Tiểu luận về Bảo mật web server trên ubuntu server. Các máy chủ Web (Webserver) luôn là những vùng đất màu mỡ cho các hacker tìm kiếm các thông tin giá trị hay gây rối vì một mục đích nào đó. Hiểm hoạ có thể là bất cứ cái gì từ kiểu tấn công từ chối dịch vụ, quảng cáo các website có nội dung không lành mạnh, xoá, thay đổi nội dung các file hay phần mềm chứa mã nguy hiểm.Các nhà quản trị luôn phải đau đầu, lo lắng tìm các phương pháp để bảo vệ máy chủ web và an toàn thông tin cho toàn bộ hệ thống. Link cấu hình modsecurity cho web server ubuntu: http://www.mediafire.com/?lnqlmtk1t7e0ll3
X Bùi Vân Nam Bảo mật Web server LỜI MỞ ĐẦU Các máy chủ Web (Webserver) vùng đất màu mỡ cho hacker tìm kiếm thông tin giá trị hay gây rối mục đích Hiểm hoạ từ kiểu công từ chối dịch vụ, quảng cáo website có nội dung không lành mạnh, xoá, thay đổi nội dung file hay phần mềm chứa mã nguy hiểm.Các nhà quản trị phải đau đầu, lo lắng tìm phương pháp để bảo vệ máy chủ web an toàn thông tin cho toàn hệ thống.Vì vậy, chúng em định chọn đề tài”Bảo Mật Web Server” để tìm hiểu rõ vấn đề quan trọng Trong đề tài, chúng em trình bày phần sau : Chương 1: Tổng quan web server Chương 2: Một số phương thức công web server Chương 3: Một số giải pháp bảo mật web server Thông qua phân tích đề tài, chúng em mong vấn đề mà trình bày làm rõ phần bảo mật web server nay.Mặc dầu cố gắng trình độ lý luận,thời gian có hạn, đề tài yêu cầu hiểu biết thực tế cao, nên tránh thiếu sót, mong thông cảm, dẫn góp ý thầy Chúng em xin chân thành cảm ơn thầy Vũ Quý Hòa hướng dẫn, bảo tận tình đóng góp nhiều ý kiến quý báu giúp chúng em hoàn thành đề tài Chúng em xin chân thành cảm ơn! Hà Nội, ngày21 tháng năm 2011 Sinh Viên S0808J-G8-Bảo Mật Web Server Bùi Vân Nam Mục Lục Chương Tổng quan web server .5 1.1.Web server gì? 1.2.Các loại web server thông dụng 1.2.1.Internet Information Services (IIS) 1.2.2.Apache Web Server 1.3.Giao thức SSL 1.3.1.SSL gì? 1.3.2 Giao thức SSL 10 1.3.3.Các thuật toán mã hoá dùng SSL 12 1.4 Tệp tin htacceess 14 1.4.1.Khái niệm: .14 1.4.2.Các chức hữu dụng tập tin htaccess .15 Chương Một số phương thức công web server 20 2.1 Local attacking 20 2.3 Tấn công từ chối dịch vụ (DOS) 30 2.3.1.Khái niệm : 30 2.3.2 Các cách thức công: 30 Chương Một số giải pháp bảo mật cho web server 35 3.1 Thiết lập firewall mềm 36 S0808J-G8-Bảo Mật Web Server 3.2 Sử dụng mod_security 37 3.3 Secure Web Server (HTTPS) .41 3.4 Backup (Sao lưu định kỳ) .43 Kết Luận .44 Việc kiện toàn bảo mật cho web server liên quan đến nhiều thủ thuật nhiều mức độ khác Chúng ta phải xác định rõ chức cần thiết server sử dụng : Web server truy cập từ Internet trang web tĩnh (hay web động) phục vụ, server hỗ trợ tên miền cho chế dịch vụ ảo, trang web ấn định truy cập từ cụm IP addresses người dùng (khai báo bản), server tường trình trọn thỉnh cầu (bao gồm thông tin web browsers) Các trù bị bảo mật cho web server cần: hệ điều hành phải kiện toàn chặt chẽ tốt, bao gồm việc phòng bị cho công từ bên lẫn bên trong, server không cung cấp dịch vụ khác ngoại trừ http (80/TCP) hay https(443/TCP), truy cập từ xa đến server phải điều khiển tường lửa, thiết bị chặn trọn tiếp nối cho lối cho phép tiếp nối cho lối vào đến cổng 80/TCP web server mà thôi, server nên giảm thiểu tối đa vấn đề tiết lộ thông tin server 44 Với phân tích mình, chúng em mong phần làm rõ việc bảo mật web server nay.Tuy nhiên, trình độ lý luận, hiểu biết thực tế chưa nhiều, nên nhiều thiếu sót, mong thong cảm,góp ý dẫn thầy 44 S0808J-G8-Bảo Mật Web Server Chúng em xin chân thành cảm ơn thầy Nguyễn Quý Hòa hướng dẫn, bảo tận tình đóng góp nhiều ý kiến quý báu để chúng em hoàn thành đề tài 44 Chúng em xin chân thành cảm ơn! 44 Hà Nội , Ngày 21 tháng 01 năm 2011 45 Sinh Viên .45 Bùi vân Nam – Nguyễn Ngọc Phú .45 Tài Liệu Tham Khảo 45 S0808J-G8-Bảo Mật Web Server Chương Tổng quan về web server 1.1.Web server là gì? Web Server máy chủ có dung lượng lớn, tốc độ cao, dùng để lưu trữ thông tin ngân hàng liệu, chứa website thiết kế với thông tin liên quan khác (các mã Script, chương trình, file Multimedia) Web Server có khả gửi đến máy khách trang Web thông qua môi trường Internet (hoặc Intranet) qua giao thức HTTP - giao thức thiết kế để gửi file đến trình duyệt Web (Web Browser), giao thức khác S0808J-G8-Bảo Mật Web Server Tất Web Server có địa IP (IP Address) có Domain Name Giả sử bạn đánh vào Address trình duyệt bạn dòng http://www.abc.com sau gõ phím Enter bạn gửi yêu cầu đến Server có Domain Name www.abc.com Server tìm trang Web có tên index.htm gửi đến trình duyệt bạn.Bất kỳ máy tính trở thành Web Server việc cài đặt lên chương trình phần mềm Server Software sau kết nối vào Internet Khi máy tính bạn kết nối đến Web Server gửi đến yêu cầu truy cập thông tin từ trang Web đó, Web Server Software nhận yêu cầu gửi lại cho bạn thông tin mà bạn mong muốn Giống phần mềm khác mà bạn cài đặt máy tính mình, Web Server Software ứng dụng phần mềm Nó cài đặt, chạy máy tính dùng làm Web Server, nhờ có chương trình mà người sử dụng truy cập đến thông tin trang Web từ máy tính khác mạng (Internet, Intranet) S0808J-G8-Bảo Mật Web Server Web Server Software tích hợp với CSDL (Database), hay điều khiển việc kết nối vào CSDL để truy cập kết xuất thông tin từ CSDL lên trang Web truyền tải chúng đến người dùng.Server phải hoạt động liên tục 24/24 giờ, ngày tuần 365 ngày năm, để phục vụ cho việc cung cấp thông tin trực tuyến Vị trí đặt server đóng vai trò quan trọng chất lượng tốc độ lưu chuyển thông tin từ server máy tính truy cập 1.2.Các loại web server thông dụng Có nhiều sản phẩm web server khác nhau, việc lựa chọn web server phù hợp dựa tiêu chí đánh giá: Khả làm việc với hệ điều hành ứng dụng khác, khả thiết lập chương trình ứng dụng phía server, khả bảo mật liệu, khả xuất trang web, công cụ hỗ trợ xây dựng trang web.Hiện có loại web server thông dụng : Internet Information Services (IIS), Apache