web服务器安全管理思惟[服务器安全]

　　1.Web服务器存在的漏洞

　　普通来说,Web服务器上大概存在的漏洞有以下几种.

　　1)Web服务器因各种缘由而不能返回客户要拜候的奥秘文件、目录或重要数据.

　　2)远程用户向服务器发送信息时,分外是像信誉卡之类的重要信息时,半途遭不法分子不法拦阻.

　　3)入侵者大概冲破Web服务器本身存在的一些漏洞,破坏此中的一些重要数据,乃至造成系统瘫痪.

　　4)CGI(Common Gateway Interface,大众网关接口)安全方面存在的漏洞.CGI是Web信息服务与外部利用程序之间交换数据的尺度接口.它具有两个功效:汇集从Web浏览器发送给Web服务器的信息,并且把这些信息传送给外部程序;把外部程序的输出作为Web服务器对发送信息的Web浏览器的呼应,送给该Web浏览器.通过CGI程序,Web服务器真正实现了与Web浏览器用户之间的交互.在HTML文件中,表单(Form)与CGI程序配合利用,共同来完成信息交流的目的.

　　CGI 大概的漏洞有:有意或无意地在主机系统中遗漏bug,给不法黑客创造条件;用CGI脚本编写的程序在触及远程用户从浏览器中输入表单或举行检索(Search Index)时,会给Web主机系统造成危险.因此,从CGI角度考虑Web的安全性,主如果在编制程序时,应具体考虑到安全因素,尽大概避免CGI程序中存在漏洞.

　　因此,不管是配置服务器,还是在编写CGI程序时都要注意系统的安全性.应当堵住任何存在的漏洞,创造安全的环境.

　　从Web服务器版本上来看,NCSA1.3以下版本的HTTPd明显存在安全上的漏洞,即客户计算机可以肆意地履行服务器上面的号令,这关于服务器来说是非常危险的.但是NCSA1.4以上版本的服务器补上了这个缺陷.

　　2.Web服务器的安全战略和安全机制

　　Web 服务器的安全战略是由个人或组织针对安全而拟定的一整套法则和抉择.每个Web站点都应有一个安全战略,这些安全战略因需求的差别而各不相同.对Web服务供应者来说,安全战略的一个重要的构成是哪些人可以拜候哪些Web文档,同时还定义获权拜候Web文档的人和利用这些拜候的人的有关权利和责任.采纳何种安全办法,取决于拟定的安全战略.必须按照需求和目标来设置安全办法,预计和解析安全风险.拟定Web站点的安全战略的基本原则是不要为细节所困扰.

　　安全机制是实现安全战略的技术或手段.必须按照需求和目标来设置安全系统,预计和解析大概的风险.定义安全战略,挑选一套安全机制,首先要做的是威胁解析,主要包含以下几个方面.

　　1)有多少外部进口点存在?有哪些威胁?

　　2)研究谁会对网络产生威胁:威胁来自黑客,还是锻炼有素的有知识的入侵者,或是来自产业特工?

　　3)解析会有什么样的威胁:入侵者拜候哪些数据库、表、目录或信息?威胁是网络内部的非受权利用,还是移动数据?

　　4)数据是遭遭到了破坏,还是遭到了攻击?攻击是网络内、外的非受权拜候,还是地址拐骗、IP拐骗及协议拐骗等?

　　5)肯定安全保护的目标.

　　6)提出价钱公道的安全机制.

　　按照威胁程度的大小、方向和入侵的对象,举行解析评价,作为拟定Web的安全战略和计划网络安全办法的基本根据.安全计划时,要优先考虑必要的且可行的步骤,精确拟定安全战略,并采纳必要的安全办法.

　　具体来说,不管是配置服务器,还是在编写CGI程序时都要注意系统的安全性.尽大概堵住任何大概呈现的漏洞,创造安全的环境.在具体服务器设置及编写CGI程序时应当注意以下几点:

　　1)禁止乱花从其他网站下载的一些工具软件,并在没有具体理解之前尽大概不要用root身份注册履行,以避免某些程序员在程序中设下的陷阱.

　　2)在选用Web服务器时,应考虑到差别服务器对安全的要求不一样.一些简单的Web服务器就没有考虑到一些安全的因素,不能把他用于商业利用,只能作一些个人的网点.

　　3)在操纵Web中的.htpass来管理和校验用户口令时,校验的口令和用户名不受次数的限制.

