Web服务器安全策略
web信息系统安全策略
web信息系统安全策略
Web信息系统安全策略是企业保障数据安全的基础,如果没有可行的安全策略,企业的一切信息都可能会泄露。
为了确保Web信息系统的安全性,我们需要采取一些安全措施。
一、强密码策略:
1.设定密码长度要求,常规服务的密码长度建议为8位以上
2.建议密码满足以下特征:至少一个大写字母,一个小写字母,数字
3.设置密码修改周期,频繁的密码更改可以更有效地保护密码安全性
二、多重验证策略:
1.单重验证不再足够,多种验证方式可以保证账户更加安全
2.建议添加短信验证码、邮箱验证码等方式
三、数据备份策略:
1.建议开启自动备份功能,确保重要数据不受损
2.数据备份需要云备份等多种方式
四、防火墙策略:
1.防火墙作为企业网络安全的第一道防线,对于信息安全至关重要
2.开启DDoS防护等功能,保证企业网络安全
五、应用安全策略:
1.应用开发过程中要遵循安全开发知识,以防止应用缺陷被攻击
2.设置代码审查流程,减少应用安全漏洞
3.再次强调与客户端及其他服务器通讯时的数据传输必须靠加密
六、Access权限控制策略:
1.在系统内部,需要按照业务逻辑和安全级别考虑用户的权限管理问题
2.个人信息系统内部众多工作流程,需要不同权限设置
以上的几点要求中,每一项都对Web信息系统的安全有着至关重要的作用。
我们所需要做的,是将它们完整地应用到企业的实际情况中,以确保当前的信息安全。
在这样的基础上,企业才能顺利地发展和运行,从而获取更多的收益。
Windows Server 2003基于web服务器应用的网络安全策略
1 1 6 ・
信 息 产 业
Wi n d o w s S e r v e r 2 0 0 3 基于w e b 服务器应用的网络安全策略
杨 飚
( 贵 州)
摘 要: 网络 安 全 措 施 应 该 能 全 方位 地 防 范来 自各 方 面 的威 胁 , 这 样 才能 保 证 网络 信 息的 保 密 性 、 完整 性 和 可 用性 。 关键词 : 网络安全 ; 防火墙 ; 网络攻击
进 八=十一 ,特别是 I n t e me t 在全球的普 就是阻 l 计算机病毒进入系统内存或阻止 计算机 病毒对磁盘进行的操 及, 计算机网络已广泛地用于各行各业以及 日常生活的各个瓴域, 成为信 作 , 尤其是写操作。 1 . 4 2病毒的清除技术。 计算机病毒的清除技术是计算 息传输中不可缺少的—部分。 因此, 网络安全措施应该能全- 力位地防范来 自各方面的威胁, 这样才自 网 ̄ r f Eg的f 5 i 墙 性、 完整性和可用性。计 销毒软件是在病毒出现后才能研制 , 有很大的被动性和滞后性 , 而且由于 防火墙技术 、 网络防病毒技术 、 网络 计算机软件所要求的精确性, 致使某些变种病毒无法清除, 杀毒软件应经 : 为 常升级来增强杀勒 能。网络中最重要的软硬 妻 淋 是网络 O s, 服务 保护计算机硬件、 软 器和工作 站。 更改和泄露。所以, 建立网络 2网络攻击的几种方法 发生增加、 信息收集是突破网络系统的第—步 ,黑客可以使用下面 几 种工具来 安全保护措施的目 修改、 丢失和泄露等。 收集所需信息: 2 . 1 T r a c e R o u t e 程序。T r a c e R o u t e 程序, 得出到达 目 标主机所经过的 1计算机网络安全体系 全方位的计算机网络安全体系结构包含网络物理安全、 访问控制安 网络数爿 璐 由器数。T r a c e r o u t e 程序I 是同 V a n J a c o b s o n 编} 写的能深 ^ 探 C P X I P协议 的方便呵 用的工具。 T r a c e r o u t e 通过发送小的数掳} 包到目 全、 系统安全、 用户安全、 信勖 Ⅱ 密、 安全传输和管理安全等。充分利用各 索 T 种先进的主机安全技术和身份认证技术、 访问控制技术、 密码技术 、 防火 的设备直到其返 回,来测量其需要多长时间。