服务器安全---武汉大学--黄石理工学院就业信息网PPT课件

-,1,构建安全的网站服务器,-网络服务器的基本防护,-,2,武汉大学网络拓扑,-,3,对任何网络应用来说，网站服务器都是必不可少的，但服务器的安全一直是另人烦恼的问题。如何配置一台相对安全的服务器是我们必须要了解的，由于Windows系统的漏洞和安全问题相对而言比较多，因此在网络应用中使用UNIX操作系统构建web站点是较为合适的选择。下面就以Solaris为例，介绍在Solaris系统上的安全配置经验。,-,4,1、正确安装系统,安装solaris时不要将服务器接入网络，因为任何系统安装后的缺省设置是不安全的，在连接到Internet后，会在很短的时间内被扫描并攻击，因此在没有完成适当的设置前，尽可能的单机操作。安装完后首先要给系统打补丁，目前sun公司已经不再提供免费recommended补丁包（类似windows的serivepack），需要使用其提供的eis光盘安装补丁包。,-,5,2、关闭不需要的服务和端口,安装完补丁包后，将没有必要的服务通通关掉，以免给系统带来安全隐患，同时也能节约系统资源。solaris中关闭系统服务的办法是在etc/rcX.d的目录中将以S开头的文件改名，比如改成以x开头。,-,6,可以将这些命令写成脚本直接在系统中执行，下面以solaris9为例，关闭作为网站服务器不需要的服务：cd/etc/rc2.dmvS47aspppxS47aspppmvS47pppdxS47pppdmvS70uucpxS70uucpmvS71ldap.clientxS71ldap.clientmvS72autoinstallxS72autoinstallmvS72inetsvcxS72inetsvcmvS72slpdxS72slpdmvS73cachefs.daemonxS73cachefs.daemonmvS73nfs.clientxS73nfs.clientmvS74autofsxS74autofsmvS80lpxS80lpmvS80spcxS80spcmvS88sendmailxS88sendmailmvS90wbemxS90wbem,-,7,由于solaris自带的ftp（文件传输）和telnet（远程登录）服务都有安全漏洞，建议用porftp和openssh代替，这样就可以将/etc/inetd.conf中的服务都关掉，以后有需要时再添加服务，相应的etc/rc2.d中的inet也可以关闭，因为现在inet没有启用任何服务。关闭不需要的端口，将/etc/services中的端口都关闭，只留ftp和ssh等相应的端口。,-,8,4、修改系统参数防止攻击,在/etc/system中加入setnoexec_user_stack=1setnoexec_user_stack_log=1这样系统在堆栈缓冲溢出攻击中更不易受侵害。/etc/default/inetinit中加入TCP_STRONG_ISS=2提高ISN的生成强度以防止IP欺骗。,-,9,/etc/init.d/inetinit中加入ndd-set/dev/ipip_forwarding0ndd-set/dev/ipip_forward_src_routed0ndd-set/dev/ipip_respond_to_timestamp_broadcast0ndd-set/dev/ipip_ignore_redirect1ndd-set/dev/ipip_send_redirects0ndd-set/dev/ipip_respond_to_timestamp0说明：关闭IP转发和广播，防止路由欺骗。,-,10,ndd-set/dev/tcptcp_conn_req_max_q04096ndd-set/dev/tcptcp_conn_req_max_q1024ndd-set/dev/tcptcp_ip_abort_interval60000ndd-set/dev/tcptcp_time_wait_interval60000ndd-set/dev/tcptcp_fin_wait_2_flush_interval67500说明：防止SYN_flood和连接耗尽攻击。,-,11,5、安装OpenSSH和TCPWrapper,OpenSSH使用了加密的通道和公钥认证机制，这样在远程控制时比使用telnet更安全。TCPWrapper提供基于地址的安全性，通过设置etc/hosts.allow和hosts.deny来选择可以连接服务器的地址。例如在hosts.allow中加上：sshd:/，在hosts.deny中加上：ALL:ALL，这样，我们就只允许来自-55网段的地址通过O