网站建设如何提高服务器的安全性WEB安全(精选12篇)
篇1:网站建设如何提高服务器的安全性WEB安全
一、安全漏洞
1、在Web服务器上不允许他人访问的秘密文件、目录或重要数据。
2、利用远程用户向服务器发送信息时,特别是信用卡之类的东西时,中途遭到不法分子的非法拦截。
3、Web服务器本身存在的一些漏洞,使一些人能侵入到主机系统中,破坏一些重要的数据,甚至会造成系统瘫痪。
4、CGI安全方面的漏洞包括
(1)有意或无意在主机的系统中遗漏Bugs给非法 创造有利条件。
(2)用CGI脚本编写的程序当涉及到远程用户从浏览器中输入表格(Form),并进行检索(Searchindex),或form-mail之类在主机上直接操作命令时,或许会给Web主机系统造成危险。
5、还有一些简单的从网上下载的Web服务器,没有考虑到一些安全因素,不能用作商业应用。
因此,不管是配置服务器,还是在编写CGI程序时都要注意系统的安全性,
尽量堵住任何存在的漏洞,创造安全的环境。
二、提高系统的安全性和稳定性
Web服务器安全预防措施:
1、限制在Web服务器开设账户,定期删除一些断进程的用户。
2、对于在Web服务器上开设的账户,在口令长度及定期更改方面作出相关要求,防止被盗用。
3、尽量使用FTP、MAIL等服务器与之分开,去掉ftp,sendmail,tftp,NIS,NFS,finger,netstat等一些无关的应用。
4、在Web服务器上去掉一些绝对不用的解释器,即当在你的CGI的程序中没用到PERL时,就尽量把PERL从系统解释器中删除掉。
5、定期查看服务器中的日志logs文件,分析一切可疑的事件。在errorlog中出现rm,login,/bin/perl,/bin/sh等之类的记录时,你的服务器就很可能已经受到了一些非法用户的入侵。
6.设置好Web服务器上系统文件的权限和属性,对于可以让人访问的文档分配一个公用的组,并只分配只读的权利。把所有的HTML文件归属这个组,由Web管理员管理这个组。对于Web的配置文件仅对Web管理员有写的权利。
★ 如何设置电脑提高性能
★ 如何提高网站质量浅见
★ 购物网站如何提高流量
★ 如何提高博客网站人气
★ 网站的权重如何提高
★ 9个网站排名靠前的建议
★ 提高预约面试成功率的几点建议
★ 补脑提高记忆力食物及办法建议
★ 浅谈婚纱影楼、摄影行业如何提高影楼网站流量
★ 几种有效提高网站收录的方法
篇2:网站建设如何提高服务器的安全性WEB安全
维护Web服务器安全是信息安全中最不讨好的差事之一,你需要在相冲突的角色中找到平衡,允许对网络资源的合法访问,同时阻止恶意破坏。
你甚至会考虑双重认证,例如RSA SecurID,来确保认证系统的高信任度,但是这对所有网站用户来说也许不实用,或者不划算。尽管存在这样相冲突的目标,仍有六个有助Web服务器安全的步骤。
对内部和外部应用分别使用单独的服务器
假设组织有两类独立的网络应用,面向外部用户的服务和面向内部用户的服务,要谨慎地将这些应用部署在不同的服务器上。这样做可以减少恶意用户突破外部服务器来获得对敏感的内部信息地访问。如果你没有可用的部署工具,你至少应该考虑使用技术控制(例如处理隔离),使内部和外部应用不会互相牵涉。
使用单独的开发服务器测试和调试应用软件
在单独的Web服务器上测试应用软件听起来像是常识——的确是。不幸的是,许多组织没有遵循这个基本规则,相反允许开发者在生产服务器上调试代码甚至开发新软件。这对安全和可靠性来说都很可怕。在生产服务器上测试代码会使用户遇到故障,当开发者提交未经测试易受攻击的代码时,引入安全漏洞。大多数现代版本控制系统(例如微软的Visual SourceSafe)有助于编码/测试/调试过程自动化。
审查网站活动,安全存储日志
每一个安全专业人员都知道维护服务器活动日志的重要性。由于大多数Web服务器是公开的,对所有互联网服务进行审核是很重要的。审核有助你检测和打击攻击,并且使你可以检修服务器性能故障,
在高级安全环境中,确保你的日志存储在物理安全的地点——最安全的(但是最不方便的`)技巧是日志一产生就打印出来,建立不能被入侵者修改的纸记录,前提是入侵者没有物理访问权限。你也许想要使用电子备份,例如登录进安全主机,用数字签名进行加密,来阻止日志被窃取和修改。
培训开发者进行可靠的安全编码
软件开发者致力于创建满足商业需求的应用软件,却常常忽略了信息安全也是重要的商业需求。作为安全专业人员,你有责任对开发者进行影响到Web服务器的安全问题的培训。你应该让开发者了解网络中的安全机制,确保他们开发的软件不会违背这些机制;还要进行概念的培训,例如内存泄漏攻击和处理隔离——这些对编码和生成安全的应用软件大有帮助。
给操作系统和Web服务器打补丁
这是另一个常识,但是当管理员因为其他任务而不堪重荷时常常忽略这一点。安全公告,像是CERT或者微软发布的公告,提醒人们软件厂商多频繁地发布某些安全漏洞的修补程序。一些工具像是微软的软件升级服务(SUS)和RedHat的升级服务有助于使这项任务自动化。总之,一旦漏洞公布,如果你不修补它,迟早会被人发现并利用。
使用应用软件扫描
篇3:网站建设如何提高服务器的安全性WEB安全
关键词:校园网络,服务器系统安全,Windows系统,Linux系统
国内外关于网络安全的研究的产品和文章很多,但如何解决一个综合环境下的服务器端安全的文章少之又少,本人通过10年的网络中心工作,发现校园网服务器系统存在很多严重的安全问题,主要为以下几个方面:
1)应用系统多,需求复杂。一般学校里都提供了教务系统,财务系统,人事系统,资产管理系统,多媒体制作软件,杀毒软件,VPN,WWW,FTP,邮件系统,视频点播以及各部门的网站系统。这些系统一般是各管各,各单位在上自己的系统的时候很少征求网络中心意见。这些系统集中在网络中心则表现出了相当的系统的复杂性。
2)各系统管理人员专业知识和技能不够、责任心不强。
3)防病毒、木马和入侵者攻击意识不强。在服务器上随意安装一些软件,甚至有些系统管理员还利用服务器下载一些电影或者来路不明的软件。
4)对外来的攻击防御能力不强。有的时候被攻击了也找不出问题,甚至入侵者的踪迹都找不到。
现有的系统安全手法比较多,比如比较成熟的防火墙技术,防病毒软件等。然而,如何在一个复杂的场合下如何合理的利用各种手段来实现我们真正意义上的安全则是本文的目的。
1 服务器系统主要安全问题和对策
1.1 恶意程序对系统构成的威胁和对策
恶意程序通常是指带有攻击意图或者是其他非法目的的一段程序。很多网站的程序员在编写网站的时候都不会考虑某段代码会给网站留下什么样的安全问题。这就是脚本问题,脚本指在你的网站上的ASP,JSP,CGI等服务器端运行的脚本代码,比如动易系统、动网论坛都属此类。在我校很多单位就是为了应付而随便找个学生制作出一个网站来,交给网络中心,然后就再也不管了。很多网站程序都存在程序上的安全漏洞。这些漏洞给恶意代码以可乘之机,大肆在网内搞破坏,甚至破坏系统,对系统的安全构成了严重的威胁。
作为网络中心不可能要求用户用什么特定的系统或者用安全的数据结构编写网站,那么只有就这种情况进行安全配置。一般这种不安全的网站程序都运行在Windows Server上,我们首先要做的是在服务器上装上具有简单防火墙功能的杀毒软件;其次,规定只有Windows系统操作员才有对网站文件写权限,且网站程序不能放在系统默认的目录下;同时严格限制服务器的TCP端口。
