第02章-Linux網(wǎng)絡(luò)服務(wù)器安全

Linux網(wǎng)絡(luò)服務(wù)器平安1.Linux服務(wù)器安簡(jiǎn)介人們對(duì)平安問(wèn)題的日益重視，網(wǎng)絡(luò)平安已經(jīng)不僅僅是技術(shù)問(wèn)題，而是一個(gè)社會(huì)問(wèn)題企業(yè)應(yīng)當(dāng)提高對(duì)網(wǎng)絡(luò)平安的重視，不應(yīng)被各種商業(yè)宣揚(yáng)所迷惑，認(rèn)為安裝了防火墻、認(rèn)證授權(quán)和入侵檢測(cè)系統(tǒng)就可以愛(ài)護(hù)網(wǎng)絡(luò)免受各種攻擊1.Linux服務(wù)器安簡(jiǎn)介沒(méi)有確定平安的網(wǎng)絡(luò)，也沒(méi)有“無(wú)堅(jiān)不摧”的平安解決方案。從辯證法的角度來(lái)說(shuō)，平安是相對(duì)的攻擊和平安防護(hù)是矛與盾的關(guān)系。平安與反平安之間就是一場(chǎng)長(zhǎng)期戰(zhàn)斗，了解攻擊者是特別重要的。更重要的是依據(jù)攻擊級(jí)別提出解決方案2.服務(wù)器攻擊簡(jiǎn)介攻擊是一種旨在阻礙、損害、減弱、破壞服務(wù)器平安的未授權(quán)行為攻擊的范圍可以從服務(wù)拒絕直至完全危害和破壞服務(wù)器攻擊者運(yùn)用什么操作系統(tǒng)：WindowsNT/2000/XP和UNIX是運(yùn)用最多的平臺(tái)越來(lái)越多的攻擊者正在運(yùn)用FreeBSD或NetBSD2.服務(wù)器攻擊簡(jiǎn)介典型的攻擊者有什么特征：能用C、C++或Perl編寫(xiě)程序大多數(shù)原始平安工具都是用這些語(yǔ)言中的一種或幾種編寫(xiě)的，攻擊者必需能夠說(shuō)明、編譯和執(zhí)行這些代碼2.服務(wù)器攻擊簡(jiǎn)介深化駕馭TCP/IP學(xué)問(wèn)。攻擊者必需了解Internet是如何工作的。攻擊者必需對(duì)TCP/IP的原始代碼有所了解攻擊者不是臨時(shí)用戶(hù)。他們不僅了解自己的機(jī)器，而且對(duì)網(wǎng)絡(luò)也了如指掌，具有豐富的網(wǎng)絡(luò)運(yùn)用閱歷

