Apache Software Foundation 的 HTTP 服务器项目(通常称为 Apache)是当今互联网上占据优势的 Web 服务器,它占据了 60% 以上的市场份额。Apache 服务器是日渐流行的 LAMP 软件配置的一部分。LAMP 是一套免费软件程序,是在 Linux?、Apache、MySQL 和 PHP 等开放源码技术之上构建的 Web 平台。在本文中,您将学习一种使用 mod_proxy 模块和多个后端服务器来改进 LAMP 安全性的方法。我将讨论这种方法的优点和缺点,并提供一个配置示例。

  PHP 和 Apache:安全性难题

  LAMP 管理员面对的一个挑战是,提供完整 PHP 系统的所有特性,同时确保为系统的所有用户提供一个安全的环境。使用 PHP 的安全模式是实现这一目标的一种技术,但是它也过度地限制了用户,而且启用了这个设施之后,一些 PHP 应用程序就不能发挥作用。

  PHP 安全问题的根源在于大多数 Apache 服务器的配置方式。因为大多数 Apache 配置运行在特殊的 www-data 用户 ID 下,对 Web 站点进行主机托管的所有用户在默认情况下必须确保这个用户可以读取他们的文件。因此,系统上的所有其他用户都可能访问一个用户的所有 Web 可访问文件;所以系统上原本与您无关的安全漏洞会成为攻击您的 Web 站点的突破口。如果文件或目录必须设置为 www-data 用户可写的,那么这种情况会更加严重。

  通过使用 CGI 程序,比如用 Perl 和 Python 等流行语言编写的程序,可以在使用 suEXEC 机制时消除这个问题的部分影响。简单地说,suEXEC 使用一个特殊的中间程序以程序所有者的用户 ID 执行 CGI 程序。这是一种非常有效的机制,已经使用了许多年了。

  但是,在使用 mod_php 模块主机托管时,PHP 页面作为 Apache 主进程的一部分执行。因此,它们继承 Apache 进程的所有凭证,而且它们在文件系统上执行的任何工作必须作为 www-data 用户执行。

  在多个用户 ID 下运行 Apache

  对于上面描述的问题,明显的解决方案是要求对一个用户域的所有请求都来自一个只拥有此用户的凭证的 Apache 实例。可以将 Apache 配置为在启动时获取任何用户的凭证。对于给每个用户分配一个单独的互联网可见 IP 地址/端口组合的简单设置,这种方法可以解决问题。

  对于更复杂的设置(在其中 IP 地址很宝贵),这种方法是无效的。当单一 Apache 实例可以控制一个特定的 IP 地址/端口组合时,只能使用虚拟主机,这是 Apache 系统中广泛使用的一种技术。这就排除了让属于多个用户的多个域使用同一个 IP 地址/端口组合的可能性。

  Apache 2.0 引入了多处理模块(multiprocessing module,MPM) 的概念。在基本 Apache 2.0 包提供的 MPM 中有一个实验性的模块 perchild,它可以将一个分布器线程分配给 IP 地址/端口组合,并将请求传递给在单独用户的凭证下运行的子线程,从而实现多个用户 ID 下的虚拟主机。遗憾的是,perchild 仍然是实验性的,它不一定能够发挥作用,而且在 Apache 2.2 发布时从正式 Apache 发行包中删除了。在此之前,由于认识到仍然需要一个稳定的能够发挥作用的与 perchild 相似的 MPM,Apache 社区开始研发许多 MPM 来弥补这一欠缺。MetuxMPM 以及面向过程的 peruser 正在朝着这个方向努力。

  一个解决方案:mod_proxy

  尽管还没有正式的 Apache MPM 能够直接提供多个用户 ID 下的虚拟主机,但是仍然可以通过某些配置和管理在 Apache 系统中实现这种行为。这种方法的核心概念是使用 mod_proxy 模块,这个模块(加上其他功能)使 Apache 能够将页面请求转发给其他服务器,并将响应传递回原来发出请求的客户机。

清单 1. 基本请求转发的反向代理配置示例

ProxyRequests Off 
 
ProxyPass /foo http://foo.example.com/bar 
ProxyPassReverse /foo http://foo.example.com/bar 

  清单 1 中的代码是一个简单的示例,它将对一个主机的 /foo 层次结构下任何页面的请求转发到 http://foo.example.com/bar 的对应页面。例如,对 /foo/index.htm 页面的请求会转发到 http://foo.example.com/bar/index.htm。可以使用这一原理解决问题。

