关于web:Web服务器安全完全指南

在计算机网络日益遍及的明天，计算机平安岂但要求防治计算机病毒，而且要进步零碎抵制黑客非法入侵的能力，还要进步对近程数据传输的保密性，防止在传输途中蒙受非法窃取。本文仅仅探讨在结构Web服务器时可能呈现的一些状况，心愿能引起器重。
一. 安全漏洞
　　Web服务器上的破绽能够从以下几方面思考：
　　1.在Web服务器上你不让人拜访的秘密文件、目录或重要数据。
　　2.从近程用户向服务器发送信息时，特地是信用卡之类货色时，中途遭不法分子非法拦挡。
　　3.Web服务器自身存在一些破绽，使得一些人能侵入到主机零碎，毁坏一些重要的数据，甚至造成零碎瘫痪。
　　4.CGI平安方面的破绽有：
　　(1)无意或无心在主机零碎中脱漏Bugs给非法黑客创造条件。
　　(2)用CGI脚本编写的程序当波及到近程用户从浏览器中输出表格(Form)，并进行检索(Search index)，或form-mail之类在主机上间接操作命令时，或者会给Web主机零碎造成危险。
　　5.还有一些简略的从网上下载的Web服务器，没有过多思考到一些平安因素，不能用作商业利用。
　　因而，不论是远程桌面配置服务器，还是在编写CGI程序时都要留神零碎的安全性。尽量堵住任何存在的破绽，发明平安的环境。
二. 进步零碎安全性和稳定性
　　Web服务器平安预防措施：
　　1.限度在Web服务器开账户，定期删除一些断过程的用户。
　　2.对在Web服务器上开的账户，在口令长度及定期更改方面作出要求，避免被盗用。
　3.尽量使FTP、MAIL等服务器与之离开，去掉ftp,sendmail,tftp,NIS, NFS，finger,netstat等一些无关的利用。
　　4.在Web服务器上去掉一些相对不必的如SHELL之类的解释器，即当在你的CGI的程序中没用到PERL时，就尽量把PERL在零碎解释器中删除掉。
　　5.定期查看服务器中的日志logs文件，剖析所有可疑事件。在errorlog中呈现rm, login, /bin/perl, /bin/sh等之类记录时，你的服务器可能曾经受到了一些非法用户的入侵。
　　6.设置好Web服务器上系统文件的权限和属性，对可让人拜访的文档调配一个专用的组，如WWW，并只调配它只读的权力。把所有的HTML文件归属WWW组，由Web管理员治理WWW组。对于Web的配置文件仅对Web管理员有写的权力。
　　7.有些Web服务器把Web的文档目录与FTP目录指在同一目录时，应该留神不要把FTP的目录与CGI-BIN指定在一个目录之下。这样是为了避免一些用户通过FTP上载一些如PERL或SH之类程序，并用Web的CGI-BIN去执行，造成不良后果。
　　8.通过限度许可拜访用户IP或DNS，如在NCSA中的access.conf中加上：
　　《Directory /full/path/to/directory》
　　《Limit GET POST》
　　order mutual-failure
　　deny from all
　　allow from 168.160.142. abc.net.cn
　　《/Limit》
　　《/Directory》
　　这样只能是以域名为abc.net.cn或IP属于168.160.142的客户拜访该Web服务器。
　　对于CERN或W3C服务器能够这样在httpd.conf中加上：
　　Protection LOCAL-USERS {
　　GetMask @(.capricorn.com, .zoo.org, 18.157.0.5)
　　}
　　Protect /relative/path/to/directory/* LOCAL-USERS
　　9.WINDOWS下HTTPD
　　(1)Netscape Communications Server for NT
　PERL解释器的破绽：
　　Netscape Communications Server中无奈辨认CGI-BIN下的扩展名及其利用关系，如.pl文件是PERL的代码程序主动调用的解释文件，即便当初也只能把perl.exe文件寄存在CGI-BIN目录之下。执行如：/cgi-bin/perl.exe?&my_script.pl。然而这就