WEB服务器的配置和管理

WEB服务器的配置和管理,四川大学曾雪梅zengxm,主要内容,WEB平台简介IIS的安装IIS的虚拟目录配置IIS的站点配置IIS的安全配置常见问题分析,（一）WEB平台简介,IIS,Internet信息服务，简称IIS，由微软提供，部署在Windows操作系统上支持HTTP、FTP、SMTP、NNTP当今流行的Web服务器之一。支持html、asp、.net框架管理和配置简单,源于NCSAhttpd服务器，经过多次修改，成为世界上最流行的Web服务器软件之一开放源代码，现在由非盈利性组织的公司Apache软件基金会维护简单、速度快、性能稳定，并可做代理服务器来使用几乎可以运行在所有的计算机平台上（Unix、Windows、Linux系统平台上）,Apache,Tomcat,一个免费的开放源代码的Web应用服务器是Apache软件基金会的Jakarta项目中的一个核心项目有了Sun的参与和支持，最新的Servlet和JSP规范总是能在Tomcat中得到体现Tomcat技术先进、性能稳定，而且免费，因而深受Java爱好者的喜爱支持html、JSP、Servlet,网站建设经典组合ASP(ASP.NET)+ACCESSASP(ASP.NET)+SQLSERVERPHP+MYSQLJSP+MYSQLWEB环境ASP(ASP.NET)环境IISPHP环境Apache（php）或者IIS+Apache+phpJSP环境Apache(JSDK)或者Apache+Tomcat,（二）IIS的安装,IIS安装过程图,控制面板添加或删除程序添加或删除Windows组件,IIS安装过程图,IIS安装过程图,IIS安装过程图,打开IIS管理器图,图：IIS管理器,IIS默认站点访问,IIS默认站点访问,启用Web服务扩展,默认情况下，IIS只为静态内容提供服务对ASP、ASP.net的支持需要开启,Web服务扩展ActiveServerPages：ASP脚本支持组件Internet数据连接器：通过.idc文件提供的动态内容支持WebDav发布：WebDAV扩展了HTTP1.1协议，使其支持Web内容的发布和管理在服务器端的包含文件：提供对.shtm、.shtml、和.stm文件的支持ASP.NET:提供对.net的支持,（三）IIS虚拟目录配置,IIS虚拟目录,虚拟目录若将web站点包含的文件放置在了其他主目录的驱动器上，或在其他计算机上，则必须创建虚拟目录将这些文件包含到你的web站点中。引入虚拟目录的优点及作用可以将数据分散到不同的磁盘或计算机上存储，提高安全性。注：为了提高安全性，应将目录设置到NTFS分区上可以避免使主目录空间达到极限当数据移动的时候不会影响Web站点的结构。如果存放网站内容的文件夹发生变化，则只要将该虚拟目录重新指向到新的文件夹即可。,IIS虚拟目录创建过程图,虚拟目录的创建过程,IIS虚拟目录创建过程图,输入虚拟目录的别名,IIS虚拟目录创建过程图,IIS虚拟目录创建过程图,输入网站内容的路径,IIS虚拟目录创建过程图,IIS虚拟目录创建过程图,IIS虚拟目录创建过程图,虚拟目录的访问,虚拟目录的别名,虚拟目录访问权限说明,读取：提供给用户读取网页的服务，也就是说客户端可以下载网页。如果Web服务器位于NTFS文件系统的驱动器上，则客户端能否下载网页还要取决于NTFS权限的设置。运行脚本(如:ASP)：允许客户端访问站点脚本文件（如：ASP）。配合读取权限，客户端可以访问脚本；配合写入权限，客户端可以修改脚本。,虚拟目录访问权限说明（续）,执行（如：ISAPI应用程序或CGI）：允许客户端执行ISAPI或CGI的应用程序。写入：允许客户端上载文件或者编辑改变网页内容。和读取的权限相同，客户端是否拥有写入的权限还要取决于NTFS权限。浏览：允许客户端浏览Web站点的目录。如果给客户端此权限，则当Web站点上没有启用默认文档，客户端输入的URL又没有指定文件名或目录的时候，页面将显示为此站点的目录列表。建议不要开放此权限。,（四）IIS站点配置,IIS站点,IIS支持在同一台服务器上实现多个web站点。创建方法：利用多个IP地址建立多个网站；利用TCP连接端口建立多个网站；利用主机头名称建立多个网站；,站点创建过程,基于端口号:更改端口号，如：8080,基于主机头：输入站点域名如：,基于IP地址:输入网站IP地址,三种方法的优缺点,基于IP地址用户通过“http:/IP地址/”的方式访问服务器需要配置多个IP地址不适合IP地址不足的情况基于端口用户通过“http:/IP地址:端口号/”的方式访问只需要一个IP地址或域名用户需要记住每个web站点对应的端口号基于主机头（域名）用户通过“http:/域名/”的方式访问每个站点需要一个域名需要在DNS服务器中将一台计算机的IP地址映射到多个域名,站点的其它配置,鼠标右键点击站点，如：“站点1”属性,同一个站点有多个域名同一个站点有多个IP地址同一个站点通过多个端口访问,为同一站点增加访问方式,站点的日志配置,W3C扩展日志文件格式一个包含多个不同属性、可自定义的ASCII格式。