP thocircng dụng nhất Tiacutenh đến thaacuteng 1 năm 2007 thigrave Apache chiếm đến 60 thị trường caacutec chương trigravenh phacircn phối trang web
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 1530
15
3 Apache server
31 Apache server lagrave gigrave Apache được phaacutet triển vagrave duy trigrave bởi một cộng đồng matildenguồn mở dưới sự bảo trợ của Apache Software Foundation
Apache được phaacutet hagravenh với giấy pheacutep Apache License vagrave lagrave
một phần mềm tự do vagrave miễn phiacute Apache HTTP Server lagrave web server mạnh mẽ uyển chuyển tương thiacutech với giao thức HTTP11 Phiecircn bản gốc của Apache được thiết kế để thay thế cho NCSA HTTP Server vagraveđến nay noacute đatilde phaacutet triển mạnh mẽ trở thagravenh web server phổ
biến nhất trecircn Internet Lagrave 1 dự aacuten của Apache Software Foundation những người phaacutet triển noacute đatilde hợp taacutec phaacutet triển vagrave duy trigrave để Apachetrở necircn mạnh mẽ hơn đạt được cấp độ thương mại vagrave chuẩn
server với matilde nguồn miễn phiacute
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 1630
16
3 Apache server
32 Cagravei đặt Apache serverĐể cagravei đặt 1 web server cần chuẩn bị Apache 2216 - httpd-2216-win32-x86-no_sslmsi
PHP 5212 - PHP 5212 zip package (khocircng necircn cagraveicaacutec bản mới vigrave noacute khoacute cagravei hơn caacutec hosting hiện naycũng vẫn dugraveng PHP 52)
MySQL 5151 - mysql-essential-5151-win32msi
phpMyAdmin - phpMyAdmin-337-englishzip
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 1730
17
3 Apache server
32 Cagravei đặt Apache server Ta cagravei đặt Apache với caacutec lựa chọn mặc định
Network domain localhost
Server name localhost
Administrators email address email của bạn Sau khi cagravei đặt xong Apache sẽ chạy dưới dạng 1
service của Windows vagrave noacute được thiết lập mặc định khởi động cugraveng Windows
Một chương trigravenh nhỏ coacute tecircn Apache Service Monitorcũng được tự động chạy dưới khay hệ thống để coacute thể mở hoặc tắt Apache thuận tiện
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 1830
18
3 Apache server
32 Cagravei đặt Apache serverĐể kiểm tra hatildey vagraveo trigravenh duyệt vagrave gotilde vagraveo khungaddress httplocalhost Dograveng url nagravey sẽ gọi fileindexhtml nằm trong thư mục htdocs trong thư mục cagravei
đặt Apache đacircy lagrave thư mục gốc mặc định của Apachewebsite của bạn sẽ được chứa tại đacircy
Sau khi chạy thagravenh cocircng Nếu muốn cấu higravenh lại Apachecho phugrave hợp hơn dugraveng Notepad mở file httpdconf nằm
trong thư mục conf trong thư mục cagravei đặt Apache (hoặc vagraveo Start menu để mở) vagrave tiến hagravenh chỉnh sửa
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 1930
19
3 Apache server
33 Tiacutenh năng của Apache server Apache lagrave một phần mềm coacute nhiều tiacutenh năng mạnh vagravelinh hoạt dugraveng để lagravem Web Server
Hỗ trợ đầy đủ những giao thức HTTP trước đacircy như HTTP11Coacute thể cấu higravenh vagrave mở rộng với những module của cocircngty thứ ba
Cung cấp source code đầy đủ với license khocircng hạn chế Chạy trecircn nhiều hệ điều hagravenh như Windows NT9xNetware 5x OS2 vagrave trecircn hầu hết caacutec hệ điều hagravenh Unix
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2030
20
3 Apache server
34 Bảo mật cho Apache serverTiacutenh đa năng của Apache tạo ra những khoacute khăn để thực hiện một mocirc thức tổng quaacutet với mục điacutech kiện toagravenbảo mật cho server trong mọi trường hợp coacute thể được
ETHacircy lagrave lyacute do để dựa trecircn caacutec chức năng sau Web server coacute thể truy cập từ Internet
Chỉ những trang HTML tĩnh (static HTML pages) sẽ được phục vụ
Server hỗ trợ tecircn miền cho cơ chế dịch vụ ảo
Caacutec trang web đatilde ấn định chỉ coacute thể truy cập từ caacutec cụm IPaddresses hoặc người dugraveng (khai baacuteo căn bản)
Server sẽ tường trigravenh trọn bộ caacutec yecircu cầu (bao gồm những thocircng tin về caacutec web browsers)
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2130
21
3 Apache server
34 Bảo mật cho Apache serverNhững trugrave bị bảo mật Một trong những nhacircn tố quan trọng nhất cho mọi cocircng trigravenhđiện toaacuten lagrave việc xaacutec thực caacutec trugrave bị bảo mật ETHiều nagravey phải
được thoả matilden trước khi cocircng trigravenh được ứng tạo Caacutec trugrave bị bảo mật cho web server của chuacuteng ta như sau
Hệ điều hagravenh phải được kiện toagraven cagraveng chặt chẽ cagraveng tốt baogồm việc phograveng bị cho những tấn cocircng từ becircn ngoagravei lẫn becircntrong
Server khocircng được cung cấp bất cứ dịch vụ nagraveo khaacutec ngoại trừ HTTP (80TCP)
Truy cập từ xa đến server phải được kiểm soaacutet bởi tường lửathiết bị nagravey chặn trọn bộ những tiếp nối cho lối ra vagrave cho pheacutepnhững tiếp nối cho lối vagraveo đến cổng 80TCP của web server
magrave thocirci
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2230
22
3 Apache server
34 Bảo mật cho Apache serverNhững trugrave bị bảo mật (tiếp)
Web server Apache lagrave dịch vụ duy nhất hiện hữu trecircn hệ thống
Chỉ coacute những modules nagraveo tuyệt đối cần thiết mới được cho pheacutep hoạt động
Caacutec trang web dugraveng cho cocircng taacutec chẩn xeacutet vagrave tự động hoaacute mục lục phải được tắt bỏ
Srver necircn giảm thiểu tối đa vấn đề tiết lộ những thocircng tin của chiacutenh server (mật tiacutenh qua ẩn tiacutenh)
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2330
23
3 Apache server
34 Bảo mật cho Apache serverNhững trugrave bị bảo mật (tiếp)
Apache server phải chạy bằng UIDGID riecircng biệt (định danh người dugraveng định danh nhoacutem) khocircngđược dugraveng bất cứ tiến trigravenh (process) nagraveo khaacutec
của hệ thống Caacutec process của Apache phải coacute giới hạn nhất
định đến hệ thư mục (chrooting)
Khocircng coacute bất cứ chương trigravenh dạng shell nagraveo hiện hữu trong mocirci trường chrooted (binsh bincshvv)
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2430
24
3 Apache server
34 Bảo mật cho Apache serverCagravei đặt hệ điều hagravenh
Trước khi cagravei đặt Apache chuacuteng ta phải chọn lấy một hệ điều hagravenh đoacute lagrave mocirci trường Apache sẽ hoạt động
Ở đacircy chuacuteng ta coacute khaacute nhiều chọn lựa vigrave Apache coacute thể được biecircn dịch vagrave cagravei đặt trecircn hầu hết caacutec hệ điều hagravenh
Tuy nhiecircn necircn chọn caacutec hệ điều hagravenh UNIXLINUX lyacute
do chiacutenh lagrave vigrave hệ điều hagravenh MS Windows bị giới hạn khả năng kiện toagraven bảo mật cho Apache
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2530
25
3 Apache server
34 Bảo mật cho Apache serverCagravei đặt hệ điều hagravenh
Bước đầu tiecircn trong vấn đề bảo mật Web server lagrave kiện toagraven hệ điều hagravenh
Sau khi hệ thống được cagravei đặt vagrave kiện toagraven chuacuteng tacần thecircm một nhoacutem vagrave một người dugraveng thocircng thường gọi lagrave apache
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2630
26
3 Apache server
34 Bảo mật cho Apache serverCagravei đặt hệ điều hagravenh
Theo mặc định caacutec process thuộc Apache chạy với chủ quyền của người dugraveng nobody (ngoại trừ process chiacutenh
phải chạy với chủ quyền root) vagrave GID thuộc nhoacutemnogroup
ETHiều nagravey coacute thể dẫn đến những đe dọa bảo mật nghiecircm trọng Trong trường hợp đột nhập thagravenh cocircng
tin tặc coacute thể lấy được quyền truy dụng đến những process khaacutec chạy cugraveng UIDGID
Bởi thế giải phaacutep tối ưu lagrave cho Apache chạy bằng UIDGID từ nhoacutem riecircng biệt chuyecircn chuacute đến software
ấy thocirci
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2730
27
3 Apache server
34 Bảo mật cho Apache serverChuẩn bị software
Bước kế tiếp lagrave bước tải phiecircn bản Apache mới nhất từ web site Apache
Sau khi tải software về chuacuteng ta phải giải neacuten Kế tiếp chuacuteng ta quyết định modules nagraveo được pheacutep hoạt động
Chọn lựa caacutec modules lagrave một trong những bước quan
trọng nhất trong vấn đề bảo mật Apache Chuacuteng ta necircntheo luật cagraveng iacutet cagraveng tốt
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2830
28
3 Apache server
34 Bảo mật cho Apache serverChuẩn bị software
ETHể thoả matilden chức năng vagrave những trugrave bị bảo mật caacutecmodules sau cần được cho pheacutep httpd_core Chứa caacutec chức năng cốt lotildei của Apache
cần thiết cho bất cứ Apache nagraveo
mod_access Cung cấp chế độ khiển taacutec dựa trecircn tecircnmaacutey địa chỉ IP hoặc caacutec tiacutenh chất yecircu cầu thuộc về caacutec clients Bởi vigrave module nagravey cần cho caacutec chỉ phối
(directive) order allow vagrave deny noacute cần được chopheacutep
mod_auth Cần thiết để ứng dụng vấn đề khai baacuteongười dugraveng cho việc sử dụng caacutec hồ sơ nguyecircn bản (khai baacuteo căn bản cho HTTP) được chỉ định trong chức
năng trugrave bị
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2930
29
3 Apache server
34 Bảo mật cho Apache server
Chuẩn bị software (tiếp) mod_dir Cần thiết để tigravem kiếm vagrave phục vụ caacutec hồ sơ
thư mục indexhtml defaulthtm vv
mod_log_config Cần thiết để ứng hiệu baacuteo caacuteo
những yecircu cầu thực hiện đến server mod_mime Cần thiết để chỉnh lyacute nhoacutem chữ caacutei matilde
hoaacute nội dung tugravey taacutec ngocircn ngữ nội dung vagrave caacutec loạiMIME đại diện cho caacutec loại tagravei liệu
Tất cả caacutec modules khaacutec của Apache phải được tắt bỏ
Web server
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 3030
30
Hết chương 5
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 930
9
2 IIS lagrave gigrave (tiếp)
Như vậy sau khi thiết kế xong caacutec trang Web của migravenh nếu ta muốn đưa chuacuteng lecircn mạng để mọi người coacutethể truy cập vagrave xem chuacuteng thigrave ta phải nhờ đến một WebServer ở đacircy lagrave IIS
Nếu khocircng qua IIS thigrave trang Web đoacute chỉ coacute thể được xem trecircn chiacutenh maacutey của ta hoặc thocircng qua việc chia sẻ tệp (file sharing) như caacutec tệp bất kỳ trong mạng nội bộ magrave thocirci
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 1030
10
2 IIS lagrave gigrave (tiếp)
Chức năng của IIS
Nhiệm vụ của IIS lagrave tiếp nhận yecircu cầu của maacutey trạm vagraveđaacutep ứng lại yecircu cầu đoacute bằng caacutech gửi về maacutey trạm những thocircng tin magrave maacutey trạm yecircu cầu
Ta coacute thể sử dụng IIS để Xuất bản một Website của bạn trecircn Internet
Tạo caacutec giao dịch thương mại điện tử trecircn Internet (hiện caacuteccatalog vagrave nhận được caacutec đơn đặt hagraveng từ nguời tiecircu dugraveng)
Chia sẻ file dữ liệu thocircng qua giao thức FTP Cho pheacutep người ở xa coacute thể truy xuất database của bạn (gọi lagrave Database remoteaccess)
Vagrave rất nhiều khả năng khaacutec
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 1130
11
2 IIS lagrave gigrave (tiếp)
Hoạt động của IIS
IIS sử dụng caacutec giao thức mạng phổ biến lagrave HTTP (HyperText Transfer Protocol) vagrave FPT (File Transfer Protocol) vagrave một số giao thức khaacutec như SMTP POP3 để tiếp nhận yecircu cầu vagrave
truyền tải thocircng tin trecircn mạng với caacutec định dạng khaacutec nhau Một trong những dịch vụ phổ biến nhất của IIS magrave chuacuteng taquan tacircm trong chương trigravenh nagravey lagrave dịch vụ WWW (World WideWeb) noacutei tắt lagrave dịch vụ Web
Dịch vụ Web sử dụng giao thức HTTP để tiếp nhận yecircu cầu (Requests) của trigravenh duyệt Web (Web browser) dưới dạng một địa chỉ URL (Uniform Resource Locator) của một trang Web vagraveIIS phản hồi lại caacutec yecircu cầu bằng caacutech gửi về cho Web browser
nội dung của trang Web tương ứng
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 1230
12
2 IIS lagrave gigrave (tiếp)
Cagravei đặt IIS
Hiện tại đatilde coacute caacutec phiecircn bản 30 40 vagrave 51 Noacutei chung caacutechcagravei đặt khocircng coacute gigrave khoacute vagrave khaacutec nhau lắm giữa caacutec version
Lưu yacute Tốt nhất lagrave coacute bản cagravei ngoagravei (từ đĩa CD hoặc
download từ Internet) Hoặc cagravei Personal Web Server trong AddRemove Programstrong Control Panel Window NT server 40
Hoặc cagravei Internet Information Server trong AddRemove
Programs trong Control Panel hoặc trong Windows NT OptionPack Windows 2000
Hoặc cagravei Internet Information Server trong AddRemovePrograms trong Control Panel để cagravei IIS
Cagravei đặt IIS
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 1330
13
3 Apache server
31 Apache server lagrave gigrave
Apache hay lagrave chương trigravenh maacutey chủ HTTP lagrave một chương trigravenh dagravenh cho maacutey chủ đối thoại qua giao thức HTTP
Apache chạy trecircn caacutec hệ điều hagravenh tương tự như UnixMicrosoft Windows Novell Netware vagrave caacutec hệ điều hagravenhkhaacutec
Apache đoacuteng một vai trograve quan trọng trong quaacute trigravenh
phaacutet triển của mạng WEB thế giới (tiếng Anh World WideWeb)
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 1430
14
3 Apache server
31 Apache server lagrave gigrave
Khi được phaacutet hagravenh lần đầu Apache lagrave chương trigravenh maacuteychủ matilde nguồn mở duy nhất coacute khả năng cạnh tranh với chương trigravenh maacutey chủ tương tự của Netscape Communications
Corporation magrave ngagravey nay được biết đến qua tecircn thương mại Sun Java System Web Server
Từ đoacute trở đi Apache đatilde khocircng ngừng tiến triển vagrave trở thagravenhmột phần mềm coacute sức cạnh tranh mạnh so với caacutec chương trigravenh maacutey chủ khaacutec về mặt hiệu suất vagrave tiacutenh năng phong phuacute
Từ thaacuteng 4 natildem 1996 Apache trở thagravenh một chương trigravenhmaacutey chủ HTTP thocircng dụng nhất Tiacutenh đến thaacuteng 1 năm 2007 thigrave Apache chiếm đến 60 thị trường caacutec chương trigravenh phacircn phối trang web
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 1530
15
3 Apache server
31 Apache server lagrave gigrave Apache được phaacutet triển vagrave duy trigrave bởi một cộng đồng matildenguồn mở dưới sự bảo trợ của Apache Software Foundation
Apache được phaacutet hagravenh với giấy pheacutep Apache License vagrave lagrave
một phần mềm tự do vagrave miễn phiacute Apache HTTP Server lagrave web server mạnh mẽ uyển chuyển tương thiacutech với giao thức HTTP11 Phiecircn bản gốc của Apache được thiết kế để thay thế cho NCSA HTTP Server vagraveđến nay noacute đatilde phaacutet triển mạnh mẽ trở thagravenh web server phổ
biến nhất trecircn Internet Lagrave 1 dự aacuten của Apache Software Foundation những người phaacutet triển noacute đatilde hợp taacutec phaacutet triển vagrave duy trigrave để Apachetrở necircn mạnh mẽ hơn đạt được cấp độ thương mại vagrave chuẩn
server với matilde nguồn miễn phiacute
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 1630
16
3 Apache server
32 Cagravei đặt Apache serverĐể cagravei đặt 1 web server cần chuẩn bị Apache 2216 - httpd-2216-win32-x86-no_sslmsi
PHP 5212 - PHP 5212 zip package (khocircng necircn cagraveicaacutec bản mới vigrave noacute khoacute cagravei hơn caacutec hosting hiện naycũng vẫn dugraveng PHP 52)
MySQL 5151 - mysql-essential-5151-win32msi
phpMyAdmin - phpMyAdmin-337-englishzip
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 1730
17
3 Apache server
32 Cagravei đặt Apache server Ta cagravei đặt Apache với caacutec lựa chọn mặc định
Network domain localhost
Server name localhost
Administrators email address email của bạn Sau khi cagravei đặt xong Apache sẽ chạy dưới dạng 1
service của Windows vagrave noacute được thiết lập mặc định khởi động cugraveng Windows
Một chương trigravenh nhỏ coacute tecircn Apache Service Monitorcũng được tự động chạy dưới khay hệ thống để coacute thể mở hoặc tắt Apache thuận tiện
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 1830
18
3 Apache server
32 Cagravei đặt Apache serverĐể kiểm tra hatildey vagraveo trigravenh duyệt vagrave gotilde vagraveo khungaddress httplocalhost Dograveng url nagravey sẽ gọi fileindexhtml nằm trong thư mục htdocs trong thư mục cagravei
đặt Apache đacircy lagrave thư mục gốc mặc định của Apachewebsite của bạn sẽ được chứa tại đacircy
Sau khi chạy thagravenh cocircng Nếu muốn cấu higravenh lại Apachecho phugrave hợp hơn dugraveng Notepad mở file httpdconf nằm
trong thư mục conf trong thư mục cagravei đặt Apache (hoặc vagraveo Start menu để mở) vagrave tiến hagravenh chỉnh sửa
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 1930
19
3 Apache server
33 Tiacutenh năng của Apache server Apache lagrave một phần mềm coacute nhiều tiacutenh năng mạnh vagravelinh hoạt dugraveng để lagravem Web Server
Hỗ trợ đầy đủ những giao thức HTTP trước đacircy như HTTP11Coacute thể cấu higravenh vagrave mở rộng với những module của cocircngty thứ ba
Cung cấp source code đầy đủ với license khocircng hạn chế Chạy trecircn nhiều hệ điều hagravenh như Windows NT9xNetware 5x OS2 vagrave trecircn hầu hết caacutec hệ điều hagravenh Unix
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2030
20
3 Apache server
34 Bảo mật cho Apache serverTiacutenh đa năng của Apache tạo ra những khoacute khăn để thực hiện một mocirc thức tổng quaacutet với mục điacutech kiện toagravenbảo mật cho server trong mọi trường hợp coacute thể được
ETHacircy lagrave lyacute do để dựa trecircn caacutec chức năng sau Web server coacute thể truy cập từ Internet
Chỉ những trang HTML tĩnh (static HTML pages) sẽ được phục vụ
Server hỗ trợ tecircn miền cho cơ chế dịch vụ ảo
Caacutec trang web đatilde ấn định chỉ coacute thể truy cập từ caacutec cụm IPaddresses hoặc người dugraveng (khai baacuteo căn bản)
Server sẽ tường trigravenh trọn bộ caacutec yecircu cầu (bao gồm những thocircng tin về caacutec web browsers)
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2130
21
3 Apache server
34 Bảo mật cho Apache serverNhững trugrave bị bảo mật Một trong những nhacircn tố quan trọng nhất cho mọi cocircng trigravenhđiện toaacuten lagrave việc xaacutec thực caacutec trugrave bị bảo mật ETHiều nagravey phải
được thoả matilden trước khi cocircng trigravenh được ứng tạo Caacutec trugrave bị bảo mật cho web server của chuacuteng ta như sau
Hệ điều hagravenh phải được kiện toagraven cagraveng chặt chẽ cagraveng tốt baogồm việc phograveng bị cho những tấn cocircng từ becircn ngoagravei lẫn becircntrong
Server khocircng được cung cấp bất cứ dịch vụ nagraveo khaacutec ngoại trừ HTTP (80TCP)
Truy cập từ xa đến server phải được kiểm soaacutet bởi tường lửathiết bị nagravey chặn trọn bộ những tiếp nối cho lối ra vagrave cho pheacutepnhững tiếp nối cho lối vagraveo đến cổng 80TCP của web server
magrave thocirci
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2230
22
3 Apache server
34 Bảo mật cho Apache serverNhững trugrave bị bảo mật (tiếp)
Web server Apache lagrave dịch vụ duy nhất hiện hữu trecircn hệ thống
Chỉ coacute những modules nagraveo tuyệt đối cần thiết mới được cho pheacutep hoạt động
Caacutec trang web dugraveng cho cocircng taacutec chẩn xeacutet vagrave tự động hoaacute mục lục phải được tắt bỏ
Srver necircn giảm thiểu tối đa vấn đề tiết lộ những thocircng tin của chiacutenh server (mật tiacutenh qua ẩn tiacutenh)
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2330
23
3 Apache server
34 Bảo mật cho Apache serverNhững trugrave bị bảo mật (tiếp)
Apache server phải chạy bằng UIDGID riecircng biệt (định danh người dugraveng định danh nhoacutem) khocircngđược dugraveng bất cứ tiến trigravenh (process) nagraveo khaacutec
của hệ thống Caacutec process của Apache phải coacute giới hạn nhất
