设为首页 友情链接
在线留言 发表文章
加入收藏 广告联系

刺猬首页

| 专案技术 | 网络技术 | 图形图象 | 网络编程 | 网页设计 | 操作系统 | 服务器 | 技术白皮书 | 在线实验室 | 刺猬论坛 |
小说专版  | 数据库 | 设计赏析 | 存储频道 | 网络安全 | 私服架设 |  Solaris | 网站评估 | PC维护技巧 | 下载中心 | 博 客 |
专   题: | Linux | java | cisco | 防病毒 | 刀片 | SOA | iscsi | ASP.NET | SQL | Oracle |
您现在的位置: IT公社 IT community >> 网络编程 >> PHP >> 教程正文 用户登录 新用户注册
专 题 栏 目
最 新 热 门
最 新 推 荐
相 关 文 章
一个安全Web服务器的安装…
用PEAR来写你的下一个ph…
安全攻略:PHP脚本木马的…
PHP安全之:重燃你的Php…
从一个实例开始学习PHP
PHP中重新定向到另一个页…
一个广告轮播系统的例子…
关于使用文本域(TextAre…
用php做一个简单的表单
如何开发一个虚拟域名系…
  一个安全Web服务器的安装(一)         
一个安全Web服务器的安装(一)
 

WEB服务器是Internet上最暴露的服务器。为了让客户/目标用户群访问提供的信息,WEB服务器必需是Internet上的任何接入点都可以访问的。与其它诸如DNS和FTP等公共服务相比,WEB对黑客高手更有诱惑力,因为一个成功地侵入一个网站的人可以更改主页从而让别人更加意识到他的存在。这些入侵事件能够让一个公司失去客户的信任,尤其是当一些敏感数据(如信用卡详细信息等)被窃取甚至被公开时就更加严重。   如果说用于防止从Internet对内部网络进行攻击的防火墙是最重要网络安全领域的话,WEB服务器应该说是第二个需要高度安全的领域了。本文的目标就是如何只用45分钟的时间就可以在Linux系统上配置一个安全的WEB服务器。当然,您也可以在其他操作系统上完成同样的事情。下面是基于SuSE Linux 6.4发布的一个例子。   安全区域   服务器安全由几个安全区域组成,为了保证允许条件下的最高度的安全保护,安全必需在每个区域都予以一致的实现。   1.基础设施区   基础设施区域定义服务器在网络中的位置。这个区域必需能够防止数据窃听、网络映射和端口扫描等黑客技术的威胁。而且,可以跟踪对一个暴露的WEB服务器的成功入侵,因为被侵入的服务器可能会用来作为攻击其它重要的服务器的基地(这种方式在DoS攻击中最为常见)。   在这一端,所有提供Internet服务的服务器都通过一个集中部件保护起来并且位于一个隔离的网络是必需的。这个隔离的网络称为非军事区(DMZ)。具有保护功能的组件可能是一个复杂的防火墙或一个简单的路由器(这个路由器配置了具有很强限制的包过滤规则)。因此,仅仅指定的服务器服务才是允许访问的。   一般DMZ会采用一个具有端口安全和报文洪水保护的转换开关,这种方式可以保证DMZ的高度安全。   如果您关心物理安全,那么您必需保证服务器安装在一个安全的房间里(或数据处理中心)并且所有的电源、电话线和网线等都必需得到物理上的保护。   2.网络协议区   网络通信一般指的都是TCP/IP通信,操作系统内核对通信负责并且保证一个透明的通信流。然而,一些函数或者协议的易受攻击点可能会被用来发起攻击或破坏行为。因此,内核必需经过必要的配置,以便阻挡这些类型的攻击手段。虽然位于服务器前面的防火墙或路由器可以防止很多类型的攻击,但一些WEB服务器的设置也必需做一些相应的调整。   防止SYN洪水攻击是很关键的,在所有的操作系统中,Linux提供了一种称为SYNcookies的最有效解决方案。此外,ICMP重定向和对广播地址的ping操作以及IP源路由包也应该被拒绝。适用附加的内核过滤函数可以增加安全级别。   3.服务区   服务区定义需要哪些服务。通过”如果不是指定需要的全部禁止”的安全策略,服务器上仅仅配置完成必要的操作所必需的服务,否则就会为攻击者提供更多的攻击点。   仅适用可以保证足够安全级的服务:没有充分认证能力的服务(如:rexec)或者传输未经过加密的敏感数据的服务(如telnet、ftp或通过WWW传输信用卡敏感数据)都应该用更安全的相应服务所替代(如SSH、SSLftp或HTTPS)。   4.应用区   为安全起见,每个服务都必需单独配置。一个配置的不好的邮件服务器可能会被用来发送垃圾邮件,配置不好的WEB服务器可以执行所有的系统命令。注意,千万不要创建具有高特权的服务(root)。   您必需仔细研读您所适用的软件的操作手册中的相关内容才可以更安全地配置您的应用。   5.操作系统区   最后的保护机制是操作系统自身。如果如果应用区的安全方法配置合理的话,即使入侵者成功地进入计算机系统也没有足够的管理权限完成破坏工作。程序的安装,尤其是高特权的程序,应该限制在系统操作的绝对需要范围内。许多高特权的程序可以通过更高级别的认证来限制用户的滥用,因为系统中的标准用户帐号根本不需要使用这些程序。但这还远远 不够,万一攻击者成功地进入计算机系统,应该存在一个检测入侵的机制。这被称为”基于主机的入侵检测”。当然,最好还要能够监视和记录系统中的文件操作,以便了解入侵者的真正意图。当然也不能忽视经常性地备份,并且不要丢弃旧的备份文件。这种做法不仅可以用来配置备份服务器和避免数据丢失,它还可以用来跟踪系统中文件的操作情况。如果有几个管理员同时管理一个服务器,那么一个记录谁执行过哪些操作的机制可以在下面提及。 Linux联盟收集整理

频道声明:本频道的文章除部分特别声明禁止转载的专稿外,可以自由转载.但请务必注明出出处和原始作者 文章版权归本频道与文章作者所有.对于被频道转载文章的个人和网站,我们表示深深的谢意。

原始作者:佚名 录入时间:2007-1-3 3:32:07
信息来源:不详 投稿信箱:itqoo@126.com
教程录入:itqoo    责任编辑:itqoo 
  • 上一个教程:

  • 下一个教程:
    • 【字体: 】【发表评论】【加入收藏】【告诉好友】【打印此文】【关闭窗口
      网友评论:(只显示最新10条。评论内容只代表网友观点,与本站立场无关!)
    - 关于我们 - 合作伙伴 - 友情链接 - 广告刊登 - 投稿热线 - 在线留言版权声明联系方式 -
    IT公社版权所有 粤ICP备05127012号
    Copyrigh@2005-2006 itqoo.com.Inc All Rights Reserved  推荐分辨率 1024*768
    联系站长:E-Mail:itqoo@126.com     MSN:urchincc@hotmail.com    QQ:点击这里给我发消息
    特别感谢:亿太网络提供空间支持