一条路径上的每个设备 墙技术 、 安全审计技术 、 安全管理技术 、 系统漏洞检测技术 、 黑客跟踪技 T r a c e r o u t e 要测 3 次。 输出结果中包括每次测试的时间( m 略洛 的名称 术, 在攻击者和受保 资源间建立多道严格的安全防线, 大大增加了恶 ( 如有的话) 及其 I P 地址。 2 2 Wh o i s 协议。 w h o i s 是用来查询域名的 I P以及所有者等彳 言 息的传 意政. 击的难度和增加了核查信息的; 量, 使用这些核查信息来追踪入侵 者。 输仂议。 简 说, w h o i s 就是—个 用来查询域名是否 已经被注册 , 以及注册 羊 细信息的数据库( 如域名所有 人、 域名注册商) 。 通过 w h o i s 来实 I . I物理安全策略。物理安全策略是保护{ 博 机系统、 网络眼务器 、 域名的{ 打印 机等硬件和通信线路免受自 然灾害、 ^ 为破坏和搭线攻击; 验证用户 现对域名信息的查询。 早期的 w h o i s 查询多以命令列接 口存在 , 但是现在 查询工具 , 可以一次向不同的数据库查 身份是否合法与使用权限、防止用户越权操作; 保证计算机系统能够在 出现了—些网页接 口简化的线 匕 良好的工作环境下运行 ; 建立—套完善的安全管理制度, 防 止未经授权的 询。 网页接 口的查询工 具 濑w h o i s 协议向服务端 姑 到 请求 , 命 用户进 人 计算初机房以及各种盗窃、 破坏活动的发生。 网络的权限控制是 令列接 口的工具仍然被系统管理员广泛使用。w h o i s 通常使用T C P协议 为网络访 问提供第一层访问控制。它控制哪些用户能够登录到服务器并 4 3 端 口。每个域名 / I P的 w h o i s 信息由对应的管理机构保存 。 合法获取网络资源 , 控制合法用户入网的时间和准许他们在哪台工作站 2 3 D N S 服务 暑 导 。D N S 服务器 尉懒 域 名系统 它是由解析器和域 入 网。 。 名服务器组成的。域名服务器是指保存有该 网络中所有主机的域名和对 1 2数据加密技术。数据加密技术是为提高信息系统及数据的安全 应 I P地趾 , 并具 将域名转换为 I P 地址功能的服务器。 其 中域名必须对 性和保密性, 防L 匕 秘密数据被外 匣 j c 泽昕采用的主要手段之一。 数据加 应—个 I P 地址 , 而I P 地址不—定有域名。 域名系统采用类似目录树的等 密技术要求只有在指定的用户或网络下 , 才能解除密码而获得原来的数 级结构。 域名服务器为客户机 , 服务 中的服务 错 方, 它主要有两种 据, 这就需要给 数据发送方和接受方以—些特殊的信息用于加解密 , 这就 形式 : 主服务器和转发服务器。 将域名映射为 I P 地址的过程就称为‘ 域 名 是所谓的密钥。其密钥的值是从大量的随机数中选取的。按加密算法分 解析” 。 为专用密钥和公开密钥两种。 2 4 P i n g 实用程序。P i n g 实用程序, 可以用来确定—个指定的主机的 1 3防火墙技术。防火墙是指隔离在本地网络与外界网络之间的一 位置并确定其是否可达。P i n g 是个使用频率极高的实用程序 , 用于确定 道防御系统 , 是这—类防范措施 的总称。 在互联网上防火墙是—种非常有 本地主机是否能与另一台主机交换( 发送与接收) 数据报。根据返回的信 效的网络安全模型,通过它可以隔离风险区域( i n t e r n e t 或有_定风险的 息 , 你就可以推断 T C P / I P 参数是否设置得正确以及运行是否正常。需要 网络) 与安全区域( 局域 网) 的连接, 同时不会妨碍 人 们对风险区域的访 注意的是 :成功地与另一台主机进行一次或两次数据报交换并不表示 问。