1.2 系统漏洞对系统构成的威胁
系统漏洞是指操作系统软在逻辑上的缺陷或在编写时产生的错误,这个缺陷或错误被利用并通过植入木马、传染病毒等方式来控制和攻击系统,对系统安全构成威胁。操作系统从发布的那一天起,随着用户的深入使用,系统中存在的漏洞会不断被发现,这些漏洞也会不断被厂家发布的补丁软件及时update,或在以后发布的新版系统中进行纠正,理论上没有漏洞的操作系统是不存在的。
这种情况下我们只能寄希望于操作系统的生产厂商不断的提供新的补丁程序。一般服务器都进行了端口限制,所以我们可以通过在服务器群中部署一个私有网络,这个私有网络可以通过跳板机登陆,通过这个私有网络管理服务器,可以很好的屏蔽外部攻击,我们在私有网络中部署一台WSUS服务器来解决Update这个问题,对于Linux系统来说也是如此。网上关于如何架设WSUS的帖子比较多,可以去参考。
1.3 SQL漏洞对安全的影响和对策
SQL注入就是入侵者通过正常的Web页面,把SQL代码注入到应用程序中,从而通过执行非法的SQL语句,达到某种目的。SQL注入的前提是,程序员在程序中直接使用用户提供的值构建语句。
对于SQL注入攻击防范方法,总结起来有下面一些:
1)配置最小化的执行权限。
2)封装客户端提交信息。这种做法需要RDBMS的支持,目前只有Oracle采用该技术。
3)替换或删除敏感字符/字符串。这是一种不完全的解决措施。
4)屏蔽出错信息。
5)使用参数化语句。
6)在服务端正式处理之前对提交数据的合法性进行检查。
7)修改或者去掉Web服务器上默认的一些危险命令。例如删除nslookup、cmd、wscript等命令,需要时再复制到相应目录。
8)数据敏感信息非常规加密,通过在程序中对用户口令等敏感信息加密。
1.4 应用程序安全问题比较突出
对于服务器来说,安装一些应用程序是理所当然的事情,但往往是这些应用程序的问题使得服务器变的相当不安全,所以说对于服务器来说应用程序越少越安全。下面就简单介绍两个常用的应用程序以管中窥豹。
Serv-U是一个功能强大的FTP服务器软件,界面简洁,容易上手,在windows环境下搭建FTP服务器,它是首选软件,然而近两年不断爆出的各个版本的安全漏洞,却让大家对Serv-U又爱又恨。搜索一下当前网络上流行的漏洞攻击方式,软件缺陷所造成的溢出最为关键,简单的说溢出就是针对软件的bug,提交构造的恶意代码,造成软件执行入侵者的代码或指令。
WinRAR是非常流行的压缩/解压工具。WinRAR对命令行的处理存在溢出漏洞,入侵者可能利用这个漏洞远程执行任意代码。WinRAR中的文件名处理缓冲区溢出漏洞一直就存在,这个漏洞可以导致恶意入侵者攻击用户系统。这个漏洞的起因是在WinRAR处理LHA格式文件时的边界条件错误,当一个做过手脚具有特别长文件名的文件被打开时候就会导致本地堆栈缓冲区溢出。
2 服务器系统主要安全问题的对策
2.1 反垃圾邮件网关
电子邮件系统是一个单位内部的最重要的应用系统,它的安全直接会影响到所有终端的安全,所以一个好的发垃圾邮件网关是不可少的。如果邮件系统除了防火墙的基本保护外,没有任何其他安全防护措施。那邮件系统将经常受到来自互联网的各种安全威胁,总结所面临的问题分以下几个方面。
恶意攻击,大量的邮件恶意攻击会导致邮件服务阻塞、不稳定,甚至宕机。垃圾邮件,往往会因为邮箱内垃圾邮件数量过多而无法看到正常邮件,大大耗费着教职员工的精力。另外,巨量的垃圾邮件严重浪费着带宽以及国际流量。政治邮件,由于电子邮件的使用具有私秘、方便、快捷等热点,所以一些不法分子也往往看中用邮件作为载体发送大量政治敏感信息。邮件病毒,随着互联网的迅速发展,病毒在疯狂的破坏着,尤其在邮件系统中的传播已经愈演愈烈,其带来的危害是不可估量的。
在选择发垃圾邮件产品的时候尽量选一些能够直接运行在邮件服务器上的软件产品,硬件产品成本高,可靠程度受到硬件影响。
2.2 网站集群管理软件
我校现有服务器30多台,有各种各样的应用系统以及一百多个网站,这些服务器只有我一个人去管理,这种管理显然是非常不饱和的。哪台服务器有什么故障,哪个网站停止服务了都无法及时的了解。于是就想到了需要一套既能管理服务器硬件也能查看网站入侵的系统。
这类系统具有一下特点。跟踪网站的准实时状态和定时拍照;可以对多个网站在一个时期内的运行进行综合评价和图形展示与对比;异常状态的主动提醒和报警;网页被篡改记录和时点追踪;可以针对站点或网站进行的技术维护和修补,以及日志,进行管理和查看;模拟用户对系统登录功能或者数据提交处理功能进行跟踪等等。事例如图1所示。
2.3 智能DNS的妙用
普通的DNS服务器只负责为用户解析出IP记录,而不去判断用户从哪里来,在安全上可以使得用户很简单的就能判断出主机地址。智能DNS颠复了这个概念。智能DNS会判断用户IP来之那个网络,而做出一些智能化的处理,然后把智能化判断后的IP返回给用户。比如,DNSPod的智能DNS就会自动判断用户的上网线路是网通,电信还是教育网,然后智能返回网通,电信或者服务器的IP。
智能DNS具有一下优点。首先,监控传输流的不正常行为。其次,不需要专门的处理器来实施传输监控。第三,及时更新问题网址黑名单。及时的黑名单更新功能,并且可以直接导入运营商自己的分析工具进行分析,当然如果运营商没有分析工具,Nominum也可以提供。第四,对外起到个防火墙作用。外部地址解析成智能DNS的地址,对这个地址进行攻击的时候,则不能直接攻击到服务器。示例如图2所示。
3 校园网服务器系统安全应用实例
一个大学的网络中心的地位往往比较尴尬,全校的网络有关的设备和软件都属于网络中心在业务上管理,然而行政级别都比较低。所以也只能被动的配合各单位的工作。这种情况下,网络服务器系统软件或者应用软件的环境就复杂的多了,问题也就多了。下面就南京某大学网络中心遇到的实际情况以及如何解决做一些解释。校园网服务器系统主要安全问题有:硬件安全、操作系统安全、应用程序安全、口令过于简单。以上就是我校校园网服务器系统面临的安全问题。
3.1 校园网服务器系统关键安全策略
1)尽量使用类UNIX服务器,类UNIX系统安全程度超过Windows。而且防火墙的配置也比Windows精确的多。同时,本文坚持认为即使是Linux系统开启的服务越多越不安全。
2)严格限制用户权限,很多时候网站有自己的计数器。计数器要求任何人(Guests用户)都有权限更改数据库里面的数字。一般情况下我们会建议用户尽量不使用计数器,如果非要使用不开,我们会建议要么把计数器放在单独的文件夹中的单独的数据库,要么干脆放在记事本中,足够大的权限会让入侵者有机可乘。
3)防止未经安全评估的软件在系统上运行
4)封堵不必要的端口
5)及时的分发补丁
3.2 校园网服务器系统防护体系
1)及时的备份是最基础的防护,目前我中心有三种备份手段。其一、Linux系统都安装在虚拟机上,虚拟机的好处就是可以每天做快照,发现有问题的时候可以从最近的快照中及时的恢复。其二、通过软件来备份数据库和文件。其三、Windows操作系统也进行备份。
2)边界防火墙的设置可以阻挡住大部分的攻击
3)通过智能DNS来阻挡一部分攻击
4)服务器群内部部署WSUS服务器
4 结束语
这个时代在这个领域道高一丈,魔也高一丈,网络安全问题永无止尽。在这个领域我们做到的也只有保持高度的警惕,保持知识的不断更新。不断探索,不断研究才能不至于遇到问题缩手无措!
