在Linux上安装安全的Web服务器并加以维护并非易事。这需要深入了解Linux、Apache和PHP服务器端的选项。主要问题之一是，如何在安全性、生产力和易用性三者之间求得平衡。最好的解决办法取决于项目的具体需求，但是安装的所有服务器都有某些共同的特点。

　　Linux内核加固。内核是最经常被攻击者盯上的目标。要提升用户的权限，对内核获得访问权是最容易的方法。视操作系统而定，Apache在默认情况下以有限用户nobody（在CentOS等基于红帽的发行版上）或www-data用户（在基于Debian的发行版上，包括Ubuntu）来运行。每个攻击者企图突破有限用户的身份，利用内核存在的某个漏洞来获得访问root的权限。用grsecurity给内核打上补丁可以确保，你处于被保护状态，甚至可以防范零日漏洞。此外，Ksplice可以确保及时打上了所有的内核更新版，最大限度地减小安全风险。

　　强制性访问控制（MAC）。在正常的Web服务器部署环境下，普通用户不需要访问编译器（gcc）、系统配置文件或者像find这样的实用工具。基于红帽的发行版可以使用名为SELinux的MAC策略软件；Ubuntu管理员可以使用类似的AppArmor。尽管这些MAC工具的功能特性各不一样，但它们都能帮你限制攻击者的破坏行动。说到不利因素，配置不当的MAC工具会削弱Web服务器的功能。这就是为什么所有MAC工具都有非执行模式，那样就可以跟踪误报，并且针对特定环境来重新配置工具。不过，要是觉得MAC工具太过复杂，只要将一些可执行文件的权限改成700，只允许root可以使用它们。

　　防火墙。必须限制入站流量和出站流量，那样才能防止恶意连接进出服务器。对于各种类型服务器来说，保护入站流量的安全是一种常见做法。然而对于Web服务器来说，限制出站连接以便限制恶意脚本在本地执行所带来的影响，这一点特别重要。为此，最可靠的办法就是将默认iptables链的策略设置成DROP。此外，明确允许所需的入站连接和出站连接。不过在限制出站流量时一定要小心，因为许多Web脚本需要外部资源（RSS和外部应用编程接口）。如果你觉得iptables防火墙工具用起来不习惯，可以使用脚本来帮助生成和维护必要的规则，比如Shorewall和Firestarter。

　　Apache最佳安全实践

　　一旦你确保了Linux操作系统的安全，就可以开始处理Apache Web服务器的安全问题了。下列指示专门针对Apache，但可能也适用于其他Web服务器，比如LiteSpeed和nginx。它们之间的差异常常就体现在模块名称或者配置指令上。

　　要加固Apache，就要完成这些步骤：

　　安装mod_security，这个Apache模块起到了应用防火墙的作用。它可以过滤Web请求的所有部分，并终结恶意代码。它在Web服务器进行任何实际处理之前发挥作用，因而与Web应用程序无关。Mod_security适用于过滤从SQL注入到XSS攻击的任何恶意流量。它也是保护易受攻击的Web应用程序的最快速、最容易的方法。该软件有众多随时可以使用的规则，但你也很容易自行编写规则。比如设想一下：你有一个过时的Joomla版本，担心会遭到SQL注入攻击。这个简单规则可以过滤含有jos_（Joomla表的默认前缀）；SecFilter“jos_”的任何POST和GET内容。

　　安装mod_evasive，这是另一个重要的Apache模块，可以保护Web应用程序远离拒绝服务（DOS）请求。它的效果受制于这个现实：它是在应用程序层面工作的，这意味着Apache无论如何都接受连接，因而耗用带宽和系统资源。不过，如果是源自少量远程主机的比较弱的DOS攻击，该模块能有所帮助。一旦mod_evasive装入，你需要这样来配置它：

　　这指示服务器阻止（默认情况下返回HTTP error 403 Forbidden）两次访问同一页面，或者在一秒内（默认的时间间隔）共有30次请求的任何主机。入侵者会在外面被阻挡120秒。

