咨詢電(diàn)話(huà):023-88959644    24小(xiǎo)時(shí)服務熱線:400-023-8809
NEWS CENTER ·
新聞動态
關注中技(jì)互聯 關注前沿

Web服務器(qì)安全指南

發表日期:2014-11-03    文章編輯:    浏覽次數(shù):11    标簽:

在計(jì)算(suàn)機網絡日益普及的今天,計(jì)算(suàn)機安全不但(dàn)要求防治計(jì)算(suàn)機病毒,而且要提高(gāo)系統抵抗黑(hēi)客非法入侵的能力,還(hái)要提高(gāo)對遠程數(shù)據傳輸的保密性,避免在傳輸途中遭受非法竊取。本文僅僅討(tǎo)論在構造Web服務器(qì)時(shí)可(kě)能出現的一些(xiē)情況,希望能引起重視(shì)。

一、安全漏洞

Web服務器(qì)上(shàng)的漏洞可(kě)以從以下幾方面考慮:

1.在Web服務器(qì)上(shàng)你(nǐ)不讓人(rén)訪問的秘密文件、目錄或重要數(shù)據。

2.從遠程用戶向服務器(qì)發送信息時(shí),特别是信用卡之類東西時(shí),中途遭不法分子非法攔截。

3.Web服務器(qì)本身存在一些(xiē)漏洞,使得(de)一些(xiē)人(rén)能侵入到主機系統,破壞一些(xiē)重要的數(shù)據,甚至造成系統癱瘓。

4.CGI安全方面的漏洞有(yǒu):

(1)有(yǒu)意或無意在主機系統中遺漏Bugs給非法黑(hēi)客創造條件。

(2)用CGI腳本編寫的程序當涉及到遠程用戶從浏覽器(qì)中輸入表格(Form),并進行(xíng)檢索(Search index),或form-mail之類在主機上(shàng)直接操作(zuò)命令時(shí),或許會(huì)給Web主機系統造成危險。

5.還(hái)有(yǒu)一些(xiē)簡單的從網上(shàng)下載的Web服務器(qì),沒有(yǒu)過多(duō)考慮到一些(xiē)安全因素,不能用作(zuò)商業應用。

因此,不管是配置服務器(qì),還(hái)是在編寫CGI程序時(shí)都要注意系統的安全性。盡量堵住任何存在的漏洞,創造安全的環境。

二. 提高(gāo)系統安全性和(hé)穩定性

Web服務器(qì)安全預防措施:

1.限制(zhì)在Web服務器(qì)開(kāi)賬戶,定期删除一些(xiē)斷進程的用戶。

2.對在Web服務器(qì)上(shàng)開(kāi)的賬戶,在口令長度及定期更改方面作(zuò)出要求,防止被盜用。

3.盡量使FTP、MAIL等服務器(qì)與之分開(kāi),去掉ftp,sendmail,tftp,NIS, NFS,finger,netstat等一些(xiē)無關的應用。

4.在Web服務器(qì)上(shàng)去掉一些(xiē)絕對不用的如SHELL之類的解釋器(qì),即當在你(nǐ)的CGI的程序中沒用到PERL時(shí),就盡量把PERL在系統解釋器(qì)中删除掉。

5.定期查看服務器(qì)中的日志(zhì)logs文件,分析一切可(kě)疑事件。在errorlog中出現rm, login, /bin/perl, /bin/sh等之類記錄時(shí),你(nǐ)的服務器(qì)可(kě)能已經受到了一些(xiē)非法用戶的入侵。

6.設置好Web服務器(qì)上(shàng)系統文件的權限和(hé)屬性,對可(kě)讓人(rén)訪問的文檔分配一個(gè)公用的組,如WWW,并隻分配它隻讀的權利。把所有(yǒu)的HTML文件歸屬WWW組,由Web管理(lǐ)員管理(lǐ)WWW組。對于Web的配置文件僅對Web管理(lǐ)員有(yǒu)寫的權利。

