Linux网络服务器安全WEB服务器的安全隐患vWEB应用程序的漏洞;vWEB服务器软件本身的漏洞;vWEB服务赖于生存的NOS漏洞;vNOS配置及管理的疏忽WEB应用程序的漏洞vWEB程序员在编写WEB应用程序时由于设计出现问题而出现的漏洞v对应的策略:程序设计体系进行优化,找出相对应的BUG;v该内容属于软件内容WEB服务器软件本身的漏洞v如早期的IIS、APACHE在设计时出现的漏洞APACHEvApache是世界使用排名第一的Web服务器软件,市场占有率达60%左右它可以运行在几乎所有广泛使用的计算机平台上,由于其跨平台和安全性被广泛使用,是最流行的Web服务器端软件之一APACHE缺陷v1、利用HTTP协议进行DOS攻击vSYNflood、ICMPflood、UDPflood等,大量伪造连接请求攻击网络服务的端口,造成服务器的资源耗尽、系统停止响应,甚至系统瘫痪vAPACHE服务器存在着拒绝服务的安全隐患v影响版本:1.3、2.0、2.0.36APACHE缺陷v2、缓冲区溢出的安全缺陷vBufferoverflow,指当计算机向缓冲区内填充数据位数时超过了缓冲区本身的容量溢出的数据覆盖在合法数据上,理想的情况是程序检查数据长度并不允许输入超过缓冲区长度的字符,但是绝大多数程序都会假设数据长度总是与所分配的储存空间相匹配,这就为缓冲区溢出埋下隐患.v注意:一般的溢出是没有意义的,但是如果这些数据是经过设计的有意行为,覆盖缓冲区的是入侵程序代码,就可能被对方获取控制权。
v如:1.3有一个远程缓冲区溢出漏洞,利用该漏洞会得到HTTPD服务运行者的权限APACHE缺陷v被攻击者获得ROOT权限的安全缺陷v该安全缺陷主要是因为Apache服务器一般以root权限运行(父进程),攻击者会通过他获得root权限,进而控制整个Apache系统3.3Apache服务器特点vApache服务器的特点:v支持HTTP/1.1协议Apache是最先使用HTTP/1.1协议的Web服务器之一,它完全兼容HTTP/1.1协议并与HTTP/1.0协议向后兼容v支持通用网关接口(CGI)Apache用mod_cgi模块来支持CGI,它遵守CGI/1.1标准并且提供了扩充的特征3.3Apache服务器特点v支持HTTP认证Apache支持基于Web的基本认证,它还为支持基于消息摘要的认证做好了准备Apache通过使用标准的口令文件DBMSQL调用,或通过对外部认证程序的调用来实现基本的认证v集成的Perl语言Perl已成为CGI脚本编程的基本标准Apache肯定是使Perl成为这样流行的CGI编程语言的因素之一,通过使用它的mod_perl模块你可以将基于Perl的CGI脚本装入内存,并可以根据需要多次重复使用该脚本。
这消除了经常与解释性语言联系在一起的启动开销3.3Apache服务器特点v集成的代理Proxy服务器v服务器的状态和可定制的日志v允许根据客户主机名或IP地址限制访问v支持用户Web目录v支持虚拟主机v支持动态共享对象v支持安全Socket层v支持多进程当负载增加时,服务器会快速生成子进程来处理,从而提高系统的响应能力3.5Apache服务器安全策略v勤打补丁vLinux网管员要经常关注相关网站的缺陷,及时升级系统或添加补丁3.5Apache服务器安全策略v隐藏和伪装Apache的版本v软件的漏洞信息和特定版本是相关的,因此,版本号对黑客来说是最有价值的v版本号的方法是修改配置文件Apache去除/etc/httpd/conf/httpd.confv找到关键字ServerSignaturevServerSignatureOffServerTokensProd安全的目录结构v目录之间是独立的,某个目录的权限错误不会影响到其他目录3.5Apache服务器安全策略v建立一个安全的目录结构vApache服务器包括以下四个主要目录vServerRoot:保存配置文件(conf子目录)、二进制文件和其他服务器配置文件vDocumentRoot:保存Web站点的内容,包括HTML文件和图片等3.5Apache服务器安全策略v为Apache使用专门的用户和用户组v必须保证Apache使用一个专门的用户和用户组,不要使用系统预定义的账号,比如nobody用户和nogroup用户组v只有root用户可以运行Apache3.5Apache服务器安全策略3.5Apache服务器安全策略v只有root用户访问日志目录,这个目录的推荐权限:vchown-Rroot.root/etc/logschmod-R700/etc/logs3.5Apache服务器安全策略vWeb目录的访问策略v对于可以访问的Web目录,要使用相对保守的途径进行访问,不要让用户查看任何目录索引列表3.5Apache服务器安全策略v禁止使用目录索引v修改配置文件httpd.confvOptions-IndexesFollowSymLinksOptions指令通知Apache禁止使用目录索引FollowSymLinks表示不允许使用符号链接3.5Apache服务器安全策略Apache的OrderAllowDenyv1、修改完配置后要保存好并重启Apache服务,配置才能生效;v2.开头字母不分大小写;v3.allow、deny语句不分先后顺序,谁先谁后不影响最终判断结果;但都会被判断到;v4.order语句中,“allow,deny”之间“有且只有”一个逗号(英文格式的),而且先后顺序很重要;v5.Apache有一条缺省规则,“orderallow,deny”本身就默认了拒绝所有的意思,因为deny在allow的后面;同理,“orderdeny,allow”本身默认的是允许所有;当然,最终判断结果还要综合下面的allow、deny语句中各自所包含的范围;(也就是说order语句后面可以没有allow、deny语句)v6.allow、deny语句中,第二个单词一定是“from”,否则Apache会因错而无法启动,v7.“orderallow,deny”代表先判断allow语句再判断deny语句,反之亦然。
一个普通例子vorderdeny,allowvallowfrom218.20.253.2vdenyfrom218.20v1.所谓“首先判断默认的”,就是判断“orderdeny,allow”这句,它默认是允许所有;v2.所谓“然后判断逗号前的”,因为在本例子中的order语句里面,deny在逗号的前面,所以现在轮到判断下面的deny语句了“denyfrom218.20”;v3.所谓“最后判断逗号后的”,因为在本例子中的order语句里面,allow在逗号的后面,所以最后轮到判断下面的allow语句了“allowfrom218.20.253.2”3.5Apache服务器安全策略v禁止用户重载v禁止用户对目录配置文件(.htaccess)进行重载(修改)vAllowOverrideNone本节任务v写论文论述apache服务器的安全管理,包含以下内容,并在虚拟机上进行设置并截图注:在网上找资料)v在apache中.htpasswd文件的作用及设置;vApache中的日志管理;vApache中的访问控制措施(举例说明,如该网站只允许172.26.117.0/24访问应该如何做)。
