第 8 章 网络应用服务安全配置

第8章网络应用服务安全配置第8章网络应用服务安全配置8.1网络应用服务概述8.2IISWeb服务器的安全架设8.3FTP服务器的安全架设8.4文件服务器的安全架设8.5域控制器的安全架设8.1网络应用服务概述网络应用是利用网络以及信息系统直接为用户提供服务以及业务的平台。网络应用服务直接与成千上万的用户打交道：用户通过网络应用服务浏览网站、网上购物、下载文件、看电视、发短信等，网络应用服务的安全直接关系到广大网络用户的利益。因此网络应用服务的安全是网络与信息安全中重要组成部分。网络应用服务，是在网络上利用软/硬件平台满足特定信息传递和处理需求的行为。指的是在网络上所开放的一些服务，通常能见到如WEB、MAIL、FTP、DNS、TELNET等，当然，也有一些非通用，在某些领域、行业中自主开发的网络应用服务。我们通常所说的服务器，既是具有网络服务的主机。网络应用服务安全，指的是主机上运行的网络应用服务是否能够稳定、持续运行，不会受到非法的数据破坏及运行影响。8.1.1网络应用服务安全问题的特点每一个网络应用服务都是由一个或多个程序构成，在讨论安全性问题时，不仅要考虑到服务端程序，也需要考虑客户端程序。服务端的安全问题主要表现在非法的远程访问，客户端的安全问题主要表现在本地越权使用客户程序。由于大多数服务的进程由超级用户守护，许多重大的安全漏洞往往出现在一些以超级用户守护的应用服务程序上。8.1.2网络应用服务的分类按照技术特征分类，点到点业务与点到多点业务；按照电信业务分类，基础电信业务和增值电信业务；按照是否经营分类，经营性网络应用服务与非经营性网络应用服务；按照所传递加工的信息分类，自主保护、指导保护、监督保护、强制保护与专控保护五级；按照服务涉及的范围分类，公众类网络应用服务与非公众类网络应用服务。8.2IISWeb服务器的安全架设8.2.1构造一个安全系统（1）使用NTFS文件系统，以便对文件和目录进行管理（2）关闭默认共享（3）修改共享权限（4）为系统管理员账号更名，避免非法用户攻击。（5）禁用TCP/IP上的NetBIOS

高级TCP/IP设置对话框（6）TCP/IP上对进站连接进行控制（7）修改注册表，减小拒绝服务攻击的风险打开注册表：将HKLM\System\CurrentControlSet\Services\Tcpip\Parameters下的SynAttackProtect的值修改为2，使连接对超时的响应更快。8.2.2保证IIS自身的安全性IIS安全安装，要构建一个安全的IIS服务器，必须从安装时就充分考虑安全问题。（1）不要将IIS安装在系统分区上。（2）修改IIS的安装默认路径。（3）打上Windows和IIS的最新补丁。IIS的安全配置（1）删除不必要的虚拟目录

IIS安装完成后在wwwroot下默认生成了一些目录，包括IISHelp、IISAdmin、IISSamples、MSADC等，这些目录都没有什么实际的作用，可直接删除。（2）删除危险的IIS组件（3）为IIS中的文件分类设置权限（4）删除不必要的应用程序映射8.2.2保证IIS自身的安全性网站属性“应用程序配置”对话框添加编辑应用程序扩展名映射（5）保护日志安全①修改IIS日志的存放路径②修改日志访问权限，设置只有管理员才能访问。网站属性对话框日志记录属性对话框8.2.3提高系统安全性和稳定性web服务器安全预防措施：1.限制在web服务器开帐户，定期删除一些断进程的用户。2.对在web服务器上开的帐户，在口令长度及定期更改方面作出要求，防止被盗用。3.尽量使ftp，mail等服务器与之分开，去掉ftp等一些无关的应用。4.在web服务器上去掉一些绝对不用的shell等之类解释器，即当在你的cgi的程序中没用到perl时，就尽量把perl在系统解释器中删除掉。5.定期查看服务器中的日志logs文件，分析一切可疑事件。6.设置好web服务器上系统文件的权限和属性，对可让人访问的文档分配一个公用的组如：www，并只分配它只读的权利。7.有些WEB服务器把WEB的文档目录与FTP目录指在同一目录时，应该注意不要把FTP的目录与CGI-BIN指定在一个目录之下。8.通过限制许可访问用户IP或DNS

在NCSA中的access.conf中加上：

<Directory/full/path/to/directory>;

<LimitGETPOST>;

ordermutual-failure

denyfromall

allowfrom168.160.142.