2.服務(wù)器攻擊簡(jiǎn)介至少熟知三種操作系統(tǒng)，其中一種操作系統(tǒng)毫無(wú)疑問(wèn)是UNIX或Linux大多數(shù)攻擊者是（或曾經(jīng)是）系統(tǒng)管理員或開(kāi)發(fā)人員，具有開(kāi)發(fā)客戶(hù)服務(wù)器應(yīng)用的閱歷2.服務(wù)器攻擊簡(jiǎn)介實(shí)施攻擊的緣由：惡意消遣獲利新穎 政治3.1Linux常見(jiàn)網(wǎng)絡(luò)服務(wù)器Linux服務(wù)器運(yùn)行的軟件主要包括Samba,VsFtp,OpenSSH,MySQL,PHP和Apache等3.2Apache服務(wù)器Web服務(wù)器軟件Apache簡(jiǎn)介Apache源自于NCSA（UniversityofIllinois,Urbana-Champaign）所開(kāi)發(fā)的dApache的優(yōu)勢(shì)：起源于HTTP協(xié)議——降低了用戶(hù)加入?yún)f(xié)議來(lái)支援新的應(yīng)用軟件的門(mén)檻給UNIX/Linux帶來(lái)朝氣——Apache走到哪里，UNIX/Linux就走到哪里支援廠商的支持，為Apache供應(yīng)的工具/模塊持續(xù)成長(zhǎng)3.3Apache服務(wù)器特點(diǎn)Apache服務(wù)器的特點(diǎn)：支持HTTP/1.1協(xié)議。Apache是最先運(yùn)用HTTP/1.1協(xié)議的Web服務(wù)器之一，它完全兼容HTTP/1.1協(xié)議并與HTTP/1.0協(xié)議向后兼容支持通用網(wǎng)關(guān)接口（CGI）。Apache用mod_cgi模塊來(lái)支持CGI，它遵守CGI/1.1標(biāo)準(zhǔn)并且供應(yīng)了擴(kuò)充的特征3.3Apache服務(wù)器特點(diǎn)支持HTTP認(rèn)證。Apache支持基于Web的基本認(rèn)證，它還為支持基于消息摘要的認(rèn)證做好了準(zhǔn)備。Apache通過(guò)運(yùn)用標(biāo)準(zhǔn)的口令文件DBMSQL調(diào)用，或通過(guò)對(duì)外部認(rèn)證程序的調(diào)用來(lái)實(shí)現(xiàn)基本的認(rèn)證集成的Perl語(yǔ)言。Perl已成為CGI腳本編程的基本標(biāo)準(zhǔn)。Apache確定是使Perl成為這樣流行的CGI編程語(yǔ)言的因素之一，通過(guò)運(yùn)用它的mod_perl模塊你可以將基于Perl的CGI腳本裝入內(nèi)存，并可以依據(jù)須要多次重復(fù)運(yùn)用該腳本。這消退了常常與說(shuō)明性語(yǔ)言聯(lián)系在一起的啟動(dòng)開(kāi)銷(xiāo)3.3Apache服務(wù)器特點(diǎn)集成的代理Proxy服務(wù)器服務(wù)器的狀態(tài)和可定制的日志允許依據(jù)客戶(hù)主機(jī)名或IP地址限制訪問(wèn)支持用戶(hù)Web書(shū)目支持虛擬主機(jī)支持動(dòng)態(tài)共享對(duì)象支持平安Socket層支持多進(jìn)程。當(dāng)負(fù)載增加時(shí)，服務(wù)器會(huì)快速生成子進(jìn)程來(lái)處理，從而提高系統(tǒng)的響應(yīng)實(shí)力3.4Apache服務(wù)器平安Apache服務(wù)器面臨的平安問(wèn)題Web站點(diǎn)供應(yīng)靜態(tài)的頁(yè)面，因此平安風(fēng)險(xiǎn)很少。惡意破壞者進(jìn)入這類(lèi)Web站點(diǎn)的唯一方法是獲得非法的訪問(wèn)權(quán)限如今大部分Web服務(wù)器不再供應(yīng)靜態(tài)的HTML頁(yè)面，它們供應(yīng)動(dòng)態(tài)的內(nèi)容，很多Web站點(diǎn)與頗有價(jià)值的客戶(hù)服務(wù)或電子商務(wù)活動(dòng)應(yīng)用結(jié)合在一起（這也是風(fēng)險(xiǎn)所在，通常不留意的）3.4Apache服務(wù)器平安HTTP拒絕服務(wù)：數(shù)據(jù)包洪水攻擊磁盤(pán)攻擊路由不行達(dá)分布式拒絕服務(wù)攻擊3.5Apache服務(wù)器平安策略勤打補(bǔ)丁Linux網(wǎng)管員要常常關(guān)注相關(guān)網(wǎng)站的缺陷，剛好升級(jí)系統(tǒng)或添加補(bǔ)丁3.5Apache服務(wù)器平安策略隱藏和偽裝Apache的版本軟件的漏洞信息和特定版本是相關(guān)的，因此，版本號(hào)對(duì)黑客來(lái)說(shuō)是最有價(jià)值的去除Apache版本號(hào)的方法是修改配置文件/etc/d.conf找到關(guān)鍵字ServerSignatureServerSignatureOff