—般的防火墙都可以达到以下 目的 : ( 1)可以限制他 ^ 进 ^内部网 T C P / I P配置就是正确的, 你必须执行大量的本地主机与远程主机的数据 络, 过滤掉不安全服务和非法用户; ( 2) 防 止^ 、 侵者接近你的防御设施 ; 报交换, 才能确信 T C P / I P的正确性。简单的说, P i n g 就是— — 卜 钡 I I 试程序, ( 3) 限定用户访问特殊站J ; ( 4) 为监视 I n t e me t 安全提供方便。 由于防 如果 P i n g 运行正确, 你大体 E 就可以排除网络访问层、 网卡 、 M O D E M的 火墙假设了网络边界和服务,因此更适合于相对独立的网络,例如 I n — 输 入 输出线路 、 电缆和路由器等存在的故障, 5 I 而减小了问题的范围。但 t e r n e t 等种类相对集中的网络。防火墙正在成为控制对网络系统访 问的 由于可以自定义所发数据报的大小及无休止的高速发送 , P i n g 也被某些 非常流行的方法。 别有用心的人作为 D D O S ( 拒绝服务攻击) 的工具。 l 4计算机病毒的发展和防御。因为网络环境下的计算机病毒是网 3 Wi n d o ws S e r v e r 2 O 0 3 的安 装 络系统最大的攻击者 ,具有强大的感染性和破坏陛,网络防病毒技术已 3 . 1安装系统最! ! 薅 区, 分区格式都采用 N T F S 格式。 成为当今计算 机网络美. 全 和网络管理 的重要课题 。防病毒技术可分为三 3 2在断开网络白 勺 J 壶 碧 好2 0 0 3 系统。 种: 病毒预防技术, 病毒检测技术和病毒清除技术。当今计算机病毒已经 3 3安装 I I S , 仅安装必要的 I I S组件蝴 j 不需要的如 F r P和 S MT P 朝着病毒变异的方向发展, 新—代计算机病毒将具有很多智能化的特征: 服 。默认 况下 , I I s 服务没有安装, 在添加 , 删除 Wi n 组件中选择‘ 位 它能够 自 我变形和 自我保护以及 自我恢复功能。 J 比 外, 计算机病毒对计算 用程序服务器” , 然后点击‘ ‘ 详纽 息” , 双击 I n t e me t 信息日 i # j - ( i i s ) , 勾选以 机系统和网络安全的破坏程度越来越大 , 已经进人 了—个网络传播 、 破坏 下 选项 : 时代。1 . 4 . 1 病毒预防技术。病毒预防技术是指通过一定的技术手段防止 I n t e me t 信 息服务管��
Web服务安全策略与技术探讨
关键 词 : e W b服 务 ; 务 安 全 ;安 全 策略 ; OA 服 S P
0 引 言
随 着We 务 I 术 在 电 子商 务 、 b服 l J 技 企业 应 用 集 成 等 领 域 得 到 广 泛 运 用 . b服 务 安 全 问题 越 来 越 受 到 用 We 户 的重 视 。 为 一 种新 兴技 术 , b服 务 还 面 临 着 许 多 作 We 挑 战 。We b服务 同 C R A2C M 、 M E 些 分 布 式 O B I O R I这 1 、 4 ] 对 象 系 统 相 比 , 安 全 性 、 务 处 理 能 力 、 管 理 能 力 在 事 可 等 方 面有 所 欠 缺 。 其 安 全 问 题 亟 待解 决 嘲 尤 。
中. 用户可以使用多种不同的身份 验证 与授权方式 : () 1 基本身份验证 : 这种方式使 用明文( 采用 B s一 ae 6 4编码1 直接 传送用 户名和密码 , 任何人都 可以查 看其
内容 . 因此 不 太 安 全 。优 点 在 于 大 多 数 浏 览 器 都 支 持
可以使用三种技术来 实现安全 的网络连接 。
f) 1 防火 墙 : 当用 户 想 要 把 访 问 限 定 在 一 个 专 用 网
We b服务 的安全 隐患体现在多个方 面 .可能遭受 到例如窃 听 、 篡改 、 复攻击等 对数据 的攻击 , 重 也可 能
