基於Unix的Web伺服器安全指南

來源:互聯網
上載者:User
基於Unix的Web伺服器安全指南

一。 安全性漏洞

Web伺服器上的漏洞可以從以下幾方面考慮:

1.在Web伺服器上你不讓人訪問的秘密檔案、目錄或重要資料。

2.從遠端使用者向伺服器發送資訊時,特別是信用卡之類東西時,中途遭不法分子非法攔截。

3.Web伺服器本身存在一些漏洞,使得一些人能侵入到主機系統,破壞一些重要的資料,甚至造成系統癱瘓。

4.CGI安全方面的漏洞有:

(1)有意或無意在主機系統中遺漏Bugs給非法駭客創造條件。

(2)用CGI指令碼編寫的程式當涉及到遠端使用者從瀏覽器中輸入表格(Form),並進行檢索(Search index),或form-mail之類在主機上直接操作命令時,或許會給Web主機系統造成危險。

5.還有一些簡單的從網上下載的Web伺服器,沒有過多考慮到一些安全因素,不能用作商業應用。

因此,不管是設定管理員,還是在編寫CGI程式時都要注意系統的安全性。盡量堵住任何存在的漏洞,創造安全的環境。

二。 提高系統安全性和穩定性

Web伺服器安全預防措施:

1.限制在Web伺服器開賬戶,定期刪除一些斷進程的使用者。

2.對在Web伺服器上開的賬戶,在口令長度及定期更改方面作出要求,防止被盜用。

3.盡量使FTP、MAIL等伺服器與之分開,去掉ftp,sendmail,tftp,NIS, NFS,finger,netstat等一些無關的應用。

4.在Web伺服器上去掉一些絕對不用的如SHELL之類的解譯器,即當在你的CGI的程式中沒用到PERL時,就盡量把PERL在系統解譯器中刪除掉。

5.定期查看伺服器中的日誌logs檔案,分析一切可疑事件。在errorlog中出現rm, login, /bin/perl, /bin/sh等之類記錄時,你的伺服器可能已經受到了一些非法使用者的入侵。

6.設定好Web伺服器上系統檔案的許可權和屬性,對可讓人訪問的文檔分配一個公用的組,如WWW,並只分配它唯讀權利。把所有的HTML檔案歸屬WWW組,由Web管理員管理WWW組。對於Web的設定檔僅對Web管理員有寫的權利。

7.有些Web伺服器把Web的文檔目錄與FTP目錄指在同一目錄時,應該注意不要把FTP的目錄與CGI-BIN指定在一個目錄之下。這樣是為了防止一些使用者通過FTP上傳一些如PERL或SH之類程式,並用Web的CGI-BIN去執行,造成不良後果。

8.通過限制許可訪問使用者IP或DNS,如在NCSA中的access.conf中加上:

《Directory /full/path/to/directory》

《Limit GET POST》

order mutual-failure

deny from all

allow from 168.160.142. abc.net.cn

《/Limit》

《/Directory》

這樣只能是以網域名稱為abc.net.cn或IP屬於168.160.142的客戶訪問該Web伺服器。

對於CERN或W3C伺服器可以這樣在httpd.conf中加上:

Protection LOCAL-USERS {

GetMask @(*.capricorn.com, *.zoo.org, 18.157.0.5)

}

Protect /relative/path/to/directory/* LOCAL-USERS

9.WINDOWS下HTTPD

(1)Netscape Communications Server for NT

PERL解譯器的漏洞:

Netscape Communications Server中無法識別CGI-BIN下的副檔名及其應用關係,如.pl檔案是PERL的代碼程式自動調用的解釋檔案,即使現在也只能把perl.exe檔案存放在CGI-BIN目錄之下。執行如:/cgi-bin/perl.exe? &my_script.pl。但是這就給任何人都有執行PERL的可能,當有些人在其瀏覽器的URL中加上如:/cgi-bin/perl.exe?-e unlink 《*》時,有可能造成刪除伺服器目前的目錄下檔案的危險。但是,其他如:O′Reilly WebSite或Purveyor都不存在這種漏洞。

CGI執行批次檔的漏洞:

檔案test.bat的內容如下:

@echo off

echo Content-type: text/plain

echo

echo Hello World!