参考文献
[1]何明聪.Linux防火墙实现技术研究[D].武汉:武汉大学,2004.
[2]谢栋梁.浅谈SQL注入攻击与防范[J].中国西部科技,2010,9(2)20-21.
[3]丁松阳.Linux内核防火墙源代码分析[D].郑州:解放军信息工程大学,2002.
[4]仇剑锋.信息网络安全设计策略[J].大众科技,2006(1):96-97.
篇4:网站建设如何提高服务器的安全性WEB安全
关键词:Web服务器;安全防护;安全设置
中图分类号:TP393.08文献标识码:A文章编号:1007-9599 (2010) 13-0000-01
Web Server Security Protection System
Tian Zilan
(Ocean University of China,Qingdao266100,China)
Abstract:In this paper,to Web server face main threats,namely,the server systems and Web software protection system problems are discussed,the adoption of this article describes improve management of network technology to ensure that enterprises WEB server has a safe,stable,efficient operating environment.
Keywords:Web server;Security protection;Security settings
一、Web服务器面临的主要威胁
Web服务器面临着许多威胁,大部分威胁与系统中配置的应用程序、操作系统和环境有关。
(一)拒绝服务
拒绝服务是一种“老牌”服务器攻击。这种攻击很简单,通常由技术水平较低的被称为脚本小子的年轻人发动此类攻击。总体而言,DoS攻击通过一个系统攻击另一个系统,其目的是消耗后者的所有资源,例如带宽和处理器时间,从而无法进行合法请求,通常认为这是一种无聊的攻击。但一定不要因此放松警惕,为它会使受害主机或网络无法及时接收并处理外界请求,或无法及时同应外界请求。
(二)Web页面更改攻击
在Intranet上经常可以看到Web贞面被更改。顾名思义,Web页面更改源于攻击者利用Web服务器的不良配置修改Web页面,其原因有很多,比如为了捉弄别人或推行某种政治主张。
(三)SQL注入
结构化查询语言(SQL)注入是专门针对数据库的攻击。在这种攻击中,攻击者利用数据库或Web页面的设计缺陷,从数据库提取信息,甚至操纵数据库的信息,虽然不能详细解释这种攻击是如何实施的,但如果了解SQL的话,就可以找到相关的答案。如果在Web服务器上驻留数据库的话,一定要了解这种攻击。
(四)不良代码
任何开发人员或信息技术人员都知道,不良的编程习惯会带来很多问题。不良代码源于众多闪素,包括培训质量差、新手或应用程序的质量没有保证。从好的方面讲,不良代码会给人添麻烦,并且某些特性不能按预期工作;从坏的方面讲,包含不良代码的应用程序就成了最大的安全隐患。
二、服务器的安全防护
(一)密码安全
服务器操作系统安装初期有一部分账号默认状态为开启,这些账号很多都是没用的,比如guest账号。不要使用windows默认管理员账户administrator做为管理账户,同时在建立两个管理员账户,以便不时之需,但是这些账户的权限要严格控制,非必要时不要将整个服务器予以授权。鉴于暴力破解密码的手段和速度,密码复杂度一定要高,最好是字符、数字、字母、特殊符号等组合的十位以上的字符串。并定期更改密码防止破解。
(二)系统安全
我们现阶段常使用的服务器操作系统为Windows2003 Enterprise Edition版。操作系统安装后,要安装正版的服务器专用杀毒软件,做到必要的安全防护。另外,微软公司根据安全需求更新的系统补丁,必须及时为服务器安装上。将可能由这些漏洞引起的安全问题,及时扼杀在萌芽状态。
(三)服务分属、数据管理、保留地址
企业内的服务通常有DNS服务、邮件服务、0A服务、FTP服务等等。尽量做到重要的服务,最好按照不同服务,分属开来,实行单一化。避免一台服务器提供多项服务造成相互影响,增加服务器的自身运行压力。
三、WEB的安全防护
(一)IIS的相关设置
不使用默认的web站点,如果使用也要将IIS目录与系统磁盘分开。
在IIS中展开网站,找到正在使用的网站,在其属性中配置所有站点的公共设置,设置好相关的连接数限制,带宽以及性能等。配置应用程序映射,删除所有不必要的应用程序扩展,只保留asp,php,cgi,pl应用程序扩展。设置I1S的日志保存目录,调整日志记录信息。设置为发送文本错误信息。
更改IIS日志的路径,避免使用默认的保存、缺省路径。
(二)MySQL安全设置
密码策略。密码策略是所有安全配置的第一步,很多数据库账号的密码过于简单,对于sa更应该注意,同时不要让sa账号的密码写于应用程序或者脚本中。
安全的账号策略。sa是既不能更改也不能删除的超级用户,所以,我们必须对这个账号进行最强的保护。比如使用一个复杂的密码,或者最好不要在数据库应用中使用sa账号,只有当没有其它方法登录到SQL Server实例(例如,当其它系统管理员不可用或忘记了密码)时才使用sa。建议数据库管理员新建立一个拥有与sa一样权限的超级用户来管理数据库。
赋予普通用户update、Delete、alert、create、drop等权限的时候,要限定到特定的数据库,尤其要避免普通客户擁有对mysql数据库操作的权限。
检查mysq1.user表,取消不必要用户的shutdown_priv,reload_priv,proces_priv和File_priv权限,这些权限可能泄漏更多的服务器信息包括非mysql的其它信息。可以为mysql设置一个启动用户,该用户只对mysql目录有权限。设置安装目录的data数据库的权限(此目录存放了mysql数据库的数据信息)。对于mysql安装目录给users加上读取、列目录和执行权限。
四、结束语