遭 受 如 未 授 权 访 问 、授 权 违 例 、拒 绝 服 务 等 系 统 的攻 击 分 析 其 原 因 不难 得 出 , 有 网 络 环 境 的 因素 , 有 既 也
基于WIN2000SERVER的WEB服务器的安全策略
③ 删 除无 用 的脚 本 映 射 。IS接 收 到 特 定 后 I
缀 类 型 的 文 件请 求 时 , 用 相 应 的 DL 调 L处 理 , 如
果 不 使 用 其 中 的 某 些 扩 展 或 功 能 , 应 删 除 该 映 则
面采取 一 些安 全措 施 。
关 键 词 策略 帐号 管 理 网络 服务 文 件 管理 病 毒 黑客
IS5 0是 W i 2 0 ERVER 操 作 系 统 的 一 I . n 0 0S
子 邮 件 程 序 , 其 不 要 是 安 装 微 软 公 是 通 过 它 的 漏 洞 进 行 传 ok 因
网 络 , 则 由于 系统 存 在 各种 漏 洞 , 否 非常 容 易感 染
病毒。 需 要 特 别 指 出 的 是 , 要 在 服 务 器 上 安 装 电 不
射 。 比如 基于 W E B的密 码 重设 (h r , 引服 务 . t) 索
维普资讯
成普通用户; 码长度在 1 密 0位 以 上 , 要 包 括 数 并
字 、 母 等 字符 , 要 不定 期 变换 。 字 并
1 安 装 策 略
作 为 W E 服 务 器 , 安 装 W i2 0 E B 在 n 0 0S RV— E 前 就 应 对 硬 盘 作 统 筹 安 排 , 至 少 建 立 两 个 R 应
维普资讯
第2 7卷
内 蒙 古 石 油 化 工
15 6
基 于 W I 2 E N 0 S RVER 的 0 0 WE B服务器 的安全 策略
樊硕 蒙 玉 平 马 世 防 袁 克敏
Web安全与防护
Web安全与防护Web安全是指保护互联网应用程序和数据免受未经授权的访问、使用、披露、破坏或干扰的措施。
随着互联网的迅猛发展,Web安全问题也日益成为人们关注的焦点。
本文将从多个方面介绍Web安全的重要性以及常见的防护措施。
一、Web安全的重要性Web安全对于个人用户、企业以及整个互联网生态系统都具有重要意义。
以下是Web安全的几个重要方面:1. 防止信息泄露:Web应用程序中存储着大量用户的个人信息,如账户密码、银行卡号、身份证号码等。
如果未经充分保护,这些信息可能会被黑客窃取并进行非法利用,导致个人隐私泄露、财产受损等问题。
2. 防范网络攻击:黑客可以通过网络攻击手段,如跨站脚本攻击(XSS)、SQL注入攻击、分布式拒绝服务攻击(DDoS)等,对Web 应用程序进行非法控制或破坏。
这些攻击可能导致系统瘫痪、数据丢失、用户服务不可用等问题。
3. 保护知识产权:Web安全不仅关乎个人隐私和财产安全,也涉及到企业的核心竞争力。
通过保护Web应用程序和数据的安全,可以防止商业机密和知识产权被窃取或篡改,确保企业的可持续发展。
二、常见的Web安全威胁了解Web安全威胁是制定有效的防护策略的第一步。
以下是常见的Web安全威胁:1. 跨站脚本攻击(XSS):黑客通过向Web应用程序输入恶意代码,使其被其他用户执行。
这种攻击可以导致用户的个人信息被窃取、篡改网页内容等问题。
2. SQL注入攻击:黑客通过在输入框中注入SQL代码,实现对数据库的非法访问和操作。
这种攻击可能导致数据库信息的泄露、数据的篡改或删除等危害。
3. 跨站请求伪造(CSRF):黑客通过伪造用户的身份,发送恶意请求给Web应用程序,从而进行非法操作。
CSRF攻击可以导致用户账户被盗、用户个人信息泄露等问题。
4. 分布式拒绝服务攻击(DDoS):黑客通过大量恶意请求使服务器过载,导致正常用户无法正常访问Web应用程序。
DDoS攻击可能导致系统瘫痪、服务不可用等影响。
web服务器安全设置
图解web服务器安全设置一、系统设置1、先关闭不需要的端口开启防火墙导入IPSEC策略在” 网络连接”里,把不需要的协议和服务都删掉,这里只安装了基本的Internet协议(TCP/IP),由于要控制带宽流量服务,额外安装了Qos数据包计划程序。
