第02章-Linux网络服务器安全.ppt

1、Linux网络服务器安全,1.Linux服务器安简介,人们对安全问题的日益重视，网络安全已经不仅仅是技术问题，而是一个社会问题 企业应当提高对网络安全的重视，不应被各种商业宣传所迷惑，认为安装了防火墙、认证授权和入侵检测系统就可以保护网络免受各种攻击,1.Linux服务器安简介,没有绝对安全的网络，也没有“无坚不摧”的安全解决方案。从辩证法的角度来说，安全是相对的 攻击和安全防护是矛与盾的关系。安全与反安全之间就是一场长期战斗，了解攻击者是非常重要的。更重要的是根据攻击级别提出解决方案,2.服务器攻击简介,攻击是一种旨在妨碍、损害、削弱、破坏服务器安全的未授权行为 攻击的范围可以从服务拒绝直至

2、完全危害和破坏服务器 攻击者使用什么操作系统： Windows NT/2000/XP和UNIX是使用最多的平台 越来越多的攻击者正在使用FreeBSD或NetBSD,2.服务器攻击简介,典型的攻击者有什么特征： 能用C、C+或Perl编写程序 大多数原始安全工具都是用这些语言中的一种或几种编写的，攻击者必须能够解释、编译和执行这些代码,2.服务器攻击简介,深入掌握TCP/IP知识。攻击者必须了解Internet是如何工作的。攻击者必须对TCP/IP的原始代码有所了解 攻击者不是临时用户。他们不仅了解自己的机器，而且对网络也了如指掌，具有丰富的网络使用经验,2.服务器攻击简介,至少熟知三种操作系

3、统，其中一种操作系统毫无疑问是UNIX或Linux 大多数攻击者是（或曾经是）系统管理员或开发人员，具有开发客户服务器应用的经验,2.服务器攻击简介,实施攻击的原因： 恶意 娱乐 获利 好奇 政治,3.1Linux常见网络服务器,Linux服务器运行的软件主要包括Samba, VsFtp, OpenSSH, MySQL, PHP和Apache等,3.2Apache服务器,Web服务器软件Apache简介 Apache源自于NCSA（University of Illinois, Urbana-Champaign）所开发的httpd Apache的优势： 起源于HTTP协议降低了用户加入协议来支

4、援新的应用软件的门槛 给UNIX/Linux带来生机Apache走到哪里，UNIX/Linux就走到哪里 支援厂商的支持，为Apache提供的工具/模块持续成长,3.3Apache服务器特点,Apache服务器的特点： 支持HTTP/1.1协议。Apache是最先使用HTTP/1.1协议的Web服务器之一，它完全兼容HTTP/1.1协议并与HTTP/1.0协议向后兼容 支持通用网关接口（CGI）。Apache用mod_cgi模块来支持CGI，它遵守CGI/1.1标准并且提供了扩充的特征,3.3Apache服务器特点,支持HTTP认证。Apache支持基于Web的基本认证，它还为支持基于消息摘要

5、的认证做好了准备。Apache通过使用标准的口令文件DBM SQL调用，或通过对外部认证程序的调用来实现基本的认证 集成的Perl语言。Perl已成为CGI脚本编程的基本标准。Apache肯定是使Perl成为这样流行的CGI编程语言的因素之一，通过使用它的mod_perl模块你可以将基于Perl的CGI脚本装入内存，并可以根据需要多次重复使用该脚本。这消除了经常与解释性语言联系在一起的启动开销,3.3Apache服务器特点,集成的代理Proxy服务器 服务器的状态和可定制的日志 允许根据客户主机名或IP地址限制访问 支持用户Web目录 支持虚拟主机 支持动态共享对象 支持安全Socket层 支