7.有(yǒu)些(xiē)Web服務器(qì)把Web的文檔目錄與FTP目錄指在同一目錄時(shí),應該注意不要把FTP的目錄與CGI-BIN指定在一個(gè)目錄之下。這樣是為(wèi)了防止一些(xiē)用戶通(tōng)過FTP上(shàng)載一些(xiē)如PERL或SH之類程序,并用Web的CGI-BIN去執行(xíng),造成不良後果。

8.通(tōng)過限制(zhì)許可(kě)訪問用戶IP或DNS,如在NCSA中的access.conf中加上(shàng):

以下為(wèi)引用的內(nèi)容:
《Directory /full/path/to/directory》
《Limit GET POST》
order mutual-failure
deny from all
allow from 168.160.142. abc.net.cn
《/Limit》
《/Directory》
這樣隻能是以域名為(wèi)abc.net.cn或IP屬于168.160.142的客戶訪問該Web服務器(qì)。

對于CERN或W3C服務器(qì)可(kě)以這樣在httpd.conf中加上(shàng):

以下為(wèi)引用的內(nèi)容:
Protection LOCAL-USERS {
GetMask @(*.capricorn.com, *.zoo.org, 18.157.0.5)
}
Protect /relative/path/to/directory/* LOCAL-USERS

9.WINDOWS下HTTPD
(1)Netscape Communications Server for NT

PERL解釋器(qì)的漏洞:

Netscape Communications Server中無法識别CGI-BIN下的擴展名及其應用關系,如.pl文件是PERL的代碼程序自動調用的解釋文件,即使現在也隻能把perl.exe文件存放在CGI-BIN目錄之下。執行(xíng)如:/cgi-bin/perl.exe?&my_script.pl。但(dàn)是這就給任何人(rén)都有(yǒu)執行(xíng)PERL的可(kě)能,當有(yǒu)些(xiē)人(rén)在其浏覽器(qì)的URL中加上(shàng)如:/cgi-bin/perl.exe?&-e+unlink+%3C*%3E時(shí),有(yǒu)可(kě)能造成删除服務器(qì)當前目錄下文件的危險。但(dàn)是,其他如:O′Reilly WebSite或Purveyor都不存在這種漏洞。

CGI執行(xíng)批處理(lǐ)文件的漏洞:

文件test.bat的內(nèi)容如下:

以下為(wèi)引用的內(nèi)容:
@echo off
echo Content-type: text/plain
echo
echo Hello World!
如果客戶浏覽器(qì)的URL為(wèi):/cgi-bin/test.bat?&dir,則執行(xíng)調用命令解釋器(qì)完成DIR列表。這就讓訪問者有(yǒu)執行(xíng)其他命令可(kě)能性。

(2)O′Reilly WebSite server for Windows NT/95

在WebSite1.1B以前的版本中使用批處理(lǐ)文件存在着與Netscape同樣的漏洞,但(dàn)是,新版關閉了.bat在CGI中的作(zuò)用。支持PERL,新版将VB和(hé)C作(zuò)為(wèi)CGI開(kāi)發工具。

(3)Microsoft′s IIS Web Server

1996年3月5日前的IIS在NT下的BUG嚴重,可(kě)以任意使用command命令。但(dàn)之後已修補了該漏洞,你(nǐ)可(kě)檢查你(nǐ)的可(kě)執行(xíng)文件的建立日期。IIS3.0還(hái)存在一些(xiē)安全BUG,主要是CGI-BIN下的覆給權利。另外,許多(duō)Web服務器(qì)本身都存在一些(xiē)安全上(shàng)的漏洞,都是在版本升級過程中被不斷更新了,在此就不一一列舉了。

三、從CGI編程角度考慮安全。

1.采用編譯語言比解釋語言會(huì)更安全些(xiē),并且CGI程序應放在獨立于HTML存放目錄之外的CGI-BIN下,這是為(wèi)了防止一些(xiē)非法訪問者從浏覽器(qì)端取得(de)解釋性語言的原代碼後從中尋找漏洞。