Web Server.Trong , Apache Web Server chiếm giữ 60% thị trường web giới 1.2.1.Internet Information Services (IIS) S0808J-G8-Bảo Mật Web Server IIS dịch vụ thông tin Internet Microsoft phát triển, sản phẩm tích hợp với hệ điều hành Windows Phiên IIS 7.5 chạy hệ điều hành Windows server 2008 (hay windows 7) Trong IIS bao gồm nhiều dịch vụ dịch vụ như: dịch vụ Web Server, dịch vụ FTP Server … Ở ta đề cập đến dịch vụ Web Server IIS Web Server (gọi tắt IIS) đáp ứng yêu cầu chủ yếu Web Server như: độ tin cậy, hiệu năng, khả theo dõi giám sát (quản trị), tính bảo mật tính khả thi việc phát triển dịch vụ ứng dụng Tất cải tiến kết kết hợp chặt chẽ với tính cung cấp hệ điều hành Windows 1.2.2.Apache Web Server Apache Web Server xem nỗ lực lớn việc phát triển trì Web Server mã nguồn mở cho hệ điều hành, bao gồm Unix, Linux Windows NT Đây Web Server hội tụ tất tính năng: bảo mật, hiệu suất, mở rộng phát triển cung cấp dịch vụ Web đồng chuẩn Web hành Các đặc điểm nổi bật Apache: S0808J-G8-Bảo Mật Web Server • Ngày Apache chạy kết hợp (hybrid) chế độ đa sử lý chế độ đa lệnh • Hỗ trợ nhiều giao thức: Apache phát triển để phục vụ nhiều giao thức khác • Ngày hỗ trợ tốt cho hệ điều hành khác BeOS,OS/2vàWindows • Ngày phát triển hoàn thiện API (Application Program Interface) • Hỗ trợ IPv6 • Hỗ trợ nhiều modul dùng để lọc (Filtering) dòng liệu đến từ server • Hỗ trợ nhiều ngôn ngữ hiển thị thông báo lỗi • Ngày đơn giản dễ dàng thiết lập tham số cho Web Server qua file cấu hình 1.3.Giao thức SSL 1.3.1.SSL là gì? Việc kết nối Web browser tới bất kỳ điểm mạng Internet qua nhiều hệ thống độc lập mà bất kỳ bảo vệ với thông tin đường truyền Không kể người sử dụng lẫn Web server có bất kỳ kiểm soát đường liệu hay kiểm soát liệu có thâm nhập vào thông tin đường truyền Để bảo vệ thông tin mật mạng Internet hay bất kỳ mạng TCP/IP nào, SSL kết hợp yếu tố sau để thiết lập giao dịch an toàn: • Xác thực: Đảm bảo tính xác thực trang mà bạn làm việc đầu kết nối Cũng vậy, trang Web cần phải kiểm tra tính xác thực người sử dụng S0808J-G8-Bảo Mật Web Server • Mã hoá: Đảm bảo thông tin bị truy cập đối tượng thứ ba Để loại trừ việc nghe trộm thông tin “nhạy cảm” truyền qua Internet, liệu phải mã hoá để bị đọc người khác người gửi người nhận • Toàn vẹn liệu: Đảm bảo thông tin không bị sai lệch phải thể xác thông tin gốc gửi đến Với việc sử dụng SSL, Web site cung cấp khả bảo mật thông tin, xác thực toàn vẹn liệu đến người dùng SSL tích hợp sẵn vào browser Web server, cho phép người sử dụng làm việc với trang Web chế độ an toàn Khi Web browser sử dụng kết nối SSL tới server, biểu tượng ổ khóa xuất trạng thái cửa sổ browser dòng “http” hộp nhập địa URL đổi thành “https” Một phiên giao dịch HTTPS sử dụng cổng 443 thay sử dụng cổng 80 dùng cho HTTP 1.3.2 Giao thức SSL Được phát triển Netscape, ngày giao thức Secure Socket Layer (SSL) sử dụng rộng rãi World Wide Web việc xác thực mã hoá thông tin client server Tổ chức IETF (Internet Engineering Task Force ) chuẩn hoá SSL đặt lại tên TLS (Transport Layer Security) Mặc dù có thay đổi tên TSL phiên SSL Phiên TSL 1.0 tương đương với phiên SSL 3.1 Tuy nhiên SSL thuật ngữ sử dụng rộng rãi S0808J-G8-Bảo Mật Web Server thể đến đích địa IP nguồn thật Kiểu công SYN flood hacker áp dụng để công hệ thống mạng có băng thông lớn hệ thống hacker 2.Lợi dụng tài nguyên nạn nhân để công Kiểu công Land Attack Kiểu công Land Attack tương tự SYN flood, hacker sử dụng IP mục tiêu cần công để dùng làm địa IP nguồn gói tin, đẩy mục tiêu vào vòng lặp vô tận cố gắng thiết lập kết nối với Kiểu công UDP flood Hacker gửi gói tin UDP echo với địa IP nguồn cổng loopback mục tiêu cần công máy tính mạng Với mục tiêu sử dụng cổng UDP echo (port 7) để thiết lập việc gửi nhận gói tin echo máy tính (hoặc mục tiêu với mục tiêu có cấu hình cổng loopback), khiến cho máy tính sử dụng hết băng thông chúng, cản trở hoạt động chia sẻ tài nguyên mạng máy tính khác mạng 3.Sử dụng băng thông Tấn công kiểu DDoS (Distributed Denial of Service) S0808J-G8-Bảo Mật Web Server Đây cách thức công nguy hiểm Hacker xâm nhập vào hệ thống máy tính, cài đặt chương trình điều khiển từ xa, kích hoạt đồng thời chương trình vào thời điểm để đồng loạt công vào mục tiêu Với DDoS, hacker huy động tới hàng trăm chí hàng ngàn máy tính tham gia công thời điểm (tùy vào chuẩn bị trước hacker) "ngốn" hết băng thông mục tiêu nháy mắt 4.Sử dụng các nguồn tài nguyên khác Kẻ công lợi dụng nguồn tài nguyên mà nạn nhân cần sử dụng để công Những kẻ công thay đổi liệu tự chép liệu mà nạn nhân cần lên nhiều lần, làm CPU bị tải trình xử lý liệu bị đình trệ Tấn công kiểu Smurf Attack Kiểu công cần hệ thống quan trọng, mạng khuyếch đại Hacker dùng địa máy tính cần công cách gửi gói tin ICMP echo cho toàn mạng (broadcast) Các máy tính mạng đồng loạt gửi gói tin ICMP reply cho máy tính mà hacker muốn công Kết máy tính xử lý kịp thời lượng lớn thông tin dẫn tới bị treo máy S0808J-G8-Bảo Mật Web Server Tấn công kiểu Tear Drop Trong mạng chuyển mạch gói, liệu chia thành nhiều gói tin nhỏ, gói tin có giá trị offset riêng truyền theo nhiều đường khác để tới đích Tại đích, nhờ vào giá trị offset gói tin mà liệu lại kết hợp lại ban đầu Lợi dụng điều này, hacker tạo nhiều gói tin có giá trị offset trùng lặp gửi đến mục tiêu muốn công Kết máy tính đích xếp gói tin dẫn tới bị treo máy bị "vắt kiệt" khả xử lý Phá hoại chỉnh sửa thông tin cấu hình Lợi dụng việc cấu hình thiếu an toàn việc không xác thực thông tin việc gửi/nhận tin cập nhật (update) router mà kẻ công thay đổi trực tiếp từ xa thông tin quan trọng này, khiến cho người dùng hợp pháp sử dụng dịch vụ Phá hoại chỉnh sửa phần cứng S0808J-G8-Bảo Mật Web Server Lợi dụng quyền hạn thân kẻ công thiết bị hệ thống mạng để tiếp cận phá hoại thiết bị phần cứng router, switch… 2.3.3.Các cách phòng chống Hậu mà DoS gây không tiêu tốn nhiều tiền bạc, công sức mà nhiều thời gian để khắc phục Vì