在高级tcp/ip设置里--"NetBIOS"设置"禁用tcp/IP上的NetBIOS(S)"。
在高级选项里,使用"Internet连接防火墙",这是windows 2003 自带的防火墙,在2000系统里没有的功能,虽然没什么功能,但可以屏蔽端口,这样已经基本达到了一个IPSec 的功能。
然后点击确定—>下一步安装。
(具体见本文附件1)2、系统补丁的更新点击开始菜单—>所有程序—>Windows Update按照提示进行补丁的安装。
3、备份系统用GHOST备份系统。
4、安装常用的软件例如:杀毒软件、解压缩软件等;安装完毕后,配置杀毒软件,扫描系统漏洞,安装之后用GHOST再次备份修改3389远程连接端口修改注册表.开始--运行--regedit依次展开HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/ TERMINAL SERVER/WDS/RDPWD/TDS/TCP右边键值中PortNumber 改为你想用的端口号.注意使用十进制(例10000 )HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/TERMINAL SERVER/ WINSTATIONS/RDP-TCP/右边键值中PortNumber 改为你想用的端口号.注意使用十进制(例10000 )注意:别忘了在WINDOWS2003自带的防火墙给+上10000端口修改完毕.重新启动服务器.设置生效.二、用户的安全设置1、禁用Guest账号在计算机管理的用户里面把Guest账号禁用。
Web网站的安全问题及防护策略
安全技术13Web 网站的安全问题及防护策略◆秦乐阳1 影响Web 网站安全的因素1.1 系统平台易受攻击如果是利用windows 的操作系统,在微软公司发现漏洞然后发布补丁的过程中,都会存在一个时间差,而在这个时间范围内,网站的数据库安全就有可能受到威胁。
一旦某些黑客在发现这些漏洞后,批量攻击许多网站,那些平时疏于管理,并对操作系统的补丁不注意修补的企业就会成为被攻击的目标。
而且现在很多政府和企业门户网站平台只注重系统的控件是否丰富,界面是否美观,价格是否便宜,而不注意网站的安全问题,这更是为黑客提供了可乘之机。
1.2 加密算法单一现在很多政府机关和企业的网站喜欢使用MD5这种算法对数据库进行加密,利用这种算法加密的网站数据库具有很好的加密性,MD5加密算法是一种使用很普遍的非对称加密算法,许多电子钱包、电子现金的业务也使用这种算法,这种算法使用的是哈希函数,利用相关的散列函数输入数据然后进行一定的计算,出现一个固定长度的值,这个值可以在知道密码的条件下被验证,但是无法利用这个值,反推出密码。
在原则上,这种方法很难被破译。
但是很多企业在设计密码上力求简单,很多时候只是设计一个例如生日密码这种格式相对固定的密码。
而黑客只需要进行暴力攻击,不断穷举就可以实现密码的破译。
1.3 验证系统不可靠政府和企业门户网站的开发为了加强开发的效率,往往会外部给网页设计企业,但是代码一般也会使用之前设计过的,只是显示页面稍作替换,在这种情况下,一旦当初设计的代码,没有全面的进行数据分析和用户输入的判断,就会使系统的安全受到很大的威胁。
比如说:无孔不入的SQL 注入攻击。
而且由于是代管的,网页设计企业的一个员工可能要负责维护很多个网站,造成力不从心,无法认真注意某个网站被攻击的情况,许多政府机关或者企业在设计网站的过程中就发现有这种问题。
2 Web 网站安全问题2.1 SQL 注入攻击SQL 注入攻击的首要条件是服务器端代码自身有漏洞,在服务器和Web 端口相互连接之后,绕开很多防护措施,直接对没有授权的数据进行访问,这就是对数据库后端进行攻击的攻击方式。
Web服务器安全策略的综合应用
.