định đến hệ thư mục (chrooting)
Khocircng coacute bất cứ chương trigravenh dạng shell nagraveo hiện hữu trong mocirci trường chrooted (binsh bincshvv)
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2430
24
3 Apache server
34 Bảo mật cho Apache serverCagravei đặt hệ điều hagravenh
Trước khi cagravei đặt Apache chuacuteng ta phải chọn lấy một hệ điều hagravenh đoacute lagrave mocirci trường Apache sẽ hoạt động
Ở đacircy chuacuteng ta coacute khaacute nhiều chọn lựa vigrave Apache coacute thể được biecircn dịch vagrave cagravei đặt trecircn hầu hết caacutec hệ điều hagravenh
Tuy nhiecircn necircn chọn caacutec hệ điều hagravenh UNIXLINUX lyacute
do chiacutenh lagrave vigrave hệ điều hagravenh MS Windows bị giới hạn khả năng kiện toagraven bảo mật cho Apache
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2530
25
3 Apache server
34 Bảo mật cho Apache serverCagravei đặt hệ điều hagravenh
Bước đầu tiecircn trong vấn đề bảo mật Web server lagrave kiện toagraven hệ điều hagravenh
Sau khi hệ thống được cagravei đặt vagrave kiện toagraven chuacuteng tacần thecircm một nhoacutem vagrave một người dugraveng thocircng thường gọi lagrave apache
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2630
26
3 Apache server
34 Bảo mật cho Apache serverCagravei đặt hệ điều hagravenh
Theo mặc định caacutec process thuộc Apache chạy với chủ quyền của người dugraveng nobody (ngoại trừ process chiacutenh
phải chạy với chủ quyền root) vagrave GID thuộc nhoacutemnogroup
ETHiều nagravey coacute thể dẫn đến những đe dọa bảo mật nghiecircm trọng Trong trường hợp đột nhập thagravenh cocircng
tin tặc coacute thể lấy được quyền truy dụng đến những process khaacutec chạy cugraveng UIDGID
Bởi thế giải phaacutep tối ưu lagrave cho Apache chạy bằng UIDGID từ nhoacutem riecircng biệt chuyecircn chuacute đến software
ấy thocirci
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2730
27
3 Apache server
34 Bảo mật cho Apache serverChuẩn bị software
Bước kế tiếp lagrave bước tải phiecircn bản Apache mới nhất từ web site Apache
Sau khi tải software về chuacuteng ta phải giải neacuten Kế tiếp chuacuteng ta quyết định modules nagraveo được pheacutep hoạt động
Chọn lựa caacutec modules lagrave một trong những bước quan
trọng nhất trong vấn đề bảo mật Apache Chuacuteng ta necircntheo luật cagraveng iacutet cagraveng tốt
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2830
28
3 Apache server
34 Bảo mật cho Apache serverChuẩn bị software
ETHể thoả matilden chức năng vagrave những trugrave bị bảo mật caacutecmodules sau cần được cho pheacutep httpd_core Chứa caacutec chức năng cốt lotildei của Apache
cần thiết cho bất cứ Apache nagraveo
mod_access Cung cấp chế độ khiển taacutec dựa trecircn tecircnmaacutey địa chỉ IP hoặc caacutec tiacutenh chất yecircu cầu thuộc về caacutec clients Bởi vigrave module nagravey cần cho caacutec chỉ phối
(directive) order allow vagrave deny noacute cần được chopheacutep
mod_auth Cần thiết để ứng dụng vấn đề khai baacuteongười dugraveng cho việc sử dụng caacutec hồ sơ nguyecircn bản (khai baacuteo căn bản cho HTTP) được chỉ định trong chức
năng trugrave bị
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2930
29
3 Apache server
34 Bảo mật cho Apache server
Chuẩn bị software (tiếp) mod_dir Cần thiết để tigravem kiếm vagrave phục vụ caacutec hồ sơ
thư mục indexhtml defaulthtm vv
mod_log_config Cần thiết để ứng hiệu baacuteo caacuteo
những yecircu cầu thực hiện đến server mod_mime Cần thiết để chỉnh lyacute nhoacutem chữ caacutei matilde
hoaacute nội dung tugravey taacutec ngocircn ngữ nội dung vagrave caacutec loạiMIME đại diện cho caacutec loại tagravei liệu
Tất cả caacutec modules khaacutec của Apache phải được tắt bỏ
Web server
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 3030
30
Hết chương 5
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 1030
10
2 IIS lagrave gigrave (tiếp)
Chức năng của IIS
Nhiệm vụ của IIS lagrave tiếp nhận yecircu cầu của maacutey trạm vagraveđaacutep ứng lại yecircu cầu đoacute bằng caacutech gửi về maacutey trạm những thocircng tin magrave maacutey trạm yecircu cầu
Ta coacute thể sử dụng IIS để Xuất bản một Website của bạn trecircn Internet
Tạo caacutec giao dịch thương mại điện tử trecircn Internet (hiện caacuteccatalog vagrave nhận được caacutec đơn đặt hagraveng từ nguời tiecircu dugraveng)
Chia sẻ file dữ liệu thocircng qua giao thức FTP Cho pheacutep người ở xa coacute thể truy xuất database của bạn (gọi lagrave Database remoteaccess)
Vagrave rất nhiều khả năng khaacutec
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 1130
11
2 IIS lagrave gigrave (tiếp)
Hoạt động của IIS
IIS sử dụng caacutec giao thức mạng phổ biến lagrave HTTP (HyperText Transfer Protocol) vagrave FPT (File Transfer Protocol) vagrave một số giao thức khaacutec như SMTP POP3 để tiếp nhận yecircu cầu vagrave
truyền tải thocircng tin trecircn mạng với caacutec định dạng khaacutec nhau Một trong những dịch vụ phổ biến nhất của IIS magrave chuacuteng taquan tacircm trong chương trigravenh nagravey lagrave dịch vụ WWW (World WideWeb) noacutei tắt lagrave dịch vụ Web
Dịch vụ Web sử dụng giao thức HTTP để tiếp nhận yecircu cầu (Requests) của trigravenh duyệt Web (Web browser) dưới dạng một địa chỉ URL (Uniform Resource Locator) của một trang Web vagraveIIS phản hồi lại caacutec yecircu cầu bằng caacutech gửi về cho Web browser
nội dung của trang Web tương ứng
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 1230
12
2 IIS lagrave gigrave (tiếp)
Cagravei đặt IIS
Hiện tại đatilde coacute caacutec phiecircn bản 30 40 vagrave 51 Noacutei chung caacutechcagravei đặt khocircng coacute gigrave khoacute vagrave khaacutec nhau lắm giữa caacutec version
Lưu yacute Tốt nhất lagrave coacute bản cagravei ngoagravei (từ đĩa CD hoặc
download từ Internet) Hoặc cagravei Personal Web Server trong AddRemove Programstrong Control Panel Window NT server 40
Hoặc cagravei Internet Information Server trong AddRemove
Programs trong Control Panel hoặc trong Windows NT OptionPack Windows 2000
Hoặc cagravei Internet Information Server trong AddRemovePrograms trong Control Panel để cagravei IIS
Cagravei đặt IIS
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 1330
13
3 Apache server
31 Apache server lagrave gigrave
Apache hay lagrave chương trigravenh maacutey chủ HTTP lagrave một chương trigravenh dagravenh cho maacutey chủ đối thoại qua giao thức HTTP
Apache chạy trecircn caacutec hệ điều hagravenh tương tự như UnixMicrosoft Windows Novell Netware vagrave caacutec hệ điều hagravenhkhaacutec
Apache đoacuteng một vai trograve quan trọng trong quaacute trigravenh
phaacutet triển của mạng WEB thế giới (tiếng Anh World WideWeb)
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 1430
14
3 Apache server
31 Apache server lagrave gigrave
Khi được phaacutet hagravenh lần đầu Apache lagrave chương trigravenh maacuteychủ matilde nguồn mở duy nhất coacute khả năng cạnh tranh với chương trigravenh maacutey chủ tương tự của Netscape Communications
Corporation magrave ngagravey nay được biết đến qua tecircn thương mại Sun Java System Web Server
Từ đoacute trở đi Apache đatilde khocircng ngừng tiến triển vagrave trở thagravenhmột phần mềm coacute sức cạnh tranh mạnh so với caacutec chương trigravenh maacutey chủ khaacutec về mặt hiệu suất vagrave tiacutenh năng phong phuacute
Từ thaacuteng 4 natildem 1996 Apache trở thagravenh một chương trigravenhmaacutey chủ HTTP thocircng dụng nhất Tiacutenh đến thaacuteng 1 năm 2007 thigrave Apache chiếm đến 60 thị trường caacutec chương trigravenh phacircn phối trang web
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 1530
15
3 Apache server
31 Apache server lagrave gigrave Apache được phaacutet triển vagrave duy trigrave bởi một cộng đồng matildenguồn mở dưới sự bảo trợ của Apache Software Foundation
Apache được phaacutet hagravenh với giấy pheacutep Apache License vagrave lagrave
một phần mềm tự do vagrave miễn phiacute Apache HTTP Server lagrave web server mạnh mẽ uyển chuyển tương thiacutech với giao thức HTTP11 Phiecircn bản gốc của Apache được thiết kế để thay thế cho NCSA HTTP Server vagraveđến nay noacute đatilde phaacutet triển mạnh mẽ trở thagravenh web server phổ
biến nhất trecircn Internet Lagrave 1 dự aacuten của Apache Software Foundation những người phaacutet triển noacute đatilde hợp taacutec phaacutet triển vagrave duy trigrave để Apachetrở necircn mạnh mẽ hơn đạt được cấp độ thương mại vagrave chuẩn
server với matilde nguồn miễn phiacute
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 1630
16
3 Apache server
32 Cagravei đặt Apache serverĐể cagravei đặt 1 web server cần chuẩn bị Apache 2216 - httpd-2216-win32-x86-no_sslmsi
PHP 5212 - PHP 5212 zip package (khocircng necircn cagraveicaacutec bản mới vigrave noacute khoacute cagravei hơn caacutec hosting hiện naycũng vẫn dugraveng PHP 52)
MySQL 5151 - mysql-essential-5151-win32msi
phpMyAdmin - phpMyAdmin-337-englishzip
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 1730
17
3 Apache server
32 Cagravei đặt Apache server Ta cagravei đặt Apache với caacutec lựa chọn mặc định
Network domain localhost
Server name localhost
Administrators email address email của bạn Sau khi cagravei đặt xong Apache sẽ chạy dưới dạng 1
service của Windows vagrave noacute được thiết lập mặc định khởi động cugraveng Windows
Một chương trigravenh nhỏ coacute tecircn Apache Service Monitorcũng được tự động chạy dưới khay hệ thống để coacute thể mở hoặc tắt Apache thuận tiện
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 1830
18
3 Apache server
32 Cagravei đặt Apache serverĐể kiểm tra hatildey vagraveo trigravenh duyệt vagrave gotilde vagraveo khungaddress httplocalhost Dograveng url nagravey sẽ gọi fileindexhtml nằm trong thư mục htdocs trong thư mục cagravei
đặt Apache đacircy lagrave thư mục gốc mặc định của Apachewebsite của bạn sẽ được chứa tại đacircy
Sau khi chạy thagravenh cocircng Nếu muốn cấu higravenh lại Apachecho phugrave hợp hơn dugraveng Notepad mở file httpdconf nằm
trong thư mục conf trong thư mục cagravei đặt Apache (hoặc vagraveo Start menu để mở) vagrave tiến hagravenh chỉnh sửa
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 1930
19
3 Apache server
33 Tiacutenh năng của Apache server Apache lagrave một phần mềm coacute nhiều tiacutenh năng mạnh vagravelinh hoạt dugraveng để lagravem Web Server
Hỗ trợ đầy đủ những giao thức HTTP trước đacircy như HTTP11Coacute thể cấu higravenh vagrave mở rộng với những module của cocircngty thứ ba
Cung cấp source code đầy đủ với license khocircng hạn chế Chạy trecircn nhiều hệ điều hagravenh như Windows NT9xNetware 5x OS2 vagrave trecircn hầu hết caacutec hệ điều hagravenh Unix
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2030
20
3 Apache server
34 Bảo mật cho Apache serverTiacutenh đa năng của Apache tạo ra những khoacute khăn để thực hiện một mocirc thức tổng quaacutet với mục điacutech kiện toagravenbảo mật cho server trong mọi trường hợp coacute thể được
ETHacircy lagrave lyacute do để dựa trecircn caacutec chức năng sau Web server coacute thể truy cập từ Internet
Chỉ những trang HTML tĩnh (static HTML pages) sẽ được phục vụ
Server hỗ trợ tecircn miền cho cơ chế dịch vụ ảo
Caacutec trang web đatilde ấn định chỉ coacute thể truy cập từ caacutec cụm IPaddresses hoặc người dugraveng (khai baacuteo căn bản)
Server sẽ tường trigravenh trọn bộ caacutec yecircu cầu (bao gồm những thocircng tin về caacutec web browsers)
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2130
21
3 Apache server
34 Bảo mật cho Apache serverNhững trugrave bị bảo mật Một trong những nhacircn tố quan trọng nhất cho mọi cocircng trigravenhđiện toaacuten lagrave việc xaacutec thực caacutec trugrave bị bảo mật ETHiều nagravey phải
được thoả matilden trước khi cocircng trigravenh được ứng tạo Caacutec trugrave bị bảo mật cho web server của chuacuteng ta như sau
Hệ điều hagravenh phải được kiện toagraven cagraveng chặt chẽ cagraveng tốt baogồm việc phograveng bị cho những tấn cocircng từ becircn ngoagravei lẫn becircntrong
Server khocircng được cung cấp bất cứ dịch vụ nagraveo khaacutec ngoại trừ HTTP (80TCP)
Truy cập từ xa đến server phải được kiểm soaacutet bởi tường lửathiết bị nagravey chặn trọn bộ những tiếp nối cho lối ra vagrave cho pheacutepnhững tiếp nối cho lối vagraveo đến cổng 80TCP của web server
magrave thocirci
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2230
22
3 Apache server
34 Bảo mật cho Apache serverNhững trugrave bị bảo mật (tiếp)
Web server Apache lagrave dịch vụ duy nhất hiện hữu trecircn hệ thống
Chỉ coacute những modules nagraveo tuyệt đối cần thiết mới được cho pheacutep hoạt động
Caacutec trang web dugraveng cho cocircng taacutec chẩn xeacutet vagrave tự động hoaacute mục lục phải được tắt bỏ
Srver necircn giảm thiểu tối đa vấn đề tiết lộ những thocircng tin của chiacutenh server (mật tiacutenh qua ẩn tiacutenh)
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2330
23
3 Apache server
34 Bảo mật cho Apache serverNhững trugrave bị bảo mật (tiếp)
Apache server phải chạy bằng UIDGID riecircng biệt (định danh người dugraveng định danh nhoacutem) khocircngđược dugraveng bất cứ tiến trigravenh (process) nagraveo khaacutec
của hệ thống Caacutec process của Apache phải coacute giới hạn nhất
định đến hệ thư mục (chrooting)
Khocircng coacute bất cứ chương trigravenh dạng shell nagraveo hiện hữu trong mocirci trường chrooted (binsh bincshvv)
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2430
24
3 Apache server
34 Bảo mật cho Apache serverCagravei đặt hệ điều hagravenh
Trước khi cagravei đặt Apache chuacuteng ta phải chọn lấy một hệ điều hagravenh đoacute lagrave mocirci trường Apache sẽ hoạt động
Ở đacircy chuacuteng ta coacute khaacute nhiều chọn lựa vigrave Apache coacute thể được biecircn dịch vagrave cagravei đặt trecircn hầu hết caacutec hệ điều hagravenh
Tuy nhiecircn necircn chọn caacutec hệ điều hagravenh UNIXLINUX lyacute
do chiacutenh lagrave vigrave hệ điều hagravenh MS Windows bị giới hạn khả năng kiện toagraven bảo mật cho Apache
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2530
25
3 Apache server
34 Bảo mật cho Apache serverCagravei đặt hệ điều hagravenh
Bước đầu tiecircn trong vấn đề bảo mật Web server lagrave kiện toagraven hệ điều hagravenh
Sau khi hệ thống được cagravei đặt vagrave kiện toagraven chuacuteng tacần thecircm một nhoacutem vagrave một người dugraveng thocircng thường gọi lagrave apache
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2630
26
3 Apache server
34 Bảo mật cho Apache serverCagravei đặt hệ điều hagravenh
Theo mặc định caacutec process thuộc Apache chạy với chủ quyền của người dugraveng nobody (ngoại trừ process chiacutenh
phải chạy với chủ quyền root) vagrave GID thuộc nhoacutemnogroup
ETHiều nagravey coacute thể dẫn đến những đe dọa bảo mật nghiecircm trọng Trong trường hợp đột nhập thagravenh cocircng
tin tặc coacute thể lấy được quyền truy dụng đến những process khaacutec chạy cugraveng UIDGID
Bởi thế giải phaacutep tối ưu lagrave cho Apache chạy bằng UIDGID từ nhoacutem riecircng biệt chuyecircn chuacute đến software
ấy thocirci
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2730
27
3 Apache server
34 Bảo mật cho Apache serverChuẩn bị software
Bước kế tiếp lagrave bước tải phiecircn bản Apache mới nhất từ web site Apache
Sau khi tải software về chuacuteng ta phải giải neacuten Kế tiếp chuacuteng ta quyết định modules nagraveo được pheacutep hoạt động
Chọn lựa caacutec modules lagrave một trong những bước quan
trọng nhất trong vấn đề bảo mật Apache Chuacuteng ta necircntheo luật cagraveng iacutet cagraveng tốt
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2830
28
3 Apache server
34 Bảo mật cho Apache serverChuẩn bị software
ETHể thoả matilden chức năng vagrave những trugrave bị bảo mật caacutecmodules sau cần được cho pheacutep httpd_core Chứa caacutec chức năng cốt lotildei của Apache
cần thiết cho bất cứ Apache nagraveo
mod_access Cung cấp chế độ khiển taacutec dựa trecircn tecircnmaacutey địa chỉ IP hoặc caacutec tiacutenh chất yecircu cầu thuộc về caacutec clients Bởi vigrave module nagravey cần cho caacutec chỉ phối
(directive) order allow vagrave deny noacute cần được chopheacutep
mod_auth Cần thiết để ứng dụng vấn đề khai baacuteongười dugraveng cho việc sử dụng caacutec hồ sơ nguyecircn bản (khai baacuteo căn bản cho HTTP) được chỉ định trong chức
năng trugrave bị
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2930
29
3 Apache server
34 Bảo mật cho Apache server
Chuẩn bị software (tiếp) mod_dir Cần thiết để tigravem kiếm vagrave phục vụ caacutec hồ sơ
thư mục indexhtml defaulthtm vv
mod_log_config Cần thiết để ứng hiệu baacuteo caacuteo
những yecircu cầu thực hiện đến server mod_mime Cần thiết để chỉnh lyacute nhoacutem chữ caacutei matilde
hoaacute nội dung tugravey taacutec ngocircn ngữ nội dung vagrave caacutec loạiMIME đại diện cho caacutec loại tagravei liệu
Tất cả caacutec modules khaacutec của Apache phải được tắt bỏ
Web server
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 3030
30
Hết chương 5
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 1130
11
2 IIS lagrave gigrave (tiếp)
Hoạt động của IIS
IIS sử dụng caacutec giao thức mạng phổ biến lagrave HTTP (HyperText Transfer Protocol) vagrave FPT (File Transfer Protocol) vagrave một số giao thức khaacutec như SMTP POP3 để tiếp nhận yecircu cầu vagrave
truyền tải thocircng tin trecircn mạng với caacutec định dạng khaacutec nhau Một trong những dịch vụ phổ biến nhất của IIS magrave chuacuteng taquan tacircm trong chương trigravenh nagravey lagrave dịch vụ WWW (World WideWeb) noacutei tắt lagrave dịch vụ Web
Dịch vụ Web sử dụng giao thức HTTP để tiếp nhận yecircu cầu (Requests) của trigravenh duyệt Web (Web browser) dưới dạng một địa chỉ URL (Uniform Resource Locator) của một trang Web vagraveIIS phản hồi lại caacutec yecircu cầu bằng caacutech gửi về cho Web browser
nội dung của trang Web tương ứng
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 1230
12
2 IIS lagrave gigrave (tiếp)
Cagravei đặt IIS
Hiện tại đatilde coacute caacutec phiecircn bản 30 40 vagrave 51 Noacutei chung caacutechcagravei đặt khocircng coacute gigrave khoacute vagrave khaacutec nhau lắm giữa caacutec version
Lưu yacute Tốt nhất lagrave coacute bản cagravei ngoagravei (từ đĩa CD hoặc
download từ Internet) Hoặc cagravei Personal Web Server trong AddRemove Programstrong Control Panel Window NT server 40
Hoặc cagravei Internet Information Server trong AddRemove
Programs trong Control Panel hoặc trong Windows NT OptionPack Windows 2000
Hoặc cagravei Internet Information Server trong AddRemovePrograms trong Control Panel để cagravei IIS
Cagravei đặt IIS
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 1330
13
3 Apache server
31 Apache server lagrave gigrave
Apache hay lagrave chương trigravenh maacutey chủ HTTP lagrave một chương trigravenh dagravenh cho maacutey chủ đối thoại qua giao thức HTTP
Apache chạy trecircn caacutec hệ điều hagravenh tương tự như UnixMicrosoft Windows Novell Netware vagrave caacutec hệ điều hagravenhkhaacutec
Apache đoacuteng một vai trograve quan trọng trong quaacute trigravenh
phaacutet triển của mạng WEB thế giới (tiếng Anh World WideWeb)
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 1430
14
3 Apache server
31 Apache server lagrave gigrave
Khi được phaacutet hagravenh lần đầu Apache lagrave chương trigravenh maacuteychủ matilde nguồn mở duy nhất coacute khả năng cạnh tranh với chương trigravenh maacutey chủ tương tự của Netscape Communications
Corporation magrave ngagravey nay được biết đến qua tecircn thương mại Sun Java System Web Server