如果客戶瀏覽器的URL為:/cgi-bin/test.bat?&dir,則執行調用命令直譯器完成DIR列表。這就讓訪問者有執行其他命令可能性。

(2)O′Reilly WebSite server for Windows NT/95

在WebSite1.1B以前的版本中使用批次檔存在著與Netscape同樣的漏洞,但是,新版關閉了.bat在CGI中的作用。支援PERL,新版將VB和C作為CGI開發工具。

(3)Microsoft′s IIS Web Server

1996年3月5日前的IIS在NT下的BUG嚴重,可以任意使用command命令。但之後已修補了該漏洞,你可檢查你的可執行檔的建立日期。IIS3.0還存在一些安全BUG,主要是CGI-BIN下的覆給權利。另外,許多Web伺服器本身都存在一些安全上的漏洞,都是在版本升級過程中被不斷更新了,在此就不一一列舉了。

三。 從CGI編程角度考慮安全

1.採用編譯語言比解釋語言會更安全些,並且CGI程式應放在獨立於HTML存放目錄之外的CGI-BIN下,這是為了防止一些非法訪問者從瀏覽器端取得解釋性語言的原代碼後從中尋找漏洞。

2.在用C來編寫CGI程式時應盡量少用popen()、system()、所有涉及/bin/sh的SHELL命令以及在PERL中的system()、exec()、open()、eval()等exec或eval之類命令。

在由使用者填寫的form還回CGI時,不要直接調用system()之類函數。

另外,對於資料的加密與傳輸,目前有SSL、SHTTP、SHEN等協議供大家研究。

四。 防火牆(Firewall)

1.防火牆的概念

防火牆(Firewall)是指一個由軟體或由軟體和硬體裝置群組合而成,處於企業或網路群體電腦與外界通道(Internet)之間,限制外界使用者對內部網路的訪問及管理內部使用者訪問外界網路的許可權。

2.防火牆的措施

(1)代理(Proxy)主機

“內部網路--代理網關(Proxy Gateway)--Internet”

這種方式是內部網路與Internet不直接通訊。就是內部網路電腦使用者與代理網關採用一種通訊方式,即提供內部網路通訊協定(Netbios、TCP/IP 等),而網關與Internet之間採取的是標準TCP/IP網路通訊協議。這樣使得網路資料包不能直接在內外網路之間進行。內部電腦必須通過代理網關訪問Internet,這樣容易在Proxy 伺服器上對內部網路電腦訪問外界電腦進行限制。另外,由於Proxy 伺服器兩端採用不同協議標準也可以直接阻止外界非法入侵。還有,Proxy 伺服器的網關可對資料封包進行驗證和對密碼進行確認等安全管制。這樣,能較好地控制管理兩端的使用者,起到防火牆作用。

因為這種防火牆措施是採用透過Proxy 伺服器進行,在聯機使用者多時,效率必然受到影響,Proxy 伺服器負擔很重,所以許多訪問Internet的客戶軟體在內部網路電腦中可能無法正常訪問Internet。

(2)路由器加過濾器完成

“內部網路--過濾器(Filter)--路由器(Router)--Internet”

這種結構由路由器和過濾器共同完成從IP地址或網域名稱上對外界電腦訪問內部網路的限制,也可以指定或限制內部網路訪問Internet。路由器僅對主機上特定的PORT上的資料通訊加以路由,而過濾器則執行篩選、過濾、驗證及其安全監控,這樣可以很大程度上隔斷內外網路間的不正常的訪問登入。

在電腦網路日益普及的今天,電腦安全不但要求防治電腦病毒,而且要提高系統抵抗駭客非法入侵的能力,還要提高對遠端資料傳輸的保密性,避免在傳輸途中遭受非法竊取。本文僅僅討論在構造Web伺服器時可能出現的一些情況,希望能引起重視。



相關文章

Beyond APAC's No.1 Cloud

19.6% IaaS Market Share in Asia Pacific - Gartner IT Service report, 2018

Learn more >

Apsara Conference 2019

The Rise of Data Intelligence, September 25th - 27th, Hangzhou, China

Learn more >

Alibaba Cloud Free Trial

Learn and experience the power of Alibaba Cloud with a free trial worth $300-1200 USD

Learn more >

聯繫我們

該頁面正文內容均來源於網絡整理,並不代表阿里雲官方的觀點,該頁面所提到的產品和服務也與阿里云無關,如果該頁面內容對您造成了困擾,歡迎寫郵件給我們,收到郵件我們將在5個工作日內處理。

如果您發現本社區中有涉嫌抄襲的內容,歡迎發送郵件至: info-contact@alibabacloud.com 進行舉報並提供相關證據,工作人員會在 5 個工作天內聯絡您,一經查實,本站將立刻刪除涉嫌侵權內容。