可使 We b服 务 器 的安 全 性 能 大 大 提 高 。
关键 词 HPC m a 3 0 We 务 器 安 全 策 略 o p qd 3 b服 中图 法 分 类 号 T 3 9 文 献 标 识 码 P0 : B
综 合 应 用
铁 路 内 部 网 络 It n t和 国 际 互 联 网 络 nr e a It n t逐 步成 为铁 路 决 策 者身 边 便 利 的资 源 和有 ne e , r 力 的决 策 工具 。 近 , 道 部 提 出无 纸 办公 的决 策 , 最 铁 利 用 铁 路 It nt 现文 件 、 nr e 实 a 电报 、 报等 各 种 公 文 简
选择“ 开始 ” “ 一 运行 ” 在 对话 框 中输 入 “p dt 一 g e i .
20年2 2 0 6 月 0日收 到 作 者简 介 : 士媛 (9 6 ) 女 , 南郑 州 人 , 师 。 究 方 向 : 算 机 邵 16 一 , 河 讲 研 计
应 用技 术 。 — al zs @3 1 e E m izsy 7 . t : n
源, 因此 , 无用 的服务 和协 议不要 安 装 。
( ) 装 Wid w 2 0 Sre 补 丁 W2 s4 C . 2安 n o s0 0 evr K p N
exe 。
用 , 且 可 以节 约 时 间 , 上 级 精 神 迅 速 快 捷 落实 而 使
到 各有 关 岗 位 。 因此 ,这 一 决 策 对 于 用 好 今 天 的
1 We b服 务 器 系统 安 全 策略 的 应 用
11 系统 安装 的 安全 策略 .
目前 . b服 务器 基 本 采用 Widw 2 0 S re We n o s0 0 evr 平 台 , Widw 0 0的 系统进 行 管理是 一 个 日积 对 n o s2 0 月 累 、 断完 善 的 过程 。 H o p qd 3 不 在 P C m a 3 0机 上 安
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
Web服务器安全策略随着网络技术的普及、应用和Web技术的不断完善,Web服务已经成为互联网上颇为重要的服务形式之一。
原有的客户/服务器模式正在逐渐被浏览器/服务器模式所取代。
本文将重点介绍Web面临的主要威胁,并结合在Linux中使用较多的Apache服务器,介绍进行Web服务器安全配置的技巧。
Web服务器面临的安全隐患为了保护Web服务器不被恶意攻击和破坏,第一步就是要了解和识别它所面临的安全风险。
以前,Web站点仅仅提供静态的页面,因此安全风险很少。
恶意破坏者进入这类Web站点的惟一方法是获得非法的访问权限。
近年来,大部分Web服务器不再提供静态的HTML页面,它们提供动态的内容,许多Web站点与颇有价值的客户服务或电子商务活动应用结合在一起(这也是风险所在,通常不注意的)。
◆ HTTP拒绝服务。
攻击者通过某些手段使服务器拒绝对HTTP应答。
这使得Apache对系统资源(CPU时间和内存)需求的剧增,最终造成系统变慢甚至完全瘫痪。
◆ 缓冲区溢出。
攻击者利用CGI程序编写的一些缺陷使程序偏离正常的流程。
程序使用静态分配的内存保存请求数据,攻击者就可以发送一个超长请求使缓冲区溢出。
比如一些Perl编写的处理用户请求的网关脚本。
一旦缓冲区溢出,攻击者可以执行其恶意指令。
◆ 攻击者获得root权限。
如果Apache以root权限运行,系统上一些程序的逻辑缺陷或缓冲区溢出的手段,会让攻击者很容易在本地获得Linux服务器上管理员权限root。
在一些远程的情况下,攻击者会利用一些以root身份执行的有缺陷的系统守护进程来取得root权限,或利用有缺陷的服务进程漏洞来取得普通用户权限,用以远程登录服务器,进而控制整个系统。
合理的网络配置能够保护Apache服务器免遭多种攻击。
配置一个安全Apache服务器1、勤打补丁在上最新的changelog中都写着:bug fix、security bug fix的字样。
所以,Linux网管员要经常关注相关网站的缺陷修正和升级,及时升级系统或添加补丁。
使用最高和最新安全版本对于加强Apache Web服务器的安全是至关重要的。
