快速业务通道

一个安全WEB服务器的安装(5)

作者 佚名技术 来源 服务器技术 浏览 发布时间 2012-07-06

SSL的激活和证书的产生在/usr/doc/packages/apache/README.SuSE文件中描述。   提示:SSL证书应该 一个密码保护起来,以减少攻击者成功入侵后将其拷贝并滥用的可能性(很少发生!)。   作为一个一般的规则,应该保证没有在任何地方使用符号符号连接(Symlinks),因此要禁止FollowSymLinks选项。所有的CGI都放在cgi-bin目录下,不允许放在其它任何地方,甚至也不允许在其它目录下执行。为了做到这一点,请不要使用ExecCGI配置选项。   为了禁止访问某些文件区,应该在这些目录下分别加入一个命名为.htAccess的文件,并在中加入下面的文本行:   order deny,allow deny from all   第六步:Step 6: sudo程序与多个管理员   每一个管理员都应该有一个自己的帐号。如果每个人都使用root身份进行操作,那么就无法知道谁做了些什么。另外,如果使用root口令输入了一个不正确的命令可能对整个系统都产生严重的影响。应该仅仅在绝对需要时才使用具有高授权的操作。先前的harden_suse脚本已经将系统配置进行了必要的修改,它禁止了root用户的直接远程登录。仅仅以加密形式的SSH进行远程登录才可以执行管理任务。下一个需要做的事是配置sudo,这个程序可以帮助管理员记录执行过的命令。这个程序也提供了一个详细的授权结构,例如,象Oracle用户一样,用户A可以被授权为可以重新启动数据库和查看root目录下的系统日志文件,但是不能做除此以外的任何事。可用用下面的命令行为每一个管理员设置一个用户:    erde# adduser -m -g trusted username   将用户包含在"trusted"用户组是非常关键的,因为根据harden_suse所确定的安全标准,sudo仅能够被trusted组所使用。   随后,管理员就可以利用visudo程序,在编辑器中加入允许管理员可以做任何他想做的事的脚本行如下:    username ALL=(ALL) ALL   "man 5 sudoers" 设置了一个可以限制授权的主机。   当然,管理员应该使用sudo并且不应该使用"su root"命令转换到root身份,只有这样,才能保证让尽量少的人知道root口令。   第七步:最后的调整   完成所有的系统配置之后,应该使用tripwire程序产生一个包含所有文件的校验和的数据库:    erde# cp /usr/doc/packages/tripwire/tw.conf.example.Linux /var/adm/tripwire/tw.config
   erde# /var/adm/tripwire/bin/tripwire -initialize   在连接Internet之前,产生文件/databases/tw.db_HOSTNAME应该备份到一个安全的存储介质(如CD-ROM)上。   一旦怀疑有攻击者已经入侵并操作了系统,可以用tripwire跟踪所有的操作。但是,应该隔一段时间就用tripware重新生成一次校验和数据库,因为这是对付高智商的攻击者的最有效方法。   在连接Internet之间的最后工作是对系统进行备份而后reboot。   但这些还不够,所有的系统管理员都应该订阅关于WEB安全的最重要的邮件列表:   suse-security:这是包含安全相关专题和安全公告的SuSE讨论组列表,要订阅这个列表,只需要发送一个空邮件到suse-security-subscribe@suse.com邮箱就可以了;   suse-security-announce:仅仅包含安全公告,要订阅这个列表,需要发一个空邮件到suse-security-announce-subscribe@suse.com邮箱;   bugtraq:致力于最新的安全问题的讨论区列表,要订阅这个列表,需要发送一个包含"subscribe bugtraq surname@firstname"内容的空白邮件到:listserv@securityfocus.com邮箱。   其它选择   由于没有安装本地入侵检测系统,所以只能从攻击者留下的可以痕迹跟踪成功入侵的黑客行为。对于这种措施,也没有什么现成的解决方案,但是还是有很多人开发了针对这种工作的程序和发布了一些窍门。然而,有关这些方面的细节描述远非本文的主题所能涵盖了。 关键词:安装

凌众科技专业提供服务器租用、服务器托管、企业邮局、虚拟主机等服务,公司网站:http://www.lingzhong.cn 为了给广大客户了解更多的技术信息,本技术文章收集来源于网络,凌众科技尊重文章作者的版权,如果有涉及你的版权有必要删除你的文章,请和我们联系。以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢!

分享到: 更多

Copyright ©1999-2011 厦门凌众科技有限公司 厦门优通互联科技开发有限公司 All rights reserved

地址(ADD):厦门软件园二期望海路63号701E(东南融通旁) 邮编(ZIP):361008

电话:0592-5908028 传真:0592-5908039 咨询信箱:web@lingzhong.cn 咨询OICQ:173723134

《中华人民共和国增值电信业务经营许可证》闽B2-20100024  ICP备案:闽ICP备05037997号