<marquee width=358>欢迎来到月影社区,希望这里可以成为您美丽的梦幻花园,如果你觉得这里好请分享给您的朋友!- wf66.com</marquee> 将月影社区设置为您的首页将月影社区地址加入到您的收藏栏
月影社区时尚音乐音乐查询IP手机许愿之瓶最新更新文件加密访客留言爱音乐
欢迎您,首页 >> 信息中心 >> 有关服务器配置的安全提示

请输入您关键字:


有关服务器配置的安全提示

推荐查看本文HTML版本

一些在建立一个WEB服务器时的安全方面的提示和建议。一部分是通用的,其它则仅限于Apache服务器


--------------------------------------------------------------------------------

ServerRoot 目录的许可权限
在典型的启动下,Apache 由 root 用户启动,然后它转到由User命令定义的用户,以提供点击服务。作为 root 可以执行任何指令这一情况,你必须当心它不被任何非 root 用户更改。不仅文件本身只能被 root 改写,而且其子目录,以及所有子目录的根目录也要如此。例如,如果你选择将 ServerRoot 放置于 /usr/local/apache,那么我们建议你以 root 身份创建这个目录,采用类似以下的命令:

    mkdir /usr/local/apache
    cd /usr/local/apache
    mkdir bin conf logs
    chown 0 . bin conf logs
    chgrp 0 . bin conf logs
    chmod 755 . bin conf logs

这里假设 /, /usr, 和 /usr/local 仅仅可以被 root 更改。当你安装 httpd 可执行文件,你必须确定它也被类似的保护:
    cp httpd /usr/local/apache/bin
    chown 0 /usr/local/apache/bin/httpd
    chgrp 0 /usr/local/apache/bin/httpd
    chmod 511 /usr/local/apache/bin/httpd

你可以创建一个可以被其他用户改写的 htdocs 子目录,—— 只要 root 从不在那里执行或创建任何文件。

如果你允许非 root 用户改写那些 root 执行或写入的文件,那么你将你的系统到 root compromises。例如,有人可以替换 httpd 可执行文件,当你下次启动它时,她将执行一些任意的代码;如果 logs 子目录(对于非 root 用户)是可写的,也许有人将它替换成为指向其它系统文件的链接,如此 root 可能用任意的代码覆盖原文件;如果日志文件本身是可写的,也许有人会用伪造的数据改写它。

 

--------------------------------------------------------------------------------

Server Side Includes
Server side includes (SSI) 可以如此设置,以致用户可以在服务器上执行任意的程序。这一点本身就回让系统管理员不寒而栗。

一个解决的办法是禁用这一部分的 SSI。为此,你可以在 Options 指令中使用 IncludesNOEXEC 选项。

 

--------------------------------------------------------------------------------

Non Script Aliased CGI
只有在以下的情况下,才可以允许用户在任何目录使用 CGI 脚本语言:

你信任你的用户不会故意或无意使用脚本让你的系统遭受攻击;
你认为你的网站安全是如此的脆弱,这样也不会造成更大的漏洞;
你没有用户,而且没有人访问你的网站。


--------------------------------------------------------------------------------

Script Alias'ed CGI
限制 CGI 仅在特定的目录内执行,让管理员可以控制进入目录的内容。这显然比 non script aliased CGI 更安全,但仅限于对可以信任的目录,用户有写的权利 或管理员愿意测试每一个新的 CGI 脚本/程序,并寻找安全漏洞。

Most sites choose this option over the non script aliased CGI approach.

 

--------------------------------------------------------------------------------

CGI in general
永远记住你必须相信 CGI 脚本/程序的作者或你自己有能力发现 CGI 中的潜在安全漏洞,不管它们是有意的或是无心的。

所有的 CGI 脚本将作为同一用户运行,所以有和其它脚本冲突(有意的或无心的)的潜在可能性。例如,用户 A 憎恨用户 B,所以他写了一个脚本破坏用户 B 的 CGI 的数据文件。一个能让脚本作为另一个用户运行的程序是 suEXEC,它包含在 Apache 1.2 中,在Apache服务器代码中通过特殊的 hooks 调用。另一个常用的方法是用 CGIWrap。

 

--------------------------------------------------------------------------------

阻止用户修改系统配置...
为使服务器更稳定的运行,你也许希望阻止用户修改 .htaccess 文件从而更改你的系统安全方面的设置。以下是一种方法...