　　过滤访客的IP地址。这可能被认为是很极端的措施，但结果很好。首先，考虑安装mod_httpbl，这是用Apache实现的Project Honeypot。一旦该模块安装并被启用，它可以阻止有恶意活动"前科"的IP地址。另一个办法是使用mod_geoip，它可以用来允许只有来自某些国家的访客才可以访问接受留言、注册和登录信息等输入内容的页面。它甚至可以阻止和允许来自某些国家的服务器端访客。

　　其他推荐的Apache选项包括将Timeout(超时)选项设置得低些，比如15秒。这缩短了Web服务器等待某些事件的时间，从而限制了DOS攻击的影响。

　　PHP安全

　　PHP是开源领域最流行的服务器端语言。PHP是服务器端，这意味着你需要通过某些指令，比如memory_limit、execution_timeout和disable_functions，对它访问服务器资源设置明确的规则和限制。然而，PHP配置指令可以在各个地方来定义和重新定义，这里作了解释(http://www.php.net/manual/en/ini.list.php)。你在全局范围执行这些规则时，确保已清楚它们的范围。

　　如果安装了最新版本的PHP，又使用默认设置，环境已经符合还算可以的安全标准。危险的选项在默认情况下已被禁用，比如register_globals和allow_url_include。不过，光这还不够。要考虑调整的最重要的选项之一是disable_functions;顾名思义，它的作用就是禁用PHP函数。

　　之前为PHP引入额外的安全机制方面有过许多尝试，无论从开发小组里面还是从外面来进行尝试。一个不成功的尝试就是PHP的安全模式（Safe Mode），其主要想法是根据文件的所有者来限制文件的访问权。结果证明，这项功能设计不正确，自PHP 5.3以后就被废弃了。不过一个名为Suhosin的外部安全项目证明了其价值。它与PHP一起捆绑在基于Debian的流行发行版中。

　　Suhosin有两种安装方法。一种是在PHP实际编译之前给原始的PHP源代码打上补丁。建议采用这种方法，因为它使得Suhosin成为PHP的一个必要组成部分，让Suhosin可以通过其引擎保护功能来保护PHP核心。第二种方法比较容易，就是把它作为普通的PHP扩展来添加。Suhosin的丰富功能适用于许多安全方面，比如会议安全数据加密、请求有效载荷限制，甚至还有SQL注入预防这项试验性功能。

　　默认情况下，PHP作为Apache模块在Apache用户下运行，这确保了性能最佳、最符合应用程序的需求。然而，如果网站有不止一个虚拟主机（vhost），它可能会带来严重的安全问题，如果虚拟主机属于不同的用户那就更危险了。在这种情况下，来自一个虚拟主机的脚本也许能读取、写入和执行来自其他虚拟主机的脚本，这危及了安全，更不用说危及隐私了。

　　为了缓解这个问题，可以使用另一个Apache模块：mod_suphp，该模块允许PHP脚本在预先定义的用户下运行。这种模块对于共享的主机托管服务器来说必不可少。如果使用mod_suphp，来自某个虚拟主机的脚本甚至无法读取来自其他虚拟主机的文件，更不用说写入了。禁止读取外来虚拟主机的文件对于配置文件来说极其重要，这就是为什么这类文件必须要有600个文件的许可权。要是不这么设置，你的数据库详细资料很容易被发现，而这是最不想遇到的麻烦。

　　在mod_suphp的配置文件（默认情况下是/etc/suphp.conf）中，可以使用allow_file_group_writeable、 allow_file_others_writeable、allow_directory_group_writeable和allow_directory_others_writeable等选项，执行全局安全文件的许可策略。在正常情况下，它们都应该被定义为false。执行不遵守这些限制的脚本会得出HTTP Error 500 Internal server error。

　　为Web服务器保驾护航时，还要考虑下列措施：

　　把同一台服务器上的不同Web应用程序分隔到不同的虚拟主机上，让它们在不同的用户下运行。

　　传输密码或信用卡信息等敏感信息时，安装SSL。可以用免费、自己生成的非商业证书来保护管理面板。

　　不要单单依赖一种方法来限制管理员访问。数量众多的互联网漏洞避开了管理员登录要求。只要限制远程IP地址对管理员区域的访问，并且更改默认的管理员URL或端口，就可以限制这类威胁。