　　对Web服务器和Web客户来说,最重要的安全晋升机制以下:

　　1)主机和网络的配套工具和技术;

　　2)Web利用程序的配置;

　　3)Web服务的认证机制;

　　4)防火墙;

　　5)日记和监督.

　　每种机制都触及某种范例系统的安全性,并且它们之间是彼此接洽的.

　　3.组织Web服务器

　　大大都Web服务器城市记录它们收到的每一次衔接和拜候.这个记录普通包含IP地址和主机名.假如站点采纳一些情势的考证系统,服务器也会记录用户名.假如用户在逗留期间填写了任何表格,该表格下全部变量的值城市被记录在案.包含恳求的状况、传送数据的大小、用户E-mail地址等.一些浏览器和服务器一样,乃至也能供应有关利用中的浏览器、URL、客户的IP地址,以及用户的E-mail地址等信息.这些记录关于发现和跟踪黑客攻击是很有效的.

　　组织Web服务器普通包含以下几个方面的内容:认真挑选Web服务器设备和相关软件;配置Web服务器,利用它的拜候和安全特点;组织和Web服务器相关的内容.组织主要包含以下步骤:

　　1)联机查抄.查抄源程序,查看衔接URL和呼应的内容能否图文一致,查看URL所供应的内容能否和网页的描写一致.查抄驱动器和同享的权限,系统设为只读状况.

　　2)查抄HTTP服务器利用的Applet脚本,特别是与其客户交互作用的CGI脚本,避免不法用户恶意利用CGI程序,履行内部指令,对Web 服务器造成破坏.

　　3)充分考虑最糟糕的情形后,配置自己的系统,即便黑客完好掌握了系统,他还要面对一堵高墙.

　　4)将敏感文件放在基本系统中,再设二级系统,使全部的敏感数据不向Internet开放.

　　4.安全管理Web服务器

　　安全管理Web服务器,可以从以下几个方面采纳一些预防办法:

　　1)关于在Web服务器上所开设的账户,应在口令长度及改正期限上做出具体要求,避免被盗用.

　　2)限制在Web服务器上开账户,按期删除一些短进程的用户.

　　3)尽大概在差别的服务器上运行差别的服务(如mail服务和Web服务等)程序.尽大概使FTP, mail等服务器与Web服务器脱离,去掉FTP, sendmail, tftp, NIS, NFS, finger, netstat等一些无关的利用.这样在一个系统被攻破后,不会影响到其他的服务和主机.

　　4)假如不需求,尽大概关闭Web服务器上的特点服务,不然,有大概遭到该特点所招致的安全威胁.在Web服务器上去掉一些绝对不用的shell等注释器,即当在CGI程序中没用到Perl(Practical Extraction and Report Language)时,就尽大概把Perl在系统注释器中删撤除.

　　5)按期查看服务器中的日记logs文件,应当按期地记录Web服务器的活动,解析一切可疑事件.此中,最重要的是监督那些试图拜候服务器上的文档的用户.

　　6)设置好Web服务器上系统文件的权限和属性,对可拜候的文档分配一个公用的组,如WWW,并且只给它分配只读的权限.把全部的HTML文件归属WWW组,由Web管理员管理WWW组,并且只有Web管理员具有对Web配置文件写的权限.

　　7)有些Web服务器把Web的文档目录与FTP目录指在同一目录,应当注意不要把FTP的目录与CGI-BIN指定在一个目录之下.这是为了避免一些用户通过FTP上的Perl或SH之类的程序,并用Web的CGI-BIN去履行造成不良后果.

　　8)通过限制拜候用户IP或DNS.限制CGI-BIN目录(即存放可履行的脚本和程序目录)的拜候或利用权限,该目录只有系统管理员具有写的权限.为了系统的安全性,全部的脚本和程序都应当存放在服务器上的某个目录下.别的,很多Web服务器本身存在一些安全上的漏洞,需求在版本进级时不断地更新.

　　无论多么安全的站点,都大概被破坏,都有大概遭到黑客的攻击.所以,一定要平静冷静地处理不测事件.

　　5.Web服务器的安全办法

　　1)从基本做起

　　针对Web服务器的安全,我们应从最基本的安全办法做起,这是最保险的安全方法.比方说,将服务器上含有奥秘数据的区域都转换成NTFS格局;防毒程序也必须按时进级更新,同时在服务器和桌面计算机上安装防毒软件,这些软件可设定成每天自动下载最新的病毒库文件.Exchange Server(邮件服务器)上也安装上防毒软件,这类软件可扫描全部寄来的电子邮件,探求被病毒传染的附件,若发现病毒,邮件即刻会被断绝,降低利用者被传染的机会.