随着网络技术的普及、应用及Web技术的不断完善,Web服务已经成为互联网上重要的服务形式之一。保护Web服务器和驻留在其上的应用程序是一项艰巨的任务,但这项任务并非不可完成。通过一些研究和适当的努力,就能够获得更加安全的宿主环境,并避免以后可能发生的问题。
参考文献:
[1]马琰.如何提高个人Web服务器的安全性[J].职业圈,2007,9
[2]王远哲.细说高校WEB服务器安全[J].电脑知识与技术,2008,9
篇5:网站建设如何提高服务器的安全性WEB安全
1、虚拟主机网站代码有问题,存在安全漏洞造成的,
如果服务器上大部分用户的网站都正常,只有少量用户网站被黑,那么就很可能是少量用户网站被黑的网站代码有问题,存在安全漏洞造成的。造成这个问题是没有办法解决,也不是服务商的责任。
大家都知道,“虚拟主机提供商”对自己的每个虚拟主机用户都分配了FSO文件操作的权限,他们通过您分配的合法权限,可以任意改动和上传的任何文件。如果用户没有保护好您分配给他们的合法权限,令 有机可乘,那么, 就可以利用合法权限对网站进行破坏了,但是大部分用户都认为这个 入侵不是他自己造成的,是服务商造成的,这实际上是冤枉了服务商,
例如,用户使用了一些不安全的程序(如“动网论坛”),这些程序的代码设计本身存在漏洞,很容易被 利用来上传网页木马, 可以操纵网页木马,利用合法权限来破坏您用户的数据和改动网页的文件,甚至导致网站完全打不开。这些手法是最常见的“客户的网站代码有问题,存在安全漏洞造成的”。
2、是服务器被入侵导致的。
当服务器上所有网站都被植入了病毒代码,并且可以在源文件的尾部或头部找到病毒代码文件,或者在IIS里面被植入了添加脚本,就标明是由于服务器被入侵导致的。
3、是服务器所在的机房中了ARP病毒导致的。
当服务器上所有网站都被植入了病毒代码,并且在源文件的尾部或头部无法找到病毒代码文件,就表明服务器所在的机房中了ARP病毒。这时需要联系我们来解决,一般情况下,机房会有大量服务器中毒,会有很多客户向机房反应,一般在半小时内机房就会处理的。
★ 手工干掉一般的病毒!病毒防范
★ 修复被病毒感染的EXE文件
★ 恶鹰变种AT病毒分析报告病毒防范
★ 简历被丢弃的原因
★ 瑞星杀毒软件增强引擎公开测试病毒防范
★ 防范病毒 安全使用IE浏览器的几点建议
★ 提高杀毒效率告别病毒全盘扫描病毒防范
★ 教你找回桌面上被删除的回收站图标
★ 恶意软件利用Windows安全功能阻拦安全软件病毒防范
篇6:如何来提高FTP服务器的安全性
为了提高FTP服务器的安全,系统管理员最好能够为员工设置单独的FTP帐号,而不要把系统级别的用户给普通用户来使用,这会带来很大的安全隐患。在VSFTP服务器中,可以通过配置文件vsftpd.ftpusers来管理登陆帐户。不过这个帐户是一个黑名单,列入这个帐户的人员将无法利用其帐户来登录FTP服务器。部署好VSFTP服务器后,我们可以利用vi命令来查看这个配置文件,发现其已经有了许多默认的帐户。其中,系统的超级用户root也在其中。可见出于安全的考虑,VSFTP服务器默认情况下就是禁止root帐户登陆FTP服务器的。如果系统管理员想让root等系统帐户登陆到FTP服务器,则知需要在这个配置文件中将root等相关的用户名删除即可。不过允许系统帐户登录FTP服务器,会对其安全造成负面的影响,为此我不建议系统管理员这么做。对于这个文件中相关的系统帐户管理员最好一个都不要改,保留这些帐号的设置。
如果出于其他的原因,需要把另外一些帐户也禁用掉,则可以把帐户名字加入到这个文件中即可。如在服务器上可能同时部署了FTP服务器与数据库服务器。那么为了安全起见,把数据库管理员的帐户列入到这个黑名单,是一个不错的做法。
二、加强对匿名用户的控制。
匿名用户是指那些在FTP服务器中没有定义相关的帐户,而FTP系统管理员为了便于管理,仍然需要他们进行登陆,
但是他们毕竟没有取得服务器的授权,为了提高服务器的安全性,必须要对他们的权限进行限制。在VSFTP服务器上也有很多参数可以用来控制匿名用户的权限。系统管理员需要根据FTP服务器的安全级别,来做好相关的配置工作。需要说明的是,匿名用户的权限控制的越严格,FTP服务器的安全性越高,但是同时用户访问的便利性也会降低。故最终系统管理员还是需要在服务器安全性与便利性上取得一个均衡。
下面是我推荐的几个针对匿名用户的配置,大家若不清楚该如何配置的话,可以参考这些配置。这些配置兼顾了服务器的安全与用户的使用便利。
一是参数anon_world_readable_only。这个参数主要用来控制匿名用户是否可以从FTP服务器上下载可阅读的文件。如果FTP服务器部署在企业内部,主要供企业内部员工使用的话,则最好把这个参数设置为YES。然后把一些企业常用表格等等可以公开的文件放置在上面,让员工在匿名的情况下也可以下载这些文件。这即不会影响到FTP服务器的安全,而且也有利于其他员工操作的便利性上。
篇7:网站建设如何提高服务器的安全性WEB安全
2、所有盘符根目录只给system和Administrator的权限,其他的删除。
3、将所有磁盘格式转换为NTFS格式。
命令:convert c:/fs:ntfsc:代表C盘,其他盘类推。WIN08 r2 C盘一定是ntfs格式的,不然不能安装系统
4、开启Windows Web Server 2008 R2自带的高级防火墙。
默认已经开启。
5、安装必要的杀毒软件如mcafee,安装一款ARP防火墙,安天ARP好像不错。略。
6、设置屏幕屏保护。
7、关闭光盘和磁盘的自动播放功能。
8、删除系统默认共享。
命令:net share c$ /del这种方式下次启动后还是会出现,不彻底。也可以做成一个批处理文件,然后设置开机自动执动这个批处理。但是还是推荐下面的方法,直修改注册表的方法。
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanserverparameters下面新建AutoShareServer,值为0 。。重启一下,测试。已经永久生效了。
9、重命Administrator和Guest帐户,密码必须复杂。GUEST用户我们可以复制一段文本作为密码,你说这个密码谁能破。。。。也只有自己了。...