　　定期对服务器执行安全审查工作。

　　订阅关于已部署的Web服务和应用程序的安全新闻组。

　　所有信息充当了确保Web服务器安全的路线图。做好这项工作需要投入大量的时间和精力。如果没有准备好投入这样的时间，最好还是使用共享的主机托管服务器或完全托管的服务器。

　　1、内网安全的本质

　　最近一两年信息泄露的案例屡见不鲜，如汇丰银行离职员工造成的客户资料泄露、国内某大型造船厂发生的设计数据非法拷贝等事件。并且，随着P2P应用的普及，越来越多的企业网络流量被占用，病毒、木马等不断地滋生，这些都使得企业和业界对内网安全的风险更加关注。那么，究竟什么是内网安全呢？

　　其实，“内网安全”一直没有一个明确的定义，引用信息安全专家方滨兴院士的定义，信息安全包括5个层面：物理安全、数据安全、运行安全、内容安全和管理安全。物理安全是指对网络与信息系统物理装备的保护；运行安全指对网络与信息系统的运行过程和运行状态的保护；数据安全是指对信息在数据收集、处理、存储、检索、传输、交换、显示、扩散等过程中的保护，使得在数据处理层面保障信息依据授权使用，不被非法冒充、窃取、篡改、抵赖;内容安全指对信息在网络内流动中的选择性阻断，以保证信息流动的可控能力；管理安全指在信息安全的保障过程中，除上述技术保障之外的与管理相关的人员、制度和原则方面的安全措施。

　　究其本质，并且结合当前业界关注的焦点和相关产品设计的思路，内网安全更强调的是数据安全、运行安全和管理安全，而其核心是数据安全和管理安全，也就是如何通过各种技术、手段、工具以及管理方法来阻止内网数据的泄漏。

　　实现内网安全需要技术与管理相辅相成，但究竟是“管理为先”还是“技术为先”一直存在争论。其实管理和技术的问题已经谈论很多年了。我们暂且不谈论哪个应该为先，我认为两手都要抓。技术以管理为指导，管理以技术为落脚点。七分管理，三分技术，从很多安全标准以及IT治理标准中都可以看出来，他们大都是从管理入手，然后谈到一些实现的技术。

　　2、内网安全之技术选型

　　举个例子，内网安全关注的信息防泄漏管理包含了监控、审计、加密等技术，市场上既有实现单个功能的产品，也有整合的解决方案，那么实现信息防泄漏管理，是企业购买多个单一功能的产品来自主搭建体系好，还是采用厂商提供的整体解决方案更佳?我们需要一分为二的来看待这个问题。有的企业刚起步，没有足够的人力和能力来做系统集成，因此倾向于购买一整套解决方案;而有的企业则配备有很多的人力，来对各家产品进行细致的选型，采购和部署，自己形成一套解决方案，集各家之所长，这在当前也非常常见。这两种做法各有优劣，根据企业的情况来实际操作即可。

　　另外，在设备选型方面，业界其实并没有非常统一的标准，根据经验给出如下几个判定因素，供大家在实践选型中参考：

　　（1）功能性：防泄露产品的功能需要保证在复杂的网络环境和工作环境中，以及复杂的条件下都能够很好的工作。主要判断其是否包括数据防泄漏、上网行为管理、数据使用及应用行为审计等功能。

　　（2）稳定性：产品能够在大数据量环境甚至极端环境中都能稳定地运行，不存在单点故障。并且需要确保其处理能力（吞吐量）能够应对企业网络流量的压力，不至于导致大流量环境下的部分甚至全部功能失效。

　　（3）兼容性：产品应该能够很好、方便地集成到现在的企业安全体系中，而不是独立于安全体系之外。

　　举个简单的例子，现在很多内网安全产品都在客户端作为Agent（代理）进行部署，与服务器上部署的安全服务端进行联动，这些Agent不应与用户计算机上的其他软件产品产生冲突和不兼容，以避免由于部署安全产品而导致业务无法进行等问题。