可以记录对管理员来说重要的属性，可省略不需要的属性字段来限制日志文件的大小。各属性字段以空格分开。时间以UTC形式记录。（与本地时间相差8小时）ODBC日志记录格式用来记录符合开放式数据库连接（ODBC）的数据库（MicrosoftAccess或SQLServer）中一组固定的数据属性。必须指定要登录的数据库，并且设置数据库接收数据。,四种日志格式,NCSA公用日志文件格式美国国家超级计算技术应用中心公用格式，是一种固定的（不能自定义的）ASCII格式记录关于用户请求的基本信息，如远程主机名、用户名、日期、时间、请求类型、HTTP状态码和服务器发送的字节数。各属性字段以空格分开。时间记录为本地时间MicrosoftIIS日志文件格式固定的（不能自定义的）ASCII格式。IIS格式比NCSA公用格式记录的信息多。用逗号分开时间记录为本地时间。,站点的日志配置,建议不要使用默认的目录！更换一个记录日志的路径，同时设置日志访问权限，只允许管理员和SYSTEM为完全控制的权限。,W3C扩展日志,根据日志文件中记录的内容，便可得知访问该站点的用户的详细情况，如IP地址、所访问过的文件等，还可以查出有哪些人非法入侵过，并根据入侵情况来查询入侵者地址，或者加强网站的安全措施。,设置站点的性能,配置“主目录”选项卡,权限,权限脚本资源访问：允许用户访问文件源代码。如ASP脚本。建议不要勾选此项读取：允许用户读取或者下载文件或目录及其相关属性。必选项写入：允许用户将文件及其相关属性上载到服务器上已启用的目录中，或者更改可写文件的内容。,目录浏览：允许用户看到该虚拟目录中的文件和子目录的超文本列表。如果禁用了目录浏览并且用户未指定文件名，那么Web服务器将在用户的Web浏览器中显示“禁止访问”错误消息。建议不要勾选此项记录访问：将IIS配置成在日志文件中记录对此目录的访问。只有启用了该网站的日志记录之后，才会记录访问情况。索引资源：允许Microsoft索引服务在网站的全文索引中包含该文件夹。,应用程序池,IIS6.0的一个全新概念应用程序池中的应用程序与其他应用程序被工作进程边界分隔，某个应用程序池中的应用程序不会受到其他应用程序池中应用程序所产生的问题的影响。工作进程隔离模式允许客户创建多个应用程序池,应用程序池的创建,输入应用程序池的名称，如：站点1,应用程序池的指派,执行权限：此选项确定该站点资源的许可的程序执行级别。“无”：可以限制只能访问静态文件，如HTML或图像文件。“纯脚本”：可以只允许运行纯脚本，而不运行可执行程序。“脚本和可执行文件”：允许应用程序在此目录中运行，其中包括映射到脚本引擎的应用程序和Windows二进制文件（.dll和.exe文件）,站点默认首页的配置,常见默认首页：Index.htmIndex.htmlIndex.aspIndex.aspxDefautl.htmDefault.htmlDefault.aspDefault.aspx,（五）IIS的安全配置,几个方面的安全配置,防mdb文件被恶意下载屏蔽服务器返回的错误信息站点IP限制访问权限设置IIS的备份和还原,防mdb文件被恶意下载,问题：AspAccess站点数据库位置：/data/db.mdbhttp:/mydomain/data/db.mdb在IE浏览器输入以上URL，数据库可以被下载解决办法方法一修改数据库的扩展名为asp缺陷：如果asp文件被批量挂马，数据库无法恢复方法二数据库名前加“#”方法三使用ODBC数据源方法四增加对mdb的应用程序映射,增加对mdb的应用程序映射,屏蔽服务器返回的错误信息,问题大量的攻击都是基于服务器返回的脚本错误信息，如sql注入攻击,增加sql注入的反馈页面,正常页面,错误页面,解决办法屏蔽服务器返回的错误信息,注：这个方法不能从根本上解决sql注入问题,站点IP限制,问题某个站点只需要对给定范围的主机访问或者禁止给定范围的主机访问站点解决方法IP限制,设置IP地址限制,添加一系列将被拒绝访问的计算机,添加一系列将被授权访问的计算机,访问权限设置,问题：服务器上配置多个站点，一个站点被攻击，往往会影响服务器上的其它站点解决办法定期扫描站点漏洞，及时修补相应的漏洞设置合理的访问权限,环境：两个站点：站点1、站点2站点1存在漏洞，被上传了asp木马没有进行权限设置之前，利用站点1的漏洞可以攻击站点2。,访问权限设置的步骤创建用户组webgroup为每个站点分别创建系统用户，属于webgroup用户组。并分别为这些用户创建复杂的口令。