重命名管理员用户组Administrators。
10、创建一个陷阱用户Administrator,权限最低。
上面二步重命名最好放在安装IIS和SQL之前做好,那我这里就不演示了。
11、本地策略——>审核策略
审核策略更改 成功 失败
审核登录事件 成功 失败
审核对象访问 失败
审核过程跟踪 无审核
审核目录服务访问 失败
审核特权使用 失败
审核系统事件 成功 失败
审核账户登录事件 成功 失败
审核账户管理 成功 失败
12、本地策略——>用户权限分配
关闭系统:只有Administrators 组、其它的全部删除,
管理模板 > 系统 显示“关闭事件跟踪程序”更改为已禁用。这个看大家喜欢。
13、本地策略——>安全选项
交互式登陆:不显示最后的用户名 启用
网络访问:不允许SAM 帐户和共享的匿名枚举 启用
网络访问: 不允许存储网络身份验证的凭据或 .NET Passports 启用
网络访问:可远程访问的注册表路径 全部删除
网络访问:可远程访问的注册表路径和子路径 全部删除
14、禁止dump file 的产生。
系统属性>高级>启动和故障恢复把 写入调试信息 改成“无”
15、禁用不必要的服务。
TCP/IP NetBIOS Helper
Server
Distributed Link Tracking Client
Print Spooler
Remote Registry
Workstation
16、站点方件夹安全属性设置
删除C: inetpub 目录。删不了,不研究了。把权限最低。。。禁用或删除默认站点。我这里不删除了。停止即可。一般给站点目录权限为:
System 完全控制
Administrator 完全控制
Users 读
IIS_Iusrs 读、写
在IIS7 中删除不常用的映射 建立站点试一下。一定要选到程序所在的目录,这里是www.postcha.com目录,如果只选择到wwwroot目录的话,站点就变成子目录或虚拟目录安装了,比较麻烦。所以一定要选择站点文件所在的目录,填上主机头。因为我们是在虚拟机上测试,所以对hosts文件修改一下,模拟用域名访问。真实环境中,不需要修改hosts文件,直接解释域名到主机就行。目录权限不够,这个下个教程继续说明。至少,我们的页面已经正常了。
17、禁用IPV6。看操作。
篇8:浅谈web服务器的安全保护
Web服务器的安全是web服务及应用的安全紧密有机结合的整体, 通常工作分为两部分。
一、服务器的安全措施
最简单的就是, 提高服务器的安全意识, 养成比较好的日常计算机操作习惯。服务器作为计算机广泛应用的重要部分, 对计算机简单的日常维护也是很必需的。对于个人, 比如说及时检查系统漏洞打好系统补丁、升级杀毒软件更新病毒数据库、定时查杀电脑内存等基本工作, 并避免移动存储设备与网站服务器直接相连。对于网站来说, 对网站及重要的数据库文件进行定期备份, 多个服务器之间也可以相互备份。当一个服务器出现软件或硬件故障时, 另一个服务器可以用来作为临时的替代。定期分析服务器日志, 及时发现服务器软件和硬件的异常以及攻击者留下的蛛丝马迹, 以便及时对应。借助一些成熟的日志分析软件, 可以有效的提高分析日志工作的效率。
其次是密码的更改, 服务器操作系统出厂时的安装一般都是开启的默认状态, 多是些名字如guest的没用账号, 更不要用administrato这类windows默认管理账户作为管理员账户。以防万一, 最好是建立两个及两个以上的管理账户, 并对他们进行严格的账户权限控制, 不是非必要情况, 不要将整个服务器予以授权。其次在设计密码时, 也要有一定的复杂性。由于暴力破解密码的手段和速度越来越快, 所以在设计密码时, 最好是字符、字母、特殊符号、数字等组合的十二位以上的字符串, 并定期更改密码防治破解。我们在设计密码时, 为了防止因为定期更换密码而出现忘记密码的尴尬情况, 可以采用“联想法”创造出一些有趣又好记的密码, 比如说“5iskyde**”就可以依据“我爱天上的星星”而记住。对于程序系统文件, 密码最好采用md5等算法加密后再存储于数据库。对数据库设置密码或采用其他工具加密, 也可以使得攻击者在得到数据的情况下, 也不能很轻易的就破解使用。
再次, 尽量不用服务器浏览网页, 尤其是不可信任的网站, 而且尽量避免与服务器不相关的软件, 尤其是一些黑客或黑客学习软件或破解软件。对于程序系统中的数据库文件名最好掺杂一些特殊符号, 成为较复杂不易猜中的文件名。同时将数据库文件扩展名改成asp或asa, 防止他人下载。
最后, 做好服务分属和保留地址。企业内的服务通常有DNS服务、FTP服务等, 对于重要的不同的服务最好是分属开来, 实行单一化管理, 避免多项服务对服务器造成影响, 增加自身运行压力。服务器要保留一部分地址只供服务器使用, 并将这些IP地址和服务器的MAC地址绑定, 因为服务器的地址分为永久不被侵占性和完全不受控制性, 这样就可以避免服务器地址被占用而造成服务中断。
二、web的安全
1、优化ⅡS设置
更改ⅡS日志路径避免使用默认的缺省路径, 虽然默认的报错信息给管理人员在检查和修正网页错误的时候带来了极大的方便, 但是同时也给伺机寻找asp程序漏洞的攻击者提供了非常重要的信息。就算要使用默认的web站点, 也要将ⅡS目录与系统磁盘分开了再用。在配置应用程序映射时, 只保留asp、cgi、php、pl应用扩展名, 其他所有不必要的应用程序扩展都删除。
2、My SQL安全设置, 检查mysq1.
user表, 关于shutdown_priv, process_priv, File_priv和reload_priv的权限可能泄露重要的服务器信息, 所以尽量取消。对于mysql安全目录, 限制user读取、列目录和执行的权力。
3、Serv-U的安全技术
现今Windows操作系统下最流行、使用最方便、功能最齐全、目前国内应用最多的FTP服务器软件之一就是FTP Serv-U。FTP是虚拟主机的一部分, 所以可以通过更改Serv-U FTP服务器的服务帐户来加强安全级别。Serv-U有一个默认的System启动的管理用户, 通过一个能访问本地端口43958的账号, 任何人都可以执行任意内部和外部命令和随意增删账号。解决的办法可以是设置一个用于启动Serv—U服务并属于Guests组的用户, 从而设置Serv-U服务登陆设置、IIS网站和注册表设置文件夹权限。
参考文献
[1]钮超.浅谈web服务器的安全[J], 科技资讯, 2010 (5) :19.
[2]吴寿昆.校园网web服务器的安全配置及防范对策[J], 创意与实践, 2008 (12) :52-56.
