欧美性猛交XXXX免费看蜜桃,成人网18免费韩国,亚洲国产成人精品区综合,欧美日韩一区二区三区高清不卡,亚洲综合一区二区精品久久

出處：seayuan'Blog 時(shí)間：Tue, 25 Jul 2006 13:39:46 +0000 作者：seayuan 地址：http://www.seayuan.com/read.php/3.htm 隨著(zhù)網(wǎng)絡(luò )技術(shù)的普及、應用和Web技術(shù)的不斷完善，Web服務(wù)已經(jīng)成為互聯(lián)網(wǎng)上頗為重要的服務(wù)形式之一。原有的客戶(hù)／服務(wù)器模式正在逐漸被瀏覽器／服務(wù)器模式所取代。本文將重點(diǎn)介紹Web面臨的主要威脅，并結合在Linux中使用較多的Apache服務(wù)器，介紹進(jìn)行Web服務(wù)器安全配置的技巧。 Web服務(wù)器面臨的安全隱患為了保護Web服務(wù)器不被惡意攻擊和破壞，第一步就是要了解和識別它所面臨的安全風(fēng)險。以前，Web站點(diǎn)僅僅提供靜態(tài)的頁(yè)面，因此安全風(fēng)險很少。惡意破壞者進(jìn)入這類(lèi)Web站點(diǎn)的惟一方法是獲得非法的訪(fǎng)問(wèn)權限。近年來(lái)，大部分Web服務(wù)器不再提供靜態(tài)的HTML頁(yè)面，它們提供動(dòng)態(tài)的內容，許多Web站點(diǎn)與頗有價(jià)值的客戶(hù)服務(wù)或電子商務(wù)活動(dòng)應用結合在一起（這也是風(fēng)險所在，通常不注意的）?！?HTTP拒絕服務(wù)。攻擊者通過(guò)某些手段使服務(wù)器拒絕對HTTP應答。這使得Apache對系統資源（CPU時(shí)間和內存）需求的劇增，最終造成系統變慢甚至完全癱瘓?！?緩沖區溢出。攻擊者利用CGI程序編寫(xiě)的一些缺陷使程序偏離正常的流程。程序使用靜態(tài)分配的內存保存請求數據，攻擊者就可以發(fā)送一個(gè)超長(cháng)請求使緩沖區溢出。比如一些Perl編寫(xiě)的處理用戶(hù)請求的網(wǎng)關(guān)腳本。一旦緩沖區溢出，攻擊者可以執行其惡意指令?！?攻擊者獲得root權限。如果Apache以root權限運行，系統上一些程序的邏輯缺陷或緩沖區溢出的手段，會(huì )讓攻擊者很容易在本地獲得Linux服務(wù)器上管理員權限root。在一些遠程的情況下，攻擊者會(huì )利用一些以root身份執行的有缺陷的系統守護進(jìn)程來(lái)取得root權限，或利用有缺陷的服務(wù)進(jìn)程漏洞來(lái)取得普通用戶(hù)權限，用以遠程登錄服務(wù)器，進(jìn)而控制整個(gè)系統。合理的網(wǎng)絡(luò )配置能夠保護Apache服務(wù)器免遭多種攻擊。 配置一個(gè)安全Apache服務(wù)器：1、勤打補丁　　在www.apache.org上最新的changelog中都寫(xiě)著(zhù)：bug fix、security bug fix的字樣。所以，Linux網(wǎng)管員要經(jīng)常關(guān)注相關(guān)網(wǎng)站的缺陷修正和升級，及時(shí)升級系統或添加補丁。使用最高和最新安全版本對于加強Apache Web服務(wù)器的安全是至關(guān)重要的。 2、隱藏Apache的版本號通常，軟件的漏洞信息和特定版本是相關(guān)的，因此，版本號對黑客來(lái)說(shuō)是最有價(jià)值的。默認情況下，系統會(huì )把Apache版本系統模塊都顯示出來(lái)（http返回頭）。如果列舉目錄的話(huà)，會(huì )顯示域名信息(文件列表正文)去除Apache版本號：修改配置文件：/etc/httpd.conf.找到關(guān)鍵字ServerSignature，將其設定為：　　　ServerSignature Off 　　　ServerTokens Prod 　　然后重新啟動(dòng)Apache服務(wù)器。 