修改匿名访问使用的帐户为新添加的用户，并正确输入用户的密码修改站点目录的NTFS权限，仅保留system用户和新添加的用户演示,删除不需要的用户权限，只留下Administrator和SYSTEM,继承父目录的权限，在删除时的提示信息,去掉选项前的“”,删除其它用户之后,更改匿名访问的用户,输入该用户的密码,若站点存放在Windows2003服务器的E盘E:的权限：Administrators全部（该文件夹，子文件夹及文件）system全部（该文件夹，子文件夹及文件）“E:wwwsite站点1”的权限：Administrators全部（该文件夹，子文件夹及文件）system全部（该文件夹，子文件夹及文件）vhost1全部（该文件夹，子文件夹及文件）,IIS的备份和还原,许多虚拟站点，每个站点的配置不同；服务器迁移，如何快速实现IIS的配置？如果配置错误，如何快速恢复,IIS的备份,输入备份配置的文件名,选择备份文件的存放路径,备份文件,IIS的还原,（六）常见问题分析,常见问题,提示访问被禁止提示找不到文件如何提高FSO组件的安全性？为什么Windows2003的IIS6.0不能上传超过200K的文件？SQL注入问题,现象提示无权限访问弹出对话框，请求输入用户名和密码解决办法检查身份验证方法匿名、基本验证检查文件授权、用户权限Internet来宾用户或指定用户是否具有访问权限上传文件存放目录是否具有写权限用户对数据库文件是否具有写权限,1.访问被禁止,2.找不到文件,现象提示文件不存在网页图片没有正常显示解决方法检查网页上文件的路径，再到服务器上查看对应的路径下文件是否存在检查网页上链接地址是否正确,3.如何提高FSO组件的安全性？,什么是FSO?ASP提供的文件系统访问能力可以对服务器硬盘上的任何文件进行读、写、复制、删除、改名等操作,asp里调用组件的方式通常是set对象名=server.createobject(progid),FSO组件存在的问题因为权限控制的问题，很多虚拟主机服务器的fso反而成为这台服务器的一个公开的后门。很多主机都遭受过FSO木马的侵扰。禁用FSO组件后，所有利用这个组件的ASP程序将无法运行，无法满足客户的需求。,禁用FSO组件的方法,用regsrv32/uc:windowssystemscrrun.dll(win98路径)来注销该组件。此方法过于狠毒，属于同归于尽的方法，大家都没得用，是下招,提高FSO组件安全性的方法一,在开始-运行中敲入regedit,然后找到hkey_classes_rootscripting.filesystemobject，更改该progid的值，如改成scripting.filesystemobject8。,通过修改注册表中的progid值从而达到禁用该组件的方法,还是用原来的调用方法的结果：,服务器对象错误asp0177:800401f3server.createobject失败/aspimage/testfile2.asp,行3800401f3,提高FSO组件安全性的方法二,设置站点和目录的权限，将IIS用户执行写操作的范围限制到尽可能小,4.如何解除FSO上传程序小于200k限制？,先在服务里关闭IISadminservice服务，找到WindowsSystem32Inesrv目录下的Metabase.XML并打开,5.SQL注入问题,什么是sql注入(SQLInjection)程序没有对用户输入数据的合法性进行判断，使应用程序存在安全隐患。用户可以提交一段数据库查询代码，根据程序返回的结果，获得某些他想得知的数据.危害数据库被篡改网页被篡改获得服务器的登录账号,SQL注入原理,MicrosoftJETDatabaseEngine错误80040e14字符串的语法错误在查询表达式ID=49中。/showdetail.asp，行8,从这个错误提示能看出下面几点：1.网站使用的是Access数据库，通过JET引擎连接数据库，而不是通过ODBC。2.程序没有判断客户端提交的数据是否符合程序要求。3.该SQL语句所查询的表中有一名为ID的字段。,SQL注入的原理：就是从客户端提交特殊的代码，从而收集程序及服务器的信息，从而获取你想到得到的资料。,在链接末尾增加单引号“”,判断能否进行sql注入,这就是经典的1=1、1=2测试法,可以注入的表现：正常显示（这是必然的，不然就是程序有错误了）正常显示，内容基本与相同提示BOF或EOF（程序没做任何判断时）、或提示找不到记录（判断了rs.eof时）、或显示内容为空（程序加了onerrorresumenext）,判断数据库类型及注入方法,可以从Access和SQLServer和区别入手Access和SQLServer都有自己的系统表，比如存放数据库中所有对象的表，Access是在系统表msysobjects中，但在Web环境下读该表会提示“没有权限”，SQLServer是在表sysobjects中，在Web环境下可正常读取。,SQL注入一般步骤,ID=49这类注入的参数是数字型，SQL语句原貌大致如下：Select*from表名where字段=49,搜