淺析Unix系統下的web伺服器的配置安全

仲介交易 SEO診斷 淘寶客 雲主機 技術大廳

        Internet日益普及的今天，PC安全不但要求防治電腦病毒，而且要提高系統抵抗駭客非法入侵的能力，還要提高對遠端資料傳輸的保密性，避免在傳輸途中遭受非法竊取。 本文僅僅淺析在構造 Web伺服器時可能出現的一些情況，希望能引起重視。


        一.　安全性漏洞


        Web伺服器上的漏洞可以從以下幾方面考慮： 


        1.在Web伺服器上你不讓人訪問的秘密檔、目錄或重要資料。


        2.從遠端使用者向伺服器發送資訊時，特別是信用卡之類東西時，中途遭不法分子非法攔截。


        3.Web伺服器本身存在一些漏洞，使得一些人能侵入到主機系統，破壞一些重要的資料，甚至造成系統癱瘓。


        4.CGI安全方面的漏洞有：


        (1)有意或無意在主機系統中遺漏Bugs給非法駭客創造條件。


        (2)用CGI腳本編寫的程式當涉及到遠端使用者從瀏覽器中輸入表格(Form)，並進行檢索(Search　index)，或form-mail之類在主機上直接操作命令時，或許會給Web主機系統造成危險。


5.還有一些簡單的從網上下載的Web伺服器，沒有過多考慮到一些安全因素，不能用作商業應用。


        因此，不管是佈建服務器，還是在編寫CGI程式時都要注意系統的安全性。 儘量堵住任何存在的漏洞，創造安全的環境。


        二.　提高系統安全性和穩定性


        Web伺服器安全預防措施：


        1.限制在Web伺服器開帳戶，定期刪除一些斷進程的使用者。


        2.對在Web伺服器上開的帳戶，在口令長度及定期更改方面作出要求，防止被盜用。


        3.儘量使FTP、MAIL等伺服器與之分開，去掉ftp,sendmail,tftp,NIS,　NFS，finger,netstat等一些無關的應用。


        4.在Web伺服器上去掉一些絕對不用的如SHELL之類的解譯器，即當在你的CGI的程式中沒用到PERL時，就儘量把PERL在系統解譯器中刪除掉。


        5.定期查看伺服器中的日誌logs檔，分析一切可疑事件。 在errorlog中出現rm,　login,　/bin/perl,　/bin/sh等之類記錄時，你的伺服器可能已經受到了一些非法使用者的入侵。


6.設置好Web伺服器上系統檔的許可權和屬性，對可讓人訪問的文檔分配一個公用的組，如WWW，並只分配它唯讀的權利。 把所有的HTML文歸 歸屬WWW組，由Web管理員管理WWW組。 對於Web的設定檔僅對Web管理員有寫的權利。


        7.有些Web伺服器把Web的文檔目錄與FTP目錄指在同一目錄時，應該注意不要把FTP的目錄與CGI-BIN指定在一個目錄之下。 這樣是為了防止一些使用者通過FTP上載一些如PERL或SH之類程式，並用Web的CGI-BIN去執行，造成不良後果。


        8.通過限制許可訪問使用者IP或DNS，如在NCSA中的acCESs.conf中加上：


      《Directory　/full/path/to/directory》


      《Limit　GET　POST》


        order　mutual-failure


        deny　from　all


        allow　from　168.160.142.　abc.net.cn 


      《/Limit》


      《/Directory》


這樣只能是以功能變數名稱為abc.net.cn或IP屬於168.160.142的客戶訪問該Web伺服器。


        對於CERN或W3C伺服器可以這樣在HTTPd.conf中加上：


        Protection　LOCAL-USERS　{


        GetMask　@(*.capricorn.com,　*.zoo.org,　18.157.0.5)


        }


        Protect　/relative/path/to/directory/*　LOCAL-USERS


        9.WINDOWS下HTTPD


        (1)Netscape　Communications　Server　for　NT


        PERL解譯器的漏洞：


Netscape　Communications　Server中無法識別CGI-BIN下的副檔名及其應用關係，如.pl檔是PERL的代碼程式自動調用的解釋檔，即使現在也只能把perl.exe檔存放在CGI-BIN目錄之下。 執行如：/cgi-bin/perl.exe?&my_script.pl。 但是這就給任何人都有執行PERL的可能，當有些人在其瀏覽器的URL中加上如：/cgi-bin/perl.exe?-e unlink <*>時，有可能造成刪除伺服器目前的目錄下檔的危險。 但是，其他如：O′Reilly　WebSite或Purveyor都不存在這種漏洞。


        CGI執行批次檔的漏洞:


        檔test.bat的內容如下：


        @echo　off


        echo　Content-type:　text/plain


        echo


        echo　Hello　World!


