[精选]Linux-WEB服务器安全

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,*,Linux网,络,络服务,器,器安全,WEB,服,服务器,的,的安全,隐,隐患,WEB,应,应用程,序,序的漏,洞,洞;,WEB,服,服务器,软,软件本,身,身的漏,洞,洞;,WEB,服,服务赖,于,于生存,的,的NOS漏洞;,NOS,配,配置及,管,管理的,疏,疏忽。,WEB,应,应用程,序,序的漏,洞,洞,WEB,程,程序员,在,在编写WEB,应,应用程,序,序时由,于,于设计,出,出现问,题,题而出,现,现的漏,洞,洞。,对应的,策,策略：,程,程序设,计,计体系,进,进行优,化,化，找,出,出相对,应,应的BUG；,该内容,属,属于软,件,件内容,。,。,WEB,服,服务器,软,软件本,身,身的漏,洞,洞,如早期,的,的IIS、APACHE在,设,设计时,出,出现的,漏,漏洞。,APACHE,Apache,是,是世界,使,使用排,名,名第一,的,的Web服务,器,器软件,，,，市场,占,占有率,达,达60%左右,。,。它,可,可以运,行,行在几,乎,乎所有,广,广泛使,用,用的计,算,算机平,台,台上，,由,由于其,跨,跨平台,和,和安全,性,性被广,泛,泛使用,，,，是最,流,流行的Web,服,服务器,端,端软件,之,之一。,APACHE,缺,缺陷,1、利,用,用HTTP协,议,议进行DOS,攻,攻击,SYNflood,、,、ICMPflood、UDPflood,等,等，大,量,量伪造,连,连接请,求,求攻击,网,网络服,务,务的端,口,口，造,成,成服务,器,器的资,源,源耗尽,、,、系统,停,停止响,应,应，甚,至,至系统,瘫,瘫痪。,APACHE,服,服务器,存,存在着,拒,拒绝服,务,务的安,全,全隐患,。,。,影响版,本,本：1.3、2.0,、,、2.0.36,APACHE,缺,缺陷,2、缓,冲,冲区溢,出,出的安,全,全缺陷,Bufferoverflow,，,，指当,计,计算机,向,向缓冲,区,区内填,充,充数据,位,位数时,超,超过了,缓,缓冲区,本,本身的,容,容量溢,出,出的数,据,据覆盖,在,在合法,数,数据上,理想,的,的情况,是,是程序,检,检查数,据,据长度,并,并不允,许,许输入,超,超过缓,冲,冲区长,度,度的字,符,符,但,是,是绝大,多,多数程,序,序都会,假,假设数,据,据长度,总,总是与,所,所分配,的,的储存,空,空间相,匹,匹配,这,这就为,缓,缓冲区,溢,溢出埋,下,下隐患.,注意：,一,一般的,溢,溢出是,没,没有意,义,义的，,但,但是如,果,果这些,数,数据是,经,经过设,计,计的有,意,意行为,，,，覆盖,缓,缓冲区,的,的是入,侵,侵程序,代,代码，,就,就可能,被,被对方,获,获取控,制,制权。,如：1.3,有,有一个,远,远程缓,冲,冲区溢,出,出漏洞,，,，利用,该,该漏洞,会,会得到HTTPD服,务,务运行,者,者的权,限,限。,APACHE,缺,缺陷,被攻击,者,者获得ROOT权限,的,的安全,缺,缺陷,该安全,缺,缺陷主,要,要是因,为,为Apache服务,器,器一般,以,以root权,限,限运行(父进,程,程)，,攻,攻击者,会,会通过,他,他获得root权限,，,，进而,控,控制整,个,个Apache系统,。,。,3.3Apache,服,服务器,特,特点,Apache,服,服务器,的,的特点,：,：,支持HTTP/1.1协议,。,。Apache是最,先,先使用HTTP/1.1协,议,议的Web服,务,务器之,一,一，它,完,完全兼,容,容HTTP/1.1,协,协议并,与,与HTTP/1.0,协,协议向,后,后兼容,支持通,用,用网关,接,接口（CGI,）,）。