유닉스 시스템에서 웹 서버 구성 보안

중간 거래 SEO 진단 Taobao 게스트 클라우드 호스트 기술 홀

오늘, 점점 인기가 인터넷 PC 보안 뿐만 아니라 시스템 불법 침입, 공격 하 고 전송 중에 불법 도용 방지 하려면 원격 데이터 전송의 기밀성을 향상 시키기 위해 해커의 능력을 저항을 향상 시킬 뿐만 아니라 컴퓨터 바이러스의 예방을 요구 한다. 이 문서에서 우리는 단순히 관심을 불러 일으키는 것을 희망 하는 웹 서버를 구성할 때 발생할 수 있는 몇 가지 상황 분석.


보안 취약점


웹 서버의 취약점은 다음과 같은 방법으로 고려 될 수 있다:


1. 비밀 파일, 디렉터리, 또는 하지 않은 웹 서버에 중요 한 데이터를 액세스할.


원격 사용자에서 서버로 정보를 전송 하는 경우 2. 특히 때 신용 카드 같은 것은 불법 도청 무법자에 의해.

중요 한 데이터를 파괴 하 고 심지어는 시스템 해제
3. 웹 서버 자체 호스트 시스템에 해킹을 어떤 사람들 수 있는 일부 취약점이 있다.


4. CGI 보안 취약점은:


(1) 의도적으로 또는 본의 아니게 불법 해커에 대 한 조건을 만들 호스트 시스템에 버그를 생략 합니다.

원격 사용자는 브라우저에서 폼을 입력 하 고 검색 (검색 색인), 또는 폼 메일 및 호스트에서 명령을 직접 조작에 관련 된
(2) CGI 스크립트 작성 된 프로그램이 웹 호스트 시스템에 대 한 위험을 포즈 수 있습니다.


5.는 또한 몇 가지 간단한 웹 서버는 인터넷에서 다운로드 너무 많이 몇 가지 보안 요소를 고려해 상용 응용을 위해 사용할 수 없습니다.


따라서, 서버를 구성 하는 여부는 CGI 프로그램을 작성, 당신은 시스템의 보안에 주의 기울여야 한다. 모든 기존 허점 하 고 안전한 환경을 만들기를 하려고 합니다.


2. 시스템 보안 및 안정성
향상

웹 서버 보안 조치:


1. 웹 서버에 계정을 제한 하 고 정기적으로 삭제 하는 일부 사용자가 프로세스를 깨진 있다.

2. 웹 서버에 오픈 하는 계정에 대 한
남용 방지 하기 위해 암호 길이 주기적인 변화에 대 한 요청을 확인 합니다.


3. 하려고 FTP, 메일 및 다른 서버와 구분, Ftp, sendmail, tftp, nis, nfs, 손가락, netstat 및 없는 다른 응용 프로그램을 제거 합니다.


4. 쉘 같은 웹 서버에서 절대적으로 사용 되지 않는 통역의 일부를 제거, Perl CGI 프로그램에서 사용 하지 않으면, 시스템 인터프리터에서 펄을 제거 하려고 합니다.


5. 주기적으로 로그를 검토 분석 하는 모든 의심 스러운 이벤트를 서버에 파일을 로그. 때 RM, 로그인, 펄/빈 /, / 빈/레코드 쉬, 등등에에서 나타납니다 오류 로그, 일부 불법 사용자에 의해 서버 침략.


6. 사용 권한 및 웹 서버에 있는 시스템 파일의 속성을 설정 하 고 액세스할 수 있는 문서, WWW, 등을 일반 그룹 할당만 읽기 전용 권한을 할당. 모든 HTML 텍스트 웹 관리자에 의해 관리 되는 WWW 그룹에 기인 된다. 웹 구성 파일 권한이 쓰기 웹 관리자에.


7. 일부 웹 서버 FTP 디렉터리와 동일한 디렉터리에 웹의 문서 디렉토리를 참조 하 고 FTP 디렉토리와 Cgi-bin 디렉토리에 할당 하지 않도록 주의 해야 한다. 이것은 Perl 또는 SH, 같은 일부 프로그램 FTP 업로드를 통해 일부 사용자를 방지 하 고 웹 Cgi-bin을 사용 하 여 실행 하 고, 바람직하지 않은 결과 발생.


8. 액세스 사용자 IP 또는 DNS NCSA에서 access.conf에서 권한을 제한 하 여:


"디렉터리/풀/경로/로/디렉토리"


"제한 받을 게시물"


순서 상호 실패

모든
에서
거부

는 168.160.142에서 하실 수 있습니다. abc.net.cn


"/ 제한"


"/ 디렉토리"


이 도메인 이름 abc.net.cn 또는 168.160.142에 속하는 IP 클라이언트에서 액세스할 수 있습니다.


는 CERN 또는 컨소시엄 서버를 httpd.conf에 추가할 수 있습니다:


보호 지역-사용자가 {


Getmask @ (*. capricorn.com, *. zoo.org, 18.157.0.5)


        }


보호/상대/경로/로/디렉토리 / * 로컬 사용자


9. 윈도우 아파치


(1) Netscape Communications Server NT


펄 인터프리터 취약점:


확장 및 Cgi-bin에서 그들의 응용 프로그램 관계에 넷스케이프 통신 서버, 같은 다른 이름으로 인식 되지 않습니다 pl 파일은 Perl.exe 파일은 이제 Cgi-bin 디렉토리만 저장 하는 경우에 Perl 코드 프로그램에 의해 자동으로 호출 되는 해석된 파일입니다. 이러한 as:/cgi-bin/perl.exe 수행? & my_script.pl. 하지만이 사람에 게 Perl, 실행의 가능성을 제공 그리고 그들의 브라우저에 URL 추가, 같은 as/cgi-bin/perl.exe?-e 해제 <> *, 서버의 현재 디렉토리에서 파일을 삭제 하는 것이 위험할 수 있습니다. 그러나,와 같은 다른: o′reilly 웹사이트 또는 납품이이 허점이 존재 하지 않습니다.