Từ đoacute trở đi Apache đatilde khocircng ngừng tiến triển vagrave trở thagravenhmột phần mềm coacute sức cạnh tranh mạnh so với caacutec chương trigravenh maacutey chủ khaacutec về mặt hiệu suất vagrave tiacutenh năng phong phuacute
Từ thaacuteng 4 natildem 1996 Apache trở thagravenh một chương trigravenhmaacutey chủ HTTP thocircng dụng nhất Tiacutenh đến thaacuteng 1 năm 2007 thigrave Apache chiếm đến 60 thị trường caacutec chương trigravenh phacircn phối trang web
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 1530
15
3 Apache server
31 Apache server lagrave gigrave Apache được phaacutet triển vagrave duy trigrave bởi một cộng đồng matildenguồn mở dưới sự bảo trợ của Apache Software Foundation
Apache được phaacutet hagravenh với giấy pheacutep Apache License vagrave lagrave
một phần mềm tự do vagrave miễn phiacute Apache HTTP Server lagrave web server mạnh mẽ uyển chuyển tương thiacutech với giao thức HTTP11 Phiecircn bản gốc của Apache được thiết kế để thay thế cho NCSA HTTP Server vagraveđến nay noacute đatilde phaacutet triển mạnh mẽ trở thagravenh web server phổ
biến nhất trecircn Internet Lagrave 1 dự aacuten của Apache Software Foundation những người phaacutet triển noacute đatilde hợp taacutec phaacutet triển vagrave duy trigrave để Apachetrở necircn mạnh mẽ hơn đạt được cấp độ thương mại vagrave chuẩn
server với matilde nguồn miễn phiacute
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 1630
16
3 Apache server
32 Cagravei đặt Apache serverĐể cagravei đặt 1 web server cần chuẩn bị Apache 2216 - httpd-2216-win32-x86-no_sslmsi
PHP 5212 - PHP 5212 zip package (khocircng necircn cagraveicaacutec bản mới vigrave noacute khoacute cagravei hơn caacutec hosting hiện naycũng vẫn dugraveng PHP 52)
MySQL 5151 - mysql-essential-5151-win32msi
phpMyAdmin - phpMyAdmin-337-englishzip
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 1730
17
3 Apache server
32 Cagravei đặt Apache server Ta cagravei đặt Apache với caacutec lựa chọn mặc định
Network domain localhost
Server name localhost
Administrators email address email của bạn Sau khi cagravei đặt xong Apache sẽ chạy dưới dạng 1
service của Windows vagrave noacute được thiết lập mặc định khởi động cugraveng Windows
Một chương trigravenh nhỏ coacute tecircn Apache Service Monitorcũng được tự động chạy dưới khay hệ thống để coacute thể mở hoặc tắt Apache thuận tiện
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 1830
18
3 Apache server
32 Cagravei đặt Apache serverĐể kiểm tra hatildey vagraveo trigravenh duyệt vagrave gotilde vagraveo khungaddress httplocalhost Dograveng url nagravey sẽ gọi fileindexhtml nằm trong thư mục htdocs trong thư mục cagravei
đặt Apache đacircy lagrave thư mục gốc mặc định của Apachewebsite của bạn sẽ được chứa tại đacircy
Sau khi chạy thagravenh cocircng Nếu muốn cấu higravenh lại Apachecho phugrave hợp hơn dugraveng Notepad mở file httpdconf nằm
trong thư mục conf trong thư mục cagravei đặt Apache (hoặc vagraveo Start menu để mở) vagrave tiến hagravenh chỉnh sửa
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 1930
19
3 Apache server
33 Tiacutenh năng của Apache server Apache lagrave một phần mềm coacute nhiều tiacutenh năng mạnh vagravelinh hoạt dugraveng để lagravem Web Server
Hỗ trợ đầy đủ những giao thức HTTP trước đacircy như HTTP11Coacute thể cấu higravenh vagrave mở rộng với những module của cocircngty thứ ba
Cung cấp source code đầy đủ với license khocircng hạn chế Chạy trecircn nhiều hệ điều hagravenh như Windows NT9xNetware 5x OS2 vagrave trecircn hầu hết caacutec hệ điều hagravenh Unix
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2030
20
3 Apache server
34 Bảo mật cho Apache serverTiacutenh đa năng của Apache tạo ra những khoacute khăn để thực hiện một mocirc thức tổng quaacutet với mục điacutech kiện toagravenbảo mật cho server trong mọi trường hợp coacute thể được
ETHacircy lagrave lyacute do để dựa trecircn caacutec chức năng sau Web server coacute thể truy cập từ Internet
Chỉ những trang HTML tĩnh (static HTML pages) sẽ được phục vụ
Server hỗ trợ tecircn miền cho cơ chế dịch vụ ảo
Caacutec trang web đatilde ấn định chỉ coacute thể truy cập từ caacutec cụm IPaddresses hoặc người dugraveng (khai baacuteo căn bản)
Server sẽ tường trigravenh trọn bộ caacutec yecircu cầu (bao gồm những thocircng tin về caacutec web browsers)
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2130
21
3 Apache server
34 Bảo mật cho Apache serverNhững trugrave bị bảo mật Một trong những nhacircn tố quan trọng nhất cho mọi cocircng trigravenhđiện toaacuten lagrave việc xaacutec thực caacutec trugrave bị bảo mật ETHiều nagravey phải
được thoả matilden trước khi cocircng trigravenh được ứng tạo Caacutec trugrave bị bảo mật cho web server của chuacuteng ta như sau
Hệ điều hagravenh phải được kiện toagraven cagraveng chặt chẽ cagraveng tốt baogồm việc phograveng bị cho những tấn cocircng từ becircn ngoagravei lẫn becircntrong
Server khocircng được cung cấp bất cứ dịch vụ nagraveo khaacutec ngoại trừ HTTP (80TCP)
Truy cập từ xa đến server phải được kiểm soaacutet bởi tường lửathiết bị nagravey chặn trọn bộ những tiếp nối cho lối ra vagrave cho pheacutepnhững tiếp nối cho lối vagraveo đến cổng 80TCP của web server
magrave thocirci
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2230
22
3 Apache server
34 Bảo mật cho Apache serverNhững trugrave bị bảo mật (tiếp)
Web server Apache lagrave dịch vụ duy nhất hiện hữu trecircn hệ thống
Chỉ coacute những modules nagraveo tuyệt đối cần thiết mới được cho pheacutep hoạt động
Caacutec trang web dugraveng cho cocircng taacutec chẩn xeacutet vagrave tự động hoaacute mục lục phải được tắt bỏ
Srver necircn giảm thiểu tối đa vấn đề tiết lộ những thocircng tin của chiacutenh server (mật tiacutenh qua ẩn tiacutenh)
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2330
23
3 Apache server
34 Bảo mật cho Apache serverNhững trugrave bị bảo mật (tiếp)
Apache server phải chạy bằng UIDGID riecircng biệt (định danh người dugraveng định danh nhoacutem) khocircngđược dugraveng bất cứ tiến trigravenh (process) nagraveo khaacutec
của hệ thống Caacutec process của Apache phải coacute giới hạn nhất
định đến hệ thư mục (chrooting)
Khocircng coacute bất cứ chương trigravenh dạng shell nagraveo hiện hữu trong mocirci trường chrooted (binsh bincshvv)
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2430
24
3 Apache server
34 Bảo mật cho Apache serverCagravei đặt hệ điều hagravenh
Trước khi cagravei đặt Apache chuacuteng ta phải chọn lấy một hệ điều hagravenh đoacute lagrave mocirci trường Apache sẽ hoạt động
Ở đacircy chuacuteng ta coacute khaacute nhiều chọn lựa vigrave Apache coacute thể được biecircn dịch vagrave cagravei đặt trecircn hầu hết caacutec hệ điều hagravenh
Tuy nhiecircn necircn chọn caacutec hệ điều hagravenh UNIXLINUX lyacute
do chiacutenh lagrave vigrave hệ điều hagravenh MS Windows bị giới hạn khả năng kiện toagraven bảo mật cho Apache
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2530
25
3 Apache server
34 Bảo mật cho Apache serverCagravei đặt hệ điều hagravenh
Bước đầu tiecircn trong vấn đề bảo mật Web server lagrave kiện toagraven hệ điều hagravenh
Sau khi hệ thống được cagravei đặt vagrave kiện toagraven chuacuteng tacần thecircm một nhoacutem vagrave một người dugraveng thocircng thường gọi lagrave apache
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2630
26
3 Apache server
34 Bảo mật cho Apache serverCagravei đặt hệ điều hagravenh
Theo mặc định caacutec process thuộc Apache chạy với chủ quyền của người dugraveng nobody (ngoại trừ process chiacutenh
phải chạy với chủ quyền root) vagrave GID thuộc nhoacutemnogroup
ETHiều nagravey coacute thể dẫn đến những đe dọa bảo mật nghiecircm trọng Trong trường hợp đột nhập thagravenh cocircng
tin tặc coacute thể lấy được quyền truy dụng đến những process khaacutec chạy cugraveng UIDGID
Bởi thế giải phaacutep tối ưu lagrave cho Apache chạy bằng UIDGID từ nhoacutem riecircng biệt chuyecircn chuacute đến software
ấy thocirci
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2730
27
3 Apache server
34 Bảo mật cho Apache serverChuẩn bị software
Bước kế tiếp lagrave bước tải phiecircn bản Apache mới nhất từ web site Apache
Sau khi tải software về chuacuteng ta phải giải neacuten Kế tiếp chuacuteng ta quyết định modules nagraveo được pheacutep hoạt động
Chọn lựa caacutec modules lagrave một trong những bước quan
trọng nhất trong vấn đề bảo mật Apache Chuacuteng ta necircntheo luật cagraveng iacutet cagraveng tốt
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2830
28
3 Apache server
34 Bảo mật cho Apache serverChuẩn bị software
ETHể thoả matilden chức năng vagrave những trugrave bị bảo mật caacutecmodules sau cần được cho pheacutep httpd_core Chứa caacutec chức năng cốt lotildei của Apache
cần thiết cho bất cứ Apache nagraveo
mod_access Cung cấp chế độ khiển taacutec dựa trecircn tecircnmaacutey địa chỉ IP hoặc caacutec tiacutenh chất yecircu cầu thuộc về caacutec clients Bởi vigrave module nagravey cần cho caacutec chỉ phối
(directive) order allow vagrave deny noacute cần được chopheacutep
mod_auth Cần thiết để ứng dụng vấn đề khai baacuteongười dugraveng cho việc sử dụng caacutec hồ sơ nguyecircn bản (khai baacuteo căn bản cho HTTP) được chỉ định trong chức
năng trugrave bị
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2930
29
3 Apache server
34 Bảo mật cho Apache server
Chuẩn bị software (tiếp) mod_dir Cần thiết để tigravem kiếm vagrave phục vụ caacutec hồ sơ
thư mục indexhtml defaulthtm vv
mod_log_config Cần thiết để ứng hiệu baacuteo caacuteo
những yecircu cầu thực hiện đến server mod_mime Cần thiết để chỉnh lyacute nhoacutem chữ caacutei matilde
hoaacute nội dung tugravey taacutec ngocircn ngữ nội dung vagrave caacutec loạiMIME đại diện cho caacutec loại tagravei liệu
Tất cả caacutec modules khaacutec của Apache phải được tắt bỏ
Web server
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 3030
30
Hết chương 5
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 1230
12
2 IIS lagrave gigrave (tiếp)
Cagravei đặt IIS
Hiện tại đatilde coacute caacutec phiecircn bản 30 40 vagrave 51 Noacutei chung caacutechcagravei đặt khocircng coacute gigrave khoacute vagrave khaacutec nhau lắm giữa caacutec version
Lưu yacute Tốt nhất lagrave coacute bản cagravei ngoagravei (từ đĩa CD hoặc
download từ Internet) Hoặc cagravei Personal Web Server trong AddRemove Programstrong Control Panel Window NT server 40
Hoặc cagravei Internet Information Server trong AddRemove
Programs trong Control Panel hoặc trong Windows NT OptionPack Windows 2000
Hoặc cagravei Internet Information Server trong AddRemovePrograms trong Control Panel để cagravei IIS
Cagravei đặt IIS
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 1330
13
3 Apache server
31 Apache server lagrave gigrave
Apache hay lagrave chương trigravenh maacutey chủ HTTP lagrave một chương trigravenh dagravenh cho maacutey chủ đối thoại qua giao thức HTTP
Apache chạy trecircn caacutec hệ điều hagravenh tương tự như UnixMicrosoft Windows Novell Netware vagrave caacutec hệ điều hagravenhkhaacutec
Apache đoacuteng một vai trograve quan trọng trong quaacute trigravenh
phaacutet triển của mạng WEB thế giới (tiếng Anh World WideWeb)
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 1430
14
3 Apache server
31 Apache server lagrave gigrave
Khi được phaacutet hagravenh lần đầu Apache lagrave chương trigravenh maacuteychủ matilde nguồn mở duy nhất coacute khả năng cạnh tranh với chương trigravenh maacutey chủ tương tự của Netscape Communications
Corporation magrave ngagravey nay được biết đến qua tecircn thương mại Sun Java System Web Server
Từ đoacute trở đi Apache đatilde khocircng ngừng tiến triển vagrave trở thagravenhmột phần mềm coacute sức cạnh tranh mạnh so với caacutec chương trigravenh maacutey chủ khaacutec về mặt hiệu suất vagrave tiacutenh năng phong phuacute
Từ thaacuteng 4 natildem 1996 Apache trở thagravenh một chương trigravenhmaacutey chủ HTTP thocircng dụng nhất Tiacutenh đến thaacuteng 1 năm 2007 thigrave Apache chiếm đến 60 thị trường caacutec chương trigravenh phacircn phối trang web
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 1530
15
3 Apache server
31 Apache server lagrave gigrave Apache được phaacutet triển vagrave duy trigrave bởi một cộng đồng matildenguồn mở dưới sự bảo trợ của Apache Software Foundation
Apache được phaacutet hagravenh với giấy pheacutep Apache License vagrave lagrave
một phần mềm tự do vagrave miễn phiacute Apache HTTP Server lagrave web server mạnh mẽ uyển chuyển tương thiacutech với giao thức HTTP11 Phiecircn bản gốc của Apache được thiết kế để thay thế cho NCSA HTTP Server vagraveđến nay noacute đatilde phaacutet triển mạnh mẽ trở thagravenh web server phổ
biến nhất trecircn Internet Lagrave 1 dự aacuten của Apache Software Foundation những người phaacutet triển noacute đatilde hợp taacutec phaacutet triển vagrave duy trigrave để Apachetrở necircn mạnh mẽ hơn đạt được cấp độ thương mại vagrave chuẩn
server với matilde nguồn miễn phiacute
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 1630
16
3 Apache server
32 Cagravei đặt Apache serverĐể cagravei đặt 1 web server cần chuẩn bị Apache 2216 - httpd-2216-win32-x86-no_sslmsi
PHP 5212 - PHP 5212 zip package (khocircng necircn cagraveicaacutec bản mới vigrave noacute khoacute cagravei hơn caacutec hosting hiện naycũng vẫn dugraveng PHP 52)
MySQL 5151 - mysql-essential-5151-win32msi
phpMyAdmin - phpMyAdmin-337-englishzip
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 1730
17
3 Apache server
32 Cagravei đặt Apache server Ta cagravei đặt Apache với caacutec lựa chọn mặc định
Network domain localhost
Server name localhost
Administrators email address email của bạn Sau khi cagravei đặt xong Apache sẽ chạy dưới dạng 1
service của Windows vagrave noacute được thiết lập mặc định khởi động cugraveng Windows
Một chương trigravenh nhỏ coacute tecircn Apache Service Monitorcũng được tự động chạy dưới khay hệ thống để coacute thể mở hoặc tắt Apache thuận tiện
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 1830
18
3 Apache server
32 Cagravei đặt Apache serverĐể kiểm tra hatildey vagraveo trigravenh duyệt vagrave gotilde vagraveo khungaddress httplocalhost Dograveng url nagravey sẽ gọi fileindexhtml nằm trong thư mục htdocs trong thư mục cagravei
đặt Apache đacircy lagrave thư mục gốc mặc định của Apachewebsite của bạn sẽ được chứa tại đacircy
Sau khi chạy thagravenh cocircng Nếu muốn cấu higravenh lại Apachecho phugrave hợp hơn dugraveng Notepad mở file httpdconf nằm
trong thư mục conf trong thư mục cagravei đặt Apache (hoặc vagraveo Start menu để mở) vagrave tiến hagravenh chỉnh sửa
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 1930
19
3 Apache server
33 Tiacutenh năng của Apache server Apache lagrave một phần mềm coacute nhiều tiacutenh năng mạnh vagravelinh hoạt dugraveng để lagravem Web Server
Hỗ trợ đầy đủ những giao thức HTTP trước đacircy như HTTP11Coacute thể cấu higravenh vagrave mở rộng với những module của cocircngty thứ ba
Cung cấp source code đầy đủ với license khocircng hạn chế Chạy trecircn nhiều hệ điều hagravenh như Windows NT9xNetware 5x OS2 vagrave trecircn hầu hết caacutec hệ điều hagravenh Unix
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2030
20
3 Apache server
34 Bảo mật cho Apache serverTiacutenh đa năng của Apache tạo ra những khoacute khăn để thực hiện một mocirc thức tổng quaacutet với mục điacutech kiện toagravenbảo mật cho server trong mọi trường hợp coacute thể được
ETHacircy lagrave lyacute do để dựa trecircn caacutec chức năng sau Web server coacute thể truy cập từ Internet
Chỉ những trang HTML tĩnh (static HTML pages) sẽ được phục vụ
Server hỗ trợ tecircn miền cho cơ chế dịch vụ ảo
Caacutec trang web đatilde ấn định chỉ coacute thể truy cập từ caacutec cụm IPaddresses hoặc người dugraveng (khai baacuteo căn bản)
Server sẽ tường trigravenh trọn bộ caacutec yecircu cầu (bao gồm những thocircng tin về caacutec web browsers)
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2130
21
3 Apache server
34 Bảo mật cho Apache serverNhững trugrave bị bảo mật Một trong những nhacircn tố quan trọng nhất cho mọi cocircng trigravenhđiện toaacuten lagrave việc xaacutec thực caacutec trugrave bị bảo mật ETHiều nagravey phải
được thoả matilden trước khi cocircng trigravenh được ứng tạo Caacutec trugrave bị bảo mật cho web server của chuacuteng ta như sau
Hệ điều hagravenh phải được kiện toagraven cagraveng chặt chẽ cagraveng tốt baogồm việc phograveng bị cho những tấn cocircng từ becircn ngoagravei lẫn becircntrong
Server khocircng được cung cấp bất cứ dịch vụ nagraveo khaacutec ngoại trừ HTTP (80TCP)
Truy cập từ xa đến server phải được kiểm soaacutet bởi tường lửathiết bị nagravey chặn trọn bộ những tiếp nối cho lối ra vagrave cho pheacutepnhững tiếp nối cho lối vagraveo đến cổng 80TCP của web server
magrave thocirci
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2230
22
3 Apache server
34 Bảo mật cho Apache serverNhững trugrave bị bảo mật (tiếp)
Web server Apache lagrave dịch vụ duy nhất hiện hữu trecircn hệ thống
Chỉ coacute những modules nagraveo tuyệt đối cần thiết mới được cho pheacutep hoạt động
Caacutec trang web dugraveng cho cocircng taacutec chẩn xeacutet vagrave tự động hoaacute mục lục phải được tắt bỏ
Srver necircn giảm thiểu tối đa vấn đề tiết lộ những thocircng tin của chiacutenh server (mật tiacutenh qua ẩn tiacutenh)
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2330
23
3 Apache server
34 Bảo mật cho Apache serverNhững trugrave bị bảo mật (tiếp)
Apache server phải chạy bằng UIDGID riecircng biệt (định danh người dugraveng định danh nhoacutem) khocircngđược dugraveng bất cứ tiến trigravenh (process) nagraveo khaacutec
của hệ thống Caacutec process của Apache phải coacute giới hạn nhất
định đến hệ thư mục (chrooting)
Khocircng coacute bất cứ chương trigravenh dạng shell nagraveo hiện hữu trong mocirci trường chrooted (binsh bincshvv)
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2430
24
3 Apache server
34 Bảo mật cho Apache serverCagravei đặt hệ điều hagravenh
Trước khi cagravei đặt Apache chuacuteng ta phải chọn lấy một hệ điều hagravenh đoacute lagrave mocirci trường Apache sẽ hoạt động
Ở đacircy chuacuteng ta coacute khaacute nhiều chọn lựa vigrave Apache coacute thể được biecircn dịch vagrave cagravei đặt trecircn hầu hết caacutec hệ điều hagravenh
Tuy nhiecircn necircn chọn caacutec hệ điều hagravenh UNIXLINUX lyacute
do chiacutenh lagrave vigrave hệ điều hagravenh MS Windows bị giới hạn khả năng kiện toagraven bảo mật cho Apache
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2530
25
3 Apache server
34 Bảo mật cho Apache serverCagravei đặt hệ điều hagravenh
Bước đầu tiecircn trong vấn đề bảo mật Web server lagrave kiện toagraven hệ điều hagravenh
Sau khi hệ thống được cagravei đặt vagrave kiện toagraven chuacuteng tacần thecircm một nhoacutem vagrave một người dugraveng thocircng thường gọi lagrave apache
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2630
26
3 Apache server
34 Bảo mật cho Apache serverCagravei đặt hệ điều hagravenh
Theo mặc định caacutec process thuộc Apache chạy với chủ quyền của người dugraveng nobody (ngoại trừ process chiacutenh
phải chạy với chủ quyền root) vagrave GID thuộc nhoacutemnogroup
ETHiều nagravey coacute thể dẫn đến những đe dọa bảo mật nghiecircm trọng Trong trường hợp đột nhập thagravenh cocircng
tin tặc coacute thể lấy được quyền truy dụng đến những process khaacutec chạy cugraveng UIDGID
Bởi thế giải phaacutep tối ưu lagrave cho Apache chạy bằng UIDGID từ nhoacutem riecircng biệt chuyecircn chuacute đến software
ấy thocirci