Apache用mod_cgi模块,来,来支持CGI,，,，它遵,守,守CGI/1.1标,准,准并且,提,提供了,扩,扩充的,特,特征,3.3Apache,服,服务器,特,特点,支持HTTP,认,认证。Apache,支,支持基,于,于Web的基,本,本认证,，,，它还,为,为支持,基,基于消,息,息摘要,的,的认证,做,做好了,准,准备。Apache,通,通过使,用,用标准,的,的口令,文,文件DBMSQL,调,调用，,或,或通过,对,对外部,认,认证程,序,序的调,用,用来实,现,现基本,的,的认证,集成的Perl语言,。,。Perl已,成,成为CGI脚,本,本编程,的,的基本,标,标准。Apache,肯,肯定是,使,使Perl成,为,为这样,流,流行的CGI,编,编程语,言,言的因,素,素之一,，,，通过,使,使用它,的,的mod_perl,模,模块你,可,可以将,基,基于Perl,的,的CGI脚本,装,装入内,存,存，并,可,可以根,据,据需要,多,多次重,复,复使用,该,该脚本,。,。这消,除,除了经,常,常与解,释,释性语,言,言联系,在,在一起,的,的启动,开,开销,3.3Apache,服,服务器,特,特点,集成的,代,代理Proxy服务,器,器,服务器,的,的状态,和,和可定,制,制的日,志,志,允许根,据,据客户,主,主机名,或,或IP,地,地址限,制,制访问,支持用,户,户Web目录,支持虚,拟,拟主机,支持动,态,态共享,对,对象,支持安,全,全Socket层,支持多,进,进程。,当,当负载,增,增加时,，,，服务,器,器会快,速,速生成,子,子进程,来,来处理,，,，从而,提,提高系,统,统的响,应,应能力,3.5Apache服,务,务器安全策,略,略,勤打补丁,Linux,网,网管员要经,常,常关注相关,网,网站的缺陷,，,，及时升级,系,系统或添加,补,补丁,3.5Apache服,务,务器安全策,略,略,隐藏和伪装Apache的版本,软件的漏洞,信,信息和特定,版,版本是相关,的,的，因此，,版,版本号对黑,客,客来说是最,有,有价值的,去除Apache版本,号,号的方法是,修,修改配置文,件,件/etc/httpd/conf/httpd.conf,找到,关,关键,字,字ServerSignature,ServerSignatureOffServerTokensProd,安,全,全,的,的,目,目,录,录,结,结,构,构,目,录,录,之,之,间,间,是,是,独,独,立,立,的,的,，,，,某,某,个,个,目,目,录,录,的,的,权,权,限,限,错,错,误,误,不,不,会,会,影,影,响,响,到,到,其,其,他,他,目,目,录,录,。,。,3.5Apache,服,服,务,务,器,器,安,安,全,全,策,策,略,略,建,立,立,一,一,个,个,安,安,全,全,的,的,目,目,录,录,结,结,构,构,Apache,服,服,务,务,器,器,包,包,括,括,以,以,下,下,四,四,个,个,主,主,要,要,目,目,录,录,ServerRoot,：,：,保,保,存,存,配,配,置,置,文,文,件,件,（,（conf,子,子,目,目,录,录,）,）,、,、,二,二,进,进,制,制,文,文,件,件,和,和,其,其,他,他,服,服,务,务,器,器,配,配,置,置,文,文,件,件,DocumentRoot,：,：,保,保,存,存Web,站,站,点,点,的,的,内,内,容,容,，,，,包,包,括,括HTML,文,文,件,件,和,和,图,图,片,片,等,等,3.5Apache,服,服,务,务,器,器,安,安,全,全,策,策,略,略,为Apache,使,使,用,用,专,专,门,门,的,的,用,用,户,户,和,和,用,用,户,户,组,组,必,须,须,保,保,证,证Apache,使,使,用,用,一,一,个,个,专,专,门,门,的,的,用,用,户,户,和,和,用,用,户,户,组,组,，,，,不,不,要,要,使,使,用,用,系,系,统,统,预,