2、隐藏Apache的版本号通常,软件的漏洞信息和特定版本是相关的,因此,版本号对黑客来说是最有价值的。
默认情况下,系统会把Apache版本系统模块都显示出来(http返回头)。
如果列举目录的话,会显示域名信息(文件列表正文)去除Apache版本号:修改配置文件:/etc/httpd.conf.找到关键字ServerSignature,将其设定为:ServerSignature OffServerTokens Prod然后重新启动Apache服务器。
3.建立一个安全的目录结构结构Apache服务器包括四个主要目录:(1)ServerRoot:保存配置文件(conf子目录)二进制文件和其他服务器配置文件。
(2)DocumentRoot:保存Web站点的内容,包括HTML文件和图片等。
(3)ScripAlias:保存CGI脚本。
(4)Customlog和Errorlog:保存访问日志和错误日志。
建议设定这样一个目录结构,以上四个主要目录相互独立并且不存在父子逻辑关系。
小提示:ServerRoot目录应该被配置为只能由root用户访问;DocumentRoot 应该能够被管理Web站点内容的用户访问和被Apache服务器使用Apache用户和Apache用户组访问;ScriptAlias目录应该只能被CGI开发人员和Apache用户访问;只有root用户访问日志目录。
下面是笔者使用的目录结构快照,如图1所示。
这样的目录结构是比较安全的,因为目录之间是独立的,某个目录的权限错误不会影响其他目录。
4、为Apache使用专门的用户和组按照最小特权原则,需要给Apache分配一个合适的权限,让其能够完成Web 服务。
小提示:最小特权原则是系统安全中最基本的原则之一,它限制了使用者对系统及数据进行存取所需要的最小权限,既保证了用户能够完成所操作的任务,同时也确保非法用户或异常操作所造成的损失最小。
必须保证Apache使用一个专门的用户和用户组,不要使用系统预定义的账号,比如nobody用户和nogroup用户组。
因为只有root用户可以运行Apache,DocumentRoot应该能够被管理Web 站点内容的用户访问和Apache服务器使用Apache用户和Apache用户组访问。
所以,如果希望“cao”用户在Web站点发布内容,并且可以以httpd身份运行Apache服务器,通常可以这样:groupadd webteamusermod -G webteam caochown -R httpd.webteam /www/htmlchmod -R 2570 /www/htdocs只有root用户访问日志目录,这个目录的推荐权限:chown -R root.root /etc/logschmod -R 700 /etc/logs5、Web目录的访问策略对于可以访问的Web目录,要使用相对保守的途径进行访问,不要让用户察看任何目录索引列表。
(1)设定禁止使用目录索引文件Apache服务器在接收到用户对一个目录的访问时,会查找Directorylndex 指令指定的目录索引文件。
默认情况下该文件是index.html。
如果该文件不存在,那么Apache会创建动态列表为用户显示该目录的内容。
通常这样的设置会暴露Web站点结构,因此需要修改配置文件禁止显示动态目录索引。
修改配置文件httpd.conf:Options -Indexes FollowSymLinksOptions指令通知Apache禁止使用目录索引。
FollowSymLinks表示不允许使用符号链接。
(2)禁止默认访问一个好的安全策略是禁止默认访问的存在。
首先禁止默认访问,只对指定目录开启访问权限,如果允许访问/var/www/html目录,使用如下设定:Order deny,allowAllow from all(3)禁止用户重载为了禁止用户对目录配置文件(.htaccess)进行重载(修改),可以这样设定:AllowOverride None6、Apache服务器访问控制策略Apache的access.conf文件负责设置文件的访问权限,可以实现互联网域名和IP地址的访问控制。
它包含一些指令,控制允许什么用户访问Apache目录。