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2730
27
3 Apache server
34 Bảo mật cho Apache serverChuẩn bị software
Bước kế tiếp lagrave bước tải phiecircn bản Apache mới nhất từ web site Apache
Sau khi tải software về chuacuteng ta phải giải neacuten Kế tiếp chuacuteng ta quyết định modules nagraveo được pheacutep hoạt động
Chọn lựa caacutec modules lagrave một trong những bước quan
trọng nhất trong vấn đề bảo mật Apache Chuacuteng ta necircntheo luật cagraveng iacutet cagraveng tốt
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2830
28
3 Apache server
34 Bảo mật cho Apache serverChuẩn bị software
ETHể thoả matilden chức năng vagrave những trugrave bị bảo mật caacutecmodules sau cần được cho pheacutep httpd_core Chứa caacutec chức năng cốt lotildei của Apache
cần thiết cho bất cứ Apache nagraveo
mod_access Cung cấp chế độ khiển taacutec dựa trecircn tecircnmaacutey địa chỉ IP hoặc caacutec tiacutenh chất yecircu cầu thuộc về caacutec clients Bởi vigrave module nagravey cần cho caacutec chỉ phối
(directive) order allow vagrave deny noacute cần được chopheacutep
mod_auth Cần thiết để ứng dụng vấn đề khai baacuteongười dugraveng cho việc sử dụng caacutec hồ sơ nguyecircn bản (khai baacuteo căn bản cho HTTP) được chỉ định trong chức
năng trugrave bị
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2930
29
3 Apache server
34 Bảo mật cho Apache server
Chuẩn bị software (tiếp) mod_dir Cần thiết để tigravem kiếm vagrave phục vụ caacutec hồ sơ
thư mục indexhtml defaulthtm vv
mod_log_config Cần thiết để ứng hiệu baacuteo caacuteo
những yecircu cầu thực hiện đến server mod_mime Cần thiết để chỉnh lyacute nhoacutem chữ caacutei matilde
hoaacute nội dung tugravey taacutec ngocircn ngữ nội dung vagrave caacutec loạiMIME đại diện cho caacutec loại tagravei liệu
Tất cả caacutec modules khaacutec của Apache phải được tắt bỏ
Web server
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 3030
30
Hết chương 5
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 1330
13
3 Apache server
31 Apache server lagrave gigrave
Apache hay lagrave chương trigravenh maacutey chủ HTTP lagrave một chương trigravenh dagravenh cho maacutey chủ đối thoại qua giao thức HTTP
Apache chạy trecircn caacutec hệ điều hagravenh tương tự như UnixMicrosoft Windows Novell Netware vagrave caacutec hệ điều hagravenhkhaacutec
Apache đoacuteng một vai trograve quan trọng trong quaacute trigravenh
phaacutet triển của mạng WEB thế giới (tiếng Anh World WideWeb)
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 1430
14
3 Apache server
31 Apache server lagrave gigrave
Khi được phaacutet hagravenh lần đầu Apache lagrave chương trigravenh maacuteychủ matilde nguồn mở duy nhất coacute khả năng cạnh tranh với chương trigravenh maacutey chủ tương tự của Netscape Communications
Corporation magrave ngagravey nay được biết đến qua tecircn thương mại Sun Java System Web Server
Từ đoacute trở đi Apache đatilde khocircng ngừng tiến triển vagrave trở thagravenhmột phần mềm coacute sức cạnh tranh mạnh so với caacutec chương trigravenh maacutey chủ khaacutec về mặt hiệu suất vagrave tiacutenh năng phong phuacute
Từ thaacuteng 4 natildem 1996 Apache trở thagravenh một chương trigravenhmaacutey chủ HTTP thocircng dụng nhất Tiacutenh đến thaacuteng 1 năm 2007 thigrave Apache chiếm đến 60 thị trường caacutec chương trigravenh phacircn phối trang web
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 1530
15
3 Apache server
31 Apache server lagrave gigrave Apache được phaacutet triển vagrave duy trigrave bởi một cộng đồng matildenguồn mở dưới sự bảo trợ của Apache Software Foundation
Apache được phaacutet hagravenh với giấy pheacutep Apache License vagrave lagrave
một phần mềm tự do vagrave miễn phiacute Apache HTTP Server lagrave web server mạnh mẽ uyển chuyển tương thiacutech với giao thức HTTP11 Phiecircn bản gốc của Apache được thiết kế để thay thế cho NCSA HTTP Server vagraveđến nay noacute đatilde phaacutet triển mạnh mẽ trở thagravenh web server phổ
biến nhất trecircn Internet Lagrave 1 dự aacuten của Apache Software Foundation những người phaacutet triển noacute đatilde hợp taacutec phaacutet triển vagrave duy trigrave để Apachetrở necircn mạnh mẽ hơn đạt được cấp độ thương mại vagrave chuẩn
server với matilde nguồn miễn phiacute
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 1630
16
3 Apache server
32 Cagravei đặt Apache serverĐể cagravei đặt 1 web server cần chuẩn bị Apache 2216 - httpd-2216-win32-x86-no_sslmsi
PHP 5212 - PHP 5212 zip package (khocircng necircn cagraveicaacutec bản mới vigrave noacute khoacute cagravei hơn caacutec hosting hiện naycũng vẫn dugraveng PHP 52)
MySQL 5151 - mysql-essential-5151-win32msi
phpMyAdmin - phpMyAdmin-337-englishzip
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 1730
17
3 Apache server
32 Cagravei đặt Apache server Ta cagravei đặt Apache với caacutec lựa chọn mặc định
Network domain localhost
Server name localhost
Administrators email address email của bạn Sau khi cagravei đặt xong Apache sẽ chạy dưới dạng 1
service của Windows vagrave noacute được thiết lập mặc định khởi động cugraveng Windows
Một chương trigravenh nhỏ coacute tecircn Apache Service Monitorcũng được tự động chạy dưới khay hệ thống để coacute thể mở hoặc tắt Apache thuận tiện
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 1830
18
3 Apache server
32 Cagravei đặt Apache serverĐể kiểm tra hatildey vagraveo trigravenh duyệt vagrave gotilde vagraveo khungaddress httplocalhost Dograveng url nagravey sẽ gọi fileindexhtml nằm trong thư mục htdocs trong thư mục cagravei
đặt Apache đacircy lagrave thư mục gốc mặc định của Apachewebsite của bạn sẽ được chứa tại đacircy
Sau khi chạy thagravenh cocircng Nếu muốn cấu higravenh lại Apachecho phugrave hợp hơn dugraveng Notepad mở file httpdconf nằm
trong thư mục conf trong thư mục cagravei đặt Apache (hoặc vagraveo Start menu để mở) vagrave tiến hagravenh chỉnh sửa
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 1930
19
3 Apache server
33 Tiacutenh năng của Apache server Apache lagrave một phần mềm coacute nhiều tiacutenh năng mạnh vagravelinh hoạt dugraveng để lagravem Web Server
Hỗ trợ đầy đủ những giao thức HTTP trước đacircy như HTTP11Coacute thể cấu higravenh vagrave mở rộng với những module của cocircngty thứ ba
Cung cấp source code đầy đủ với license khocircng hạn chế Chạy trecircn nhiều hệ điều hagravenh như Windows NT9xNetware 5x OS2 vagrave trecircn hầu hết caacutec hệ điều hagravenh Unix
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2030
20
3 Apache server
34 Bảo mật cho Apache serverTiacutenh đa năng của Apache tạo ra những khoacute khăn để thực hiện một mocirc thức tổng quaacutet với mục điacutech kiện toagravenbảo mật cho server trong mọi trường hợp coacute thể được
ETHacircy lagrave lyacute do để dựa trecircn caacutec chức năng sau Web server coacute thể truy cập từ Internet
Chỉ những trang HTML tĩnh (static HTML pages) sẽ được phục vụ
Server hỗ trợ tecircn miền cho cơ chế dịch vụ ảo
Caacutec trang web đatilde ấn định chỉ coacute thể truy cập từ caacutec cụm IPaddresses hoặc người dugraveng (khai baacuteo căn bản)
Server sẽ tường trigravenh trọn bộ caacutec yecircu cầu (bao gồm những thocircng tin về caacutec web browsers)
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2130
21
3 Apache server
34 Bảo mật cho Apache serverNhững trugrave bị bảo mật Một trong những nhacircn tố quan trọng nhất cho mọi cocircng trigravenhđiện toaacuten lagrave việc xaacutec thực caacutec trugrave bị bảo mật ETHiều nagravey phải
được thoả matilden trước khi cocircng trigravenh được ứng tạo Caacutec trugrave bị bảo mật cho web server của chuacuteng ta như sau
Hệ điều hagravenh phải được kiện toagraven cagraveng chặt chẽ cagraveng tốt baogồm việc phograveng bị cho những tấn cocircng từ becircn ngoagravei lẫn becircntrong
Server khocircng được cung cấp bất cứ dịch vụ nagraveo khaacutec ngoại trừ HTTP (80TCP)
Truy cập từ xa đến server phải được kiểm soaacutet bởi tường lửathiết bị nagravey chặn trọn bộ những tiếp nối cho lối ra vagrave cho pheacutepnhững tiếp nối cho lối vagraveo đến cổng 80TCP của web server
magrave thocirci
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2230
22
3 Apache server
34 Bảo mật cho Apache serverNhững trugrave bị bảo mật (tiếp)
Web server Apache lagrave dịch vụ duy nhất hiện hữu trecircn hệ thống
Chỉ coacute những modules nagraveo tuyệt đối cần thiết mới được cho pheacutep hoạt động
Caacutec trang web dugraveng cho cocircng taacutec chẩn xeacutet vagrave tự động hoaacute mục lục phải được tắt bỏ
Srver necircn giảm thiểu tối đa vấn đề tiết lộ những thocircng tin của chiacutenh server (mật tiacutenh qua ẩn tiacutenh)
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2330
23
3 Apache server
34 Bảo mật cho Apache serverNhững trugrave bị bảo mật (tiếp)
Apache server phải chạy bằng UIDGID riecircng biệt (định danh người dugraveng định danh nhoacutem) khocircngđược dugraveng bất cứ tiến trigravenh (process) nagraveo khaacutec
của hệ thống Caacutec process của Apache phải coacute giới hạn nhất
định đến hệ thư mục (chrooting)
Khocircng coacute bất cứ chương trigravenh dạng shell nagraveo hiện hữu trong mocirci trường chrooted (binsh bincshvv)
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2430
24
3 Apache server
34 Bảo mật cho Apache serverCagravei đặt hệ điều hagravenh
Trước khi cagravei đặt Apache chuacuteng ta phải chọn lấy một hệ điều hagravenh đoacute lagrave mocirci trường Apache sẽ hoạt động
Ở đacircy chuacuteng ta coacute khaacute nhiều chọn lựa vigrave Apache coacute thể được biecircn dịch vagrave cagravei đặt trecircn hầu hết caacutec hệ điều hagravenh
Tuy nhiecircn necircn chọn caacutec hệ điều hagravenh UNIXLINUX lyacute
do chiacutenh lagrave vigrave hệ điều hagravenh MS Windows bị giới hạn khả năng kiện toagraven bảo mật cho Apache
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2530
25
3 Apache server
34 Bảo mật cho Apache serverCagravei đặt hệ điều hagravenh
Bước đầu tiecircn trong vấn đề bảo mật Web server lagrave kiện toagraven hệ điều hagravenh
Sau khi hệ thống được cagravei đặt vagrave kiện toagraven chuacuteng tacần thecircm một nhoacutem vagrave một người dugraveng thocircng thường gọi lagrave apache
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2630
26
3 Apache server
34 Bảo mật cho Apache serverCagravei đặt hệ điều hagravenh
Theo mặc định caacutec process thuộc Apache chạy với chủ quyền của người dugraveng nobody (ngoại trừ process chiacutenh
phải chạy với chủ quyền root) vagrave GID thuộc nhoacutemnogroup
ETHiều nagravey coacute thể dẫn đến những đe dọa bảo mật nghiecircm trọng Trong trường hợp đột nhập thagravenh cocircng
tin tặc coacute thể lấy được quyền truy dụng đến những process khaacutec chạy cugraveng UIDGID
Bởi thế giải phaacutep tối ưu lagrave cho Apache chạy bằng UIDGID từ nhoacutem riecircng biệt chuyecircn chuacute đến software
ấy thocirci
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2730
27
3 Apache server
34 Bảo mật cho Apache serverChuẩn bị software
Bước kế tiếp lagrave bước tải phiecircn bản Apache mới nhất từ web site Apache
Sau khi tải software về chuacuteng ta phải giải neacuten Kế tiếp chuacuteng ta quyết định modules nagraveo được pheacutep hoạt động
Chọn lựa caacutec modules lagrave một trong những bước quan
trọng nhất trong vấn đề bảo mật Apache Chuacuteng ta necircntheo luật cagraveng iacutet cagraveng tốt
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2830
28
3 Apache server
34 Bảo mật cho Apache serverChuẩn bị software
ETHể thoả matilden chức năng vagrave những trugrave bị bảo mật caacutecmodules sau cần được cho pheacutep httpd_core Chứa caacutec chức năng cốt lotildei của Apache
cần thiết cho bất cứ Apache nagraveo
mod_access Cung cấp chế độ khiển taacutec dựa trecircn tecircnmaacutey địa chỉ IP hoặc caacutec tiacutenh chất yecircu cầu thuộc về caacutec clients Bởi vigrave module nagravey cần cho caacutec chỉ phối
(directive) order allow vagrave deny noacute cần được chopheacutep
mod_auth Cần thiết để ứng dụng vấn đề khai baacuteongười dugraveng cho việc sử dụng caacutec hồ sơ nguyecircn bản (khai baacuteo căn bản cho HTTP) được chỉ định trong chức
năng trugrave bị
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2930
29
3 Apache server
34 Bảo mật cho Apache server
Chuẩn bị software (tiếp) mod_dir Cần thiết để tigravem kiếm vagrave phục vụ caacutec hồ sơ
thư mục indexhtml defaulthtm vv
mod_log_config Cần thiết để ứng hiệu baacuteo caacuteo
những yecircu cầu thực hiện đến server mod_mime Cần thiết để chỉnh lyacute nhoacutem chữ caacutei matilde
hoaacute nội dung tugravey taacutec ngocircn ngữ nội dung vagrave caacutec loạiMIME đại diện cho caacutec loại tagravei liệu
Tất cả caacutec modules khaacutec của Apache phải được tắt bỏ
Web server
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 3030
30
Hết chương 5
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 1430
14
3 Apache server
31 Apache server lagrave gigrave
Khi được phaacutet hagravenh lần đầu Apache lagrave chương trigravenh maacuteychủ matilde nguồn mở duy nhất coacute khả năng cạnh tranh với chương trigravenh maacutey chủ tương tự của Netscape Communications
Corporation magrave ngagravey nay được biết đến qua tecircn thương mại Sun Java System Web Server
Từ đoacute trở đi Apache đatilde khocircng ngừng tiến triển vagrave trở thagravenhmột phần mềm coacute sức cạnh tranh mạnh so với caacutec chương trigravenh maacutey chủ khaacutec về mặt hiệu suất vagrave tiacutenh năng phong phuacute
Từ thaacuteng 4 natildem 1996 Apache trở thagravenh một chương trigravenhmaacutey chủ HTTP thocircng dụng nhất Tiacutenh đến thaacuteng 1 năm 2007 thigrave Apache chiếm đến 60 thị trường caacutec chương trigravenh phacircn phối trang web
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 1530
15
3 Apache server
31 Apache server lagrave gigrave Apache được phaacutet triển vagrave duy trigrave bởi một cộng đồng matildenguồn mở dưới sự bảo trợ của Apache Software Foundation
Apache được phaacutet hagravenh với giấy pheacutep Apache License vagrave lagrave
một phần mềm tự do vagrave miễn phiacute Apache HTTP Server lagrave web server mạnh mẽ uyển chuyển tương thiacutech với giao thức HTTP11 Phiecircn bản gốc của Apache được thiết kế để thay thế cho NCSA HTTP Server vagraveđến nay noacute đatilde phaacutet triển mạnh mẽ trở thagravenh web server phổ
biến nhất trecircn Internet Lagrave 1 dự aacuten của Apache Software Foundation những người phaacutet triển noacute đatilde hợp taacutec phaacutet triển vagrave duy trigrave để Apachetrở necircn mạnh mẽ hơn đạt được cấp độ thương mại vagrave chuẩn
server với matilde nguồn miễn phiacute
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 1630
16
3 Apache server
32 Cagravei đặt Apache serverĐể cagravei đặt 1 web server cần chuẩn bị Apache 2216 - httpd-2216-win32-x86-no_sslmsi
PHP 5212 - PHP 5212 zip package (khocircng necircn cagraveicaacutec bản mới vigrave noacute khoacute cagravei hơn caacutec hosting hiện naycũng vẫn dugraveng PHP 52)
MySQL 5151 - mysql-essential-5151-win32msi
phpMyAdmin - phpMyAdmin-337-englishzip
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 1730
17
3 Apache server
32 Cagravei đặt Apache server Ta cagravei đặt Apache với caacutec lựa chọn mặc định
Network domain localhost
Server name localhost
Administrators email address email của bạn Sau khi cagravei đặt xong Apache sẽ chạy dưới dạng 1
service của Windows vagrave noacute được thiết lập mặc định khởi động cugraveng Windows
Một chương trigravenh nhỏ coacute tecircn Apache Service Monitorcũng được tự động chạy dưới khay hệ thống để coacute thể mở hoặc tắt Apache thuận tiện
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 1830
18
3 Apache server
32 Cagravei đặt Apache serverĐể kiểm tra hatildey vagraveo trigravenh duyệt vagrave gotilde vagraveo khungaddress httplocalhost Dograveng url nagravey sẽ gọi fileindexhtml nằm trong thư mục htdocs trong thư mục cagravei
đặt Apache đacircy lagrave thư mục gốc mặc định của Apachewebsite của bạn sẽ được chứa tại đacircy
Sau khi chạy thagravenh cocircng Nếu muốn cấu higravenh lại Apachecho phugrave hợp hơn dugraveng Notepad mở file httpdconf nằm
trong thư mục conf trong thư mục cagravei đặt Apache (hoặc vagraveo Start menu để mở) vagrave tiến hagravenh chỉnh sửa
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 1930
19
3 Apache server
33 Tiacutenh năng của Apache server Apache lagrave một phần mềm coacute nhiều tiacutenh năng mạnh vagravelinh hoạt dugraveng để lagravem Web Server
Hỗ trợ đầy đủ những giao thức HTTP trước đacircy như HTTP11Coacute thể cấu higravenh vagrave mở rộng với những module của cocircngty thứ ba
Cung cấp source code đầy đủ với license khocircng hạn chế Chạy trecircn nhiều hệ điều hagravenh như Windows NT9xNetware 5x OS2 vagrave trecircn hầu hết caacutec hệ điều hagravenh Unix
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2030
20
3 Apache server
34 Bảo mật cho Apache serverTiacutenh đa năng của Apache tạo ra những khoacute khăn để thực hiện một mocirc thức tổng quaacutet với mục điacutech kiện toagravenbảo mật cho server trong mọi trường hợp coacute thể được
ETHacircy lagrave lyacute do để dựa trecircn caacutec chức năng sau Web server coacute thể truy cập từ Internet
Chỉ những trang HTML tĩnh (static HTML pages) sẽ được phục vụ
Server hỗ trợ tecircn miền cho cơ chế dịch vụ ảo
Caacutec trang web đatilde ấn định chỉ coacute thể truy cập từ caacutec cụm IPaddresses hoặc người dugraveng (khai baacuteo căn bản)
Server sẽ tường trigravenh trọn bộ caacutec yecircu cầu (bao gồm những thocircng tin về caacutec web browsers)
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2130
21
3 Apache server
34 Bảo mật cho Apache serverNhững trugrave bị bảo mật Một trong những nhacircn tố quan trọng nhất cho mọi cocircng trigravenhđiện toaacuten lagrave việc xaacutec thực caacutec trugrave bị bảo mật ETHiều nagravey phải
được thoả matilden trước khi cocircng trigravenh được ứng tạo Caacutec trugrave bị bảo mật cho web server của chuacuteng ta như sau
Hệ điều hagravenh phải được kiện toagraven cagraveng chặt chẽ cagraveng tốt baogồm việc phograveng bị cho những tấn cocircng từ becircn ngoagravei lẫn becircntrong
Server khocircng được cung cấp bất cứ dịch vụ nagraveo khaacutec ngoại trừ HTTP (80TCP)
Truy cập từ xa đến server phải được kiểm soaacutet bởi tường lửathiết bị nagravey chặn trọn bộ những tiếp nối cho lối ra vagrave cho pheacutepnhững tiếp nối cho lối vagraveo đến cổng 80TCP của web server
magrave thocirci
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2230
22
3 Apache server
34 Bảo mật cho Apache serverNhững trugrave bị bảo mật (tiếp)
Web server Apache lagrave dịch vụ duy nhất hiện hữu trecircn hệ thống
Chỉ coacute những modules nagraveo tuyệt đối cần thiết mới được cho pheacutep hoạt động
Caacutec trang web dugraveng cho cocircng taacutec chẩn xeacutet vagrave tự động hoaacute mục lục phải được tắt bỏ
Srver necircn giảm thiểu tối đa vấn đề tiết lộ những thocircng tin của chiacutenh server (mật tiacutenh qua ẩn tiacutenh)
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2330
23
3 Apache server
34 Bảo mật cho Apache serverNhững trugrave bị bảo mật (tiếp)
Apache server phải chạy bằng UIDGID riecircng biệt (định danh người dugraveng định danh nhoacutem) khocircngđược dugraveng bất cứ tiến trigravenh (process) nagraveo khaacutec
của hệ thống Caacutec process của Apache phải coacute giới hạn nhất
định đến hệ thư mục (chrooting)
Khocircng coacute bất cứ chương trigravenh dạng shell nagraveo hiện hữu trong mocirci trường chrooted (binsh bincshvv)
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2430
