Linux网络服务器安全ppt课件.pptVIP

Linux网络服务器安全 1 1 Linux服务器安简介 人们对安全问题的日益重视 网络安全已经不仅仅是技术问题 而是一个社会问题企业应当提高对网络安全的重视 不应被各种商业宣传所迷惑 认为安装了防火墙 认证授权和入侵检测系统就可以保护网络免受各种攻击 2 1 Linux服务器安简介 没有绝对安全的网络 也没有 无坚不摧 的安全解决方案 从辩证法的角度来说 安全是相对的攻击和安全防护是矛与盾的关系 安全与反安全之间就是一场长期战斗 了解攻击者是非常重要的 更重要的是根据攻击级别提出解决方案 3 2 服务器攻击简介 攻击是一种旨在妨碍 损害 削弱 破坏服务器安全的未授权行为攻击的范围可以从服务拒绝直至完全危害和破坏服务器攻击者使用什么操作系统 WindowsNT 2000 XP和UNIX是使用最多的平台越来越多的攻击者正在使用FreeBSD或NetBSD 4 2 服务器攻击简介 典型的攻击者有什么特征 能用C C 或Perl编写程序大多数原始安全工具都是用这些语言中的一种或几种编写的 攻击者必须能够解释 编译和执行这些代码 5 2 服务器攻击简介 深入掌握TCP IP知识 攻击者必须了解Internet是如何工作的 攻击者必须对TCP IP的原始代码有所了解攻击者不是临时用户 他们不仅了解自己的机器 而且对网络也了如指掌 具有丰富的网络使用经验 6 2 服务器攻击简介 至少熟知三种操作系统 其中一种操作系统毫无疑问是UNIX或Linux大多数攻击者是 或曾经是 系统管理员或开发人员 具有开发客户服务器应用的经验 7 2 服务器攻击简介 实施攻击的原因 恶意娱乐获利好奇政治 8 3 1Linux常见网络服务器 Linux服务器运行的软件主要包括Samba VsFtp OpenSSH MySQL PHP和Apache等 9 3 2Apache服务器 Web服务器软件Apache简介Apache源自于NCSA UniversityofIllinois Urbana Champaign 所开发的httpdApache的优势 起源于HTTP协议 降低了用户加入协议来支援新的应用软件的门槛给UNIX Linux带来生机 Apache走到哪里 UNIX Linux就走到哪里支援厂商的支持 为Apache提供的工具 模块持续成长 10 3 3Apache服务器特点 Apache服务器的特点 支持HTTP 1 1协议 Apache是最先使用HTTP 1 1协议的Web服务器之一 它完全兼容HTTP 1 1协议并与HTTP 1 0协议向后兼容支持通用网关接口 CGI Apache用mod cgi模块来支持CGI 它遵守CGI 1 1标准并且提供了扩充的特征 11 3 3Apache服务器特点 支持HTTP认证 Apache支持基于Web的基本认证 它还为支持基于消息摘要的认证做好了准备 Apache通过使用标准的口令文件DBMSQL调用 或通过对外部认证程序的调用来实现基本的认证集成的Perl语言 Perl已成为CGI脚本编程的基本标准 Apache肯定是使Perl成为这样流行的CGI编程语言的因素之一 通过使用它的mod perl模块你可以将基于Perl的CGI脚本装入内存 并可以根据需要多次重复使用该脚本 这消除了经常与解释性语言联系在一起的启动开销 12 3 3Apache服务器特点 集成的代理Proxy服务器服务器的状态和可定制的日志允许根据客户主机名或IP地址限制访问支持用户Web目录支持虚拟主机支持动态共享对象支持安全Socket层支持多进程 当负载增加时 服务器会快速生成子进程来处理 从而提高系统的响应能力 13 3 4Apache服务器安全 Apache服务器面临的安全问题Web站点提供静态的页面 因此安全风险很少 恶意破坏者进入这类Web站点的唯一方法是获得非法的访问权限如今大部分Web服务器不再提供静态的HTML页面 它们提供动态的内容 许多Web站点与颇有价值的客户服务或电子商务活动应用结合在一起 这也是风险所在 通常不注意的 14 3 4Apache服务器安全 HTTP拒绝服务 数据包洪水攻击磁盘攻击路由不可达分布式拒绝服务攻击 15 3 5Apache服务器安全策略 勤打补丁Linux网管员要经常关注相关网站的缺陷 及时升级系统或添加补丁 16 3 5Apache服务器安全策略 隐藏和伪装Apache的版本软件的漏洞信息和特定版本是相关的 因此 版本号对黑客来说是最有价值的去除Apache版本号的方法是修改配置文件 etc httpd conf找到关键字ServerSignatureServerSignatureOffServerTokensProd 17 3 5Apache服务器安全策略 RedHatLinux运行的Apache是编译好的程序 提示信息被编译在程序里需要修改Apache的源代码 然后 重新编译安装程序以Apache2 0 50为例 编辑ap release h文件 18 3 5Apache服务器安全策略 修改 defineAP SERVER BASEPRODUCT Apache 为 defineAP SERVER BASEPRODUCT Microsoft IIS 5 0 编辑os unix os h文件 19 3 5Apache服务器安全策略 修改 definePLATFORM Unix 为 definePLATFORM Win32 修改完毕后 重新编译 安装ApacheApache安装完成后 修改httpd conf配置文件 20 3 5Apache服务器安全策略 将 ServerTokensFull 改为 ServerTokensProd 将 ServerSignatureOn 改为 ServerSignatureOff 21 3 5Apache服务器安全策略 建立一个安全的目录结构Apache服务器包括以下四个主要目录ServerRoot 保存配置文件 conf子目录 二进制文件和其他服务器配置文件DocumentRoot 保存Web站点的内容 包括HTML文件和图片等 22 3 5Apache服务器安全策略 ScripAlias 保存CGI脚本Customlog和Errorlog 保存访问日志和错误日志四个主要目录相互独立并且不存在父子逻辑关系 23 3 5Apache服务器安全策略 为Apache使用专门的用户和用户组必须保证Apache使用一个专门的用户和用户组 不要使用系统预定义的账号 比如nobody用户和nogroup用户组只有root用户可以运行Apache 24 3 5Apache服务器安全策略 如果希望 test 用户在Web站点发布内容 并且可以以httpd身份运行Apache服务器 groupaddwebteamusermod Gwebteamtestchown Rhttpd webteam www htmlchmod R2570 www htdocs 25 3 5Apache服务器安全策略 只有root用户访问日志目录 这个目录的推荐权限 chown Rroot root etc logschmod R700 etc logs 26 3 5Apache服务器安全策略 Web目录的访问策略对于可以访问的Web目录 要使用相对保守的途径进行访问 不要让用户查看任何目录索引列表 27 3 5Apache服务器安全策略 禁止使用目录索引修改配置文件httpd confOptions IndexesFollowSymLinksOptions指令通知Apache禁止使用目录索引FollowSymLinks表示不允许使用符号链接 28 3 5Apache服务器安全策略 禁止默认访问一个好的安全策略要禁止默认访问的存在 只对指定的目录开启访问权限如果允许访问 var www html目录 使用如下设定 Orderdeny allowAllowfromall 29 3 5Apache服务器安全策略 禁止用户重载禁止用户对目录配置文件 htaccess 进行重载 修改 AllowOverrideNone 30 3 5Apache服务器安全策略 Apache服务器访问控制方法Apache的access conf文件负责设置文件的访问权限 可以实现互联网域名和IP地址的访问控制先把denyfromall设为初始化指令 再使用allowfrom指令打开访问权限 31 3 5Apache服务器安全策略