商业源码服务器教程 2023-11-29 19:08:01

WEB服务器的安全配置方案

配置WEB安全

WEB安全是系统提供的最常见的服务之一，WEB安全服务器主要存在的漏洞包括：

物理路径泄露

CGI源代码泄露

目录遍历

执行任意命令

缓冲区溢出

拒绝服务

跨站乳酸执行

Windows平台上使用的WEB服务器软件是IIS，无论哪种操作系统平台，只要对外提供WEB服务，就会面临着来自外部的攻击可能，所以需要对WEB服务器进行有效的安全防护。

针对WEB服务器采取的一些有效措施包括：

a 打补丁

针对IIS存在的系统漏洞，应该定期下载安全补丁，及时发现和堵上漏洞。

b 只开放WEB服务端口

如果不需要其它的服务，在安装服务的时候选择只安装WEB服务，并使用80端口，禁用其他的不必要的服务，例如FTP和SMTP服务

c WEB服务器应该放在一个专门的区域中，利用防火墙保护WEB服务器。

这个专门的区域使WEB服务器与外网相对隔%C

主要有下面几方面：

1、禁用root用户并配置相应权限

2、指定一个账户可以SSH，禁用其他用户ssh登录

3、启用IPTASBLE

4、安装相应监控软件（具体百度）

5、对web目录设置可写权限

服务器是网络环境中为客户机提供各种服务的、特殊的计算机系统，在网络中具有非常重要的地位，服务器安全性显得尤为重要。Web服务器安全漏洞 Web服务器上的漏洞可以从以下几方面考虑： a在Web服务器上你不让人访问的秘密文件、目录或重要数据。 b从远程用户向服务器发送信息时。特别是信用卡之类东西时，中途遭不法分子非法拦截。 cWeb服务器本身存在一些漏洞，使得一些人能侵入到主机系统，破坏一些重要的数据，甚至造成系统瘫痪。 dCGI安全方面的漏洞有：（1）有意或无意在主机系统中遗漏Bugs给非法黑客创造条件。（2）用CGI脚本编写的程序当涉及到远程用户从浏览器中输入表格（Form），并进行检索（Search index），或form-mail之类在主机上直接操作命令时，或许会给Web主机系统造成危险。提高系统安全性和稳定性 a限制在Web服务器开账户，定期删除一些断进程的用户。 b对在Web服务器上开的账户，在口令长度及定期更改方面作出要求，防止被盗用。 c尽量使FTP、MAIL等服务器与之分开，去掉ftp,sendmail，tftp，NIS，NFS，finger，netstat等一些无关的应用。 d在Web服务器上去掉一些绝对不用的如SHELL之类的解释器，即当在你的CGI的程序中没用到PERL时。就尽量把PERL在系统解释器中删除掉。 e定期查看服务器中的日志logs文件。分析一切可疑事件。

但由于该操作系统是一个多用户操作系统，黑客们为了在攻击中隐藏自己，往往会选择 Linux作为首先攻击的对象。那么，作为一名Linux用户，我们该如何通过合理的方法来防范Linux的安全呢？下面笔者搜集和整理了一些防范 Linux安全的几则措施，现在把它们贡献出来，恳请各位网友能不断补充和完善。 1、禁止使用Ping命令Ping命令是计算机之间进行相互检测线路完好的一个应用程序，计算机间交流数据的传输没有经过任何的加密处理，因此我们在用ping命令来检测某一个服务器时，可能在因特网上存在某个非法分子，通过专门的黑客程序把在网络线路上传输的信息中途窃取，并利用偷盗过来的信息对指定的服务器或者系统进行攻击，为此我们有必要在Linux系统中禁止使用Linux命令。在Linux里，如果要想使 ping没反应也就是用来忽略icmp包，因此我们可以在Linux的命令行中输入如下命令： echo 1 > /proc/sys/net/ipv4/icmp_echo_igore_all 如果想恢复使用ping命令，就可以输入 echo 0 > /proc/sys/net/ipv4/icmp_echo_igore_all2、注意对系统及时备份为了防止系统在使用的过程中发生以外情况而难以正常运行，我们应该对Linux完好的系统进行备份，最好是在一完成Linux系统的安装任务后就对整个系统进行备份，以后可以根据这个备份来验证系统的完整性，这样就可以发现系统文件是否被非法修改过。如果发生系统文件已经被破坏的情况，也可以使用系统备份来恢复到正常的状态。备份信息时，我们可以把完好的系统信息备份在CD-ROM光盘上，以后可以定期将系统与光盘内容进行比较以验证系统的完整性是否遭到破坏。如果对安全级别的要求特别高，那么可以将光盘设置为可启动的并且将验证工作作为系统启动过程的一部分。这样只要可以通过光盘启动，就说明系统尚未被破坏过。 3、改进登录服务器将系统的登录服务器移到一个单独的机器中会增加系统的安全级别，使用一个更安全的登录服务器来取代Linux自身的登录工具也可以进一步提高安全。在大的Linux网络中，最好使用一个单独的登录服务器用于syslog服务。它必须是一个能够满足所有系统登录需求并且拥有足够的磁盘空间的服务器系统，在这个系统上应该没有其它的服务运行。更安全的登录服务器会大大削弱入侵者透过登录系统窜改日志文件的能力。 4、取消Root命令历史记录在Linux下，系统会自动记录用户输入过的命令，而root用户发出的命令往往具有敏感的信息，为了保证安全性，一般应该不记录或者少记录root的命令历史记录。为了设置系统不记录每个人执行过的命令，我们可以在Linux的命令行下，首先用cd命令进入到/etc命令，然后用编辑命令来打开该目录下面的profile文件，并在其中输入如下内容： HISTFILESIZE=0