  示例场景

  我们来考虑一个场景:Apache 管理员必须为两个单独的客户建立两个域。一个客户是在线创业企业,很关注在线安全性。另一个是个人客户,他在站点安全性方面比较宽松,可能将不安全的代码上载到这个站点。因此,Apache 管理员必须采取措施将这两个站点隔离开。

  因此,管理员有两个域:www.startup.tld,它属于在线创业企业(用户 ID startup);以及 www.reckless.tld,它属于个人(用户 ID nimrod)。为了解决这个问题,管理员决定使用 mod_proxy 解决方案。管理员给每个用户一个单独的 Apache 实例,这个实例运行在用户自己的用户 ID 下,使用私有的 IP 地址/端口组合,并使用 mod_proxy 解决方案通过一个 facade 服务器提供对这两个用户的域的访问,这个服务器作为 www-data 运行,使用一个公共的 IP 地址/端口组合。图 1 说明了整个场景。

图 1. 场景示例

  推荐的 Apache 版本

  对于示例应用程序配置中的每个元素,Apache 管理员应该使用 表 1 中列出的 Apache 版本。

表 1. 示例应用程序中使用的 Apache 版本

元素 Apache 版本 原因 
facade 服务器 Apache 2,运行 worker 或 event MPM Apache 2 对 mod_proxy 模块做了重要的改进。worker 和 event MPM 是线程化的,有助于减少 facade 服务器的内存开销。 
后端服务器 Apache 1.3,或运行 prefork MPM 的 Apache 2 Apache 管理员必须意识到 PHP 模块不应该运行在线程化环境中。这两个解决方案为 PHP 模块提供了基于进程的环境。

  后端 Apache 实例的配置

  清单 2 和 清单 3 中的代码片段说明了与标准 Apache 配置的基本差异。应该根据需要将它们添加到适当的配置中,比如这里忽略的 PHP 功能配置。

清单 2. 在线创业企业的 Apache 配置

# Stuff every Apache configuration needs 
ServerType standalone 
LockFile /var/lock/apache/accept.startup.lock 
PidFile /var/run/apache.startup.pid 
 
ServerName necessaryevil.startup.tld 
DocumentRoot "/home/startup/web" 
 
# Essential modules 
LoadModule access_module /usr/lib/apache/1.3/mod_access.so 
 
# Which user to run this Apache configuration as 
User startup 
Group startup 
 
# This must be off else the host isn't passed correctly 
UseCanonicalName Off 
 
# The IP/port combination to listen on 
Listen 127.0.0.2:10000 
 
# Using name-based virtual hosting allows you to host multiple sites per IP/port combo 
NameVirtualHost 127.0.0.2:10000 
 
<VirtualHost 127.0.0.2:10000> 
    ServerName www.startup.tld 
 
    # You can add aliases so long as the facade server is aware of them! 
    ServerAlias startup.tld 
 
    DocumentRoot "/home/startup/web/www.startup.tld" 
 
    <Directory /home/startup/web/www.startup.tld/> 
      Options Indexes FollowSymLinks MultiViews ExecCGI Includes 
      AllowOverride All 
      Order allow,deny 
      Allow from all 
    </Directory> 
 
</VirtualHost> 

清单 3. 个人客户的 Apache 配置

# Stuff every Apache configuration needs 
ServerType standalone 
LockFile /var/lock/apache/accept.nimrod.lock 
PidFile /var/run/apache.nimrod.pid 
 
ServerName necessaryevil.nimrod.tld 
DocumentRoot "/home/nimrod/web" 
 
# Essential modules 
LoadModule access_module /usr/lib/apache/1.3/mod_access.so 
 
# Which user to run this Apache configuration as 
User nimrod 
Group nimrod 
 
# This must be off else the host isn't passed correctly 
UseCanonicalName Off 
 
# The IP/port combination to listen on 
Listen 127.0.0.2:10001 
 
# Using name-based virtual hosting allows you to host multiple sites per IP/port combo 
NameVirtualHost 127.0.0.2:10001 
 
<VirtualHost 127.0.0.2:10001> 
    ServerName www.reckless.tld 
 
    # You can add aliases so long as the facade server is aware of them! 
    ServerAlias reckless.tld 
 
    DocumentRoot "/home/nimrod/web/www.reckless.tld" 
 