</Limit>;

</Directory>;这样只能是以域名为或IP属于168.160.142的客户访问该WEB服务器。对于CERN或W3C服务器可以这样在httpd.conf中加上：

ProtectionLOCAL-USERS{

GetMask@(*.，*.，)

}

Protect/relative/path/to/directory/*LOCAL-USERS9.WINDOWS下HTTPD（1）NetscapeCommunicationsServerforNT①Perl解释器的漏洞②CGI执行批处理文件的漏洞（2）O'ReillyWebSiteserverforWindowsNT（3）Microsoft'sIISWebServer8.3FTP服务器的安全架设8.3.1FTP的特性根据FTPSTD9定义，FTP的目标包括：（1）促进文件（程序或数据）的共享（2）支持间接或隐式地使用远程计算机（3）帮助用户避开主机上不同的（4）可靠并有效地传输数据几种存在的安全问题以及防范措施1.防范反弹攻击(TheBounceAttack)（1）漏洞（2）反弹攻击（3）防范措施（4）遗留问题几种存在的安全问题以及防范措施2.有限制的访问(RestrictedAccess)（1）需求（2）攻击（3）防范措施（4）遗留问题几种存在的安全问题以及防范措施3.保护密码(ProtectingPasswords)（1）漏洞①在FTP标准[PR85]中，FTP服务器允许无限次输入密码。②“PASS”命令以明文传送密码。（2）攻击（3）防范措施（4）遗留问题几种存在的安全问题以及防范措施4.私密性(Privacy)5.保护用户名(Usernames)（1）漏洞（2）攻击（3）防范措施6.端口盗用(PortStealing)（1）漏洞（2）攻击（3）防范措施7.结论8.3.2匿名FTP的安全设定设定匿名FTP（1）FTPdaemon（2）设定匿名FTP的目录（3）使用合适的密码与群组文件1.修正过的FTPdaemon（1）限定上传的文件无法再被存取，如此可由系统管理者检测后，再放至于适当位置供人下载。（2）限制每个联机的上传资料大小。（3）依照现有的磁盘大小限制数据传输的总量。（4）增加登录记录以提前发现不当的使用。2.使用保护的目录为了保护上层的目录(~ftp/incoming)，我们只给匿名的使用者进入目录的权限(chmod751~ftp/incoming)。这个动作将使得使用者能够更改目录位置(cd)，但不允许使用者检视目录内容。Ex:drwxr-x--x4rootsystem512Jun1113:29incoming/在~ftp/incoming使用一些目录名只让你允许他们上传的人知道。为了要让别人不易猜到目录名称，我们可以用设定密码的规则来设定目录名称。请不要使用本文的目录名称范例(避免被有心人士发现你的目录名，并上传文件)drwxr-x-wx10rootsystem512Jun1113:54jAjwUth2/drwxr-x-wx10rootsystem512Jun1113:54MhaLL-iF/3.只使用一颗硬盘（1）创建一个组，用groupadd命令（2）创建一个用户，如testuser，建立用户可用adduser命令（3）修改/etc/ftpaccess文件，加入guestgroup的定义（4）向这个用户的根目录下拷贝必要的文件（5）关掉用户的telnet权8.4文件服务器的安全架设8.4.1启用并配置文件服务自定义权限8.4.2文件的备份与还原备份或还原向导卷影副本“备份工具”管理界面8.4.3分布式文件系统新建根目录向导

8.5域控制器的安全架设8.5.1域控制器的物理安全有一些准则：（1）移除所有的可移动存储设备驱动器，如光驱、外置硬盘、Zip驱动器、闪存驱动器等。这将增加入侵者向服务器上传程序（如病毒）或下载数据的难度。如果你不使用这些设备，你也可以移除这些外部设备需要使用的端口（从BIOS中关闭或物理移除）。这些端口包括USB/IEEE1394、串口、并口、SCSI接口等。（2）将机箱锁好，以防止未授权用户盗窃硬盘，或损坏机器组件。（3）将服务器放在密闭带锁的服务器机架中（确保提供良好的通风设备），电源设备最好也能设置在服务器机架中。以避免入侵者能够方便的切断电源或UPS从而干扰系统的电力供应。8.5.2防止域控制器的远程入侵1.保障域账号的安全2.重定向活动目录数据库2.重定向活动目录数据库（1）重新启动域控制器。（2）在启动的时候按下F8键，以访问高级选项菜单。（3）在菜单中选择目录服务恢复模式。（4）如果你装有一个以上的WindowsServer2003，选择正确的那个，按回车键继续。（5）在登陆提示的时候，使用当时你提升服务器时指定的活动目录恢复账号的用户密码登陆。（6）点击开始|运行，输入CMD，运行命令提示行。（7）在命令提示行中，输入NTDSUTIL.EXE，并执行。（8）在NTDSUTIL的提示行中，输入FILES。（9）选择你想要移动的数据库或者日志文件，输入MOVEDBTO或者MOVELOGSTO。（10）输入两次QUIT，退出NTDSUTIL，返回到命令提示行，并关闭命令提示行窗口。（11）再次重新启动域控制器，以正常模式进入WindowsServer2003。3.使用Syskey保障密码信息的安全（1）所有WindowsServer2003中默认采用的，计算机随机产生一个系统密钥（systemkey），并将密钥加密后保存在本地。（2）系统密钥使用和模式一中同样的生成方式和存储方式，但是它使用一个由管理员指定的附加密码以提供更进一步的安全性。（3）安全性最高的操作方法。创建systemkey（1）点击开始|运行，输入CMD，运行命令提示行。（2）在命令提示行中，输入SYSKEY，并执行。（3）点击UPDATE。选中ENCRYPTIONENABLED。（4）如果需要一个syskey的开始密码，点击PASSWORDSTARTUP。（5）输入一个强健的密码（密码可以含有12到128个字符）。（6）如果你不需要开始密码，点击SYSTEMGENERATEDPASSWO