乐趣区

关于web:Web服务器安全完全指南

在计算机网络日益遍及的明天,计算机平安岂但要求防治计算机病毒,而且要进步零碎抵制黑客非法入侵的能力,还要进步对近程数据传输的保密性,防止在传输途中蒙受非法窃取。本文仅仅探讨在结构 Web 服务器时可能呈现的一些状况,心愿能引起器重。
一. 安全漏洞
Web 服务器上的破绽能够从以下几方面思考:
1. 在 Web 服务器上你不让人拜访的秘密文件、目录或重要数据。
2. 从近程用户向服务器发送信息时,特地是信用卡之类货色时,中途遭不法分子非法拦挡。
3.Web 服务器自身存在一些破绽,使得一些人能侵入到主机零碎,毁坏一些重要的数据,甚至造成零碎瘫痪。
4.CGI 平安方面的破绽有:
(1)无意或无心在主机零碎中脱漏 Bugs 给非法黑客创造条件。
(2)用 CGI 脚本编写的程序当波及到近程用户从浏览器中输出表格 (Form),并进行检索(Search index),或 form-mail 之类在主机上间接操作命令时,或者会给 Web 主机零碎造成危险。
5. 还有一些简略的从网上下载的 Web 服务器,没有过多思考到一些平安因素,不能用作商业利用。
因而,不论是远程桌面配置服务器,还是在编写 CGI 程序时都要留神零碎的安全性。尽量堵住任何存在的破绽,发明平安的环境。
二. 进步零碎安全性和稳定性
Web 服务器平安预防措施:
1. 限度在 Web 服务器开账户,定期删除一些断过程的用户。
2. 对在 Web 服务器上开的账户,在口令长度及定期更改方面作出要求,避免被盗用。
3. 尽量使 FTP、MAIL 等服务器与之离开,去掉 ftp,sendmail,tftp,NIS, NFS,finger,netstat 等一些无关的利用。
4. 在 Web 服务器上去掉一些相对不必的如 SHELL 之类的解释器,即当在你的 CGI 的程序中没用到 PERL 时,就尽量把 PERL 在零碎解释器中删除掉。
5. 定期查看服务器中的日志 logs 文件,剖析所有可疑事件。在 errorlog 中呈现 rm, login, /bin/perl, /bin/sh 等之类记录时,你的服务器可能曾经受到了一些非法用户的入侵。
6. 设置好 Web 服务器上系统文件的权限和属性,对可让人拜访的文档调配一个专用的组,如 WWW,并只调配它只读的权力。把所有的 HTML 文件归属 WWW 组,由 Web 管理员治理 WWW 组。对于 Web 的配置文件仅对 Web 管理员有写的权力。
7. 有些 Web 服务器把 Web 的文档目录与 FTP 目录指在同一目录时,应该留神不要把 FTP 的目录与 CGI-BIN 指定在一个目录之下。这样是为了避免一些用户通过 FTP 上载一些如 PERL 或 SH 之类程序,并用 Web 的 CGI-BIN 去执行,造成不良后果。
8. 通过限度许可拜访用户 IP 或 DNS,如在 NCSA 中的 access.conf 中加上:
《Directory /full/path/to/directory》
《Limit GET POST》
order mutual-failure
deny from all
allow from 168.160.142. abc.net.cn
《/Limit》
《/Directory》
这样只能是以域名为 abc.net.cn 或 IP 属于 168.160.142 的客户拜访该 Web 服务器。
对于 CERN 或 W3C 服务器能够这样在 httpd.conf 中加上:
Protection LOCAL-USERS {
GetMask @(.capricorn.com, .zoo.org, 18.157.0.5)
}
Protect /relative/path/to/directory/* LOCAL-USERS
9.WINDOWS 下 HTTPD
(1)Netscape Communications Server for NT
PERL 解释器的破绽:
Netscape Communications Server 中无奈辨认 CGI-BIN 下的扩展名及其利用关系,如.pl 文件是 PERL 的代码程序主动调用的解释文件,即便当初也只能把 perl.exe 文件寄存在 CGI-BIN 目录之下。执行如:/cgi-bin/perl.exe?&my_script.pl。然而这就

退出移动版