Linux-WEB服務器安全

單擊此處編輯母版標題樣式,,單擊此處編輯母版文本樣式,,第二級,,第三級,,第四級,,第五級,,*,,*,單擊此處編輯母版標題樣式,,單擊此處編輯母版文本樣式,,第二級,,第三級,,第四級,,第五級,,*,,*,Linux網(wǎng)絡服務器安全,1,WEB服務器的安全隱患,,WEB應用程序的漏洞;,,WEB服務器軟件本身的漏洞;,,WEB服務賴于生存的NOS漏洞;,,NOS配置及管理的疏忽2,,WEB應用程序的漏洞,,WEB程序員在編寫WEB應用程序時由于設計出現(xiàn)問題而出現(xiàn)的漏洞對應的策略：程序設計體系進行優(yōu)化，找出相對應的BUG；,,該內容屬于軟件內容3,,WEB服務器軟件本身的漏洞,,如早期的IIS、APACHE在設計時出現(xiàn)的漏洞4,,APACHE,,Apache是世界使用排名第一的Web服務器軟件，市場占有率達60%左右 它可以運行在幾乎所有廣泛使用的計算機平臺上，由于其跨平臺和安全性被廣泛使用，是最流行的Web服務器端軟件之一5,,APACHE缺陷,,1、利用HTTP協(xié)議進行DOS攻擊,,SYN flood、ICMP flood、UDP flood等，大量偽造連接請求攻擊網(wǎng)絡服務的端口，造成服務器的資源耗盡、系統(tǒng)停止響應，甚至系統(tǒng)癱瘓。

APACHE服務器存在著拒絕服務的安全隱患影響版本：1.3、2.0、2.0.36,6,,APACHE缺陷,,2、緩沖區(qū)溢出的安全缺陷,,Buffer overflow，指當計算機向緩沖區(qū)內填充數(shù)據(jù)位數(shù)時超過了緩沖區(qū)本身的容量溢出的數(shù)據(jù)覆蓋在合法數(shù)據(jù)上,理想的情況是程序檢查數(shù)據(jù)長度并不允許輸入超過緩沖區(qū)長度的字符,但是絕大多數(shù)程序都會假設數(shù)據(jù)長度總是與所分配的儲存空間相匹配,這就為緩沖區(qū)溢出埋下隱患.,,7,,注意：一般的溢出是沒有意義的，但是如果這些數(shù)據(jù)是經(jīng)過設計的有意行為，覆蓋緩沖區(qū)的是入侵程序代碼，就可能被對方獲取控制權如： 1.3有一個遠程緩沖區(qū)溢出漏洞，利用該漏洞會得到HTTPD服務運行者的權限8,,APACHE缺陷,,被攻擊者獲得ROOT權限的安全缺陷,,該安全缺陷主要是因為Apache服務器一般以root權限運行(父進程)，攻擊者會通過他獲得root權限，進而控制整個Apache系統(tǒng)9,,3.3Apache服務器特點,,Apache服務器的特點：,,支持HTTP/1.1協(xié)議Apache是最先使用HTTP/1.1協(xié)議的Web服務器之一，它完全兼容HTTP/1.1協(xié)議并與HTTP/1.0協(xié)議向后兼容,,支持通用網(wǎng)關接口（CGI）。

Apache用mod_cgi模塊來支持CGI，它遵守CGI/1.1標準并且提供了擴充的特征,,10,,3.3Apache服務器特點,,支持HTTP認證Apache支持基于Web的基本認證，它還為支持基于消息摘要的認證做好了準備Apache通過使用標準的口令文件DBM SQL調用，或通過對外部認證程序的調用來實現(xiàn)基本的認證,,集成的Perl語言Perl已成為CGI腳本編程的基本標準Apache肯定是使Perl成為這樣流行的CGI編程語言的因素之一，通過使用它的mod_perl模塊你可以將基于Perl的CGI腳本裝入內存，并可以根據(jù)需要多次重復使用該腳本這消除了經(jīng)常與解釋性語言聯(lián)系在一起的啟動開銷,11,,3.3Apache服務器特點,,集成的代理Proxy服務器,,服務器的狀態(tài)和可定制的日志,,允許根據(jù)客戶主機名或IP地址限制訪問,,支持用戶Web目錄,,支持虛擬主機,,支持動態(tài)共享對象,,支持安全Socket層,,支持多進程當負載增加時，服務器會快速生成子進程來處理，從而提高系統(tǒng)的響應能力,,12,,3.5Apache服務器安全策略,,勤打補丁,,,Linux網(wǎng)管員要經(jīng)常關注相關網(wǎng)站的缺陷，及時升級系統(tǒng)或添加補丁,,13,,3.5Apache服務器安全策略,,隱藏和偽裝Apache的版本,,軟件的漏洞信息和特定版本是相關的，因此，版本號對黑客來說是最有價值的,,去除,Apache,版本號的方法是修改配置文件,/etc/,httpd/conf/httpd.conf,,找到關鍵字,ServerSignature,,ServerSignature,Off,ServerTokens,Prod,14,,安全的目錄結構,,目錄之間是獨立的，某個目錄的權限錯誤不會影響到其他目錄。