24
3 Apache server
34 Bảo mật cho Apache serverCagravei đặt hệ điều hagravenh
Trước khi cagravei đặt Apache chuacuteng ta phải chọn lấy một hệ điều hagravenh đoacute lagrave mocirci trường Apache sẽ hoạt động
Ở đacircy chuacuteng ta coacute khaacute nhiều chọn lựa vigrave Apache coacute thể được biecircn dịch vagrave cagravei đặt trecircn hầu hết caacutec hệ điều hagravenh
Tuy nhiecircn necircn chọn caacutec hệ điều hagravenh UNIXLINUX lyacute
do chiacutenh lagrave vigrave hệ điều hagravenh MS Windows bị giới hạn khả năng kiện toagraven bảo mật cho Apache
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2530
25
3 Apache server
34 Bảo mật cho Apache serverCagravei đặt hệ điều hagravenh
Bước đầu tiecircn trong vấn đề bảo mật Web server lagrave kiện toagraven hệ điều hagravenh
Sau khi hệ thống được cagravei đặt vagrave kiện toagraven chuacuteng tacần thecircm một nhoacutem vagrave một người dugraveng thocircng thường gọi lagrave apache
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2630
26
3 Apache server
34 Bảo mật cho Apache serverCagravei đặt hệ điều hagravenh
Theo mặc định caacutec process thuộc Apache chạy với chủ quyền của người dugraveng nobody (ngoại trừ process chiacutenh
phải chạy với chủ quyền root) vagrave GID thuộc nhoacutemnogroup
ETHiều nagravey coacute thể dẫn đến những đe dọa bảo mật nghiecircm trọng Trong trường hợp đột nhập thagravenh cocircng
tin tặc coacute thể lấy được quyền truy dụng đến những process khaacutec chạy cugraveng UIDGID
Bởi thế giải phaacutep tối ưu lagrave cho Apache chạy bằng UIDGID từ nhoacutem riecircng biệt chuyecircn chuacute đến software
ấy thocirci
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2730
27
3 Apache server
34 Bảo mật cho Apache serverChuẩn bị software
Bước kế tiếp lagrave bước tải phiecircn bản Apache mới nhất từ web site Apache
Sau khi tải software về chuacuteng ta phải giải neacuten Kế tiếp chuacuteng ta quyết định modules nagraveo được pheacutep hoạt động
Chọn lựa caacutec modules lagrave một trong những bước quan
trọng nhất trong vấn đề bảo mật Apache Chuacuteng ta necircntheo luật cagraveng iacutet cagraveng tốt
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2830
28
3 Apache server
34 Bảo mật cho Apache serverChuẩn bị software
ETHể thoả matilden chức năng vagrave những trugrave bị bảo mật caacutecmodules sau cần được cho pheacutep httpd_core Chứa caacutec chức năng cốt lotildei của Apache
cần thiết cho bất cứ Apache nagraveo
mod_access Cung cấp chế độ khiển taacutec dựa trecircn tecircnmaacutey địa chỉ IP hoặc caacutec tiacutenh chất yecircu cầu thuộc về caacutec clients Bởi vigrave module nagravey cần cho caacutec chỉ phối
(directive) order allow vagrave deny noacute cần được chopheacutep
mod_auth Cần thiết để ứng dụng vấn đề khai baacuteongười dugraveng cho việc sử dụng caacutec hồ sơ nguyecircn bản (khai baacuteo căn bản cho HTTP) được chỉ định trong chức
năng trugrave bị
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2930
29
3 Apache server
34 Bảo mật cho Apache server
Chuẩn bị software (tiếp) mod_dir Cần thiết để tigravem kiếm vagrave phục vụ caacutec hồ sơ
thư mục indexhtml defaulthtm vv
mod_log_config Cần thiết để ứng hiệu baacuteo caacuteo
những yecircu cầu thực hiện đến server mod_mime Cần thiết để chỉnh lyacute nhoacutem chữ caacutei matilde
hoaacute nội dung tugravey taacutec ngocircn ngữ nội dung vagrave caacutec loạiMIME đại diện cho caacutec loại tagravei liệu
Tất cả caacutec modules khaacutec của Apache phải được tắt bỏ
Web server
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 3030
30
Hết chương 5
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 1530
15
3 Apache server
31 Apache server lagrave gigrave Apache được phaacutet triển vagrave duy trigrave bởi một cộng đồng matildenguồn mở dưới sự bảo trợ của Apache Software Foundation
Apache được phaacutet hagravenh với giấy pheacutep Apache License vagrave lagrave
một phần mềm tự do vagrave miễn phiacute Apache HTTP Server lagrave web server mạnh mẽ uyển chuyển tương thiacutech với giao thức HTTP11 Phiecircn bản gốc của Apache được thiết kế để thay thế cho NCSA HTTP Server vagraveđến nay noacute đatilde phaacutet triển mạnh mẽ trở thagravenh web server phổ
biến nhất trecircn Internet Lagrave 1 dự aacuten của Apache Software Foundation những người phaacutet triển noacute đatilde hợp taacutec phaacutet triển vagrave duy trigrave để Apachetrở necircn mạnh mẽ hơn đạt được cấp độ thương mại vagrave chuẩn
server với matilde nguồn miễn phiacute
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 1630
16
3 Apache server
32 Cagravei đặt Apache serverĐể cagravei đặt 1 web server cần chuẩn bị Apache 2216 - httpd-2216-win32-x86-no_sslmsi
PHP 5212 - PHP 5212 zip package (khocircng necircn cagraveicaacutec bản mới vigrave noacute khoacute cagravei hơn caacutec hosting hiện naycũng vẫn dugraveng PHP 52)
MySQL 5151 - mysql-essential-5151-win32msi
phpMyAdmin - phpMyAdmin-337-englishzip
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 1730
17
3 Apache server
32 Cagravei đặt Apache server Ta cagravei đặt Apache với caacutec lựa chọn mặc định
Network domain localhost
Server name localhost
Administrators email address email của bạn Sau khi cagravei đặt xong Apache sẽ chạy dưới dạng 1
service của Windows vagrave noacute được thiết lập mặc định khởi động cugraveng Windows
Một chương trigravenh nhỏ coacute tecircn Apache Service Monitorcũng được tự động chạy dưới khay hệ thống để coacute thể mở hoặc tắt Apache thuận tiện
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 1830
18
3 Apache server
32 Cagravei đặt Apache serverĐể kiểm tra hatildey vagraveo trigravenh duyệt vagrave gotilde vagraveo khungaddress httplocalhost Dograveng url nagravey sẽ gọi fileindexhtml nằm trong thư mục htdocs trong thư mục cagravei
đặt Apache đacircy lagrave thư mục gốc mặc định của Apachewebsite của bạn sẽ được chứa tại đacircy
Sau khi chạy thagravenh cocircng Nếu muốn cấu higravenh lại Apachecho phugrave hợp hơn dugraveng Notepad mở file httpdconf nằm
trong thư mục conf trong thư mục cagravei đặt Apache (hoặc vagraveo Start menu để mở) vagrave tiến hagravenh chỉnh sửa
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 1930
19
3 Apache server
33 Tiacutenh năng của Apache server Apache lagrave một phần mềm coacute nhiều tiacutenh năng mạnh vagravelinh hoạt dugraveng để lagravem Web Server
Hỗ trợ đầy đủ những giao thức HTTP trước đacircy như HTTP11Coacute thể cấu higravenh vagrave mở rộng với những module của cocircngty thứ ba
Cung cấp source code đầy đủ với license khocircng hạn chế Chạy trecircn nhiều hệ điều hagravenh như Windows NT9xNetware 5x OS2 vagrave trecircn hầu hết caacutec hệ điều hagravenh Unix
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2030
20
3 Apache server
34 Bảo mật cho Apache serverTiacutenh đa năng của Apache tạo ra những khoacute khăn để thực hiện một mocirc thức tổng quaacutet với mục điacutech kiện toagravenbảo mật cho server trong mọi trường hợp coacute thể được
ETHacircy lagrave lyacute do để dựa trecircn caacutec chức năng sau Web server coacute thể truy cập từ Internet
Chỉ những trang HTML tĩnh (static HTML pages) sẽ được phục vụ
Server hỗ trợ tecircn miền cho cơ chế dịch vụ ảo
Caacutec trang web đatilde ấn định chỉ coacute thể truy cập từ caacutec cụm IPaddresses hoặc người dugraveng (khai baacuteo căn bản)
Server sẽ tường trigravenh trọn bộ caacutec yecircu cầu (bao gồm những thocircng tin về caacutec web browsers)
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2130
21
3 Apache server
34 Bảo mật cho Apache serverNhững trugrave bị bảo mật Một trong những nhacircn tố quan trọng nhất cho mọi cocircng trigravenhđiện toaacuten lagrave việc xaacutec thực caacutec trugrave bị bảo mật ETHiều nagravey phải
được thoả matilden trước khi cocircng trigravenh được ứng tạo Caacutec trugrave bị bảo mật cho web server của chuacuteng ta như sau
Hệ điều hagravenh phải được kiện toagraven cagraveng chặt chẽ cagraveng tốt baogồm việc phograveng bị cho những tấn cocircng từ becircn ngoagravei lẫn becircntrong
Server khocircng được cung cấp bất cứ dịch vụ nagraveo khaacutec ngoại trừ HTTP (80TCP)
Truy cập từ xa đến server phải được kiểm soaacutet bởi tường lửathiết bị nagravey chặn trọn bộ những tiếp nối cho lối ra vagrave cho pheacutepnhững tiếp nối cho lối vagraveo đến cổng 80TCP của web server
magrave thocirci
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2230
22
3 Apache server
34 Bảo mật cho Apache serverNhững trugrave bị bảo mật (tiếp)
Web server Apache lagrave dịch vụ duy nhất hiện hữu trecircn hệ thống
Chỉ coacute những modules nagraveo tuyệt đối cần thiết mới được cho pheacutep hoạt động
Caacutec trang web dugraveng cho cocircng taacutec chẩn xeacutet vagrave tự động hoaacute mục lục phải được tắt bỏ
Srver necircn giảm thiểu tối đa vấn đề tiết lộ những thocircng tin của chiacutenh server (mật tiacutenh qua ẩn tiacutenh)
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2330
23
3 Apache server
34 Bảo mật cho Apache serverNhững trugrave bị bảo mật (tiếp)
Apache server phải chạy bằng UIDGID riecircng biệt (định danh người dugraveng định danh nhoacutem) khocircngđược dugraveng bất cứ tiến trigravenh (process) nagraveo khaacutec
của hệ thống Caacutec process của Apache phải coacute giới hạn nhất
định đến hệ thư mục (chrooting)
Khocircng coacute bất cứ chương trigravenh dạng shell nagraveo hiện hữu trong mocirci trường chrooted (binsh bincshvv)
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2430
24
3 Apache server
34 Bảo mật cho Apache serverCagravei đặt hệ điều hagravenh
Trước khi cagravei đặt Apache chuacuteng ta phải chọn lấy một hệ điều hagravenh đoacute lagrave mocirci trường Apache sẽ hoạt động
Ở đacircy chuacuteng ta coacute khaacute nhiều chọn lựa vigrave Apache coacute thể được biecircn dịch vagrave cagravei đặt trecircn hầu hết caacutec hệ điều hagravenh
Tuy nhiecircn necircn chọn caacutec hệ điều hagravenh UNIXLINUX lyacute
do chiacutenh lagrave vigrave hệ điều hagravenh MS Windows bị giới hạn khả năng kiện toagraven bảo mật cho Apache
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2530
25
3 Apache server
34 Bảo mật cho Apache serverCagravei đặt hệ điều hagravenh
Bước đầu tiecircn trong vấn đề bảo mật Web server lagrave kiện toagraven hệ điều hagravenh
Sau khi hệ thống được cagravei đặt vagrave kiện toagraven chuacuteng tacần thecircm một nhoacutem vagrave một người dugraveng thocircng thường gọi lagrave apache
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2630
26
3 Apache server
34 Bảo mật cho Apache serverCagravei đặt hệ điều hagravenh
Theo mặc định caacutec process thuộc Apache chạy với chủ quyền của người dugraveng nobody (ngoại trừ process chiacutenh
phải chạy với chủ quyền root) vagrave GID thuộc nhoacutemnogroup
ETHiều nagravey coacute thể dẫn đến những đe dọa bảo mật nghiecircm trọng Trong trường hợp đột nhập thagravenh cocircng
tin tặc coacute thể lấy được quyền truy dụng đến những process khaacutec chạy cugraveng UIDGID
Bởi thế giải phaacutep tối ưu lagrave cho Apache chạy bằng UIDGID từ nhoacutem riecircng biệt chuyecircn chuacute đến software
ấy thocirci
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2730
27
3 Apache server
34 Bảo mật cho Apache serverChuẩn bị software
Bước kế tiếp lagrave bước tải phiecircn bản Apache mới nhất từ web site Apache
Sau khi tải software về chuacuteng ta phải giải neacuten Kế tiếp chuacuteng ta quyết định modules nagraveo được pheacutep hoạt động
Chọn lựa caacutec modules lagrave một trong những bước quan
trọng nhất trong vấn đề bảo mật Apache Chuacuteng ta necircntheo luật cagraveng iacutet cagraveng tốt
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2830
28
3 Apache server
34 Bảo mật cho Apache serverChuẩn bị software
ETHể thoả matilden chức năng vagrave những trugrave bị bảo mật caacutecmodules sau cần được cho pheacutep httpd_core Chứa caacutec chức năng cốt lotildei của Apache
cần thiết cho bất cứ Apache nagraveo
mod_access Cung cấp chế độ khiển taacutec dựa trecircn tecircnmaacutey địa chỉ IP hoặc caacutec tiacutenh chất yecircu cầu thuộc về caacutec clients Bởi vigrave module nagravey cần cho caacutec chỉ phối
(directive) order allow vagrave deny noacute cần được chopheacutep
mod_auth Cần thiết để ứng dụng vấn đề khai baacuteongười dugraveng cho việc sử dụng caacutec hồ sơ nguyecircn bản (khai baacuteo căn bản cho HTTP) được chỉ định trong chức
năng trugrave bị
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2930
29
3 Apache server
34 Bảo mật cho Apache server
Chuẩn bị software (tiếp) mod_dir Cần thiết để tigravem kiếm vagrave phục vụ caacutec hồ sơ
thư mục indexhtml defaulthtm vv
mod_log_config Cần thiết để ứng hiệu baacuteo caacuteo
những yecircu cầu thực hiện đến server mod_mime Cần thiết để chỉnh lyacute nhoacutem chữ caacutei matilde
hoaacute nội dung tugravey taacutec ngocircn ngữ nội dung vagrave caacutec loạiMIME đại diện cho caacutec loại tagravei liệu
Tất cả caacutec modules khaacutec của Apache phải được tắt bỏ
Web server
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 3030
30
Hết chương 5
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 1630
16
3 Apache server
32 Cagravei đặt Apache serverĐể cagravei đặt 1 web server cần chuẩn bị Apache 2216 - httpd-2216-win32-x86-no_sslmsi
PHP 5212 - PHP 5212 zip package (khocircng necircn cagraveicaacutec bản mới vigrave noacute khoacute cagravei hơn caacutec hosting hiện naycũng vẫn dugraveng PHP 52)
MySQL 5151 - mysql-essential-5151-win32msi
phpMyAdmin - phpMyAdmin-337-englishzip
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 1730
17
3 Apache server
32 Cagravei đặt Apache server Ta cagravei đặt Apache với caacutec lựa chọn mặc định
Network domain localhost
Server name localhost
Administrators email address email của bạn Sau khi cagravei đặt xong Apache sẽ chạy dưới dạng 1
service của Windows vagrave noacute được thiết lập mặc định khởi động cugraveng Windows
Một chương trigravenh nhỏ coacute tecircn Apache Service Monitorcũng được tự động chạy dưới khay hệ thống để coacute thể mở hoặc tắt Apache thuận tiện
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 1830
18
3 Apache server
32 Cagravei đặt Apache serverĐể kiểm tra hatildey vagraveo trigravenh duyệt vagrave gotilde vagraveo khungaddress httplocalhost Dograveng url nagravey sẽ gọi fileindexhtml nằm trong thư mục htdocs trong thư mục cagravei
đặt Apache đacircy lagrave thư mục gốc mặc định của Apachewebsite của bạn sẽ được chứa tại đacircy
Sau khi chạy thagravenh cocircng Nếu muốn cấu higravenh lại Apachecho phugrave hợp hơn dugraveng Notepad mở file httpdconf nằm
trong thư mục conf trong thư mục cagravei đặt Apache (hoặc vagraveo Start menu để mở) vagrave tiến hagravenh chỉnh sửa
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 1930
19
3 Apache server
33 Tiacutenh năng của Apache server Apache lagrave một phần mềm coacute nhiều tiacutenh năng mạnh vagravelinh hoạt dugraveng để lagravem Web Server
Hỗ trợ đầy đủ những giao thức HTTP trước đacircy như HTTP11Coacute thể cấu higravenh vagrave mở rộng với những module của cocircngty thứ ba
Cung cấp source code đầy đủ với license khocircng hạn chế Chạy trecircn nhiều hệ điều hagravenh như Windows NT9xNetware 5x OS2 vagrave trecircn hầu hết caacutec hệ điều hagravenh Unix
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2030
20
3 Apache server
34 Bảo mật cho Apache serverTiacutenh đa năng của Apache tạo ra những khoacute khăn để thực hiện một mocirc thức tổng quaacutet với mục điacutech kiện toagravenbảo mật cho server trong mọi trường hợp coacute thể được
ETHacircy lagrave lyacute do để dựa trecircn caacutec chức năng sau Web server coacute thể truy cập từ Internet
Chỉ những trang HTML tĩnh (static HTML pages) sẽ được phục vụ
Server hỗ trợ tecircn miền cho cơ chế dịch vụ ảo
Caacutec trang web đatilde ấn định chỉ coacute thể truy cập từ caacutec cụm IPaddresses hoặc người dugraveng (khai baacuteo căn bản)
Server sẽ tường trigravenh trọn bộ caacutec yecircu cầu (bao gồm những thocircng tin về caacutec web browsers)
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2130
21
3 Apache server
34 Bảo mật cho Apache serverNhững trugrave bị bảo mật Một trong những nhacircn tố quan trọng nhất cho mọi cocircng trigravenhđiện toaacuten lagrave việc xaacutec thực caacutec trugrave bị bảo mật ETHiều nagravey phải
được thoả matilden trước khi cocircng trigravenh được ứng tạo Caacutec trugrave bị bảo mật cho web server của chuacuteng ta như sau
Hệ điều hagravenh phải được kiện toagraven cagraveng chặt chẽ cagraveng tốt baogồm việc phograveng bị cho những tấn cocircng từ becircn ngoagravei lẫn becircntrong
Server khocircng được cung cấp bất cứ dịch vụ nagraveo khaacutec ngoại trừ HTTP (80TCP)
Truy cập từ xa đến server phải được kiểm soaacutet bởi tường lửathiết bị nagravey chặn trọn bộ những tiếp nối cho lối ra vagrave cho pheacutepnhững tiếp nối cho lối vagraveo đến cổng 80TCP của web server
magrave thocirci
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2230
22
3 Apache server
34 Bảo mật cho Apache serverNhững trugrave bị bảo mật (tiếp)
Web server Apache lagrave dịch vụ duy nhất hiện hữu trecircn hệ thống
Chỉ coacute những modules nagraveo tuyệt đối cần thiết mới được cho pheacutep hoạt động
Caacutec trang web dugraveng cho cocircng taacutec chẩn xeacutet vagrave tự động hoaacute mục lục phải được tắt bỏ
Srver necircn giảm thiểu tối đa vấn đề tiết lộ những thocircng tin của chiacutenh server (mật tiacutenh qua ẩn tiacutenh)
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2330
23
3 Apache server
34 Bảo mật cho Apache serverNhững trugrave bị bảo mật (tiếp)
Apache server phải chạy bằng UIDGID riecircng biệt (định danh người dugraveng định danh nhoacutem) khocircngđược dugraveng bất cứ tiến trigravenh (process) nagraveo khaacutec
của hệ thống Caacutec process của Apache phải coacute giới hạn nhất
định đến hệ thư mục (chrooting)
Khocircng coacute bất cứ chương trigravenh dạng shell nagraveo hiện hữu trong mocirci trường chrooted (binsh bincshvv)
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2430
24
3 Apache server
34 Bảo mật cho Apache serverCagravei đặt hệ điều hagravenh
Trước khi cagravei đặt Apache chuacuteng ta phải chọn lấy một hệ điều hagravenh đoacute lagrave mocirci trường Apache sẽ hoạt động
Ở đacircy chuacuteng ta coacute khaacute nhiều chọn lựa vigrave Apache coacute thể được biecircn dịch vagrave cagravei đặt trecircn hầu hết caacutec hệ điều hagravenh
Tuy nhiecircn necircn chọn caacutec hệ điều hagravenh UNIXLINUX lyacute
do chiacutenh lagrave vigrave hệ điều hagravenh MS Windows bị giới hạn khả năng kiện toagraven bảo mật cho Apache
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2530
25
3 Apache server
34 Bảo mật cho Apache serverCagravei đặt hệ điều hagravenh
Bước đầu tiecircn trong vấn đề bảo mật Web server lagrave kiện toagraven hệ điều hagravenh
Sau khi hệ thống được cagravei đặt vagrave kiện toagraven chuacuteng tacần thecircm một nhoacutem vagrave một người dugraveng thocircng thường gọi lagrave apache
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2630
26
3 Apache server
34 Bảo mật cho Apache serverCagravei đặt hệ điều hagravenh
Theo mặc định caacutec process thuộc Apache chạy với chủ quyền của người dugraveng nobody (ngoại trừ process chiacutenh
phải chạy với chủ quyền root) vagrave GID thuộc nhoacutemnogroup
ETHiều nagravey coacute thể dẫn đến những đe dọa bảo mật nghiecircm trọng Trong trường hợp đột nhập thagravenh cocircng
tin tặc coacute thể lấy được quyền truy dụng đến những process khaacutec chạy cugraveng UIDGID
Bởi thế giải phaacutep tối ưu lagrave cho Apache chạy bằng UIDGID từ nhoacutem riecircng biệt chuyecircn chuacute đến software