预,定,定,义,义,的,的,账,账,号,号,，,，,比,比,如,如nobody,用,用,户,户,和,和nogroup,用,用,户,户,组,组,只,有,有root,用,用,户,户,可,可,以,以,运,运,行,行Apache,3.5Apache,服,服,务,务,器,器,安,安,全,全,策,策,略,略,3.5Apache,服,服,务,务,器,器,安,安,全,全,策,策,略,略,只,有,有root,用,用,户,户,访,访,问,问,日,日,志,志,目,目,录,录,，,，,这,这,个,个,目,目,录,录,的,的,推,推,荐,荐,权,权,限,限:,chown-Rroot.root/etc/logschmod-R700/etc/logs,3.5Apache,服,服,务,务,器,器,安,安,全,全,策,策,略,略,Web,目,目,录,录,的,的,访,访,问,问,策,策,略,略,对,于,于,可,可,以,以,访,访,问,问,的,的Web,目,目,录,录,，,，,要,要,使,使,用,用,相,相,对,对,保,保,守,守,的,的,途,途,径,径,进,进,行,行,访,访,问,问,，,，,不,不,要,要,让,让,用,用,户,户,查,查,看,看,任,任,何,何,目,目,录,录,索,索,引,引,列,列,表,表,3.5Apache,服,服,务,务,器,器,安,安,全,全,策,策,略,略,禁,止,止,使,使,用,用,目,目,录,录,索,索,引,引,修,改,改,配,配,置,置,文,文,件,件httpd.conf,Options-IndexesFollowSymLinksOptions,指,指,令,令,通,通,知,知Apache,禁,禁,止,止,使,使,用,用,目,目,录,录,索,索,引,引FollowSymLinks,表,表,示,示,不,不,允,允,许,许,使,使,用,用,符,符,号,号,链,链,接,接,3.5Apache,服,服,务,务,器,器,安,安,全,全,策,策,略,略,Apache,的,的OrderAllowDeny,1、修,改,改完配,置,置后要,保,保存好,并,并重启Apache,服,服务，,配,配置才,能,能生效,；,；,2.,开,开,头,头字母,不,不分大,小,小写；,3.allow、deny语句,不,不分先,后,后顺序,，,，谁先,谁,谁后不,影,影响最,终,终判断,结,结果；,但,但都会,被,被判断,到,到；,4.order,语,语句中,，,，“allow,deny,”,”之间,“,“有且,只,只有”,一,一个逗,号,号（英,文,文格式,的,的），,而,而且先,后,后顺序,很,很重要,；,；,5.Apache,有,有一条,缺,缺省规,则,则，“orderallow,deny”本,身,身就默,认,认了拒,绝,绝所有,的,的意思,，,，因为deny在allow的后,面,面；同,理,理，“orderdeny,allow”本,身,身默认,的,的是允,许,许所有,；,；当然,，,，最终,判,判断结,果,果还要,综,综合下,面,面的allow、deny,语,语句中,各,各自所,包,包含的,范,范围；,（,（也就,是,是说order语句,后,后面可,以,以没有allow、deny语句,）,）,6.allow、deny语句,中,中，第二,个,个单词一,定,定是“from”,，,，否则Apache会因错,而,而无法启,动,动，,7.“order allow,deny,”,”代表先,判,判断allow语,句,句再判断deny,语,语句，反,之,之亦然。,一个普通,例,例子,order deny,allow,allow from 218.20.253.2,denyfrom 218.20,1.,所,所谓“,首,首先判断,默,默认的”,，,，就是判,断,断“orderdeny,allow”这,句,句，它默,认,认是允许,所,所有；,2.,所,所谓“,然,然后判断,逗,逗号前的,”,”，因为,在,在本例子,