　　（4）可审计性：能够提供强大的报告生成（report generation）功能，并且以用户友好的GUI（图形用户界面）方式来展现给管理员和审计者，以方便审计、查阅和检索，因为内网安全产生的数据是海量的，报告将给管理工作带来极大便利。

　　3、内网安全之技术涉及隐私的考虑

　　内网安全的行为审计可以发现不少内网安全的“内鬼”，但是国内对于“行为审计是否侵犯个人隐私”一直存在争论。从企业的角度来看，部署行为监控和行为审计类产品无可厚非，这是企业合规的一个重要步骤。比如邮件的archive和auditor，这都是非常必要的工作。从技术层面来看，行为审计并不一定侵犯个人隐私，或者说不完全要侵犯个人隐私。只需要提供一些关键的审计词，通过借助软件的方式，并且严格限制审计者对原始数据的接触，就能比较好地做到尊重个人隐私。而且，企业审计也是一门学问，当前有很多的认证，比如CISA等，就很好地证明了审计的重要性。

　　4、云计算时代给内网安全带来的挑战

　　随着技术的快速发展，云计算、移动应用、社交网络已经成为许多员工的日常应用，这些设备与技术的应用，给内网安全带来了巨大的影响。在选择、实施内网安全技术和产品的时候，需要根据新的情况提出新的要求，从而满足日益变化的应用需求的挑战。

　　在此环境下，内网安全产品供应商除了提供设备外，还应该为企业提供一些咨询服务。其实，现在安全产品供应商应该顺承一个趋势，就是从device provider（设备提供商）逐步地过渡到solution provider（解决方案提供商），没有哪一家厂商可以说自己的产品包罗万象，可以满足用户的所有需求。用户目前更关注的是解决方案，其次才是实施的产品。没有方案，何谈产品。企业用户在产品选择时也要更多地关注产品供应商的解决方案是不是合适，高效。

　　哪些人受到威胁？

　　一些网络管理员看完APT的定义后，得出的结论是他们的网络并没有受到威胁。中小型企业怎么可能成为大型网络犯罪团伙或国家的攻击对象？实际上，APT刚开始主要是政府机构为国防需要采取的攻击手段，后来APT攻击者将他们的范围扩大到了攻击公司，例如谷歌，但并不是只有大型高科技公司才会成为攻击目标。虽然对于APT攻击者而言，政府机构或者涉及国家安全或者国防承包项目的大型跨国企业更具吸引力，但企业规模并不是关键，因为近来，很多小公司也开始负责存储情报片段数据来获得政治或经济利益。还有那些处于一定职位，能够访问情报信息的个人也可能成为攻击目标。

　　即使是在安全方面投入血本的大型企业仍然可能受到APT攻击，通过各种不同的手段，例如有时候只需要简单地利用尚未修补的已知漏洞。在企业环境中，政策通常会规定新的补丁在部署到生产机器前必须进行全面的测试，这样做无疑可以避免不兼容的问题，但这却让系统处于威胁之中。在其他情况下，无线安全漏洞、智能手机桥接，甚至云供应商网络渗透都可能为APT攻击者敞开大门。

　　任何规模的公司，只要员工可以访问网站、使用电子邮件（尤其是HTML邮件）、传输文件等，就有可能受到APT威胁，这些活动可以被利用来传输APT组件，例如恶意软件可以通过路过式下载、感染附件或文件进行传输。即使是部署了强大的边缘保护的企业仍然无法逃过APT攻击，例如通过内部接入被感染的可移动驱动器、其他地方被感染的笔记本电脑等。

　　APT采取怎样的形式？

　　APT攻击者也使用社会工程技术和/或招募内部人员来获取有效登录凭证。分支机构通常没有总部那么严格的安全防范措施，因此有时会被利用来通过远程访问向目标系统植入恶意软件。一旦安装了恶意软件，攻击者就能够从任何地方访问和控制你的系统，或者采用自动化程序，这样恶意软件就会将重要数据发送给攻击者。