　　另一个保护网络的好办法是限定利用者登录网络时的权限.存取网络上的任何数据都必须通过密码登录.在设定密码时,混用大小写字母、数字和特别字符.在 Windows NT Server Resource Kit里就有这样的工具软件.还要设定按期更新密码,且密码长度不得少于8个字符.

　　2)备份保护

　　大大都人都没有意识到,备份本身就是一个宏大的安全漏洞.因此,最好操纵密码保护好备份磁盘,若备份程序支持加密功效,还可以将数据举行加密.

　　3)利用RAS的回拨功效

　　Windows NT支持服务器远端存取(Remote Access Service,RAS),但同时,RAS服务器对黑客来说也非常便利,只需求一个电话号码和一点耐烦,他们就可以通过RAS进入主机.因此,假如远端用户常常是从家里或是固定的地方上网,可以利用回拨功效,答应远端用户登录后当即挂断,然后RAS服务器会拨出预设的电话号码接通用户,因为此电话号码已经预先在程序中,黑客也就没有机会指定服务器回拨的号码了.

　　另一个办法是限定远端用户只能存取单一服务器.可以将用户常常利用的数据复制到RAS服务器的一个特别共用点上,再将远端用户的登录限制在一台服务器上,而非整个网络.如此一来,即便黑客入侵主机,也只能在单一机械上作怪,可以在很大程度上减小其产生的破坏性.

　　最后就是在RAS服务器上利用“另类”网络协议.可以把TCP/IP协议当作RAS协议.当RAS还支持IPX/SPX和NetBEUI协议时,利用NetBEUI当作RAS协议,可以将不法入侵者搞得晕头转向.

　　4)注重工作站的安全

　　工作站是进入服务器的大门,加强工作站的安全可以提高整个网络的安全性.关于初学者,可以在全部工作站上利用Windows 2000,这是一个对比安全的操作系统.这样就可以将工作站锁定,若没有权限,常人将很难获得网络配置信息.

　　可以限制利用者只能从特定的工作站举行登录,将工作站当作简易型的终端机(dumb terminal),大概说是智慧型的简易终端机.换言之,工作站上不会存有任何数据或软件,将计算机当作dumb terminal利用时,服务器必须履行Windows的终端服务程序,并且全部利用程序都只在服务器上运作,工作站只能被动接纳并显示数据.

　　5)及时进级或修补程序

　　在微软公司内部有一组工作人员专门查抄并修补安全漏洞,这些修补程序(补钉)有时会被汇集成服务包(service pack)公布.服务包普通有两种差别版本:一个是任何人都可以利用的40位的版本,另一个是只能在美国和加拿大发行的128位版本.128位版本利用 128位的加密算法,比40位的版本要安全得多.

　　6.Web服务器安全的几个要素

　　成立一个安全的Web网站要求用户必须对Web服务器的安全性有全面的熟习.从信息公布平台内部来看,应当做到以下几点:

　　1)恰本地配置Web服务器,只保存必要的服务,删除和关闭无用的或不必要的服务.因为启动不必要的服务大概使他人得到系统信息,乃至获得密码文件.

　　2)加强服务器操作系统的安全,密切关注并及时安装系统及软件的最新补钉;成立杰出的账号管理制度,利用充足安全的口令,并精确设置用户拜候权限.

　　3)对服务器举行远程管理时,利用如SSL等安全协议,避免利用Telnet、FTP等程序,因为这些程序是以明文情势传输密码的,简单被监听;严峻掌握远程root身份的利用,仅在绝对需求时才答应利用具有高受权的操作.

　　4)禁止或限制CGI程序和ASP、PHP脚本程序的利用.因为这些程序会带来系统的安全隐患,并且某些脚本程序本身就存在安全漏洞.

　　5)利用防火墙及壁垒主机,对数据包举行过滤,禁止某些地址对服务器的某些服务的拜候,并在外部网络和Web服务器中成立双层防护.操纵防火墙,将服务器中没有必要从防火墙表面拜候的服务及端口隔绝,进一步加强开放服务的安全性.

　　6)利用入侵检测系统、监督系统、事件、安全记录和系统日记,以及网络中的数据包,对危险和恶意拜候举行阻断、报警等呼应
　　以上是“web服务器安全管理思惟[服务器安全]”的内容，如果你对以上该文章内容感兴趣，你可以看看七道奇为您推荐以下文章：