ấy thocirci
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2730
27
3 Apache server
34 Bảo mật cho Apache serverChuẩn bị software
Bước kế tiếp lagrave bước tải phiecircn bản Apache mới nhất từ web site Apache
Sau khi tải software về chuacuteng ta phải giải neacuten Kế tiếp chuacuteng ta quyết định modules nagraveo được pheacutep hoạt động
Chọn lựa caacutec modules lagrave một trong những bước quan
trọng nhất trong vấn đề bảo mật Apache Chuacuteng ta necircntheo luật cagraveng iacutet cagraveng tốt
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2830
28
3 Apache server
34 Bảo mật cho Apache serverChuẩn bị software
ETHể thoả matilden chức năng vagrave những trugrave bị bảo mật caacutecmodules sau cần được cho pheacutep httpd_core Chứa caacutec chức năng cốt lotildei của Apache
cần thiết cho bất cứ Apache nagraveo
mod_access Cung cấp chế độ khiển taacutec dựa trecircn tecircnmaacutey địa chỉ IP hoặc caacutec tiacutenh chất yecircu cầu thuộc về caacutec clients Bởi vigrave module nagravey cần cho caacutec chỉ phối
(directive) order allow vagrave deny noacute cần được chopheacutep
mod_auth Cần thiết để ứng dụng vấn đề khai baacuteongười dugraveng cho việc sử dụng caacutec hồ sơ nguyecircn bản (khai baacuteo căn bản cho HTTP) được chỉ định trong chức
năng trugrave bị
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2930
29
3 Apache server
34 Bảo mật cho Apache server
Chuẩn bị software (tiếp) mod_dir Cần thiết để tigravem kiếm vagrave phục vụ caacutec hồ sơ
thư mục indexhtml defaulthtm vv
mod_log_config Cần thiết để ứng hiệu baacuteo caacuteo
những yecircu cầu thực hiện đến server mod_mime Cần thiết để chỉnh lyacute nhoacutem chữ caacutei matilde
hoaacute nội dung tugravey taacutec ngocircn ngữ nội dung vagrave caacutec loạiMIME đại diện cho caacutec loại tagravei liệu
Tất cả caacutec modules khaacutec của Apache phải được tắt bỏ
Web server
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 3030
30
Hết chương 5
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 1730
17
3 Apache server
32 Cagravei đặt Apache server Ta cagravei đặt Apache với caacutec lựa chọn mặc định
Network domain localhost
Server name localhost
Administrators email address email của bạn Sau khi cagravei đặt xong Apache sẽ chạy dưới dạng 1
service của Windows vagrave noacute được thiết lập mặc định khởi động cugraveng Windows
Một chương trigravenh nhỏ coacute tecircn Apache Service Monitorcũng được tự động chạy dưới khay hệ thống để coacute thể mở hoặc tắt Apache thuận tiện
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 1830
18
3 Apache server
32 Cagravei đặt Apache serverĐể kiểm tra hatildey vagraveo trigravenh duyệt vagrave gotilde vagraveo khungaddress httplocalhost Dograveng url nagravey sẽ gọi fileindexhtml nằm trong thư mục htdocs trong thư mục cagravei
đặt Apache đacircy lagrave thư mục gốc mặc định của Apachewebsite của bạn sẽ được chứa tại đacircy
Sau khi chạy thagravenh cocircng Nếu muốn cấu higravenh lại Apachecho phugrave hợp hơn dugraveng Notepad mở file httpdconf nằm
trong thư mục conf trong thư mục cagravei đặt Apache (hoặc vagraveo Start menu để mở) vagrave tiến hagravenh chỉnh sửa
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 1930
19
3 Apache server
33 Tiacutenh năng của Apache server Apache lagrave một phần mềm coacute nhiều tiacutenh năng mạnh vagravelinh hoạt dugraveng để lagravem Web Server
Hỗ trợ đầy đủ những giao thức HTTP trước đacircy như HTTP11Coacute thể cấu higravenh vagrave mở rộng với những module của cocircngty thứ ba
Cung cấp source code đầy đủ với license khocircng hạn chế Chạy trecircn nhiều hệ điều hagravenh như Windows NT9xNetware 5x OS2 vagrave trecircn hầu hết caacutec hệ điều hagravenh Unix
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2030
20
3 Apache server
34 Bảo mật cho Apache serverTiacutenh đa năng của Apache tạo ra những khoacute khăn để thực hiện một mocirc thức tổng quaacutet với mục điacutech kiện toagravenbảo mật cho server trong mọi trường hợp coacute thể được
ETHacircy lagrave lyacute do để dựa trecircn caacutec chức năng sau Web server coacute thể truy cập từ Internet
Chỉ những trang HTML tĩnh (static HTML pages) sẽ được phục vụ
Server hỗ trợ tecircn miền cho cơ chế dịch vụ ảo
Caacutec trang web đatilde ấn định chỉ coacute thể truy cập từ caacutec cụm IPaddresses hoặc người dugraveng (khai baacuteo căn bản)
Server sẽ tường trigravenh trọn bộ caacutec yecircu cầu (bao gồm những thocircng tin về caacutec web browsers)
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2130
21
3 Apache server
34 Bảo mật cho Apache serverNhững trugrave bị bảo mật Một trong những nhacircn tố quan trọng nhất cho mọi cocircng trigravenhđiện toaacuten lagrave việc xaacutec thực caacutec trugrave bị bảo mật ETHiều nagravey phải
được thoả matilden trước khi cocircng trigravenh được ứng tạo Caacutec trugrave bị bảo mật cho web server của chuacuteng ta như sau
Hệ điều hagravenh phải được kiện toagraven cagraveng chặt chẽ cagraveng tốt baogồm việc phograveng bị cho những tấn cocircng từ becircn ngoagravei lẫn becircntrong
Server khocircng được cung cấp bất cứ dịch vụ nagraveo khaacutec ngoại trừ HTTP (80TCP)
Truy cập từ xa đến server phải được kiểm soaacutet bởi tường lửathiết bị nagravey chặn trọn bộ những tiếp nối cho lối ra vagrave cho pheacutepnhững tiếp nối cho lối vagraveo đến cổng 80TCP của web server
magrave thocirci
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2230
22
3 Apache server
34 Bảo mật cho Apache serverNhững trugrave bị bảo mật (tiếp)
Web server Apache lagrave dịch vụ duy nhất hiện hữu trecircn hệ thống
Chỉ coacute những modules nagraveo tuyệt đối cần thiết mới được cho pheacutep hoạt động
Caacutec trang web dugraveng cho cocircng taacutec chẩn xeacutet vagrave tự động hoaacute mục lục phải được tắt bỏ
Srver necircn giảm thiểu tối đa vấn đề tiết lộ những thocircng tin của chiacutenh server (mật tiacutenh qua ẩn tiacutenh)
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2330
23
3 Apache server
34 Bảo mật cho Apache serverNhững trugrave bị bảo mật (tiếp)
Apache server phải chạy bằng UIDGID riecircng biệt (định danh người dugraveng định danh nhoacutem) khocircngđược dugraveng bất cứ tiến trigravenh (process) nagraveo khaacutec
của hệ thống Caacutec process của Apache phải coacute giới hạn nhất
định đến hệ thư mục (chrooting)
Khocircng coacute bất cứ chương trigravenh dạng shell nagraveo hiện hữu trong mocirci trường chrooted (binsh bincshvv)
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2430
24
3 Apache server
34 Bảo mật cho Apache serverCagravei đặt hệ điều hagravenh
Trước khi cagravei đặt Apache chuacuteng ta phải chọn lấy một hệ điều hagravenh đoacute lagrave mocirci trường Apache sẽ hoạt động
Ở đacircy chuacuteng ta coacute khaacute nhiều chọn lựa vigrave Apache coacute thể được biecircn dịch vagrave cagravei đặt trecircn hầu hết caacutec hệ điều hagravenh
Tuy nhiecircn necircn chọn caacutec hệ điều hagravenh UNIXLINUX lyacute
do chiacutenh lagrave vigrave hệ điều hagravenh MS Windows bị giới hạn khả năng kiện toagraven bảo mật cho Apache
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2530
25
3 Apache server
34 Bảo mật cho Apache serverCagravei đặt hệ điều hagravenh
Bước đầu tiecircn trong vấn đề bảo mật Web server lagrave kiện toagraven hệ điều hagravenh
Sau khi hệ thống được cagravei đặt vagrave kiện toagraven chuacuteng tacần thecircm một nhoacutem vagrave một người dugraveng thocircng thường gọi lagrave apache
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2630
26
3 Apache server
34 Bảo mật cho Apache serverCagravei đặt hệ điều hagravenh
Theo mặc định caacutec process thuộc Apache chạy với chủ quyền của người dugraveng nobody (ngoại trừ process chiacutenh
phải chạy với chủ quyền root) vagrave GID thuộc nhoacutemnogroup
ETHiều nagravey coacute thể dẫn đến những đe dọa bảo mật nghiecircm trọng Trong trường hợp đột nhập thagravenh cocircng
tin tặc coacute thể lấy được quyền truy dụng đến những process khaacutec chạy cugraveng UIDGID
Bởi thế giải phaacutep tối ưu lagrave cho Apache chạy bằng UIDGID từ nhoacutem riecircng biệt chuyecircn chuacute đến software
ấy thocirci
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2730
27
3 Apache server
34 Bảo mật cho Apache serverChuẩn bị software
Bước kế tiếp lagrave bước tải phiecircn bản Apache mới nhất từ web site Apache
Sau khi tải software về chuacuteng ta phải giải neacuten Kế tiếp chuacuteng ta quyết định modules nagraveo được pheacutep hoạt động
Chọn lựa caacutec modules lagrave một trong những bước quan
trọng nhất trong vấn đề bảo mật Apache Chuacuteng ta necircntheo luật cagraveng iacutet cagraveng tốt
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2830
28
3 Apache server
34 Bảo mật cho Apache serverChuẩn bị software
ETHể thoả matilden chức năng vagrave những trugrave bị bảo mật caacutecmodules sau cần được cho pheacutep httpd_core Chứa caacutec chức năng cốt lotildei của Apache
cần thiết cho bất cứ Apache nagraveo
mod_access Cung cấp chế độ khiển taacutec dựa trecircn tecircnmaacutey địa chỉ IP hoặc caacutec tiacutenh chất yecircu cầu thuộc về caacutec clients Bởi vigrave module nagravey cần cho caacutec chỉ phối
(directive) order allow vagrave deny noacute cần được chopheacutep
mod_auth Cần thiết để ứng dụng vấn đề khai baacuteongười dugraveng cho việc sử dụng caacutec hồ sơ nguyecircn bản (khai baacuteo căn bản cho HTTP) được chỉ định trong chức
năng trugrave bị
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2930
29
3 Apache server
34 Bảo mật cho Apache server
Chuẩn bị software (tiếp) mod_dir Cần thiết để tigravem kiếm vagrave phục vụ caacutec hồ sơ
thư mục indexhtml defaulthtm vv
mod_log_config Cần thiết để ứng hiệu baacuteo caacuteo
những yecircu cầu thực hiện đến server mod_mime Cần thiết để chỉnh lyacute nhoacutem chữ caacutei matilde
hoaacute nội dung tugravey taacutec ngocircn ngữ nội dung vagrave caacutec loạiMIME đại diện cho caacutec loại tagravei liệu
Tất cả caacutec modules khaacutec của Apache phải được tắt bỏ
Web server
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 3030
30
Hết chương 5
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 1830
18
3 Apache server
32 Cagravei đặt Apache serverĐể kiểm tra hatildey vagraveo trigravenh duyệt vagrave gotilde vagraveo khungaddress httplocalhost Dograveng url nagravey sẽ gọi fileindexhtml nằm trong thư mục htdocs trong thư mục cagravei
đặt Apache đacircy lagrave thư mục gốc mặc định của Apachewebsite của bạn sẽ được chứa tại đacircy
Sau khi chạy thagravenh cocircng Nếu muốn cấu higravenh lại Apachecho phugrave hợp hơn dugraveng Notepad mở file httpdconf nằm
trong thư mục conf trong thư mục cagravei đặt Apache (hoặc vagraveo Start menu để mở) vagrave tiến hagravenh chỉnh sửa
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 1930
19
3 Apache server
33 Tiacutenh năng của Apache server Apache lagrave một phần mềm coacute nhiều tiacutenh năng mạnh vagravelinh hoạt dugraveng để lagravem Web Server
Hỗ trợ đầy đủ những giao thức HTTP trước đacircy như HTTP11Coacute thể cấu higravenh vagrave mở rộng với những module của cocircngty thứ ba
Cung cấp source code đầy đủ với license khocircng hạn chế Chạy trecircn nhiều hệ điều hagravenh như Windows NT9xNetware 5x OS2 vagrave trecircn hầu hết caacutec hệ điều hagravenh Unix
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2030
20
3 Apache server
34 Bảo mật cho Apache serverTiacutenh đa năng của Apache tạo ra những khoacute khăn để thực hiện một mocirc thức tổng quaacutet với mục điacutech kiện toagravenbảo mật cho server trong mọi trường hợp coacute thể được
ETHacircy lagrave lyacute do để dựa trecircn caacutec chức năng sau Web server coacute thể truy cập từ Internet
Chỉ những trang HTML tĩnh (static HTML pages) sẽ được phục vụ
Server hỗ trợ tecircn miền cho cơ chế dịch vụ ảo
Caacutec trang web đatilde ấn định chỉ coacute thể truy cập từ caacutec cụm IPaddresses hoặc người dugraveng (khai baacuteo căn bản)
Server sẽ tường trigravenh trọn bộ caacutec yecircu cầu (bao gồm những thocircng tin về caacutec web browsers)
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2130
21
3 Apache server
34 Bảo mật cho Apache serverNhững trugrave bị bảo mật Một trong những nhacircn tố quan trọng nhất cho mọi cocircng trigravenhđiện toaacuten lagrave việc xaacutec thực caacutec trugrave bị bảo mật ETHiều nagravey phải
được thoả matilden trước khi cocircng trigravenh được ứng tạo Caacutec trugrave bị bảo mật cho web server của chuacuteng ta như sau
Hệ điều hagravenh phải được kiện toagraven cagraveng chặt chẽ cagraveng tốt baogồm việc phograveng bị cho những tấn cocircng từ becircn ngoagravei lẫn becircntrong
Server khocircng được cung cấp bất cứ dịch vụ nagraveo khaacutec ngoại trừ HTTP (80TCP)
Truy cập từ xa đến server phải được kiểm soaacutet bởi tường lửathiết bị nagravey chặn trọn bộ những tiếp nối cho lối ra vagrave cho pheacutepnhững tiếp nối cho lối vagraveo đến cổng 80TCP của web server
magrave thocirci
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2230
22
3 Apache server
34 Bảo mật cho Apache serverNhững trugrave bị bảo mật (tiếp)
Web server Apache lagrave dịch vụ duy nhất hiện hữu trecircn hệ thống
Chỉ coacute những modules nagraveo tuyệt đối cần thiết mới được cho pheacutep hoạt động
Caacutec trang web dugraveng cho cocircng taacutec chẩn xeacutet vagrave tự động hoaacute mục lục phải được tắt bỏ
Srver necircn giảm thiểu tối đa vấn đề tiết lộ những thocircng tin của chiacutenh server (mật tiacutenh qua ẩn tiacutenh)
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2330
23
3 Apache server
34 Bảo mật cho Apache serverNhững trugrave bị bảo mật (tiếp)
Apache server phải chạy bằng UIDGID riecircng biệt (định danh người dugraveng định danh nhoacutem) khocircngđược dugraveng bất cứ tiến trigravenh (process) nagraveo khaacutec
của hệ thống Caacutec process của Apache phải coacute giới hạn nhất
định đến hệ thư mục (chrooting)
Khocircng coacute bất cứ chương trigravenh dạng shell nagraveo hiện hữu trong mocirci trường chrooted (binsh bincshvv)
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2430
24
3 Apache server
34 Bảo mật cho Apache serverCagravei đặt hệ điều hagravenh
Trước khi cagravei đặt Apache chuacuteng ta phải chọn lấy một hệ điều hagravenh đoacute lagrave mocirci trường Apache sẽ hoạt động
Ở đacircy chuacuteng ta coacute khaacute nhiều chọn lựa vigrave Apache coacute thể được biecircn dịch vagrave cagravei đặt trecircn hầu hết caacutec hệ điều hagravenh
Tuy nhiecircn necircn chọn caacutec hệ điều hagravenh UNIXLINUX lyacute
do chiacutenh lagrave vigrave hệ điều hagravenh MS Windows bị giới hạn khả năng kiện toagraven bảo mật cho Apache
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2530
25
3 Apache server
34 Bảo mật cho Apache serverCagravei đặt hệ điều hagravenh
Bước đầu tiecircn trong vấn đề bảo mật Web server lagrave kiện toagraven hệ điều hagravenh
Sau khi hệ thống được cagravei đặt vagrave kiện toagraven chuacuteng tacần thecircm một nhoacutem vagrave một người dugraveng thocircng thường gọi lagrave apache
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2630
26
3 Apache server
34 Bảo mật cho Apache serverCagravei đặt hệ điều hagravenh
Theo mặc định caacutec process thuộc Apache chạy với chủ quyền của người dugraveng nobody (ngoại trừ process chiacutenh
phải chạy với chủ quyền root) vagrave GID thuộc nhoacutemnogroup
ETHiều nagravey coacute thể dẫn đến những đe dọa bảo mật nghiecircm trọng Trong trường hợp đột nhập thagravenh cocircng
tin tặc coacute thể lấy được quyền truy dụng đến những process khaacutec chạy cugraveng UIDGID
Bởi thế giải phaacutep tối ưu lagrave cho Apache chạy bằng UIDGID từ nhoacutem riecircng biệt chuyecircn chuacute đến software
ấy thocirci
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2730
27
3 Apache server
34 Bảo mật cho Apache serverChuẩn bị software
Bước kế tiếp lagrave bước tải phiecircn bản Apache mới nhất từ web site Apache
Sau khi tải software về chuacuteng ta phải giải neacuten Kế tiếp chuacuteng ta quyết định modules nagraveo được pheacutep hoạt động
Chọn lựa caacutec modules lagrave một trong những bước quan
trọng nhất trong vấn đề bảo mật Apache Chuacuteng ta necircntheo luật cagraveng iacutet cagraveng tốt
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2830
28
3 Apache server
34 Bảo mật cho Apache serverChuẩn bị software
ETHể thoả matilden chức năng vagrave những trugrave bị bảo mật caacutecmodules sau cần được cho pheacutep httpd_core Chứa caacutec chức năng cốt lotildei của Apache
cần thiết cho bất cứ Apache nagraveo
mod_access Cung cấp chế độ khiển taacutec dựa trecircn tecircnmaacutey địa chỉ IP hoặc caacutec tiacutenh chất yecircu cầu thuộc về caacutec clients Bởi vigrave module nagravey cần cho caacutec chỉ phối
(directive) order allow vagrave deny noacute cần được chopheacutep
mod_auth Cần thiết để ứng dụng vấn đề khai baacuteongười dugraveng cho việc sử dụng caacutec hồ sơ nguyecircn bản (khai baacuteo căn bản cho HTTP) được chỉ định trong chức
năng trugrave bị
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2930
29
3 Apache server
34 Bảo mật cho Apache server
Chuẩn bị software (tiếp) mod_dir Cần thiết để tigravem kiếm vagrave phục vụ caacutec hồ sơ
thư mục indexhtml defaulthtm vv
mod_log_config Cần thiết để ứng hiệu baacuteo caacuteo
những yecircu cầu thực hiện đến server mod_mime Cần thiết để chỉnh lyacute nhoacutem chữ caacutei matilde
hoaacute nội dung tugravey taacutec ngocircn ngữ nội dung vagrave caacutec loạiMIME đại diện cho caacutec loại tagravei liệu
Tất cả caacutec modules khaacutec của Apache phải được tắt bỏ
Web server
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 3030
30
Hết chương 5
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 1930
19
3 Apache server
33 Tiacutenh năng của Apache server Apache lagrave một phần mềm coacute nhiều tiacutenh năng mạnh vagravelinh hoạt dugraveng để lagravem Web Server
Hỗ trợ đầy đủ những giao thức HTTP trước đacircy như HTTP11Coacute thể cấu higravenh vagrave mở rộng với những module của cocircngty thứ ba
Cung cấp source code đầy đủ với license khocircng hạn chế Chạy trecircn nhiều hệ điều hagravenh như Windows NT9xNetware 5x OS2 vagrave trecircn hầu hết caacutec hệ điều hagravenh Unix
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2030
20
3 Apache server
34 Bảo mật cho Apache serverTiacutenh đa năng của Apache tạo ra những khoacute khăn để thực hiện một mocirc thức tổng quaacutet với mục điacutech kiện toagravenbảo mật cho server trong mọi trường hợp coacute thể được
ETHacircy lagrave lyacute do để dựa trecircn caacutec chức năng sau Web server coacute thể truy cập từ Internet
Chỉ những trang HTML tĩnh (static HTML pages) sẽ được phục vụ
Server hỗ trợ tecircn miền cho cơ chế dịch vụ ảo
Caacutec trang web đatilde ấn định chỉ coacute thể truy cập từ caacutec cụm IPaddresses hoặc người dugraveng (khai baacuteo căn bản)
Server sẽ tường trigravenh trọn bộ caacutec yecircu cầu (bao gồm những thocircng tin về caacutec web browsers)
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2130
21
3 Apache server
34 Bảo mật cho Apache serverNhững trugrave bị bảo mật Một trong những nhacircn tố quan trọng nhất cho mọi cocircng trigravenhđiện toaacuten lagrave việc xaacutec thực caacutec trugrave bị bảo mật ETHiều nagravey phải
được thoả matilden trước khi cocircng trigravenh được ứng tạo Caacutec trugrave bị bảo mật cho web server của chuacuteng ta như sau
Hệ điều hagravenh phải được kiện toagraven cagraveng chặt chẽ cagraveng tốt baogồm việc phograveng bị cho những tấn cocircng từ becircn ngoagravei lẫn becircntrong