15,,16,,3.5Apache服務器安全策略,,建立一個安全的目錄結構,,Apache服務器包括以下四個主要目錄,,,ServerRoot：保存配置文件（conf子目錄）、二進制文件和其他服務器配置文件,,,DocumentRoot：保存Web站點的內容，包括HTML文件和圖片等,,17,,3.5Apache服務器安全策略,,為Apache使用專門的用戶和用戶組,,,必須保證Apache使用一個專門的用戶和用戶組，不要使用系統(tǒng)預定義的賬號，比如nobody用戶和nogroup用戶組,,,只有root用戶可以運行Apache,,,18,,3.5Apache服務器安全策略,,如果希望“test”用戶在Web站點發(fā)布內容，并且可以以httpd身份運行Apache服務器:,,,groupadd webteamusermod -G webteam testchown -R httpd.webteam /,19,,3.5Apache服務器安全策略,,只有root用戶訪問日志目錄，這個目錄的推薦權限:,,,chown -R root.root /etc/logschmod -R 700 /etc/logs,20,,3.5Apache服務器安全策略,,Web目錄的訪問策略,,,對于可以訪問的Web目錄，要使用相對保守的途徑進行訪問，不要讓用戶查看任何目錄索引列表,,,21,,3.5Apache服務器安全策略,,禁止使用目錄索引,,,修改配置文件httpd.conf,,,Options -Indexes FollowSymLinksOptions指令通知Apache禁止使用目錄索引FollowSymLinks表示不允許使用符號鏈接,22,,3.5Apache服務器安全策略,,禁止默認訪問,,一個好的安全策略要禁止默認訪問的存在，只對指定的目錄開啟訪問權限,,如果允許訪問/var/目錄，使用如下設定:,,Order deny,allowAllow from all,23,,Apache的Order Allow Deny,,1、修改完配置后要保存好并重啟Apache服務，配置才能生效；,,2.???開頭字母不分大小寫；,,3.????allow、deny語句不分先后順序，誰先誰后不影響最終判斷結果；但都會被判斷到；,,4.??order語句中，“allow,deny”之間“有且只有”一個逗號（英文格式的），而且先后順序很重要；,,5.?Apache有一條缺省規(guī)則，“order allow,deny”本身就默認了拒絕所有的意思，因為deny在allow的后面；同理，“order deny,allow”本身默認的是允許所有；當然，最終判斷結果還要綜合下面的allow、deny語句中各自所包含的范圍；（也就是說order語句后面可以沒有allow、deny語句）,,6.??allow、deny語句中，第二個單詞一定是“from”，否則Apache會因錯而無法啟動，,,7.?“order allow,deny”代表先判斷allow語句再判斷deny語句，反之亦然。

24,,一個普通例子,,order deny,allow,,allow from 218.20.253.2,,deny from 218.20,,1.???????所謂“首先判斷默認的”，就是判斷“order deny,allow”這句，它默認是允許所有；,,2.???????所謂“然后判斷逗號前的”，因為在本例子中的order語句里面，deny在逗號的前面，所以現(xiàn)在輪到判斷下面的deny語句了——“deny from 218.20”；,,3.???????所謂“最后判斷逗號后的”，因為在本例子中的order語句里面，allow在逗號的后面，所以最后輪到判斷下面的allow語句了——“allow from 218.20.253.2”25,,3.5Apache服務器安全策略,,禁止用戶重載,,禁止用戶對目錄配置文件（.htaccess）進行重載（修改）,,AllowOverride None,26,,本節(jié)任務,,寫論文論述apache服務器的安全管理，包含以下內容，并在虛擬機上進行設置并截圖注：在網(wǎng)上找資料）,,在apache中.htpasswd文件的作用及設置；,,Apache中的日志管理；,,Apache中的訪問控制措施（舉例說明，如該網(wǎng)站只允許172.26.117.0/24訪問應該如何做）。