vậy, cần sử dụng biện pháp sau để phòng chống DoS: • Mô hình hệ thống cần phải xây dựng hợp lý, tránh phụ thuộc lẫn mức Bởi phận gặp cố làm ảnh hưởng tới toàn hệ thống • Thiết lập mật mạnh (strong password) để bảo vệ thiết bị mạng nguồn tài nguyên quan trọng khác • Thiết lập mức xác thực người sử dụng nguồn tin mạng Đặc biệt, nên thiết lập chế độ xác thực cập nhật thông tin định tuyến router • Xây dựng hệ thống lọc thông tin router, firewall… hệ thống bảo vệ chống lại SYN flood • Chỉ kích hoạt dịch vụ cần thiết, tạm thời vô hiệu hoá dừng dịch vụ chưa có yêu cầu không sử dụng • Xây dựng hệ thống định mức, giới hạn cho người sử dụng, nhằm mục đích ngăn ngừa trường hợp người sử dụng ác ý muốn lợi dụng tài nguyên server để công server mạng server khác • Liên tục cập nhật, nghiên cứu, kiểm tra để phát lỗ hổng bảo mật có biện pháp khắc phục kịp thời • Sử dụng biện pháp kiểm tra hoạt động hệ thống cách liên tục để phát hành động bất bình thường S0808J-G8-Bảo Mật Web Server • Xây dựng triển khai hệ thống dự phòng Chương Một số giải pháp bảo mật cho web server Các máy chủ Web (Webserver) vùng đất màu mỡ cho hacker tìm kiếm thông tin giá trị hay gây rối mục đích Hiểm hoạ từ kiểu công từ chối dịch vụ, quảng cáo website có nội dung không lành mạnh, xoá, thay đổi nội dung file hay phần mềm chứa mã nguy hiểm.Vì người quản trị cần phải: • Đặt Webserver bạn vùng DMZ Thiết lập firewall bạn không cho kết nối tới Webserver toàn cổng, ngoại trừ cổng 80 (http), cổng 443 (https) cổng dịch vụ mà bạn sử dụng • Không cho phép quản trị hệ thống từ xa, trừ đăng nhập theo kiểu mật sử dụng lần hay đường kết nối mã hoá Giới hạn số người có quyền quản trị hay truy cập mức tối cao (root).Tạo log file theo dõi hoạt động người sử dụng trì log file môi trường mã hoá • Đăng ký cập nhật định kỳ sửa lỗi an toàn, bảo mật từ nhà cung cấp • Không sử dụng telnet hay ftp với user anynomous (đòi hỏi usernam password cho việc truy cập) từ site không chứng thực Tốt hơn, giới hạn số kết nối hệ thống bảo mật hệ thống bên mạng Intranet bạn S0808J-G8-Bảo Mật Web Server • Thực toàn việc cập nhật từ mạng Intranet Duy trì trang web ban đầu server hệ thống mạng Intranet tạo thay đổi cập nhật đây; sau đẩy cập nhật lên website qua kết nối SSL • Quét Webserver theo định kỳ với công cụ ISS hay nmap để tìm kiếm lỗ hổng bảo mật • Trang bị phần mềm phát truy nhập trái phép tới máy chủ, đặt phần mềm cảnh báo hành động nguy hiểm bắt session chúng lại để xem Thông tin giúp bạn lấy thông tin cách thức phá hoại mạng, mức độ bảo mật hệ thống bạn 3.1 Thiết lập firewall mềm Là Firewall cài đặt Server Đặc điểm filewall mềm: • Tính linh hoạt cao: Có thể thêm, bớt quy tắc, chức • Firewall mềm hoạt động tầng cao Firewall cứng (tầng ứng dụng) • Firewal mềm kiểm tra nội dung gói tin (thông qua từ khóa) • Ví dụ Firewall mềm: Zone Alarm, Norton Firewall… S0808J-G8-Bảo Mật Web Server 3.2 Sử dụng mod_security 3.2.1.Giới thiệu về Mod_security Mod_Security máy