Server khocircng được cung cấp bất cứ dịch vụ nagraveo khaacutec ngoại trừ HTTP (80TCP)
Truy cập từ xa đến server phải được kiểm soaacutet bởi tường lửathiết bị nagravey chặn trọn bộ những tiếp nối cho lối ra vagrave cho pheacutepnhững tiếp nối cho lối vagraveo đến cổng 80TCP của web server
magrave thocirci
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2230
22
3 Apache server
34 Bảo mật cho Apache serverNhững trugrave bị bảo mật (tiếp)
Web server Apache lagrave dịch vụ duy nhất hiện hữu trecircn hệ thống
Chỉ coacute những modules nagraveo tuyệt đối cần thiết mới được cho pheacutep hoạt động
Caacutec trang web dugraveng cho cocircng taacutec chẩn xeacutet vagrave tự động hoaacute mục lục phải được tắt bỏ
Srver necircn giảm thiểu tối đa vấn đề tiết lộ những thocircng tin của chiacutenh server (mật tiacutenh qua ẩn tiacutenh)
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2330
23
3 Apache server
34 Bảo mật cho Apache serverNhững trugrave bị bảo mật (tiếp)
Apache server phải chạy bằng UIDGID riecircng biệt (định danh người dugraveng định danh nhoacutem) khocircngđược dugraveng bất cứ tiến trigravenh (process) nagraveo khaacutec
của hệ thống Caacutec process của Apache phải coacute giới hạn nhất
định đến hệ thư mục (chrooting)
Khocircng coacute bất cứ chương trigravenh dạng shell nagraveo hiện hữu trong mocirci trường chrooted (binsh bincshvv)
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2430
24
3 Apache server
34 Bảo mật cho Apache serverCagravei đặt hệ điều hagravenh
Trước khi cagravei đặt Apache chuacuteng ta phải chọn lấy một hệ điều hagravenh đoacute lagrave mocirci trường Apache sẽ hoạt động
Ở đacircy chuacuteng ta coacute khaacute nhiều chọn lựa vigrave Apache coacute thể được biecircn dịch vagrave cagravei đặt trecircn hầu hết caacutec hệ điều hagravenh
Tuy nhiecircn necircn chọn caacutec hệ điều hagravenh UNIXLINUX lyacute
do chiacutenh lagrave vigrave hệ điều hagravenh MS Windows bị giới hạn khả năng kiện toagraven bảo mật cho Apache
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2530
25
3 Apache server
34 Bảo mật cho Apache serverCagravei đặt hệ điều hagravenh
Bước đầu tiecircn trong vấn đề bảo mật Web server lagrave kiện toagraven hệ điều hagravenh
Sau khi hệ thống được cagravei đặt vagrave kiện toagraven chuacuteng tacần thecircm một nhoacutem vagrave một người dugraveng thocircng thường gọi lagrave apache
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2630
26
3 Apache server
34 Bảo mật cho Apache serverCagravei đặt hệ điều hagravenh
Theo mặc định caacutec process thuộc Apache chạy với chủ quyền của người dugraveng nobody (ngoại trừ process chiacutenh
phải chạy với chủ quyền root) vagrave GID thuộc nhoacutemnogroup
ETHiều nagravey coacute thể dẫn đến những đe dọa bảo mật nghiecircm trọng Trong trường hợp đột nhập thagravenh cocircng
tin tặc coacute thể lấy được quyền truy dụng đến những process khaacutec chạy cugraveng UIDGID
Bởi thế giải phaacutep tối ưu lagrave cho Apache chạy bằng UIDGID từ nhoacutem riecircng biệt chuyecircn chuacute đến software
ấy thocirci
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2730
27
3 Apache server
34 Bảo mật cho Apache serverChuẩn bị software
Bước kế tiếp lagrave bước tải phiecircn bản Apache mới nhất từ web site Apache
Sau khi tải software về chuacuteng ta phải giải neacuten Kế tiếp chuacuteng ta quyết định modules nagraveo được pheacutep hoạt động
Chọn lựa caacutec modules lagrave một trong những bước quan
trọng nhất trong vấn đề bảo mật Apache Chuacuteng ta necircntheo luật cagraveng iacutet cagraveng tốt
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2830
28
3 Apache server
34 Bảo mật cho Apache serverChuẩn bị software
ETHể thoả matilden chức năng vagrave những trugrave bị bảo mật caacutecmodules sau cần được cho pheacutep httpd_core Chứa caacutec chức năng cốt lotildei của Apache
cần thiết cho bất cứ Apache nagraveo
mod_access Cung cấp chế độ khiển taacutec dựa trecircn tecircnmaacutey địa chỉ IP hoặc caacutec tiacutenh chất yecircu cầu thuộc về caacutec clients Bởi vigrave module nagravey cần cho caacutec chỉ phối
(directive) order allow vagrave deny noacute cần được chopheacutep
mod_auth Cần thiết để ứng dụng vấn đề khai baacuteongười dugraveng cho việc sử dụng caacutec hồ sơ nguyecircn bản (khai baacuteo căn bản cho HTTP) được chỉ định trong chức
năng trugrave bị
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2930
29
3 Apache server
34 Bảo mật cho Apache server
Chuẩn bị software (tiếp) mod_dir Cần thiết để tigravem kiếm vagrave phục vụ caacutec hồ sơ
thư mục indexhtml defaulthtm vv
mod_log_config Cần thiết để ứng hiệu baacuteo caacuteo
những yecircu cầu thực hiện đến server mod_mime Cần thiết để chỉnh lyacute nhoacutem chữ caacutei matilde
hoaacute nội dung tugravey taacutec ngocircn ngữ nội dung vagrave caacutec loạiMIME đại diện cho caacutec loại tagravei liệu
Tất cả caacutec modules khaacutec của Apache phải được tắt bỏ
Web server
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 3030
30
Hết chương 5
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2030
20
3 Apache server
34 Bảo mật cho Apache serverTiacutenh đa năng của Apache tạo ra những khoacute khăn để thực hiện một mocirc thức tổng quaacutet với mục điacutech kiện toagravenbảo mật cho server trong mọi trường hợp coacute thể được
ETHacircy lagrave lyacute do để dựa trecircn caacutec chức năng sau Web server coacute thể truy cập từ Internet
Chỉ những trang HTML tĩnh (static HTML pages) sẽ được phục vụ
Server hỗ trợ tecircn miền cho cơ chế dịch vụ ảo
Caacutec trang web đatilde ấn định chỉ coacute thể truy cập từ caacutec cụm IPaddresses hoặc người dugraveng (khai baacuteo căn bản)
Server sẽ tường trigravenh trọn bộ caacutec yecircu cầu (bao gồm những thocircng tin về caacutec web browsers)
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2130
21
3 Apache server
34 Bảo mật cho Apache serverNhững trugrave bị bảo mật Một trong những nhacircn tố quan trọng nhất cho mọi cocircng trigravenhđiện toaacuten lagrave việc xaacutec thực caacutec trugrave bị bảo mật ETHiều nagravey phải
được thoả matilden trước khi cocircng trigravenh được ứng tạo Caacutec trugrave bị bảo mật cho web server của chuacuteng ta như sau
Hệ điều hagravenh phải được kiện toagraven cagraveng chặt chẽ cagraveng tốt baogồm việc phograveng bị cho những tấn cocircng từ becircn ngoagravei lẫn becircntrong
Server khocircng được cung cấp bất cứ dịch vụ nagraveo khaacutec ngoại trừ HTTP (80TCP)
Truy cập từ xa đến server phải được kiểm soaacutet bởi tường lửathiết bị nagravey chặn trọn bộ những tiếp nối cho lối ra vagrave cho pheacutepnhững tiếp nối cho lối vagraveo đến cổng 80TCP của web server
magrave thocirci
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2230
22
3 Apache server
34 Bảo mật cho Apache serverNhững trugrave bị bảo mật (tiếp)
Web server Apache lagrave dịch vụ duy nhất hiện hữu trecircn hệ thống
Chỉ coacute những modules nagraveo tuyệt đối cần thiết mới được cho pheacutep hoạt động
Caacutec trang web dugraveng cho cocircng taacutec chẩn xeacutet vagrave tự động hoaacute mục lục phải được tắt bỏ
Srver necircn giảm thiểu tối đa vấn đề tiết lộ những thocircng tin của chiacutenh server (mật tiacutenh qua ẩn tiacutenh)
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2330
23
3 Apache server
34 Bảo mật cho Apache serverNhững trugrave bị bảo mật (tiếp)
Apache server phải chạy bằng UIDGID riecircng biệt (định danh người dugraveng định danh nhoacutem) khocircngđược dugraveng bất cứ tiến trigravenh (process) nagraveo khaacutec
của hệ thống Caacutec process của Apache phải coacute giới hạn nhất
định đến hệ thư mục (chrooting)
Khocircng coacute bất cứ chương trigravenh dạng shell nagraveo hiện hữu trong mocirci trường chrooted (binsh bincshvv)
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2430
24
3 Apache server
34 Bảo mật cho Apache serverCagravei đặt hệ điều hagravenh
Trước khi cagravei đặt Apache chuacuteng ta phải chọn lấy một hệ điều hagravenh đoacute lagrave mocirci trường Apache sẽ hoạt động
Ở đacircy chuacuteng ta coacute khaacute nhiều chọn lựa vigrave Apache coacute thể được biecircn dịch vagrave cagravei đặt trecircn hầu hết caacutec hệ điều hagravenh
Tuy nhiecircn necircn chọn caacutec hệ điều hagravenh UNIXLINUX lyacute
do chiacutenh lagrave vigrave hệ điều hagravenh MS Windows bị giới hạn khả năng kiện toagraven bảo mật cho Apache
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2530
25
3 Apache server
34 Bảo mật cho Apache serverCagravei đặt hệ điều hagravenh
Bước đầu tiecircn trong vấn đề bảo mật Web server lagrave kiện toagraven hệ điều hagravenh
Sau khi hệ thống được cagravei đặt vagrave kiện toagraven chuacuteng tacần thecircm một nhoacutem vagrave một người dugraveng thocircng thường gọi lagrave apache
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2630
26
3 Apache server
34 Bảo mật cho Apache serverCagravei đặt hệ điều hagravenh
Theo mặc định caacutec process thuộc Apache chạy với chủ quyền của người dugraveng nobody (ngoại trừ process chiacutenh
phải chạy với chủ quyền root) vagrave GID thuộc nhoacutemnogroup
ETHiều nagravey coacute thể dẫn đến những đe dọa bảo mật nghiecircm trọng Trong trường hợp đột nhập thagravenh cocircng
tin tặc coacute thể lấy được quyền truy dụng đến những process khaacutec chạy cugraveng UIDGID
Bởi thế giải phaacutep tối ưu lagrave cho Apache chạy bằng UIDGID từ nhoacutem riecircng biệt chuyecircn chuacute đến software
ấy thocirci
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2730
27
3 Apache server
34 Bảo mật cho Apache serverChuẩn bị software
Bước kế tiếp lagrave bước tải phiecircn bản Apache mới nhất từ web site Apache
Sau khi tải software về chuacuteng ta phải giải neacuten Kế tiếp chuacuteng ta quyết định modules nagraveo được pheacutep hoạt động
Chọn lựa caacutec modules lagrave một trong những bước quan
trọng nhất trong vấn đề bảo mật Apache Chuacuteng ta necircntheo luật cagraveng iacutet cagraveng tốt
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2830
28
3 Apache server
34 Bảo mật cho Apache serverChuẩn bị software
ETHể thoả matilden chức năng vagrave những trugrave bị bảo mật caacutecmodules sau cần được cho pheacutep httpd_core Chứa caacutec chức năng cốt lotildei của Apache
cần thiết cho bất cứ Apache nagraveo
mod_access Cung cấp chế độ khiển taacutec dựa trecircn tecircnmaacutey địa chỉ IP hoặc caacutec tiacutenh chất yecircu cầu thuộc về caacutec clients Bởi vigrave module nagravey cần cho caacutec chỉ phối
(directive) order allow vagrave deny noacute cần được chopheacutep
mod_auth Cần thiết để ứng dụng vấn đề khai baacuteongười dugraveng cho việc sử dụng caacutec hồ sơ nguyecircn bản (khai baacuteo căn bản cho HTTP) được chỉ định trong chức
năng trugrave bị
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2930
29
3 Apache server
34 Bảo mật cho Apache server
Chuẩn bị software (tiếp) mod_dir Cần thiết để tigravem kiếm vagrave phục vụ caacutec hồ sơ
thư mục indexhtml defaulthtm vv
mod_log_config Cần thiết để ứng hiệu baacuteo caacuteo
những yecircu cầu thực hiện đến server mod_mime Cần thiết để chỉnh lyacute nhoacutem chữ caacutei matilde
hoaacute nội dung tugravey taacutec ngocircn ngữ nội dung vagrave caacutec loạiMIME đại diện cho caacutec loại tagravei liệu
Tất cả caacutec modules khaacutec của Apache phải được tắt bỏ
Web server
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 3030
30
Hết chương 5
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2130
21
3 Apache server
34 Bảo mật cho Apache serverNhững trugrave bị bảo mật Một trong những nhacircn tố quan trọng nhất cho mọi cocircng trigravenhđiện toaacuten lagrave việc xaacutec thực caacutec trugrave bị bảo mật ETHiều nagravey phải
được thoả matilden trước khi cocircng trigravenh được ứng tạo Caacutec trugrave bị bảo mật cho web server của chuacuteng ta như sau
Hệ điều hagravenh phải được kiện toagraven cagraveng chặt chẽ cagraveng tốt baogồm việc phograveng bị cho những tấn cocircng từ becircn ngoagravei lẫn becircntrong
Server khocircng được cung cấp bất cứ dịch vụ nagraveo khaacutec ngoại trừ HTTP (80TCP)
Truy cập từ xa đến server phải được kiểm soaacutet bởi tường lửathiết bị nagravey chặn trọn bộ những tiếp nối cho lối ra vagrave cho pheacutepnhững tiếp nối cho lối vagraveo đến cổng 80TCP của web server
magrave thocirci
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2230
22
3 Apache server
34 Bảo mật cho Apache serverNhững trugrave bị bảo mật (tiếp)
Web server Apache lagrave dịch vụ duy nhất hiện hữu trecircn hệ thống
Chỉ coacute những modules nagraveo tuyệt đối cần thiết mới được cho pheacutep hoạt động
Caacutec trang web dugraveng cho cocircng taacutec chẩn xeacutet vagrave tự động hoaacute mục lục phải được tắt bỏ
Srver necircn giảm thiểu tối đa vấn đề tiết lộ những thocircng tin của chiacutenh server (mật tiacutenh qua ẩn tiacutenh)
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2330
23
3 Apache server
34 Bảo mật cho Apache serverNhững trugrave bị bảo mật (tiếp)
Apache server phải chạy bằng UIDGID riecircng biệt (định danh người dugraveng định danh nhoacutem) khocircngđược dugraveng bất cứ tiến trigravenh (process) nagraveo khaacutec
của hệ thống Caacutec process của Apache phải coacute giới hạn nhất
định đến hệ thư mục (chrooting)
Khocircng coacute bất cứ chương trigravenh dạng shell nagraveo hiện hữu trong mocirci trường chrooted (binsh bincshvv)
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2430
24
3 Apache server
34 Bảo mật cho Apache serverCagravei đặt hệ điều hagravenh
Trước khi cagravei đặt Apache chuacuteng ta phải chọn lấy một hệ điều hagravenh đoacute lagrave mocirci trường Apache sẽ hoạt động
Ở đacircy chuacuteng ta coacute khaacute nhiều chọn lựa vigrave Apache coacute thể được biecircn dịch vagrave cagravei đặt trecircn hầu hết caacutec hệ điều hagravenh
Tuy nhiecircn necircn chọn caacutec hệ điều hagravenh UNIXLINUX lyacute
do chiacutenh lagrave vigrave hệ điều hagravenh MS Windows bị giới hạn khả năng kiện toagraven bảo mật cho Apache
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2530
25
3 Apache server
34 Bảo mật cho Apache serverCagravei đặt hệ điều hagravenh
Bước đầu tiecircn trong vấn đề bảo mật Web server lagrave kiện toagraven hệ điều hagravenh
Sau khi hệ thống được cagravei đặt vagrave kiện toagraven chuacuteng tacần thecircm một nhoacutem vagrave một người dugraveng thocircng thường gọi lagrave apache
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2630
26
3 Apache server
34 Bảo mật cho Apache serverCagravei đặt hệ điều hagravenh
Theo mặc định caacutec process thuộc Apache chạy với chủ quyền của người dugraveng nobody (ngoại trừ process chiacutenh
phải chạy với chủ quyền root) vagrave GID thuộc nhoacutemnogroup
ETHiều nagravey coacute thể dẫn đến những đe dọa bảo mật nghiecircm trọng Trong trường hợp đột nhập thagravenh cocircng
tin tặc coacute thể lấy được quyền truy dụng đến những process khaacutec chạy cugraveng UIDGID
Bởi thế giải phaacutep tối ưu lagrave cho Apache chạy bằng UIDGID từ nhoacutem riecircng biệt chuyecircn chuacute đến software
ấy thocirci
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2730
27
3 Apache server
34 Bảo mật cho Apache serverChuẩn bị software
Bước kế tiếp lagrave bước tải phiecircn bản Apache mới nhất từ web site Apache
Sau khi tải software về chuacuteng ta phải giải neacuten Kế tiếp chuacuteng ta quyết định modules nagraveo được pheacutep hoạt động
Chọn lựa caacutec modules lagrave một trong những bước quan
trọng nhất trong vấn đề bảo mật Apache Chuacuteng ta necircntheo luật cagraveng iacutet cagraveng tốt
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2830
28
3 Apache server
34 Bảo mật cho Apache serverChuẩn bị software
ETHể thoả matilden chức năng vagrave những trugrave bị bảo mật caacutecmodules sau cần được cho pheacutep httpd_core Chứa caacutec chức năng cốt lotildei của Apache
cần thiết cho bất cứ Apache nagraveo
mod_access Cung cấp chế độ khiển taacutec dựa trecircn tecircnmaacutey địa chỉ IP hoặc caacutec tiacutenh chất yecircu cầu thuộc về caacutec clients Bởi vigrave module nagravey cần cho caacutec chỉ phối
(directive) order allow vagrave deny noacute cần được chopheacutep
mod_auth Cần thiết để ứng dụng vấn đề khai baacuteongười dugraveng cho việc sử dụng caacutec hồ sơ nguyecircn bản (khai baacuteo căn bản cho HTTP) được chỉ định trong chức
năng trugrave bị
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2930
29
3 Apache server
34 Bảo mật cho Apache server
Chuẩn bị software (tiếp) mod_dir Cần thiết để tigravem kiếm vagrave phục vụ caacutec hồ sơ
thư mục indexhtml defaulthtm vv
mod_log_config Cần thiết để ứng hiệu baacuteo caacuteo
những yecircu cầu thực hiện đến server mod_mime Cần thiết để chỉnh lyacute nhoacutem chữ caacutei matilde
hoaacute nội dung tugravey taacutec ngocircn ngữ nội dung vagrave caacutec loạiMIME đại diện cho caacutec loại tagravei liệu
Tất cả caacutec modules khaacutec của Apache phải được tắt bỏ
Web server
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 3030
30
Hết chương 5
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2230
22
3 Apache server
34 Bảo mật cho Apache serverNhững trugrave bị bảo mật (tiếp)
Web server Apache lagrave dịch vụ duy nhất hiện hữu trecircn hệ thống
Chỉ coacute những modules nagraveo tuyệt đối cần thiết mới được cho pheacutep hoạt động
Caacutec trang web dugraveng cho cocircng taacutec chẩn xeacutet vagrave tự động hoaacute mục lục phải được tắt bỏ
Srver necircn giảm thiểu tối đa vấn đề tiết lộ những thocircng tin của chiacutenh server (mật tiacutenh qua ẩn tiacutenh)
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2330
23
3 Apache server
34 Bảo mật cho Apache serverNhững trugrave bị bảo mật (tiếp)
Apache server phải chạy bằng UIDGID riecircng biệt (định danh người dugraveng định danh nhoacutem) khocircngđược dugraveng bất cứ tiến trigravenh (process) nagraveo khaacutec
của hệ thống Caacutec process của Apache phải coacute giới hạn nhất
định đến hệ thư mục (chrooting)
Khocircng coacute bất cứ chương trigravenh dạng shell nagraveo hiện hữu trong mocirci trường chrooted (binsh bincshvv)
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2430
24
3 Apache server
34 Bảo mật cho Apache serverCagravei đặt hệ điều hagravenh
Trước khi cagravei đặt Apache chuacuteng ta phải chọn lấy một hệ điều hagravenh đoacute lagrave mocirci trường Apache sẽ hoạt động
Ở đacircy chuacuteng ta coacute khaacute nhiều chọn lựa vigrave Apache coacute thể được biecircn dịch vagrave cagravei đặt trecircn hầu hết caacutec hệ điều hagravenh
Tuy nhiecircn necircn chọn caacutec hệ điều hagravenh UNIXLINUX lyacute
do chiacutenh lagrave vigrave hệ điều hagravenh MS Windows bị giới hạn khả năng kiện toagraven bảo mật cho Apache
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2530
25
3 Apache server
34 Bảo mật cho Apache serverCagravei đặt hệ điều hagravenh
Bước đầu tiecircn trong vấn đề bảo mật Web server lagrave kiện toagraven hệ điều hagravenh
Sau khi hệ thống được cagravei đặt vagrave kiện toagraven chuacuteng tacần thecircm một nhoacutem vagrave một người dugraveng thocircng thường gọi lagrave apache
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2630
26
3 Apache server
34 Bảo mật cho Apache serverCagravei đặt hệ điều hagravenh
Theo mặc định caacutec process thuộc Apache chạy với chủ quyền của người dugraveng nobody (ngoại trừ process chiacutenh
phải chạy với chủ quyền root) vagrave GID thuộc nhoacutemnogroup
ETHiều nagravey coacute thể dẫn đến những đe dọa bảo mật nghiecircm trọng Trong trường hợp đột nhập thagravenh cocircng
tin tặc coacute thể lấy được quyền truy dụng đến những process khaacutec chạy cugraveng UIDGID