CGI 실행 배치 파일 취약점:


파일 Test.bat 내용이 다음과 같습니다:


에서
@echo

에코 콘텐츠-유형: 텍스트 / 일반


에코


에코 Hello world!


경우 클라이언트 브라우저 is:/cgi-bin/test.bat의 URL? & dir dir 목록 완료 호출 명령 인터프리터를 실행. 방문자를 다른 명령 가능성을 실행할 수 있습니다.


(2) o′reilly 웹사이트 서버에 대 한 Windows nt/95


는 넷스케이프로 동일한 취약점은 CGI에 새로운 버전 닫힙니다. 박쥐의 역할 이지만 Website1.1b의 이전 버전에서 배치 파일의 사용. 펄, VB와 C CGI 개발 도구로 서의 새로운 버전에 대 한 지원.


microsoft′s (3) IIS 웹 서버


1996 년 3 월 5 일 전에 IIS에서 NT, 심각한 버그 이며 임의로 명령 명령을 사용할 수 있습니다. 하지만 취약점을 패치 후 실행 파일 생성 날짜를 확인할 수 있습니다. IIS3.0는 또한 몇 가지 보안은 버그, 검토의 권리에서 주로 cgi-빈. 또한, 많은 웹 서버 자체 몇 가지 보안 취약점이 있습니다, 버전 업그레이드 프로세스에서 지속적으로 업데이 트이 나열 되지 않습니다.


3. CGI 프로그래밍 관점에서에서 보안
를 고려

1. 언어, 해석에 보다 컴파일된 언어를 사용 하 여 안전 하 고 CGI 프로그램 일부 불법 방문자 브라우저에서 해석된 언어의 원래 코드를 취득에서 허점의 찾을를 방지 하기 위하여 HTML 저장소에서 별도 cgi-bin에 두어야 한다.

2. CGI를 쓸 때
c에서 프로그램, Popen (), 시스템 (), 모든 쉘 명령을 포함/빈/쉬, 그리고 시스템 (), EXEC (), 오픈 (), 펄 ()에서 eval ()의 사용을 최소화 해야 같은 명령을 exec로 또는 평가 합니다.


CGI 사용자 채워진 양식 반환 됩니다 때 직접 시스템 () 같은 함수를 호출 하지 마십시오.


또한, 데이터 암호화 및 전송, 거기는 현재 SSL, Shttp, 심 양 및 모두 공부를 위한 다른 프로토콜.


4. 방화벽 (방화벽)


1. 방화벽
의 개념

방화벽 (방화벽)은 컴퓨터의 엔터프라이즈 또는 네트워크 그룹 사이의 외부 사용자의 액세스를 제한 하는 내부 네트워크와 외부 네트워크 사용 권한에 대 한 내부 사용자 액세스의 관리를 외부 채널 (인터넷), 소프트웨어 및 하드웨어 장치 또는 소프트웨어의 조합 이다.


2. 방화벽 조치


(1) 프록시 호스트


"내부 네트워크 프록시 게이트웨이"-인터넷 "


이 방식은 내부 네트워크는 인터넷와 직접 통신 하지 않습니다. 컴퓨터 사용자의 내부 네트워크 이며 프록시 게이트웨이 통신, 즉, 내부 네트워크 프로토콜 (Netbios TCP/IP, 등), 그리고 게이트웨이와 인터넷 사이의 제공 수단을 사용 하는 표준 TCP/IP 네트워크 통신 프로토콜. 이것은 내부 및 외부 네트워크 간의 직접 네트워크 패킷. 내부 컴퓨터 외부 컴퓨터 내부 네트워크 컴퓨터에 대 한 프록시 서버에 대 한 액세스를 제한 하 게 프록시 게이트웨이 통해 인터넷에 액세스할 합니다. 또한, 프록시의 양쪽 끝에 다른 프로토콜 표준의 사용으로 인해 서버 방지할 수 있습니다 직접 불법 침입의 외부. 또한, 프록시 서버의 게이트웨이 데이터 패킷을 확인 하 고 보안 제어에 대 한 암호를 확인 수 있습니다. 이 방법에서는, 더 나은 관리의 양쪽 끝에 있는 사용자를 제어할 수 있습니다, 그리고 방화벽 역할.


가이 종류에 온라인 사용자, 효율성, 수행 하는 프록시 서버를 통해 방화벽 측정 사용의 영향을 받을 해야 합니다 때문에 프록시 서버 부담, 따라서 많은 액세스 클라이언트 소프트웨어 인터넷 없을 수 있습니다 인터넷에 일반 액세스 내부 네트워크 컴퓨터에.


(2) 라우터 플러스 필터 완료


"내부 네트워크 필터 (필터)-라우터 (라우터)-인터넷"

이 구조는 라우터에서 수행 하 고 외부 컴퓨터에는 IP 주소 또는 도메인 이름에서 내부 네트워크에 접근의 금지를 완료 지정 하거나 인터넷에 내부 네트워크의 액세스를 제한 하려면 필터
. 라우터는 호스트에 특정 포트에만 데이터 트래픽 경로 및 필터 수행 필터링, 필터링, 유효성 검사 및 보안 모니터링, 내부 및 외부 네트워크 간의 비정상적인 액세스 로그인 차단 크게 할 수 있는.