M4-3 提升WEB服务的安全防御能力.pptVIP

《网络安全运行与维护》 模块四 Linux服务器系统安全管理与维护 DHCP DNSWeb FTPCA服务器群集邮件服务 DDN Internet 北京总部 长春分公司 VPN 网管工作站 重庆分公司 DHCP WEB WEB FTP DNS BDNS 总体概述 加强Linux系统的DNS服务的安全防御能力 加固Linux系统的DHCP服务安全防御能力 提升Linux系统的WEB服务的安全防御能力 提高Linux系统的FTP服务安全访问及安全防御能力 使用Linux防火墙模块提升服务器的安全防御能力 能力单元3 提升WEB服务的安全防御能力 任务描述 任务描述 在企业网络服务器群中的WEB服务器不但为内网用户提供WEB服务，而且为互联网用户WEB服务，这样给网络带来很大的安全威胁。为了保障WEB服务器安全运行，需要进行对WEB服务器进行安全配置。 对WEB服务器进行安全配置 使用SSL加强WEB服务器通信安全 任务分析 任务分析 为了保障WEB服务器安全运行，需要对服务器进行安全配置 对Apache进行安全配置，主要进行以下配置： 隐藏Apache的版本号及其它敏感信息 确保Apache以其自身的用户账号和组运行 确保web根目录之外的文件没有提供服务 关闭目录浏览 关闭includes 关闭CGI执行程序 禁止Apache遵循符号链接 关闭多重选项 关闭对.htaccess文件的支持 运行mod_security 关闭任何不必要的模块 任务分析(cont.) 任务分析 SSL加密机制 证书服务 SSL加密 相关知识 相关知识 Apache服务器的介绍 Apache服务器它是Internet网上应用最为广泛的Web服务器软件之一。 完全免费，完全源代码开放 快速、可靠 Apache服务器的主要安全缺陷 （1）使用HTTP协议进行的拒绝服务攻击(denial of service)的安全缺陷 （2）缓冲区溢出的安全缺陷 （3）被攻击者获得root权限的安全缺陷 （4）恶意的攻击者进行“拒绝服务”(DoS)攻击的安全缺陷 Apache 的一个优势便是其灵活的模块结构，其设计思想也是围绕模块（Modules）概念而展开的。 mod_access模块、mod_auth模块、mod_auth_digest模块、mod_auth_anon模块 任务实施——拓扑结构 拓扑结构 任务实施——实施步骤 实施步骤 〖步骤1〗对Apache进行安全配置 第一步：隐藏Apache的版本号及其它敏感信息 #ServerTokens OS ServerTokens Prod #ServerSignature On ServerSignature Off 第二步：确保Apache以其自身的用户账号和组运行 User apache Group apache 任务实施——实施步骤(cont.) 实施步骤 第三步：确保web根目录之外的文件没有提供服务 # Directory / Options FollowSymLinks AllowOverride None Order allow,deny Allow from all Options None /Directory # 第四步：关闭目录浏览 Options -Indexes 第五步：关闭includes Options -Includes 任务实施——实施步骤(cont.) 实施步骤 第六步：关闭CGI执行程序 Directory / Options FollowSymLinks AllowOverride None Order allow,deny Allow from all Options None Options ExecCGI /Directory 第七步：禁止Apache遵循符号链接 Options –FollowSymLinks 任务实施——实施步骤(cont.) 实施步骤 第八步：关闭多重选项 Options None 第九步：关闭对.htaccess文件的支持 AllowOverride None # directive. #AccessFileName .htaccess AccessFileName .httpdoverride # # The following lines prevent .htaccess and .htpasswd files from being # viewed by Web clients. Files ~ ^\.ht Order allow,deny Deny fro