    <Directory /home/nimrod/web/www.reckless.tld/> 
      Options Indexes FollowSymLinks MultiViews ExecCGI Includes 
      AllowOverride All 
      Order allow,deny 
      Allow from all 
    </Directory> 
 
</VirtualHost> 

  清单 4 说明了门面 Apache 实例的配置。

清单 4. 门面 Apache 实例的 Apache 配置

# Stuff every Apache configuration needs 
LockFile /var/lock/apache/accept.www-data.lock 
PidFile /var/run/apache.www-data.pid 
 
ServerName necessaryevil.facade.server 
DocumentRoot "/home/www-data" 
 
# Essential modules 
LoadModule proxy_module /usr/lib/apache2/modules/mod_proxy.so 
LoadModule proxy_http_module /usr/lib/apache2/modules/mod_proxy_http.so 
 
# Which user to run this Apache configuration as 
User www-data 
Group www-data 
 
# These must be set else the host isn't passed correctly 
UseCanonicalName Off 
ProxyVia On 
ProxyRequests Off 
# This must also be set, though it's only an option in Apache2 
ProxyPreserveHost On   
 
# The IP/port combination to listen on 
Listen 9.20.1.1:80 
 
# Using name-based virtual hosting allows you to host multiple sites per IP/port combo 
NameVirtualHost 9.20.1.1:80 
 
# Configuration to forward requests for startup.tld 
<VirtualHost 9.20.1.1:80> 2881064151
    ServerName www.startup.tld 
    ServerAlias startup.tld 
 
    ProxyPass / http://127.0.0.2:10000/ 
    ProxyPassReverse / http://127.0.0.2:10000/ 
    ProxyPassReverse / http://www.startup.tld:10000/ 
    ProxyPassReverse / http://startup.tld:10000/ 
</VirtualHost> 
 
# Configuration to forward requests for reckless.tld 
<VirtualHost 9.20.1.1:80> 
    ServerName www.reckless.tld 
    ServerAlias reckless.tld 
 
    ProxyPass / http://127.0.0.2:10001/ 
    ProxyPassReverse / http://127.0.0.2:10001/ 
    ProxyPassReverse / http://www.reckless.tld:10001/ 
    ProxyPassReverse / http://reckless.tld:10001/ 
</VirtualHost> 

  一定要注意这里的 ProxyPreserveHost 指令。这个指令是 Apache 2 提供的,它解决了将正确的 HTTP 头转发给后端服务器的一些问题。因此,强烈建议使用 Apache 2 实例作为 facade 服务器。

  运行示例配置

  根用户应该运行每个配置。Apache 将取得配置文件中指定的特权,并将其用于所有与主机相关的进程。清单 5 说明运行示例的方法。

清单 5. 启动示例服务器

  /usr/sbin/apache -f /etc/apache/startup.tld.conf 
/usr/sbin/apache -f /etc/apache/nimrod.tld.conf 
/usr/sbin/apache2 -f /etc/apache2/facade.tld.conf 

  mod_proxy 方法的限制

  一定要注意,本文中描述的方法不适用于需要 SSL 连接的域。这是因为 SSL 协议不允许域的虚拟主机。由于这个限制,任何 SSL 主机必须以适当的方式执行,让每个 SSL 域使用它自己的 IP/端口组合。这个限制对所有 Apache 配置都存在,使用这个解决方案的 Apache 也不例外。仍然可以在它们的所有者的用户 ID 下运行 SSL 域。

将正确的 HTTP 头转发给后端服务器的一些问题的更多相关文章

  1. nginx修改响应头(可屏蔽后端服务器的信息:IIS,PHP等)

    修改nginx反向代理请求的Header 需要使用到proxy_set_header和add_header指令.其中: proxy_set_header 来自内置模块ngx_http_proxy_mo ...

  2. HAProxy-1.8.20 根据后缀名转发到后端服务器

    global maxconn 100000 chroot /data/soft/haproxy stats socket /var/lib/haproxy/haproxy.sock mode 600 ...

  3. Nginx+upstream针对后端服务器容错的运维笔记

    熟练掌握Nginx负载均衡的使用对运维人员来说是极其重要的!下面针对Nignx负载均衡upstream容错机制的使用做一梳理性说明: 一.nginx的upstream容错 1)nginx 判断节点失效 ...

  4. express:webpack dev-server中如何将对后端的http请求转到https的后端服务器中?

    在上一篇文章(Webpack系列:在Webpack+Vue开发中如何调用tomcat的后端服务器的接口?)我们介绍了如何将对于webpack-dev-server的数据请求转发到后端服务器上,这在大部 ...