6、持多进程。当负载增加时，服务器会快速生成子进程来处理，从而提高系统的响应能力,3.4Apache服务器安全,Apache服务器面临的安全问题 Web站点提供静态的页面，因此安全风险很少。恶意破坏者进入这类Web站点的唯一方法是获得非法的访问权限 如今大部分Web服务器不再提供静态的HTML页面，它们提供动态的内容，许多Web站点与颇有价值的客户服务或电子商务活动应用结合在一起（这也是风险所在，通常不注意的）,3.4Apache服务器安全,HTTP拒绝服务： 数据包洪水攻击 磁盘攻击 路由不可达 分布式拒绝服务攻击,3.5Apache服务器安全策略,勤打补丁 Linux网管员要经常关注相关网站的

7、缺陷，及时升级系统或添加补丁,3.5Apache服务器安全策略,隐藏和伪装Apache的版本 软件的漏洞信息和特定版本是相关的，因此，版本号对黑客来说是最有价值的 去除Apache版本号的方法是修改配置文件/etc/httpd.conf 找到关键字ServerSignature ServerSignature OffServerTokens Prod,3.5Apache服务器安全策略,Red Hat Linux运行的Apache是编译好的程序，提示信息被编译在程序里 需要修改Apache的源代码，然后，重新编译安装程序 以Apache 2.0.50为例，编辑ap_release.h文件,3.5

8、Apache服务器安全策略,修改“#define AP_SERVER_BASEPRODUCT Apache”为“#define AP_SERVER_BASEPRODUCT Microsoft-IIS/5.0” 编辑os/unix/os.h文件,3.5Apache服务器安全策略,修改“#define PLATFORM Unix”为“#define PLATFORM Win32” 修改完毕后，重新编译、安装Apache Apache安装完成后，修改httpd.conf配置文件,3.5Apache服务器安全策略,将“ServerTokens Full”改为“ServerTokens Prod” 将“

9、ServerSignature On”改为“ServerSignature Off”,3.5Apache服务器安全策略,建立一个安全的目录结构 Apache服务器包括以下四个主要目录 ServerRoot：保存配置文件（conf子目录）、二进制文件和其他服务器配置文件 DocumentRoot：保存Web站点的内容，包括HTML文件和图片等,3.5Apache服务器安全策略,ScripAlias：保存CGI脚本 Customlog和Errorlog：保存访问日志和错误日志 四个主要目录相互独立并且不存在父子逻辑关系,3.5Apache服务器安全策略,为Apache使用专门的用户和用户组 必须保

10、证Apache使用一个专门的用户和用户组，不要使用系统预定义的账号，比如nobody用户和nogroup用户组 只有root用户可以运行Apache,3.5Apache服务器安全策略,如果希望“test”用户在Web站点发布内容，并且可以以httpd身份运行Apache服务器: groupadd webteamusermod -G webteam testchown -R httpd.webteam /www/htmlchmod -R 2570 /www/htdocs,3.5Apache服务器安全策略,只有root用户访问日志目录，这个目录的推荐权限: chown -R root.root /

11、etc/logschmod -R 700 /etc/logs,3.5Apache服务器安全策略,Web目录的访问策略 对于可以访问的Web目录，要使用相对保守的途径进行访问，不要让用户查看任何目录索引列表,3.5Apache服务器安全策略,禁止使用目录索引 修改配置文件httpd.conf Options -Indexes FollowSymLinksOptions指令通知Apache禁止使用目录索引FollowSymLinks表示不允许使用符号链接,3.5Apache服务器安全策略,禁止默认访问 一个好的安全策略要禁止默认访问的存在，只对指定的目录开启访问权限 如果允许访问/var/www/html目录，使用如下设定: Order deny,allowAllow from all,3.5Apache服务器安全策略,禁止用户重载 禁止用户对目录配置文件（.htaccess）进行重载（修改） AllowOverride None,3.5Apache服务器安全策略,Apache服务器访问控制方法 Apache的access.conf文件负责设置文件的访问权限，可以实现互联网域名和IP地址的访问控制 先把deny from all设为初始化指令，再使用allow from指令打开访问权限,3.5Apache服务器安全策略,如允许19