linux-web服务器安全资料.pptVIP

Linux网络服务器安全 WEB服务器的安全隐患 WEB应用程序的漏洞; WEB服务器软件本身的漏洞; WEB服务赖于生存的NOS漏洞; NOS配置及管理的疏忽。 WEB应用程序的漏洞 WEB程序员在编写WEB应用程序时由于设计出现问题而出现的漏洞。 对应的策略：程序设计体系进行优化，找出相对应的BUG； 该内容属于软件内容。 WEB服务器软件本身的漏洞 如早期的IIS、APACHE在设计时出现的漏洞。 APACHE Apache是世界使用排名第一的Web服务器软件，市场占有率达60%左右 。它可以运行在几乎所有广泛使用的计算机平台上，由于其跨平台和安全性被广泛使用，是最流行的Web服务器端软件之一。 APACHE缺陷 1、利用HTTP协议进行DOS攻击 SYN flood、ICMP flood、UDP flood等，大量伪造连接请求攻击网络服务的端口，造成服务器的资源耗尽、系统停止响应，甚至系统瘫痪。 APACHE服务器存在着拒绝服务的安全隐患。 影响版本：1.3、2.0、2.0.36 APACHE缺陷 2、缓冲区溢出的安全缺陷 Buffer overflow，指当计算机向缓冲区内填充数据位数时超过了缓冲区本身的容量溢出的数据覆盖在合法数据上,理想的情况是程序检查数据长度并不允许输入超过缓冲区长度的字符,但是绝大多数程序都会假设数据长度总是与所分配的储存空间相匹配,这就为缓冲区溢出埋下隐患. 注意：一般的溢出是没有意义的，但是如果这些数据是经过设计的有意行为，覆盖缓冲区的是入侵程序代码，就可能被对方获取控制权。 如： 1.3有一个远程缓冲区溢出漏洞，利用该漏洞会得到HTTPD服务运行者的权限。 APACHE缺陷 被攻击者获得ROOT权限的安全缺陷 该安全缺陷主要是因为Apache服务器一般以root权限运行(父进程)，攻击者会通过他获得root权限，进而控制整个Apache系统。 3.3Apache服务器特点 Apache服务器的特点： 支持HTTP/1.1协议。Apache是最先使用HTTP/1.1协议的Web服务器之一，它完全兼容HTTP/1.1协议并与HTTP/1.0协议向后兼容 支持通用网关接口（CGI）。Apache用mod_cgi模块来支持CGI，它遵守CGI/1.1标准并且提供了扩充的特征 3.3Apache服务器特点 支持HTTP认证。Apache支持基于Web的基本认证，它还为支持基于消息摘要的认证做好了准备。Apache通过使用标准的口令文件DBM SQL调用，或通过对外部认证程序的调用来实现基本的认证 集成的Perl语言。Perl已成为CGI脚本编程的基本标准。Apache肯定是使Perl成为这样流行的CGI编程语言的因素之一，通过使用它的mod_perl模块你可以将基于Perl的CGI脚本装入内存，并可以根据需要多次重复使用该脚本。这消除了经常与解释性语言联系在一起的启动开销 3.3Apache服务器特点 集成的代理Proxy服务器 服务器的状态和可定制的日志 允许根据客户主机名或IP地址限制访问 支持用户Web目录 支持虚拟主机 支持动态共享对象 支持安全Socket层 支持多进程。当负载增加时，服务器会快速生成子进程来处理，从而提高系统的响应能力 3.5Apache服务器安全策略 勤打补丁 Linux网管员要经常关注相关网站的缺陷，及时升级系统或添加补丁 3.5Apache服务器安全策略 隐藏和伪装Apache的版本 软件的漏洞信息和特定版本是相关的，因此，版本号对黑客来说是最有价值的 去除Apache版本号的方法是修改配置文件/etc/httpd/conf/httpd.conf 找到关键字ServerSignature ServerSignature OffServerTokens Prod 安全的目录结构 目录之间是独立的，某个目录的权限错误不会影响到其他目录。 3.5Apache服务器安全策略 建立一个安全的目录结构 Apache服务器包括以下四个主要目录 ServerRoot：保存配置文件（conf子目录）、二进制文件和其他服务器配置文件 DocumentRoot：保存Web站点的内容，包括HTML文件和图片等 3.5Apache服务器安全策略 为Apache使用专门的用户和用户组 必须保证Apache使用一个专门的用户和用户组，不要使用系统预定义的账号，比如nobody用户和nogroup用户组 只有root用户可以运行Apache 3.5Apache服务器安全策略 如果希望“test”用户在Web站点发布内容，并且可以以httpd身份运行Apache服务器: groupadd webteamusermod -G webteam test