        如果客戶瀏覽器的URL為：/cgi-bin/test.bat?&dir，則執行調用命令直譯器完成DIR清單。 這就讓訪問者有執行其他命令可能性。


(2) O′Reilly　WebSite　server　for　Windows　NT/95


       在WebSite1.1B以前的版本中使用批次檔存在著與Netscape同樣的漏洞，但是，新版關閉了.bat在CGI中的作用。 支援PERL，新版將VB和C作為CGI開發工具。


        (3)Microsoft′s　IIS　Web　Server


       1996年3月5日前的IIS在NT下的BUG嚴重，可以任意使用command命令。 但之後已修補了該漏洞，你可檢查你的可執行檔的建立日期。 IIS3.0還存在一些安全BUG，主要是CGI-BIN下的覆給權利。 另外，許多Web伺服器本身都存在一些安全上的漏洞，都是在版本升級過程中被不斷更新了，在此就不一一列舉了。


        三.　從CGI程式設計角度考慮安全


        1.採用編譯語言比解釋語言會更安全些,並且CGI程式應放在獨立于HTML存放目錄之外的CGI-BIN下,這是為了防止一些非法訪問者從瀏覽器端取得解釋性語言的原代碼後從中尋找漏洞。


        2.在用C來編寫CGI程式時應儘量少用popen()、system()、所有涉及/bin/sh的SHELL命令以及在PERL中的system()、exec()、open()、eval() 等exec或eval之類命令。


在由使用者填寫的form還回CGI時，不要直接調用system()之類函數。


        另外，對於資料的加密與傳輸，目前有SSL、SHTTP、SHEN等協定供大家研究。


        四.防火牆(Firewall)


        1.防火牆的概念


        防火牆(Firewall)是指一個由軟體或由軟體和硬體設備組合而成，處於企業或網路群體電腦與外界通道(Internet)之間，限制外界使用者對內部網路的訪問及管理內部使用者訪問外界網路的許可權。


        2.防火牆的措施


        (1)代理(Proxy)主機


        「內部網路--代理閘道(Proxy　Gateway)--Internet」


這種方式是內部網路與Internet不直接通訊。 就是內部網路電腦使用者與代理閘道採用一種通訊方式，即提供內部網路通訊協定(Netbios、TCP/IP等)，而閘道與Internet之間採取的是標準TCP/IP網路通訊協定。 這樣使得網路資料包不能直接在內外網路之間進行。 內部電腦必須通過代理閘道訪問Internet，這樣容易在代理伺服器上對內部網路電腦訪問外界電腦進行限制。 另外，由於代理伺服器兩端採用不同協定標準也可以直接阻止外界非法入侵。 還有，代理伺服器的閘道可對資料封包進行驗證和對密碼進行確認等安全管制。 這樣，能較好地控制管理兩端的使用者，起到防火牆作用。


        因為這種防火牆措施是採用透過代理伺服器進行，在連線使用者多時，效率必然受到影響，代理伺服器負擔很重，所以許多訪問Internet的客戶軟體在內部網路電腦中可能無法正常訪問Internet。


        (2)路由器加篩檢程式完成


         「內部網路--篩檢程式(Filter)--路由器(Router)--Internet」


這種結構由路由器和篩檢程式共同完成從IP位址或功能變數名稱上對外界電腦訪問內部網路的限制，也可以指定或限制內部網路訪問Internet。 路由器僅對主機上特定的PORT上的資料通訊加以路由，而篩檢程式則執行篩選、過濾、驗證及其安全監控，這樣可以很大程度上隔斷內外網路間的不正常的訪問登錄。