3.建立一個(gè)安全的目錄結構Apache服務(wù)器包括四個(gè)主要目錄：　?。?）ServerRoot：保存配置文件(conf子目錄)二進(jìn)制文件和其他服務(wù)器配置文件?！　。ǎ玻〥ocumentRoot：保存Web站點(diǎn)的內容，包括HTML文件和圖片等?！　。?）ScripAlias：保存CGI腳本?！　。?）Customlog和Errorlog：保存訪(fǎng)問(wèn)日志和錯誤日志?！　〗ㄗh設定這樣一個(gè)目錄結構，以上四個(gè)主要目錄相互獨立并且不存在父子邏輯關(guān)系?！　⌒√崾荆篠erverRoot目錄應該被配置為只能由root用戶(hù)訪(fǎng)問(wèn)；DocumentRoot應該能夠被管理Web站點(diǎn)內容的用戶(hù)訪(fǎng)問(wèn)和被Apache服務(wù)器使用Apache用戶(hù)和Apache用戶(hù)組訪(fǎng)問(wèn)；ScriptAlias目錄應該只能被CGI開(kāi)發(fā)人員和Apache用戶(hù)訪(fǎng)問(wèn)；只有root用戶(hù)訪(fǎng)問(wèn)日志目錄?！　∠旅媸枪P者使用的目錄結構快照，如圖1所示。 　　這樣的目錄結構是比較安全的，因為目錄之間是獨立的，某個(gè)目錄的權限錯誤不會(huì )影響其他目錄。 4、Apache使用專(zhuān)門(mén)的用戶(hù)和組按照最小特權原則，需要給Apache分配一個(gè)合適的權限，讓其能夠完成Web服務(wù)。小提示：最小特權原則是系統安全中最基本的原則之一，它限制了使用者對系統及數據進(jìn)行存取所需要的最小權限，既保證了用戶(hù)能夠完成所操作的任務(wù)，同時(shí)也確保非法用戶(hù)或異常操作所造成的損失最小。必須保證Apache使用一個(gè)專(zhuān)門(mén)的用戶(hù)和用戶(hù)組，不要使用系統預定義的賬號，比如nobody用戶(hù)和nogroup用戶(hù)組?！　∫驗橹挥衦oot用戶(hù)可以運行Apache，DocumentRoot應該能夠被管理Web站點(diǎn)內容的用戶(hù)訪(fǎng)問(wèn)和Apache服務(wù)器使用Apache用戶(hù)和Apache用戶(hù)組訪(fǎng)問(wèn)。所以，如果希望“cao”用戶(hù)在Web站點(diǎn)發(fā)布內容，并且可以以httpd身份運行Apache服務(wù)器，通?？梢赃@樣： groupadd webteam 　　　　usermod -G webteam cao 　　　　chown -R httpd.webteam /www/html 　　　　chmod -R 2570 /www/htdocs 　　只有root用戶(hù)訪(fǎng)問(wèn)日志目錄，這個(gè)目錄的推薦權限：　　　　chown -R root.root /etc/logs 　　　　chmod -R 700 /etc/logs5、Web目錄的訪(fǎng)問(wèn)策略對于可以訪(fǎng)問(wèn)的Web目錄，要使用相對保守的途徑進(jìn)行訪(fǎng)問(wèn)，不要讓用戶(hù)察看任何目錄索引列表?！　。?）設定禁止使用目錄索引文件　　Apache服務(wù)器在接收到用戶(hù)對一個(gè)目錄的訪(fǎng)問(wèn)時(shí)，會(huì )查找Directorylndex指令指定的目錄索引文件。默認情況下該文件是index．html。如果該文件不存在，那么Apache會(huì )創(chuàng )建動(dòng)態(tài)列表為用戶(hù)顯示該目錄的內容。通常這樣的設置會(huì )暴露Web站點(diǎn)結構，因此需要修改配置文件禁止顯示動(dòng)態(tài)目錄索引。修改配置文件httpd.conf：　　　　　　　　Options -Indexes FollowSymLinks 　　　　　　Options指令通知Apache禁止使用目錄索引。