ServerTokensProd3.5Apache服務(wù)器平安策略RedHatLinux運(yùn)行的Apache是編譯好的程序，提示信息被編譯在程序里須要修改Apache的源代碼，然后，重新編譯安裝程序以Apache2.0.50為例，編輯ap_release.h文件3.5Apache服務(wù)器平安策略修改“#defineAP_SERVER_BASEPRODUCT\"Apache\"”為“#defineAP_SERVER_BASEPRODUCT\"Microsoft-IIS/5.0\"”編輯os/unix/os.h文件3.5Apache服務(wù)器平安策略修改“#definePLATFORM\"Unix\"”為“#definePLATFORM\"Win32\"”修改完畢后，重新編譯、安裝ApacheApache安裝完成后，修改d.conf配置文件3.5Apache服務(wù)器平安策略將“ServerTokensFull”改為“ServerTokensProd”將“ServerSignatureOn”改為“ServerSignatureOff”3.5Apache服務(wù)器平安策略建立一個(gè)平安的書(shū)目結(jié)構(gòu)Apache服務(wù)器包括以下四個(gè)主要書(shū)目ServerRoot：保存配置文件（conf子書(shū)目）、二進(jìn)制文件和其他服務(wù)器配置文件DocumentRoot：保存Web站點(diǎn)的內(nèi)容，包括HTML文件和圖片等3.5Apache服務(wù)器平安策略ScripAlias：保存CGI腳本Customlog和Errorlog：保存訪問(wèn)日志和錯(cuò)誤日志四個(gè)主要書(shū)目相互獨(dú)立并且不存在父子邏輯關(guān)系3.5Apache服務(wù)器平安策略為Apache運(yùn)用特地的用戶(hù)和用戶(hù)組必需保證Apache運(yùn)用一個(gè)特地的用戶(hù)和用戶(hù)組，不要運(yùn)用系統(tǒng)預(yù)定義的賬號(hào)，比如nobody用戶(hù)和nogroup用戶(hù)組只有root用戶(hù)可以運(yùn)行Apache3.5Apache服務(wù)器平安策略假如希望“test”用戶(hù)在Web站點(diǎn)發(fā)布內(nèi)容，并且可以以d身份運(yùn)行Apache服務(wù)器:groupaddwebteam

usermod-Gwebteamtest

chown-Rd.webteam/www/html

chmod-R2570/www/htdocs3.5Apache服務(wù)器平安策略只有root用戶(hù)訪問(wèn)日志書(shū)目，這個(gè)書(shū)目的舉薦權(quán)限:chown-Rroot.root/etc/logs

chmod-R700/etc/logs3.5Apache服務(wù)器平安策略Web書(shū)目的訪問(wèn)策略對(duì)于可以訪問(wèn)的Web書(shū)目，要運(yùn)用相對(duì)保守的途徑進(jìn)行訪問(wèn)，不要讓用戶(hù)查看任何書(shū)目索引列表3.5Apache服務(wù)器平安策略禁止運(yùn)用書(shū)目索引修改配置文件d.confOptions-IndexesFollowSymLinks

Options指令通知Apache禁止運(yùn)用書(shū)目索引

FollowSymLinks表示不允許運(yùn)用符號(hào)鏈接3.5Apache服務(wù)器平安策略禁止默認(rèn)訪問(wèn)一個(gè)好的平安策略要禁止默認(rèn)訪問(wèn)的存在，只對(duì)指定的書(shū)目開(kāi)啟訪問(wèn)權(quán)限假如允許訪問(wèn)/var/www/html書(shū)目，運(yùn)用如下設(shè)定:Orderdeny,allow

Allowfromall3.5Apache服務(wù)器平安策略禁止用戶(hù)重載禁止用戶(hù)對(duì)書(shū)目配置文件（.htaccess）進(jìn)行重載（修改）AllowOverrideNone3.5Apache服務(wù)器平安策略Apache服務(wù)器訪問(wèn)限制方法Apache的access.conf文件負(fù)責(zé)設(shè)置文件的訪問(wèn)權(quán)限，可以實(shí)現(xiàn)互聯(lián)網(wǎng)域名和IP地址的訪問(wèn)限制先把denyfromall設(shè)為初始化指令