  5. LVS(Linux Viretual Server) 负载均衡器 + 后端服务器

    ##定义: LVS是Linux Virtual Server的简写,意即Linux虚拟服务器,是一个虚拟的服务器集群系统. ##结构: 一般来说,LVS集群采用三层结构,其主要组成部分为: A.负载调 ...

  6. Haproxy-1.8.20 根据路径(URI)转发到后端不同集群

    HAProxy根据不同的URI 转发到后端的服务器组 1 ) 实验内容说明: 1.1 ) 根据不同的URI 转发到后端的服务器组. /a /b 和其他 默认使用其他. 1.2 ) 使用IP介绍: ha ...

  7. Angularjs学习笔记(四)----与后端服务器通信

    一.使用$http进行XHR和JSONP请求 1.1 XHR请求 GET:$http.get(url,config) POST:$http.post(url,data,config) PUT:$htt ...

  8. nginx做反向代理负载均衡 Java怎么获取后端服务器获取用户IP

    nginx做反向负载均衡,后端服务器获取真实客户端ip   首先,在前端nginx上需要做如下配置: location / proxy_set_hearder host                 ...

  9. nginx_upstream_check_module监控后端服务器http

    nginx_upstream_check_module 是专门提供负载均衡器内节点的健康检查的外部模块,由淘宝的姚伟斌大神开发,通过它可以用来检测后端 realserver 的健康状态.如果后端 re ...

随机推荐

  1. Android measure和layout的一点理解

    首先,推荐文章,http://blog.csdn.net/hqdoremi/article/details/9980481,http://www.docin.com/p-571954086.html ...

  2. css form 表单组对齐

    2014年7月1日 15:31:17 第一次写css,见谅 css: .form-box .form-group .form-label {text-align: right; width: 200p ...

  3. 转MYSQL学习(五) 索引

    索引是在存储引擎中实现的,因此每种存储引擎的索引都不一定完全相同,并且每种存储引擎也不一定支持所有索引类型. 根据存储引擎定义每个表的最大索引数和最大索引长度.所有存储引擎支持每个表至少16个索引,总 ...

  4. 使用JS构建简单Map(转)

    转载自:http://freejvm.iteye.com/blog/768025 最近使用源生的js处理页面数据,所谓源生的就是指没有经过包装的.最基本的JavaScript代码: 像使用ext,jQ ...

  5. 两个文件去重的N种姿势

    最近利用shell帮公司优化挖掘关键词的流程,用shell替代了多个环节的操作,极大提高了工作效率. shell在文本处理上确有极大优势,比如多文本合并.去重等,但是最近遇到了一个难搞的问题,即两个大 ...

  6. 多源最短路(codevs 1077)

    题目描述 Description 已知n个点(n<=100),给你n*n的方阵,a[i,j]表示从第i个点到第j个点的直接距离. 现在有Q个询问,每个询问两个正整数,a和b,让你求a到b之间的最 ...

  7. 家族(codevs 1073)

    题目描述 Description 若某个家族人员过于庞大,要判断两个是否是亲戚,确实还很不容易,现在给出某个亲戚关系图,求任意给出的两个人是否具有亲戚关系. 规定:x和y是亲戚,y和z是亲戚,那么x和 ...

  8. .net学习之继承、里氏替换原则LSP、虚方法、多态、抽象类、Equals方法、接口、装箱拆箱、字符串

    1.继承(1)创建子类对象的时候,在子类对象中会为子类对象的字段开辟空间,也会为父类的所有字段开辟空间,只不过父类私有的成员访问不到(2)子类从父类继承父类所有的非私有成员,但是父类的所有字段也会创建 ...

  9. .net学习之类与对象、new关键字、构造函数、常量和只读变量、枚举、结构、垃圾回收、静态成员、静态类等

    1.类与对象的关系类是对一类事务的统称,是抽象的,不能拿来直接使用,比如汽车,没有具体指哪一辆汽车对象是一个具体存在的,看的见,摸得着的,可以拿来直接使用,比如我家的那辆刚刚买的新汽车,就是具体的对象 ...

  10. [译] Web API 之 简介

    事实上,MVC 框架本身已经提供了构建REST风格服务的基础,而Web API 只是让你可以更加容易和快捷的构建REST服务. 特性 基于约定的 CRUD Actions: 自动按照HTTP的acto ...