Bởi thế giải phaacutep tối ưu lagrave cho Apache chạy bằng UIDGID từ nhoacutem riecircng biệt chuyecircn chuacute đến software
ấy thocirci
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2730
27
3 Apache server
34 Bảo mật cho Apache serverChuẩn bị software
Bước kế tiếp lagrave bước tải phiecircn bản Apache mới nhất từ web site Apache
Sau khi tải software về chuacuteng ta phải giải neacuten Kế tiếp chuacuteng ta quyết định modules nagraveo được pheacutep hoạt động
Chọn lựa caacutec modules lagrave một trong những bước quan
trọng nhất trong vấn đề bảo mật Apache Chuacuteng ta necircntheo luật cagraveng iacutet cagraveng tốt
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2830
28
3 Apache server
34 Bảo mật cho Apache serverChuẩn bị software
ETHể thoả matilden chức năng vagrave những trugrave bị bảo mật caacutecmodules sau cần được cho pheacutep httpd_core Chứa caacutec chức năng cốt lotildei của Apache
cần thiết cho bất cứ Apache nagraveo
mod_access Cung cấp chế độ khiển taacutec dựa trecircn tecircnmaacutey địa chỉ IP hoặc caacutec tiacutenh chất yecircu cầu thuộc về caacutec clients Bởi vigrave module nagravey cần cho caacutec chỉ phối
(directive) order allow vagrave deny noacute cần được chopheacutep
mod_auth Cần thiết để ứng dụng vấn đề khai baacuteongười dugraveng cho việc sử dụng caacutec hồ sơ nguyecircn bản (khai baacuteo căn bản cho HTTP) được chỉ định trong chức
năng trugrave bị
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2930
29
3 Apache server
34 Bảo mật cho Apache server
Chuẩn bị software (tiếp) mod_dir Cần thiết để tigravem kiếm vagrave phục vụ caacutec hồ sơ
thư mục indexhtml defaulthtm vv
mod_log_config Cần thiết để ứng hiệu baacuteo caacuteo
những yecircu cầu thực hiện đến server mod_mime Cần thiết để chỉnh lyacute nhoacutem chữ caacutei matilde
hoaacute nội dung tugravey taacutec ngocircn ngữ nội dung vagrave caacutec loạiMIME đại diện cho caacutec loại tagravei liệu
Tất cả caacutec modules khaacutec của Apache phải được tắt bỏ
Web server
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 3030
30
Hết chương 5
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2330
23
3 Apache server
34 Bảo mật cho Apache serverNhững trugrave bị bảo mật (tiếp)
Apache server phải chạy bằng UIDGID riecircng biệt (định danh người dugraveng định danh nhoacutem) khocircngđược dugraveng bất cứ tiến trigravenh (process) nagraveo khaacutec
của hệ thống Caacutec process của Apache phải coacute giới hạn nhất
định đến hệ thư mục (chrooting)
Khocircng coacute bất cứ chương trigravenh dạng shell nagraveo hiện hữu trong mocirci trường chrooted (binsh bincshvv)
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2430
24
3 Apache server
34 Bảo mật cho Apache serverCagravei đặt hệ điều hagravenh
Trước khi cagravei đặt Apache chuacuteng ta phải chọn lấy một hệ điều hagravenh đoacute lagrave mocirci trường Apache sẽ hoạt động
Ở đacircy chuacuteng ta coacute khaacute nhiều chọn lựa vigrave Apache coacute thể được biecircn dịch vagrave cagravei đặt trecircn hầu hết caacutec hệ điều hagravenh
Tuy nhiecircn necircn chọn caacutec hệ điều hagravenh UNIXLINUX lyacute
do chiacutenh lagrave vigrave hệ điều hagravenh MS Windows bị giới hạn khả năng kiện toagraven bảo mật cho Apache
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2530
25
3 Apache server
34 Bảo mật cho Apache serverCagravei đặt hệ điều hagravenh
Bước đầu tiecircn trong vấn đề bảo mật Web server lagrave kiện toagraven hệ điều hagravenh
Sau khi hệ thống được cagravei đặt vagrave kiện toagraven chuacuteng tacần thecircm một nhoacutem vagrave một người dugraveng thocircng thường gọi lagrave apache
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2630
26
3 Apache server
34 Bảo mật cho Apache serverCagravei đặt hệ điều hagravenh
Theo mặc định caacutec process thuộc Apache chạy với chủ quyền của người dugraveng nobody (ngoại trừ process chiacutenh
phải chạy với chủ quyền root) vagrave GID thuộc nhoacutemnogroup
ETHiều nagravey coacute thể dẫn đến những đe dọa bảo mật nghiecircm trọng Trong trường hợp đột nhập thagravenh cocircng
tin tặc coacute thể lấy được quyền truy dụng đến những process khaacutec chạy cugraveng UIDGID
Bởi thế giải phaacutep tối ưu lagrave cho Apache chạy bằng UIDGID từ nhoacutem riecircng biệt chuyecircn chuacute đến software
ấy thocirci
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2730
27
3 Apache server
34 Bảo mật cho Apache serverChuẩn bị software
Bước kế tiếp lagrave bước tải phiecircn bản Apache mới nhất từ web site Apache
Sau khi tải software về chuacuteng ta phải giải neacuten Kế tiếp chuacuteng ta quyết định modules nagraveo được pheacutep hoạt động
Chọn lựa caacutec modules lagrave một trong những bước quan
trọng nhất trong vấn đề bảo mật Apache Chuacuteng ta necircntheo luật cagraveng iacutet cagraveng tốt
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2830
28
3 Apache server
34 Bảo mật cho Apache serverChuẩn bị software
ETHể thoả matilden chức năng vagrave những trugrave bị bảo mật caacutecmodules sau cần được cho pheacutep httpd_core Chứa caacutec chức năng cốt lotildei của Apache
cần thiết cho bất cứ Apache nagraveo
mod_access Cung cấp chế độ khiển taacutec dựa trecircn tecircnmaacutey địa chỉ IP hoặc caacutec tiacutenh chất yecircu cầu thuộc về caacutec clients Bởi vigrave module nagravey cần cho caacutec chỉ phối
(directive) order allow vagrave deny noacute cần được chopheacutep
mod_auth Cần thiết để ứng dụng vấn đề khai baacuteongười dugraveng cho việc sử dụng caacutec hồ sơ nguyecircn bản (khai baacuteo căn bản cho HTTP) được chỉ định trong chức
năng trugrave bị
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2930
29
3 Apache server
34 Bảo mật cho Apache server
Chuẩn bị software (tiếp) mod_dir Cần thiết để tigravem kiếm vagrave phục vụ caacutec hồ sơ
thư mục indexhtml defaulthtm vv
mod_log_config Cần thiết để ứng hiệu baacuteo caacuteo
những yecircu cầu thực hiện đến server mod_mime Cần thiết để chỉnh lyacute nhoacutem chữ caacutei matilde
hoaacute nội dung tugravey taacutec ngocircn ngữ nội dung vagrave caacutec loạiMIME đại diện cho caacutec loại tagravei liệu
Tất cả caacutec modules khaacutec của Apache phải được tắt bỏ
Web server
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 3030
30
Hết chương 5
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2430
24
3 Apache server
34 Bảo mật cho Apache serverCagravei đặt hệ điều hagravenh
Trước khi cagravei đặt Apache chuacuteng ta phải chọn lấy một hệ điều hagravenh đoacute lagrave mocirci trường Apache sẽ hoạt động
Ở đacircy chuacuteng ta coacute khaacute nhiều chọn lựa vigrave Apache coacute thể được biecircn dịch vagrave cagravei đặt trecircn hầu hết caacutec hệ điều hagravenh
Tuy nhiecircn necircn chọn caacutec hệ điều hagravenh UNIXLINUX lyacute
do chiacutenh lagrave vigrave hệ điều hagravenh MS Windows bị giới hạn khả năng kiện toagraven bảo mật cho Apache
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2530
25
3 Apache server
34 Bảo mật cho Apache serverCagravei đặt hệ điều hagravenh
Bước đầu tiecircn trong vấn đề bảo mật Web server lagrave kiện toagraven hệ điều hagravenh
Sau khi hệ thống được cagravei đặt vagrave kiện toagraven chuacuteng tacần thecircm một nhoacutem vagrave một người dugraveng thocircng thường gọi lagrave apache
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2630
26
3 Apache server
34 Bảo mật cho Apache serverCagravei đặt hệ điều hagravenh
Theo mặc định caacutec process thuộc Apache chạy với chủ quyền của người dugraveng nobody (ngoại trừ process chiacutenh
phải chạy với chủ quyền root) vagrave GID thuộc nhoacutemnogroup
ETHiều nagravey coacute thể dẫn đến những đe dọa bảo mật nghiecircm trọng Trong trường hợp đột nhập thagravenh cocircng
tin tặc coacute thể lấy được quyền truy dụng đến những process khaacutec chạy cugraveng UIDGID
Bởi thế giải phaacutep tối ưu lagrave cho Apache chạy bằng UIDGID từ nhoacutem riecircng biệt chuyecircn chuacute đến software
ấy thocirci
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2730
27
3 Apache server
34 Bảo mật cho Apache serverChuẩn bị software
Bước kế tiếp lagrave bước tải phiecircn bản Apache mới nhất từ web site Apache
Sau khi tải software về chuacuteng ta phải giải neacuten Kế tiếp chuacuteng ta quyết định modules nagraveo được pheacutep hoạt động
Chọn lựa caacutec modules lagrave một trong những bước quan
trọng nhất trong vấn đề bảo mật Apache Chuacuteng ta necircntheo luật cagraveng iacutet cagraveng tốt
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2830
28
3 Apache server
34 Bảo mật cho Apache serverChuẩn bị software
ETHể thoả matilden chức năng vagrave những trugrave bị bảo mật caacutecmodules sau cần được cho pheacutep httpd_core Chứa caacutec chức năng cốt lotildei của Apache
cần thiết cho bất cứ Apache nagraveo
mod_access Cung cấp chế độ khiển taacutec dựa trecircn tecircnmaacutey địa chỉ IP hoặc caacutec tiacutenh chất yecircu cầu thuộc về caacutec clients Bởi vigrave module nagravey cần cho caacutec chỉ phối
(directive) order allow vagrave deny noacute cần được chopheacutep
mod_auth Cần thiết để ứng dụng vấn đề khai baacuteongười dugraveng cho việc sử dụng caacutec hồ sơ nguyecircn bản (khai baacuteo căn bản cho HTTP) được chỉ định trong chức
năng trugrave bị
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2930
29
3 Apache server
34 Bảo mật cho Apache server
Chuẩn bị software (tiếp) mod_dir Cần thiết để tigravem kiếm vagrave phục vụ caacutec hồ sơ
thư mục indexhtml defaulthtm vv
mod_log_config Cần thiết để ứng hiệu baacuteo caacuteo
những yecircu cầu thực hiện đến server mod_mime Cần thiết để chỉnh lyacute nhoacutem chữ caacutei matilde
hoaacute nội dung tugravey taacutec ngocircn ngữ nội dung vagrave caacutec loạiMIME đại diện cho caacutec loại tagravei liệu
Tất cả caacutec modules khaacutec của Apache phải được tắt bỏ
Web server
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 3030
30
Hết chương 5
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2530
25
3 Apache server
34 Bảo mật cho Apache serverCagravei đặt hệ điều hagravenh
Bước đầu tiecircn trong vấn đề bảo mật Web server lagrave kiện toagraven hệ điều hagravenh
Sau khi hệ thống được cagravei đặt vagrave kiện toagraven chuacuteng tacần thecircm một nhoacutem vagrave một người dugraveng thocircng thường gọi lagrave apache
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2630
26
3 Apache server
34 Bảo mật cho Apache serverCagravei đặt hệ điều hagravenh
Theo mặc định caacutec process thuộc Apache chạy với chủ quyền của người dugraveng nobody (ngoại trừ process chiacutenh
phải chạy với chủ quyền root) vagrave GID thuộc nhoacutemnogroup
ETHiều nagravey coacute thể dẫn đến những đe dọa bảo mật nghiecircm trọng Trong trường hợp đột nhập thagravenh cocircng
tin tặc coacute thể lấy được quyền truy dụng đến những process khaacutec chạy cugraveng UIDGID
Bởi thế giải phaacutep tối ưu lagrave cho Apache chạy bằng UIDGID từ nhoacutem riecircng biệt chuyecircn chuacute đến software
ấy thocirci
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2730
27
3 Apache server
34 Bảo mật cho Apache serverChuẩn bị software
Bước kế tiếp lagrave bước tải phiecircn bản Apache mới nhất từ web site Apache
Sau khi tải software về chuacuteng ta phải giải neacuten Kế tiếp chuacuteng ta quyết định modules nagraveo được pheacutep hoạt động
Chọn lựa caacutec modules lagrave một trong những bước quan
trọng nhất trong vấn đề bảo mật Apache Chuacuteng ta necircntheo luật cagraveng iacutet cagraveng tốt
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2830
28
3 Apache server
34 Bảo mật cho Apache serverChuẩn bị software
ETHể thoả matilden chức năng vagrave những trugrave bị bảo mật caacutecmodules sau cần được cho pheacutep httpd_core Chứa caacutec chức năng cốt lotildei của Apache
cần thiết cho bất cứ Apache nagraveo
mod_access Cung cấp chế độ khiển taacutec dựa trecircn tecircnmaacutey địa chỉ IP hoặc caacutec tiacutenh chất yecircu cầu thuộc về caacutec clients Bởi vigrave module nagravey cần cho caacutec chỉ phối
(directive) order allow vagrave deny noacute cần được chopheacutep
mod_auth Cần thiết để ứng dụng vấn đề khai baacuteongười dugraveng cho việc sử dụng caacutec hồ sơ nguyecircn bản (khai baacuteo căn bản cho HTTP) được chỉ định trong chức
năng trugrave bị
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2930
29
3 Apache server
34 Bảo mật cho Apache server
Chuẩn bị software (tiếp) mod_dir Cần thiết để tigravem kiếm vagrave phục vụ caacutec hồ sơ
thư mục indexhtml defaulthtm vv
mod_log_config Cần thiết để ứng hiệu baacuteo caacuteo
những yecircu cầu thực hiện đến server mod_mime Cần thiết để chỉnh lyacute nhoacutem chữ caacutei matilde
hoaacute nội dung tugravey taacutec ngocircn ngữ nội dung vagrave caacutec loạiMIME đại diện cho caacutec loại tagravei liệu
Tất cả caacutec modules khaacutec của Apache phải được tắt bỏ
Web server
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 3030
30
Hết chương 5
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2630
26
3 Apache server
34 Bảo mật cho Apache serverCagravei đặt hệ điều hagravenh
Theo mặc định caacutec process thuộc Apache chạy với chủ quyền của người dugraveng nobody (ngoại trừ process chiacutenh
phải chạy với chủ quyền root) vagrave GID thuộc nhoacutemnogroup
ETHiều nagravey coacute thể dẫn đến những đe dọa bảo mật nghiecircm trọng Trong trường hợp đột nhập thagravenh cocircng
tin tặc coacute thể lấy được quyền truy dụng đến những process khaacutec chạy cugraveng UIDGID
Bởi thế giải phaacutep tối ưu lagrave cho Apache chạy bằng UIDGID từ nhoacutem riecircng biệt chuyecircn chuacute đến software
ấy thocirci
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2730
27
3 Apache server
34 Bảo mật cho Apache serverChuẩn bị software
Bước kế tiếp lagrave bước tải phiecircn bản Apache mới nhất từ web site Apache
Sau khi tải software về chuacuteng ta phải giải neacuten Kế tiếp chuacuteng ta quyết định modules nagraveo được pheacutep hoạt động
Chọn lựa caacutec modules lagrave một trong những bước quan
trọng nhất trong vấn đề bảo mật Apache Chuacuteng ta necircntheo luật cagraveng iacutet cagraveng tốt
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2830
28
3 Apache server
34 Bảo mật cho Apache serverChuẩn bị software
ETHể thoả matilden chức năng vagrave những trugrave bị bảo mật caacutecmodules sau cần được cho pheacutep httpd_core Chứa caacutec chức năng cốt lotildei của Apache
cần thiết cho bất cứ Apache nagraveo
mod_access Cung cấp chế độ khiển taacutec dựa trecircn tecircnmaacutey địa chỉ IP hoặc caacutec tiacutenh chất yecircu cầu thuộc về caacutec clients Bởi vigrave module nagravey cần cho caacutec chỉ phối
(directive) order allow vagrave deny noacute cần được chopheacutep
mod_auth Cần thiết để ứng dụng vấn đề khai baacuteongười dugraveng cho việc sử dụng caacutec hồ sơ nguyecircn bản (khai baacuteo căn bản cho HTTP) được chỉ định trong chức
năng trugrave bị
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2930
29
3 Apache server
34 Bảo mật cho Apache server
Chuẩn bị software (tiếp) mod_dir Cần thiết để tigravem kiếm vagrave phục vụ caacutec hồ sơ
thư mục indexhtml defaulthtm vv
mod_log_config Cần thiết để ứng hiệu baacuteo caacuteo
những yecircu cầu thực hiện đến server mod_mime Cần thiết để chỉnh lyacute nhoacutem chữ caacutei matilde
hoaacute nội dung tugravey taacutec ngocircn ngữ nội dung vagrave caacutec loạiMIME đại diện cho caacutec loại tagravei liệu
Tất cả caacutec modules khaacutec của Apache phải được tắt bỏ
Web server
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 3030
30
Hết chương 5
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2730
27
3 Apache server
34 Bảo mật cho Apache serverChuẩn bị software
Bước kế tiếp lagrave bước tải phiecircn bản Apache mới nhất từ web site Apache
Sau khi tải software về chuacuteng ta phải giải neacuten Kế tiếp chuacuteng ta quyết định modules nagraveo được pheacutep hoạt động
Chọn lựa caacutec modules lagrave một trong những bước quan
trọng nhất trong vấn đề bảo mật Apache Chuacuteng ta necircntheo luật cagraveng iacutet cagraveng tốt
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2830
28
3 Apache server
34 Bảo mật cho Apache serverChuẩn bị software
ETHể thoả matilden chức năng vagrave những trugrave bị bảo mật caacutecmodules sau cần được cho pheacutep httpd_core Chứa caacutec chức năng cốt lotildei của Apache
cần thiết cho bất cứ Apache nagraveo
mod_access Cung cấp chế độ khiển taacutec dựa trecircn tecircnmaacutey địa chỉ IP hoặc caacutec tiacutenh chất yecircu cầu thuộc về caacutec clients Bởi vigrave module nagravey cần cho caacutec chỉ phối
(directive) order allow vagrave deny noacute cần được chopheacutep
mod_auth Cần thiết để ứng dụng vấn đề khai baacuteongười dugraveng cho việc sử dụng caacutec hồ sơ nguyecircn bản (khai baacuteo căn bản cho HTTP) được chỉ định trong chức
năng trugrave bị
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2930
29
3 Apache server
34 Bảo mật cho Apache server
Chuẩn bị software (tiếp) mod_dir Cần thiết để tigravem kiếm vagrave phục vụ caacutec hồ sơ
thư mục indexhtml defaulthtm vv
mod_log_config Cần thiết để ứng hiệu baacuteo caacuteo
những yecircu cầu thực hiện đến server mod_mime Cần thiết để chỉnh lyacute nhoacutem chữ caacutei matilde
hoaacute nội dung tugravey taacutec ngocircn ngữ nội dung vagrave caacutec loạiMIME đại diện cho caacutec loại tagravei liệu
Tất cả caacutec modules khaacutec của Apache phải được tắt bỏ
Web server
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 3030
30
Hết chương 5
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2830
28
3 Apache server
34 Bảo mật cho Apache serverChuẩn bị software
ETHể thoả matilden chức năng vagrave những trugrave bị bảo mật caacutecmodules sau cần được cho pheacutep httpd_core Chứa caacutec chức năng cốt lotildei của Apache
cần thiết cho bất cứ Apache nagraveo
mod_access Cung cấp chế độ khiển taacutec dựa trecircn tecircnmaacutey địa chỉ IP hoặc caacutec tiacutenh chất yecircu cầu thuộc về caacutec clients Bởi vigrave module nagravey cần cho caacutec chỉ phối
(directive) order allow vagrave deny noacute cần được chopheacutep
mod_auth Cần thiết để ứng dụng vấn đề khai baacuteongười dugraveng cho việc sử dụng caacutec hồ sơ nguyecircn bản (khai baacuteo căn bản cho HTTP) được chỉ định trong chức
năng trugrave bị
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2930
29
3 Apache server
34 Bảo mật cho Apache server
Chuẩn bị software (tiếp) mod_dir Cần thiết để tigravem kiếm vagrave phục vụ caacutec hồ sơ
thư mục indexhtml defaulthtm vv
mod_log_config Cần thiết để ứng hiệu baacuteo caacuteo
những yecircu cầu thực hiện đến server mod_mime Cần thiết để chỉnh lyacute nhoacutem chữ caacutei matilde
hoaacute nội dung tugravey taacutec ngocircn ngữ nội dung vagrave caacutec loạiMIME đại diện cho caacutec loại tagravei liệu
Tất cả caacutec modules khaacutec của Apache phải được tắt bỏ
Web server
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 3030
30
Hết chương 5
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 2930
29
3 Apache server
34 Bảo mật cho Apache server
Chuẩn bị software (tiếp) mod_dir Cần thiết để tigravem kiếm vagrave phục vụ caacutec hồ sơ
thư mục indexhtml defaulthtm vv
mod_log_config Cần thiết để ứng hiệu baacuteo caacuteo
những yecircu cầu thực hiện đến server mod_mime Cần thiết để chỉnh lyacute nhoacutem chữ caacutei matilde
hoaacute nội dung tugravey taacutec ngocircn ngữ nội dung vagrave caacutec loạiMIME đại diện cho caacutec loại tagravei liệu
Tất cả caacutec modules khaacutec của Apache phải được tắt bỏ
Web server
5172018 Chuong 5 Web Server - slidepdfcom
httpslidepdfcomreaderfullchuong-5-web-server 3030
30
Hết chương 5