在服务器设置文件中,加上

<Directory />
AllowOverride None
Options None [月影社区 http://wf66.com/]
Allow from all
</Directory>

然后为特定目录设置
这将阻止所有的这些命名的之外的overrides,includes 和 accesses。

 

--------------------------------------------------------------------------------

设定默认为保护服务器文件
一个经常被误解的 Apache 的理念是默认存取(权限)。就是说,除非你采取措施更改它们,如果服务器可以通过正常的 URL 找到一个文件,它将可以将文件提供给客户。

例如,考虑以下例子:

# cd /; ln -s / public_html
Accessing http://localhost/~root/
这将允许客户浏览整个的文件系统。为了解决这个问题,在服务器设置文件中增加以下小节:

 <Directory />
     Order Deny,Allow
     Deny from all
 </Directory>

这将禁止默认的可以访问文件系统的设置。增加类似 <Directory> 小节以允许仅仅访问你希望的区域。例如,

 <Directory /usr/users/*/public_html>
     Order Deny,Allow[月影社区 http://wf66.com/]
     Allow from all
 </Directory>
 <Directory /usr/local/httpd>
     Order Deny,Allow
     Allow from all
 </Directory>

特别注意以下两个指令 <Location> and <Directory> 的交互作用;例如,即使 <Directory /> 拒绝访问,一个 <Location /> 指令也许改变它。

同时,必须机警地和 UserDir 指令打交道;将它设定成类似 "./" 将有相同的作用,对于 root ,像上面的第一个例子。如果你使用 Apache 1.3 或更高版本,我们强烈建议你在服务器设置文件中增加以下行:

UserDir disabled root

有关服务器配置的安全提示 2006-9-20
转到本主题第:[ 1 ]
相关评论

暂无评论

总计0页 [ ]上一页 下一页
发表评论(揪错)
呢称: * 您尚未登陆,请登录
来自: *
内容:
 

(为防止非法信息,您的言论提交后需要审核才能正常显示)

文学
精品文萃 情感天地 言情小说
网络小说 玄幻小说 悬疑恐怖
武侠小说 古典品谈 外国名著
儿童文学 会员原创 学习园地
杂谈其它
娱乐
爆笑网文 星座占卜 影音动漫
娱乐新闻 影视剧情
诗词
青竹诗歌 个人诗集 宋词雅赏
全唐诗录
新闻
国际新闻 国内新闻 科技新闻
体育新闻
图片
图文专区 艺术长廊 桌面壁纸
精品素材 像素图片
漫画
单幅漫画 爆笑四格 连环漫画
电脑
电脑入门 图形图像 编程开发
游戏
我爱Q宠 最新攻略 最新秘籍
游戏新闻 技巧心得
经济
帕格节电 财经资讯 股市证券
生活
百科知识 外语学院 潮流时尚
健康医疗 宠物花卉 汽车地带
行走天下
美食
面食甜点 家常菜品 药膳食疗
美食天下 烹饪技巧 松辽风味
燕京风味 巴蜀风味 滇黔风味
赣江风味 徽皖风味 闽台风味
齐鲁风味 中州风味 岭南风味
荆楚风味 三晋风味 淞沪风味
苏扬风味 潇湘风味 钱塘风味
民族风味 素斋仿荤
营销
管理杂谈 谈经论道 培训激励
经营战略 职场生涯 公关交际
关于我们版权声明本站导航友情连结作品演示 TOP↑
本论坛言论纯属发表者个人意见,与£月影社区£立场无关。 皖ICP备16024038号-1
禁止发布任何色情/政治/反动相关信息让我们共同来营造一个属于我们的梦幻家园
Copyright ©2001-2006 MoonShadow. All rights reserved.  Version 4.0  Licence 2006.4.2
建站天数:7186天 本站基于ASP+JS构建,完全自主开发,版权归属月影社区 管理员QQ:23165062 Time:62ms