应该把deny from all设为初始化指令,再使用allow from指令打开访问权限。
如果允许192.168.1.1到192.168.1.254的主机访问,可以这样设定:order deny,allowdeny from allallow from pair 192.168.1.0/255.255.255.07、记录所有情况一个优秀的Linux网络管理员会密切记录服务器日志系统,这些日志可以记录异常访问的线索。
Apache可以记录所有的访问请求,同样,错误的请求也会记录。
CustomLog /logs/access.log common #记录对Web站点的每个进入请求#ErrorLog /logs/error.log #记录产生错误状态的请求#小提示:这里推荐使用一个优秀的日志分析工具Wusage()进行例行分析和监视日志文件。
8、Apache服务器的密码保护.htaccess文件是Apache服务器上的一个设置文件。
它是一个文本文件,可以使用文本编辑器进行编写。
.htaccess文件提供了针对目录改变配置的方法,即通过在一个特定的文档目录中放置一个包含一个或多个指令的文件(.htaccess文件),以作用于此目录及其所有子目录。
.htaccess的功能包括设置网页密码、设置发生错误时出现的文件、改变首页的文件名(如index.html)、禁止读取文件名、重新导向文件、加上MIME类别、禁止列目录下的文件等。
通过.htaccess来保护网站更为方便和安全,因为利用.htaccess文件实现密码保护是很难破解的。
9.减少CGI和SSI风险CGI脚本的漏洞已经成为Web服务器的首要安全隐患,通常是程序编写CGI 程序中产生了许多的后门和漏洞。
控制CGI脚本的漏洞除了在编写时需要注意对输人数据的合法性检查、对系统调用的谨慎使用等因素外,首先使用CGI程序所有者的UID来运行这些程序,是一个好方法。
这些CGI程序即使存在某些漏洞,那么其危害也仅限于该UID所能够访问的文件当中。
也就是说,这样只能伤害用户的文件,而不会对整个系统带来致命的影响。
通过安装和使用suEXEC的应用程序,可以为Apache服务器提供CGI程序的控制支持(从Apache l.3版以后,suEXEC已经作为Apache服务器的一部分),可以把suEXEC看作一个包装器,在Apache接到对CGI程序的调用请求后,它将这个调用请求交给suEXEC来负责完成具体的调用,并且从这里获得返回的结果。
suEXEC能解决一些安全问题,但也会降低服务性能,因为它只能运行在CGI 版本的PHP上,而CGI版本比模块版本运行速度慢。
原因是模块版本使用了线程,而使用CGI版本的是进程。
在不同线程之间的环境转换和访问公用的存储区域显然要比在不同的进程之间要快得多。
建议在对安全性能要求比较高时使用suEXEC,为此您还要以牺牲速度为代价。
另外可以尝试另外一个软件CGIWrap,它的安全性能高于suEXEC。
官方网址为:ftp:///pub/cgi/cgiwrap。
减少SSI脚本的风险:如果用exec等SSI命令运行外部程序,也会存在类似CGI脚本程序的危险,除了内部调试程序时都应当可以使用Option命令禁止使用。
Options IncludesNOEXEC10、让Apache服务器在监牢中运行所谓“监牢”是指通过chroot机制来更改某个软件运行时所能看到的根目录,即将某软件运行限制在指定目录中,保证该软件只能对该目录及其子目录的文件有所动作,从而保证整个服务器的安全。
这样即使被破坏或侵入,所受的损伤也不大。
将软件chroot化的一个问题是该软件运行时需要的所有程序、配置文件和库文件都必须事先安装到chroot目录中,通常称这个目录为chroot jail (chroot“监牢”)。
如果要在“监牢”中运行Apache,而事实上根本看不到文件系统中那个真正的目录,就需要事先创建目录,并将httpd复制到其中。
同时,httpd需要库文件,可以使用ldd(Library Dependency Display缩写)命令查看,ldd作用是显示一个可执行程序必须使用的共享库。
这意味着还需要在“监牢”中创建lib目录,并将库文件复制到其中。