篇9:网站建设如何提高服务器的安全性WEB安全
关键词:安全性测试;Web服务;漏洞;测试框
中图分类号: TP393 文献标识码:A 文章编号:1674-1161(2016)03-0036-03
1969年互联网在美国诞生,1994年我国与国际互联网成功连接,标志着我国互联网步入新时代。经过20多年的发展,我国的互联网实现了从无到有,并且规模越来越大,现已经成为世界第二大网络大国。据《中国互联网络发展状况统计报告》(中国互联网络信息中心2016年1月22日第37次权威发布)显示,截至2015年12月,我国网民规模达6.88亿,互联网普及率达50.3%,半数中国人已接入互联网。伴随着互联网的快速发展,以社交网络、电子商务等为代表的Web服务正在深刻地改变着人们的生活方式,甚至影响着整个社会发展进程。
1 Web服务的基本概念及组成
Web服务作为一种远程访问的标准,具有松散耦合、平台无关、交互性、语言中立等优点,通常作为分布式应用实现的技术基础。Web应用系统组成十分复杂,正因为其复杂组件和彼此间复杂的关系,所以才能为用户提供强大服务。Web应用系统核心组件包括用户接口代码、前端系统、服务器软件、后台系统、数据库系统等。
2 Web服务安全性测试的重要意义
Web应用当前已经成为软件开发的重要组成部分。由于开发人员技术水平有限或者安全意识比较薄弱,每一个Web系统自身都存在着一定的安全漏洞,并在使用过程中逐渐暴露出来,入侵者就可能利用漏洞到Web应用上进行恶意攻击。Web系统中有大量信息,其中许多信息涉及个人隐私或是企业关键性业务等,一旦Web服务安全性出了问题,可能会给个人或企业造成重大损失和带来严重后果。虽然当前入侵检测、防火墙等技术已经相对成熟,可以为Web系统提供一定的安全防护,但是对Web应用的恶性攻击大多来自于应用层,完全解决各种安全性问题的难度非常大。在此情况下,Web服务安全性测试具有重大现实意义。
3 Web应用安全漏洞
Web应用安全漏洞是指一个Web系统的所有组件在设计、实现或者操作和管理中存在的可能被入侵者利用的缺陷和弱点。常见的Web应用安全漏洞主要有以下8个类别。
3.1 未被验证的输入
入侵者通过篡改HTTP请求越过站点安全机制,主要包括缓冲区溢出、跨站点脚本、SQL注入、格式化字符串攻击等输入篡改攻击方式。HTTP请求主要包括查询字符串、Cookie、HTTP头部、URL、表单等。
3.2 SQL注入
SQL注入是最普遍、最严重的Web应用安全漏洞。入侵者通过在输入域中插入某些特殊字符,完全改变SQL查询的自身功能,欺骗数据库服务器进行非法操作,从而达到破坏数据库或非法获取数据清单的目的。
3.3 跨站点脚本
入侵者在Web浏览器客户端通过页面提交的输入数据嵌入恶意代码,如果服务器不经过滤或转义直接将这些数据返回,那么这些恶意代码在其他用户访问该Web页面时将被执行,从而实现其恶意攻击的目的。
3.4 缓冲区溢出
入侵者利用缓冲区溢出漏洞向Web应用发送特定请求,使目标Web应用执行其设定的代码。
3.5 隐藏的字段
在正常操作中,用户可以执行Web浏览器中的“查看源文件”,并查看字段内容,通过手工修改参数值,再传回给服务器端。入侵者通过对HTML源文件中的这些隐藏字段进行修改实现恶意目的。
3.6 不恰当的异常处理
用户向Web应用提交正常请求时,可能频繁产生内存不足、系统调用失败、数据库链接错误等异常情况。如果不能进行恰当处理,堆栈追踪、数据库结构、错误代码等内部错误信息很可能被入侵者获知,带来一定的安全隐患。
3.7 远程命令执行
用户提供的输入数据在没有经过适当验证情况下,就可以通过Web服务器进行传递。入侵者可能利用这个漏洞,使目标Web应用执行他的命令。
3.8 远程代码注入
这一安全漏洞通常是由Web应用开发者存在不良编码习惯引起的,如允许没有经过验证的用户输入,造成本地应用或远程的PHP代码被包含进来。这一漏洞被入侵者利用,实现其向目标Web应用中注入其他PHP代码的目的。
4 Web服务安全性测试技术
为保障Web服务安全,消除潜在的漏洞隐患,一方面Web服务要在用户的身份标识和验证级别上集成Web站点安全;另一方面要在服务器与用户进行信息交换的过程增加安全防范措施。目前,通常在身份验证/授权、传输层安全、应用层安全3个领域采取安全措施。
4.1 测试框架
Web应用安全性测试框架主要包括威胁建模、测试需求、测试策划、测试执行、报告5个不同阶段,具体情况如图1所示。
第一阶段是威胁建模,主要是有效确定安全目标,对漏洞隐患进行确定和评级。第二阶段是测试需求,准确确定测试对象并合理进行资源分配,主要依据软件具体需求和威胁剖面素。第三阶段是测试策划,主要是测试策略文档,通过提供控制策略,有效控制系统程序总体架构、资源需求和缺陷,准确描述测试环境等一系列情况。第四阶段是测试执行,及时准确的记录测试的结果。第五阶段是报告,对最终测试结果进行详细地说明和报告。
4.2 安全性测试技术
在Web应用系统开发的整个过程中,对整个体系结构的每一个环节都进行必要的安全性测试,就会发现其存在的安全漏洞隐患,从而有效提高整个Web应用系统的综合安全性能。在最初的设计环节对安全漏洞进行检测,并及时对漏洞进行修复,可能避免后续环节发生安全问题。把目标部署环境所关联的设计作为目标对象进行通盘考虑和研究设计,有效提高Web应用系统的安全水平。“白盒子”测试的主要内容是,在Web应用系统开发过程中,依据源代码的不同级别对目标网站进行相应安全测试,及时发现相关问题并进行有效处理。
4.3 应用及传输安全
Web应用系统设计完成后,要通过一系列的安全测试,发现系统中存在的漏洞隐患,并有效进行修复。“黑箱子”测试的主要内容是,当Web应用系统已经投入使用后,在不影响其正常运行的条件下,积极应用远程方式进行安全测试,模拟黑客攻击目标系统,最大限度对Web应用系统安全性进行有效测试。
在测试过程中,通常选取应用级和传输级2个等级层面进行测试。应用级安全性测试是通过系统自带程序对目录设置、注册及登录、在线超时、操作留痕、备份及恢复进行检查测试,有效排除程序设计方面存在的安全漏洞隐患。传输级安全性测试是以系统传输特性为基础,通过对包括SSL、数据加密、防火墙、服务器脚本漏洞在内的从用户端到服务器整个数据信息传输过程进行检查测试,进一步增强系统拒绝非法访问的能力。
参考文献
[1] 唐修平.Web服务安全性研究及应用[J].湖南工业职业技术学院学报,2011(5):5-7.
[2] 张再华.基于.NET平台Web服务安全性的研究与实现[J].电脑知识与技术:学术交流,2012(2X):1292-1293.
[3] 邢翠芳,李瑛,赵海冰,等.一种移动Web服务安全性技术方案[J].计算机技术与发展,2013(4):122-125.
篇10:网站建设如何提高服务器的安全性WEB安全
一 什么是溢出:
溢出是 利用操作系统的漏洞,专门开发了一种程序,加相应的参数运行后,就可以得到你电脑具有管理员资格的控制权,你在你自己电脑上能够运行的东西他可以全部做到,等于你的电脑就是他的了。
二 服务器溢出该如何防:
1、必须打齐补丁:
尽最大的可能性将系统的漏洞补丁都打完;MicrosoftWindowsServer系列的服务器系统可以将自动更新服务打开,然后让服务器在指定的某个时间段内自动连接到Microsoft Update网站进行补丁的更新。如果服务器为了安全起见禁止了对公网外部的连接的话,可以用Microsoft WSUS服务在内网进行升级。
2、服务最小化:
最少的服务等于最大的安全,停掉一切不需要的系统服务以及应用程序,最大限度地降底服务器的被攻击系数。比如前阵子的NDS溢出,就导致很多服务器挂掉了。其实如果WEB类服务器根本没有用到DNS服务时,大可以把DNS服务停掉,这样DNS溢出就对你们的服务器不构成任何威胁了。
3、端口过滤:
启动TCP/IP端口的过滤,仅打开服务器常用的TCP如21、80、25、110、3389等端口;如果安全要求级别高一点可以将UDP端口关闭,当然如果这样之后缺陷就是如在服务器上连外部就不方便连接了,这里建议大家用IPSec来封UDP。在协议筛选中只允许TCP协议、UDP协议 以及RDP协议等必需用协议即可;其它无用均不开放。
4、系统防火墙:
启用IPSec策略,为服务器的连接进行安全认证,给服务器加上双保险。封掉一些危险的端口,诸如:135 145 139 445 以及UDP对外连接之类、以及对通读进行加密与只与有信任关系的IP或者网络进行通讯等等。通过IPSec禁止UDP或者不常用TCP端口的对外访问就可以非常有效地防反弹类木马。
5、系统命令防御:
删除、移动、更名或者用访问控制表列Access Control Lists (ACLs)控制关键系统文件、命令及
文件夹:
(1)、通常在溢出得到shell后,来用诸如net.exe、net1.exe、ipconfig.exe、user.exe、query.exe、regedit.exe、regsvr32.exe 来达到进一步控制服务器的目的。如:加账号、克隆管理员了等等。我们可以将这些命令程序删除或者改名。 4 t( B+ L/ O- y.