　　APT攻击者选择使用何种工具主要取决于他们的攻击目标是什么以及其网络配置和安全状况。这里有个简单的比喻：窃贼可能可以使用信用卡打开简单锁的房门，但是如果所有门都是呆锁，他就要找不同的工具来进去了。同样的，APT攻击者通常会尽可能使用最简单的工具来进行攻击。为什么要浪费一个定制的先进工具在不必要的工作上呢？而且这种工具只会给APT攻击者留下马脚。

　　APT攻击者经常利用僵尸网络，僵尸网络能够给他们提供更多资源来发动攻击，并且很难追踪到攻击的源头。虽然僵尸网络经常与垃圾邮件联系在一起，但它们可以用于多种类型的攻击。一个简单的命令和控制服务器就可以控制位于数百个不同公司的电脑，这些电脑上的恶意软件可以不断更新，一直“领先于”检测工具。即使公司不是APT攻击的目标，网络也可能在不知情的情况下被用来作为犯罪工具：作为僵尸网络的一部分，用来攻击其他网络。

　　检测APT

　　必须明确的是，APT并不是一种特定攻击方法，它描述了“谁、什么和为什么”而没有说明“如何”。市面上并没有商业解决方案可以真正检测或者抵御APT，然而，APT却沦为了众多安全供应商的营销短语。

　　针对已知攻击的解决方案可能无法检测先进的APT攻击，因为这种攻击是以“隐形模式”进行的。检测APT 需要一个良好的监控解决方案，能够识别和分析服务器和客户端的微妙变化和异常。无论攻击者的犯罪计划多么缜密，必然会留下点踪迹，也就是刑事调查中的痕迹证据，这种证据并不明显，甚至可能是肉眼看不见的。在数字世界中，APT攻击者为了发动攻击（进入网络、植入恶意软件、复制数据）肯定会在系统的某处留下一些模糊的踪迹。安全软件必须能够识别这些标记，将其作为潜在恶意活动的指示。与手动检查文件相比，软件不仅更快而且更有效，因为APT攻击者通常会使用这样的诡计：恶意程序文件名与常见Windows文件类似。软件可以识别文件名的细微区别（例如使用大写I代替小写L等），而肉眼很难识别。

　　一旦发现了异常行为，就会引发对受感染机器进行更进一步的检查。另一个关键要素是及时通知，这样的话，就可以尽快对机器进行全面检查，而且应该及时保存APT攻击的证据，因为聪明的APT攻击者会尝试删除他们的踪迹以避免被检测到。

　　软件是检测网络中异常的最好工具，而APT检测的另一方面则需要人为因素，也就是指你可以收集关于网络犯罪的最新情况。正如传统恐怖分子通常会通过 “聊天框”来发出信号，APT攻击者可能会通过不同的通信渠道发出信号，说明攻击正在计划中或已经取得进展等。但并不需要安排一个人来拦截和分析这些聊天信息，但是需要清楚网络犯罪世界发生了什么事情。

　　保护网络

　　很多抵御APT攻击的防御措施与可能已经部署的用来抵御一般恶意软件和入侵威胁的措施相同。良好的防病毒和防恶意软件是很重要的，但同样重要的是，要明白在APT攻击中，渗透者的资源通常要比那些一般攻击者要多得多。这意味着他们可以雇佣专门的程序员随时来创建或者修改恶意软件，根本没有安全供应商创建了定义，也就是零日威胁。

　　根据定义，APT是一种有针对性的攻击，公司的公共事业和声誉都可能导致公司成为APT攻击目标。因此声誉/品牌监控和管理可以是抵御这种攻击的重要因素。“邪恶公司（Evil corporations）”和那些立场（政治立场、社会立场或其他）不受APT攻击者欢迎的公司很可能成为攻击目标。而在某些情况下，处于某一行业就足以成为攻击对象。然而，可以通过精心培养公司的公众形象来减少风险。