2.在用C來(lái)編寫CGI程序時(shí)應盡量少(shǎo)用popen()、system()、所有(yǒu)涉及/bin/sh的SHELL命令以及在PERL中的system()、exec()、open()、eval()等exec或eval之類命令。

在由用戶填寫的form還(hái)回CGI時(shí),不要直接調用system()之類函數(shù)。

另外,對于數(shù)據的加密與傳輸,目前有(yǒu)SSL、SHTTP、SHEN等協議供大(dà)家(jiā)研究。

四、防火(huǒ)牆(Firewall)

1.防火(huǒ)牆的概念

防火(huǒ)牆(Firewall)是指一個(gè)由軟件或由軟件和(hé)硬件設備組合而成,處于企業或網絡群體(tǐ)計(jì)算(suàn)機與外界通(tōng)道(dào)(Internet)之間(jiān),限制(zhì)外界用戶對內(nèi)部網絡的訪問及管理(lǐ)內(nèi)部用戶訪問外界網絡的權限。

2.防火(huǒ)牆的措施

(1)代理(lǐ)(Proxy)主機"內(nèi)部網絡--代理(lǐ)網關(Proxy Gateway)--Internet"

這種方式是內(nèi)部網絡與Internet不直接通(tōng)訊。就是內(nèi)部網絡計(jì)算(suàn)機用戶與代理(lǐ)網關采用一種通(tōng)訊方式,即提供內(nèi)部網絡協議(Netbios、TCP/IP等),而網關與Internet之間(jiān)采取的是标準TCP/IP網絡通(tōng)訊協議。這樣使得(de)網絡數(shù)據包不能直接在內(nèi)外網絡之間(jiān)進行(xíng)。內(nèi)部計(jì)算(suàn)機必須通(tōng)過代理(lǐ)網關訪問Internet,這樣容易在代理(lǐ)服務器(qì)上(shàng)對內(nèi)部網絡計(jì)算(suàn)機訪問外界計(jì)算(suàn)機進行(xíng)限制(zhì)。另外,由于代理(lǐ)服務器(qì)兩端采用不同協議标準也可(kě)以直接阻止外界非法入侵。還(hái)有(yǒu),代理(lǐ)服務器(qì)的網關可(kě)對數(shù)據封包進行(xíng)驗證和(hé)對密碼進行(xíng)确認等安全管制(zhì)。這樣,能較好地控制(zhì)管理(lǐ)兩端的用戶,起到防火(huǒ)牆作(zuò)用。

因為(wèi)這種防火(huǒ)牆措施是采用透過代理(lǐ)服務器(qì)進行(xíng),在聯機用戶多(duō)時(shí),效率必然受到影(yǐng)響,代理(lǐ)服務器(qì)負擔很(hěn)重,所以許多(duō)訪問Internet的客戶軟件在內(nèi)部網絡計(jì)算(suàn)機中可(kě)能無法正常訪問Internet。

(2)路由器(qì)加過濾器(qì)完成

"內(nèi)部網絡--過濾器(qì)(Filter)--路由器(qì)(Router)--Internet"

這種結構由路由器(qì)和(hé)過濾器(qì)共同完成從IP地址或域名上(shàng)對外界計(jì)算(suàn)機訪問內(nèi)部網絡的限制(zhì),也可(kě)以指定或限制(zhì)內(nèi)部網絡訪問Internet。路由器(qì)僅對主機上(shàng)特定的PORT上(shàng)的數(shù)據通(tōng)訊加以路由,而過濾器(qì)則執行(xíng)篩選、過濾、驗證及其安全監控,這樣可(kě)以很(hěn)大(dà)程度上(shàng)隔斷內(nèi)外網絡間(jiān)的不正常的訪問登錄。

如沒特殊注明(míng),文章均為(wèi)中技(jì)互聯原創,轉載請(qǐng)注明(míng)來(lái)自www.zjcoo.com
相關新聞

CopyrightZJCOO technology Co., LTD. All Rights Reserved.    

渝ICP 備11003429号

  • qq客服
  • 公衆号
  • 手機版
  • 新浪微博