提示:在删除与改名时先停掉文件复制服务 (FRS)或者先将 %windir%system32dllcache下的对应文件删除或改名。我爱电脑技术社区--打造最好的电
(2)、也或者将这些.exe文件移动到你指定的文件夹,这样也方便以后管理员自己使用,
(3)、访问控制表列ACLS控制:
找到%windir%system32下找到cmd.exe、cmd32.exe、net.exe、net1.exe、ipconfig.exe、tftp.exe、ftp.exe、user.exe、reg.exe、regedit.exe、regedt32.exe、regsvr32.exe这些 常用的文件,在“属性”→“安全”中对他们进行访问的ACLs用户进行定义,诸如只给administrator有权访问,如果需要防范一些溢出攻击、以及溢出成功后对这些文件的非法利用;那么我们只需要将system用户在ACLs中进行拒绝访问即可。
(4)、如果你觉得在GUI下面太麻烦的话,你也可以用系统命令的CACLS.EXE来对这些.exe文件的Acls进行编辑与修改,或者说将他写成一个.bat批处理文件来执行以及对这些命令进行修改。
(5)、对磁盘如C、D、E、F等进行安全的ACLS设置从整体安全上考虑的话也是很有必要的,另外特别要对Windows、WinntSystem、Document and Setting等文件夹。
6、组策略配置:
想禁用“cmd.exe”,执行“开始→运行”输入gpedit.msc打开组策略,选择“用户配置→管理模板→系统”,把“阻止访问命令提示符”设为“启用”。同样的可以通过组策略禁止其它比较危险的应用程序。
7、服务降级:
对一些以System权限运行的系统服务进行降级处理。比如:将Serv-U、Imail、IIS、Php、Mssql、Mysql等一系列以 System权限运行的服务或者应用程序换成其它administrators成员甚至users权限运行,这样就会安全得多了。但前提是需要对这些基本运行状态、调用API等相关情况较为了解。
小结:其实,关于防止如Overflow溢出类攻击的办法除了用上述的几点以外,还有很多种办法:比如通过注册表进行建立相应的键值,进行设置;写防护过滤程序用DLL方式加载windows到相关的SHell以及动态链接程序之中这类。当然自己写代码来进行验证加密就需要有相关深厚的Win32编程基础了,以及对Shellcode较有研究。
三 如何防止溢出获取Shell后对系统的进一步入侵
1、在做好1中上述的工作之后,基本上可以防目骇客在溢出之后得到shell了;因为即使Overflow溢出成功,但在调用CMDSHELL、以及对外联接时就卡了。 (为什么呢,因为:1.溢出后程序无法再调用到CMDSHLL已经禁止system访问CMD.exe了。2.溢出之后在进行反弹时已经无法对外部IP进行连接了。所以,基本上要能过system权限来反弹shell就较困难的了...)
2、当然世界上是不存在绝对的安全的,假设入侵者在得到了用户的shell之后,做些什么呢?一般入侵者在在得到shell之后,就会诸如利用系统命令加账号了 通过tftp、ftp、vbs等方式传文件了等等来达到进一步控制服务器。这里通过1上述的办法对命令进行了限制,入侵者是没有办法通过tftp、ftp来传文件了,但他们仍然可以能过echo写批处理,用批处理通过脚本BAT/VBS/VBA等从WEB上下载文件,以及修改其它盘类的文件等潜在破坏行为。所以用户需要 将echo命令也限制以及将其它盘的System写、修改文件的权限进行处理。以及将VBS/VBA类脚本以及XMLhttp等组件进行禁用或者限制system的运行权。这样的话别人得到Shell也无法对服务器上的文件进行删除以及进行步的控制系统了;以及本地提权反弹Shell了。
服务器的安全是个系统工程,任何小小的疏忽都有可以造成服务器的沦陷。“防”永远比“补”好,管理员“防”在溢出之前,把被攻击的危险降到最低,这才是真正的服务器安全之道。
★ 反恐精英溢出漏洞
★ 《地质灾害及其防御》说课稿
★ 新版《小学生守则》
★ 中学生守则新版
★ 爱妻守则
★ 员工守则
★ 评委守则
★ 学员守则「通用」
★ 中学生守则
篇11:网站建设如何提高服务器的安全性WEB安全
WEB服务器是Internet上最暴露的服务器,为了让客户/目标用户群访问提供的信息,WEB服务器必需是Internet上的任何接入点都可以访问的。与其它诸如DNS和FTP等公共服务相比,WEB对 高手更有诱惑力,因为一个成功地侵入一个网站的人可以更改主页从而让别人更加意识到他的存在。这些入侵事件能够让一个公司失去客户的信任,尤其是当一些敏感数据(如信用卡详细信息等)被窃取甚至被公开时就更加严重。
如果说用于防止从Internet对内部网络进行攻击的防火墙是最重要网络安全领域的话,WEB服务器应该说是第二个需要高度安全的领域了。本文的目标就是如何只用45分钟的时间就可以在Linux系统上配置一个安全的WEB服务器。当然,您也可以在其他操作系统上完成同样的事情。下面是基于SuSE Linux 6.4发布的一个例子。
安全区域
服务器安全由几个安全区域组成,为了保证允许条件下的最高度的安全保护,安全必需在每个区域都予以一致的实现。
1. 基础设施区
基础设施区域定义服务器在网络中的位置。这个区域必需能够防止数据 、网络映射和端口扫描等 技术的威胁,
而且,可以跟踪对一个暴露的WEB服务器的成功入侵,因为被侵入的服务器可能会用来作为攻击其它重要的服务器的基地(这种方式在DoS攻击中最为常见)。
在这一端,所有提供Internet服务的服务器都通过一个集中部件保护起来并且位于一个隔离的网络是必需的。这个隔离的网络称为非军事区(DMZ)。具有保护功能的组件可能是一个复杂的防火墙或一个简单的路由器(这个路由器配置了具有很强限制的包过滤规则)。因此,仅仅指定的服务器服务才是允许访问的。
一般DMZ会采用一个具有端口安全和报文洪水保护的转换开关,这种方式可以保证DMZ的高度安全。
如果您关心物理安全,那么您必需保证服务器安装在一个安全的房间里(或数据处理中心)并且所有的电源、电话线和网线等都必需得到物理上的保护。
2. 网络协议区
网络通信一般指的都是TCP/IP通信,操作系统内核对通信负责并且保证一个透明的通信流。然而,一些函数或者协议的易受攻击点可能会被用来发起攻击或破坏行为。因此,内核必需经过必要的配置,以便阻挡这些类型的攻击手段。虽然位于服务器前面的防火墙或路由器可以防止很多类型的攻击,但一些WEB服务器的设置也必需做一些相应的调整。
防止SYN洪水攻击是很关键的,在所有的操作系统中,Linux提供了一种称为SYNcookies的最有效解决方案。此外,ICMP重定向和对广播地址的ping操作以及IP源路由包也应该被拒绝。适用附加的内核过滤函数可以增加安全级别。