phát phòng chống xâm nhập dành cho ứng dụng web (hoặc web application firewall) Hoạt động module máy chủ web Apache, mục đích ModSecurity tăng cường bảo mật cho ứng dụng web, bảo vệ chúng khỏi loại công biết chưa biết Modsecurity : • Theo dõi HTTP traffic để phát dấu hiệu bất thường • Lọc liệu vào webserver • Ghi lại tương tác client webserver 3.2.2.Cài đặt và cấu hình Để cài đặt Mod_Security download nguồn từ trang chủ http://www.modsecurity.org/download/: wget http://www.modsecurity.org/download/modsecurityapache_2.5.11.tar.gz tar -xf modsecurity-apache_2.5.11.tar.gz cd modsecurityapache_2.5.11/apache2 S0808J-G8-Bảo Mật Web Server Bước cài gói cần thiết phục vụ cho mod_security: yum install httpd-devel pcre pcre-devel libxml2 libxml2-devel Sau cài đặt gói tin cần thiết xong biên dịch nó: /configur e make make install Đồng thời ta thêm module vào apache cách mở file cấu hình apache (/etc/httpd/conf/httpd.conf ) thêm vào dòng sau: LoadModule security2_module modules/mod_security2.so Đến bước hoàn thành việc cài đặt mod_security chuyển sang việc cấu hình cho Đầu tiên cấu hình file có tên modsec.conf /etc/httpd/conf.d/ với nội dung sau: # Turn on rule engine and set default action SecRuleEngine On SecDefaultAction "phase:2,deny,log,status:403" Với nội dung bật tính lọc mod_security, ta phải thêm vào tập luật cho nó.Và bước cuối khởi động lại apache: /etc/init.d/httpd restart Cách cấu hình mod_security để hạn chế các công • Chống lại kiểu công thực thi lệnh: SecFilter /etc/password S0808J-G8-Bảo Mật Web Server SecFilter /bin/ls • Chống lại kiểu công Directory traversal SecFilter "\.\./" • Lọc kí tự hay dùng shell code SecFilterForceByteRange 32 126 • Lọc kí tụ hay dùng XSS attack SecFilter "" SecFilter "[...]... biết được rằng trên S0808J- G8- Bảo Mật Web Server 1 server này có rất nhiều site khác Ý tưởng : tấn công một site khác cùng server sau đó lấy site này làm bàn đạp tấn công site mục tiêu 2.1.2Các bước tấn công local attack : • Bước 1: Xác định các website cần tấn công • Bước 2: Xác định các website đặt cùng server với mục tiêu • Bước 3: Tìm cách khai thác một trong các website đặt chung server với mục tiêu... trên server để tấn công chính server hoặc mạng và server khác • Liên tục cập nhật, nghiên cứu, kiểm tra để phát hiện các lỗ hổng bảo mật và có biện pháp khắc phục kịp thời • Sử dụng các biện pháp kiểm tra hoạt động của hệ thống một cách liên tục để phát hiện ngay những hành động bất bình thường S0808J- G8- Bảo Mật Web Server 1 • Xây dựng và triển khai hệ thống dự phòng Chương 3 Một số giải pháp bảo mật. .. bản đó có bug hay không.Có thể tham khảo bug của web app tại milw0rm.com, securityfocus.net Nếu có bug thì tiến hành exploit, upload shell S0808J- G8- Bảo Mật Web Server 1 • Cách 2: Tìm kiếm thông tin về tài khoản admin quản trị website, tiến hành brute-force password • Cách 3: Nếu website thuộc mã nguồn đóng, tiến hành scan port, scan các lỗi bảo mật của website ( có