一����、Web Service
Web服務器是web應用的載體。
Web server的安全關注兩點:
1�����、web server本身是否安全�����;
2、web server是否提供了可使用的安全功能��;
二��、Apache安全
1���、 首先檢查apache的module安裝情況���,根據(jù)“最小權(quán)限原則”,應該盡可能的減少不必要的module��,對于要使用的module���,則檢查起對應版本是否存在已知的安全漏洞
2��、 apache盡量不用以root身份或者admin身份運行���。
3���、 保護好apache log(比如實時地發(fā)送到遠程的syslog到服務器上)
4��、 Apache提供了一些配置參數(shù)��,可以提供服務器性能����,提供對抗DDOS功能的能力。(比如調(diào)小Timeout��、KeepAliveTimeout值�,增加MaxClients值,這些調(diào)整可能影響正常應用���,請視情況而定�����,可參考官方文檔http://httpd./docs/trunk/misc/security_tips.html)
三��、Nginx安全
Ngnix近年來出現(xiàn)的影響默認安裝版本的高危漏洞比apache要多���。
可參考官網(wǎng)問題列表:http:///en/security_advisories.html
1、 多關注Nginx的漏洞信息���,并及時將軟件升級到安全的版本���。
2��、 Nginx與Apache最大區(qū)別:檢查Apache安全時更多的關注Module的安全���,而Nginx則需要注意軟件本身的安全,及時升級軟件版本����。
3、 以單獨的身份運行��,與Apache一樣
4���、 Nginx的配置非常靈活��,在對抗DDOC和CC攻擊方面起到一定的緩解作用����。
5���、 Nginx配置中可以做一些簡單的條件判斷��,比如客戶端User-Agent具有什么特征�,或者來自某個特定referer��、IP等條件��,響應動作可以是返回錯誤號��,或進行重定向���。
四��、Tomcat遠程命令執(zhí)行
1��、 建議刪除tomcat后臺�,攻擊者可以通過暴力破解等方式獲取后臺的訪問權(quán)限�����。
2��、 直接將tomcat用戶添加為manager角色����,而tomcat用戶的密碼很有可能是一個默認密碼,這種配置違背了“最小權(quán)限原則”
五、IIS安全
IIS和APACHE是當今兩大主流的web信息發(fā)布平臺
創(chuàng)建一個安全可靠的web服務器����,必須要實現(xiàn)windows系統(tǒng)和IIS的雙重安全
1、 端口的安全設置��。
通過配置windows系統(tǒng)防火墻實現(xiàn)端口安全配置
2����、 驅(qū)動器及文件夾權(quán)限的設置。
防止asp類木馬�,一但網(wǎng)站被攻擊,保證操作系統(tǒng)及網(wǎng)站文件之外的其他文件不受影響���。
- ?打開服務器各驅(qū)動器的屬性對話框��,在安全選項卡中設置系統(tǒng)驅(qū)動器及其他驅(qū)動器的權(quán)限�,僅保留administrator組�,SYSTEM及CREATOR OWNER用戶對驅(qū)動器的安全控制權(quán)限
- 設置網(wǎng)站訪問的用戶。打開“控制面板—管理工具—本地用戶和組--用戶”���,添加一個users組的用戶test
- 設置網(wǎng)站所在文件夾的權(quán)限��,除文件夾繼承驅(qū)動器權(quán)限外���,在文件夾屬性的安全選項卡中��,添加用戶test����,并將新建的用戶test的權(quán)限設為完全控制�����。
- 設置網(wǎng)站的IIS身份認證�����。在網(wǎng)站的IIS身份認證中�,將網(wǎng)站訪問的匿名用戶設置為test���。同時設置網(wǎng)站的應用程序池��,應用程序池高級設置中將應用程序池標識設置為test�����。
通過以上設置���,如果網(wǎng)站受到攻擊�,比如被植入asp木馬���,因為網(wǎng)站的匿名用戶是test��,而這個用戶僅對該網(wǎng)站的文件具備權(quán)限��,入侵者就不能更改系統(tǒng)和其他文件�����,從而將危險性降至最低��。
3����、 設置網(wǎng)站的IPV4地址和域限制
若網(wǎng)站僅對部分用戶開放�,可以把網(wǎng)站的訪問用戶訪問縮小,從而進一步增強IIS的安全性����,比如可以允許172.17.1.1-172.17.1.254 IP段進行網(wǎng)站的訪問。在網(wǎng)站的功能視圖中��,打開該網(wǎng)站ipv4地址和域限制,讓后點擊“添加允許條目”�,在打開的“添加允許限制規(guī)則”對話框中,輸入允許的IP地址范圍���。
4��、 網(wǎng)站文件夾的安全設置��。
在IIS面板左側(cè)選中需要設置的文件夾uploadfiles,然后從右側(cè)管理視圖中點擊“處理程序映射”圖標�,進入網(wǎng)站程序映射設置,然后點擊“編輯功能權(quán)限”��,對該上傳文件夾只保留讀取權(quán)限���,點擊“確定”即可���。
5、 日志安全分析
在IIS平臺使用過程中個����,需要定期結(jié)合網(wǎng)站的訪問日志進行安全性分析,充分利用IIS的相關設置來保護網(wǎng)站安全����。
|