★ Windows Internet信息服务的安装Web服务器
★ 防止对WEB应用服务器的三种攻击服务器教程
★ 在Windows Server 安装SSL证书(IIS 7.0)WEB服务器
★ 在Ubuntu系统的服务器上安装Webuzo控制面板的教程
★ cad安装使用教程
★ SMTP简单邮件传输协议服务器教程
★ FTP服务器关于权限的问题服务器教程
★ 硬盘坏道故障实例解决服务器教程
★ Discuz!应用教程:如何在Discuz! X1.5上快速制作
篇12:网站建设如何提高服务器的安全性WEB安全
我们将从入侵者入侵的各个环节来作出对应措施一步步的加固windows系统,一共归于以下几个方面:
1. 端口限制
2. 设置ACL权限
3. 关闭服务或组件
4. 包过滤
5. 审计
我们现在开始从入侵者的第一步开始,对应的开始加固已有的windows系统:
1. 扫描
这是入侵者在刚开始要做的第一步,比如搜索有漏洞的服务
对应措施:端口限制
以下所有规则,都需要选择镜像,否则会导致无法连接我们需要作的就是打开服务所需要的端口.而将其他的端口一律屏蔽,
2. 下载信息
这里主要是通过URL SCAN.来过滤一些非法请求
对应措施:过滤相应包
我们通过安全URL SCAN并且设置urlscan.ini中的DenyExtensions字段来阻止特定结尾的文件的执行
3. 上传文件
入侵者通过这步上传WEBSHELL、提权软件、运行cmd指令等等
对应措施:取消相应服务和功能,设置ACL权限
如果有条件可以不使用FSO的
通过 regsvr32 /u c:windowssystem32scrrun.dll来注销掉相关的DLL,如果需要使用,那就为每个站点建立一个user用户对每个站点相应的目录,只给这个用户读、写、执行权限,给administrators全部权限。安装杀毒软件,实时杀除上传上来的恶意代码,个人推荐MCAFEE或者卡巴斯基。如果使用MCAFEE.对WINDOWS目录所有添加与修改文件的行为进行阻止。
4. WebShell
入侵者上传文件后,需要利用WebShell来执行可执行程序,或者利用WebShell进行更加方便的文件操作。
对应措施:取消相应服务和功能
一般WebShell用到以下组件
Wscript.Network
Wscript.Network.1
Wscript.Shell
Wscript.Shell.1
Shell.Application
Shell.Application.1
我们在注册表中将以上键值改名或删除,同时需要注意按照这些键值下的CLSID键的内容,从/HKEY_CLASSES_ROOT/CLSID下面对应的键值删除
5. 执行SHELL
入侵者获得shell来执行更多指令
对应措施:设置ACL权限
Windows的命令行控制台位于WINDOWSSYSTEM32CMD.EXE
我们将此文件的ACL修改为某个特定管理员帐户(比如administrator)拥有全部权限,
其他用户,包括system用户、administrators组等等,一律无权限访问此文件。
6. 利用已有用户或添加用户
入侵者通过利用修改已有用户或者添加Windows正式用户,向获取管理员权限迈进
对应措施:设置ACL权限、修改用户
将除管理员外所有用户的终端访问权限去掉,限制CMD.EXE的访问权限,限制SQL SERVER内的XP_CMDSHELL
7. 登陆图形终端
入侵者登陆TERMINAL SERVER或者RADMIN等等图形终端,获取许多图形程序的运行权限。由于WINDOWS系统下绝大部分应用程序都是GUI的,所以这步是每个入侵WINDOWS的入侵者都希望获得的
对应措施:端口限制
入侵者可能利用3389或者其他的木马之类的获取对于图形界面的访问。我们在第一步的端口限制中,对所有从内到外的访问一律屏蔽也就是为了防止反弹木马,所以在端口限制中,由本地访问外部网络的端口越少越好。如果不是作为MAIL SERVER,可以不用加任何由内向外的端口,阻断所有的反弹木马。
8. 擦除脚印
入侵者在获得了一台机器的完全管理员权限后,就是擦除脚印来隐藏自身
对应措施:审计
首先我们要确定在windows日志中打开足够的审计项目,如果审计项目不足,入侵者甚至都无需去删除windows事件。其次我们可以用自己的cmd.exe以及net.exe来替换系统自带的将运行的指令保存下来,了解入侵者的行动。对于windows日志,我们可以通过将日志发送到远程日志服务器的方式来保证记录的完整性。evtsys工具(engineering.purdue.edu/ECN/Resources/Documents)提供将windows日志转换成syslog格式并且发送到远程服务器上的功能,使用此用具,并且在远程服务器上开放syslogd,如果远程服务器是windows系统,推荐使用kiwi syslog deamon。我们要达到的目的就是不让入侵者扫描到主机弱点,即使扫描到了也不能上传文件,即使上传文件了不能操作其他目录的文件,即使操作了其他目录的文件也不能执行shell,即使执行了shell也不能添加用户,即使添加用户了也不能登陆图形终端,即使登陆了图形终端、拥有系统控制权,他的所作所为还是会被记录下来。
额外措施:我们可以通过增加一些设备和措施来进一步加强系统安全性。
1. 代理型防火墙,如ISA
代理型防火墙可以对进出的包进行内容过滤,设置对HTTP REQUEST内的request string或者form内容进行过滤,将SELECT、DROP、DELETE、INSERT等都过滤掉,因为这些关键词在客户提交的表单或者内容中是不可能出现的。过滤了以后可以说从根本杜绝了SQL 注入。
2. 用SNORT建立IDS
用另一台服务器建立个SNORT,对于所有进出服务器的包都进行分析和记录,特别是FTP上传的指令以及HTTP对ASP文件的请求,可以特别关注一下。本文提到的部分软件在提供下载的RAR中包含:
包括COM命令行执行记录
URLSCAN 2.5以及配置好的配置文件
IPSEC导出的端口规则
evtsys
【网站建设如何提高服务器的安全性WEB安全】相关文章:
Web网站的安全建设05-17
确保网站安全 网络服务器应如何防止被黑04-19
网站被黑中毒WebShell木马的解决方案WEB安全05-05
如何提高网站优化的效果05-20
Nginx对某个目录或整个网站进行登录认证的方法WEB服务器05-04
流云易水:网站的快照收录如何提高04-10
什么是网站权重?如何提高网站权重?05-24
新域名网站如何提高网站权重呢04-09