thể làm bằng tay hoặc sử dụng các... bảo mật từ các nhà cung cấp • Không sử dụng telnet hay ftp với user là anynomous (đòi hỏi một usernam và password cho việc truy cập) từ bất cứ site không được chứng thực nào Tốt hơn, hãy giới hạn số kết nối trong các hệ thống bảo mật và các hệ thống bên trong mạng Intranet của bạn S0808J- G8- Bảo Mật Web Server 1 • Thực hiện toàn bộ việc cập nhật từ mạng Intranet Duy trì trang web ban đầu trên mỗi server. .. card qua mạng thì người dùng thực sự muốn kiểm tra liệu server sẽ nhận thông tin này có đúng là server mà họ định gửi đến không S0808J- G8- Bảo Mật Web Server 1 • Xác thực Client: Cho phép phía server xác thực được người sử dụng muốn kết nối Phía server cũng sử dụng các kỹ thuật mã hoá công khai để kiểm tra xem certificate và public ID của server có giá trị hay không và được cấp phát bởi một CA (certificate... trình xác thực server và client, truyền tải các certificates và thiết lập các khoá của từng phiên giao dịch (sesion key) Client và server có thể hỗ trợ các bộ mật mã (cipher suite) khác nhau tuỳ thuộc vào nhiều yếu tố như phiên bản SSL đang dùng, chính sách của công ty về độ dài khoá mà họ cảm thấy chấp nhận được - điều này liên quan đến mức độ bảo mật của thông tin, … S0808J- G8- Bảo Mật Web Server 1 ... thiện hơn với các hệ thống quảng cáo Bạn thêm code sau vào htaccess: “ RewriteEngine On RewriteCond %{HTTP_HOST} !^\.tên trang web\ .com$[NC] RewriteRule ^(.*)$ http://www tên trang web. com [R=301*L] ” S0808J- G8- Bảo Mật Web Server 1 Chương 2 Một số phương thức tấn công web server 2.1 Local attacking 2.1.1.Giới thiệu về local attack: • Local Attack- tấn công nội bộ từ bên trong, là một khái niệm xuất... 192.168.0.1 truy cập vào trang web (nếu bạn đặt htaccess ở thư mục gốc) Để cấm thư mục admin, bạn đặt nó vào thư mục admin b.Cấm một số ip truy cập “ order allow,deny allow from all deny from 203.113.135.6 deny from 203.162.* ” Cấm ip 203.113.135.6 và tất cả các ip bắt đầu bằng 203.162 6 Thay thế trang index: S0808J- G8- Bảo Mật Web Server 1 Thông thường khi truy nhập vào một trang web, Apache sẽ tìm tập tin... ngữ lập trình web mà bạn sử dụng tập tin sẽ có phần mở rộng khác nhau như: html, htm, asp, aspx, php, cgi, …Tuy nhiên nếu sử dụng htaccess bạn có thể tác động vào máy chủ Apache, Apache sẽ gọi đến tập tin của bạn và trả về cho trình duyệt web của người dùng với phần mở rộng do bạn quy định trong htaccess Bạn sử dụng đoạn lệnh sau trong tập tin htaccess: Code: S0808J- G8- Bảo Mật Web Server 1 “RewriteEngine... cket_close,socket_connect,socket_create_listen proc_terminate log_errors = On S0808J- G8- Bảo Mật Web Server 1 Đối với virtual host thì tham số open_basedir là rất quan trọng, cần phải đặt tham số này đúng với thư mục web của từng site CHMOD kỹ cẩn thận, phân quyền tốt Luôn cập nhật kernel để tránh các bug buffer overflow dẫn đến hacker có thể getroot chiếm toàn bộ server b Đối với host: Thay đổi toàn bộ cấu trúc source