快速业务通道

一个安全WEB服务器的安装(6)

作者 佚名技术 来源 服务器技术 浏览 发布时间 2012-07-06

如果Web服务器上的几个文件需要定期更新,scp——cp函数在SSH中的安全版本——就显得不是很好用了。一个更合适的方法是使用SSLftp,它具有FTP的功能并且象SSH一样对数据进行了加密。   日志数据很重要,所有的从WEB服务器和路由器所记录的重要日志记录都应该送到一个集中管理的日志主机,这个日志主机主要用来监视所有计算机的运行状态。通过这种方法,攻击者就就很难遁形灭迹了。   另外,将Solar Designer [13]设计的安全内核补丁集成到系统中是个很好的主意,有了这个安全补丁,利用缓冲区溢出做手脚的攻击方式将变得更困难。   应该剥夺那些suid和sgid程序所具有的没必要的过高特权。这可以通过将那些不再需要具有特权的程序逐个输入到/etc/permissions.local然后手工去掉程序的授权(或启动SuSEconfig)的方法实现。   这个工作直到没有sgid程序并且仅仅有下面列出的少数几个suid程序时结束:    -rwsr-xr-x 1 root shadow 27920 Mar 11 11:50 /usr/bin/passwd
   -rwsr-x--- 1 root trusted 56600 Mar 11 18:41 /usr/bin/sudo
   -rwsr-xr-x 1 root root 6132 Mar 11 09:36 /usr/lib/pt_chown   如果系统由几个分区,通过使用mount选项ro(只读)、nodev(无设备)、nosuid (没有高特权的suid文件)和noexec (没有可执行文件)显著地提高系统的安全级别。   除此之外,可以使用ext2文件系统标志"append-only"和"immutable" (通过chattr命令设置) 定义内核能力,这样就可以保护日志和引导文件等不被篡改。   如果服务器需要具有防止本地攻击的能力,必须为LILO引导装载器配备一个口令,这可以通过在/etc/lilo.conf文件的顶端输入下面的脚本行实现:

  password=something_difficult_to_guess
  restricted   最后,WEB服务器不仅仅只是Apache。通常要包括1到2个数据库,还要引入一些附加的模块和程序,或者需要激活其它一些服务(如Dns服务器)。Linux包过滤(参见第二步中的例子)可以方便有效地提供保护支持。一个称为“隔离间”("compartment":可以从这里获得)的程序支持chroot、特权分配以及Linux能力配置等任务。   当然,还可以做很多其它的事情,但我所能想到的只有这些了。   最后的提示   更新!一个没有采用最新的安全补丁进行更新的系统会很快称为攻击者的目标。   已经完成配置安全系统所需的所有工作之后,要记住:CGI脚本将是最大的安全隐患。大多数成功的攻击都是通过这些脚本实现的。简明的建议是:最好使用那些公开发布并且已经被不同的网站使用了一段时间的CGI脚本;如果管理员不得已需要写一些CGI脚本程序的话,这些程序应该由其它人对其安全因素进行例行检查。   结论   一个非常安全且高可用的WEB服务器——这似乎有些矛盾,但确实是很好的折中——能够在短短45分钟的时间内配置完。当然您可以通过更多的工作以提高系统的安全级别,但是这里配置的系统对大多数应用来说已经足够了。 关键词:安装

凌众科技专业提供服务器租用、服务器托管、企业邮局、虚拟主机等服务,公司网站:http://www.lingzhong.cn 为了给广大客户了解更多的技术信息,本技术文章收集来源于网络,凌众科技尊重文章作者的版权,如果有涉及你的版权有必要删除你的文章,请和我们联系。以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢!

分享到: 更多

Copyright ©1999-2011 厦门凌众科技有限公司 厦门优通互联科技开发有限公司 All rights reserved

地址(ADD):厦门软件园二期望海路63号701E(东南融通旁) 邮编(ZIP):361008

电话:0592-5908028 传真:0592-5908039 咨询信箱:web@lingzhong.cn 咨询OICQ:173723134

《中华人民共和国增值电信业务经营许可证》闽B2-20100024  ICP备案:闽ICP备05037997号