FollowSymLinks表示不允許使用符號鏈接?！　。?）禁止默認訪(fǎng)問(wèn)　　一個(gè)好的安全策略是禁止默認訪(fǎng)問(wèn)的存在。首先禁止默認訪(fǎng)問(wèn)，只對指定目錄開(kāi)啟訪(fǎng)問(wèn)權限，如果允許訪(fǎng)問(wèn)/var/www/html目錄，使用如下設定：　　　　　　　　Order deny,allow 　　　　Allow from all 　　　　　?。?）禁止用戶(hù)重載　　為了禁止用戶(hù)對目錄配置文件（.htaccess）進(jìn)行重載（修改），可以這樣設定：　　　　　　　　AllowOverride None6、Apache服務(wù)器訪(fǎng)問(wèn)控制策略Apache的access.conf文件負責設置文件的訪(fǎng)問(wèn)權限，可以實(shí)現互聯(lián)網(wǎng)域名和IP地址的訪(fǎng)問(wèn)控制。它包含一些指令，控制允許什么用戶(hù)訪(fǎng)問(wèn)Apache目錄。應該把deny from all設為初始化指令，再使用allow from指令打開(kāi)訪(fǎng)問(wèn)權限。如果允許192.168.1.1到192.168.1.254的主機訪(fǎng)問(wèn)，可以這樣設定：　　　　　　order deny,allow 　　　deny from all 　　　allow from pair 192.168.1.0/255.255.255.0 7、記錄所有情況　　一個(gè)優(yōu)秀的Linux網(wǎng)絡(luò )管理員會(huì )密切記錄服務(wù)器日志系統，這些日志可以記錄異常訪(fǎng)問(wèn)的線(xiàn)索。Apache可以記錄所有的訪(fǎng)問(wèn)請求，同樣，錯誤的請求也會(huì )記錄?！　　　ustomLog /logs/access.log common ? #記錄對Web站點(diǎn)的每個(gè)進(jìn)入請求# 　　　　ErrorLog /logs/error.log ? ?#記錄產(chǎn)生錯誤狀態(tài)的請求# 小提示：這里推薦使用一個(gè)優(yōu)秀的日志分析工具Wusage(www.boutell.com)進(jìn)行例行分析和監視日志文件。 8、Apache服務(wù)器的密碼保護.htaccess文件是Apache服務(wù)器上的一個(gè)設置文件。它是一個(gè)文本文件，可以使用文本編輯器進(jìn)行編寫(xiě)。.htaccess文件提供了針對目錄改變配置的方法，即通過(guò)在一個(gè)特定的文檔目錄中放置一個(gè)包含一個(gè)或多個(gè)指令的文件（.htaccess文件），以作用于此目錄及其所有子目錄?！　?htaccess的功能包括設置網(wǎng)頁(yè)密碼、設置發(fā)生錯誤時(shí)出現的文件、改變首頁(yè)的文件名（如index.html）、禁止讀取文件名、重新導向文件、加上MIME類(lèi)別、禁止列目錄下的文件等。通過(guò).htaccess來(lái)保護網(wǎng)站更為方便和安全，因為利用.htaccess文件實(shí)現密碼保護是很難破解的。9.減少CGI和SSI風(fēng)險CGI腳本的漏洞已經(jīng)成為Web服務(wù)器的首要安全隱患，通常是程序編寫(xiě)CGI程序中產(chǎn)生了許多的后門(mén)和漏洞?？刂艭GI腳本的漏洞除了在編寫(xiě)時(shí)需要注意對輸人數據的合法性檢查、對系統調用的謹慎使用等因素外，首先使用CGI程序所有者的UID來(lái)運行這些程序，是一個(gè)好方法。這些CGI程序即使存在某些漏洞，那么其危害也僅限于該UID所能夠訪(fǎng)問(wèn)的文件當中。也就是說(shuō)，這樣只能傷害用戶(hù)的文件，而不會(huì )對整個(gè)系統帶來(lái)致命的影響?！　⊥ㄟ^(guò)安裝和使用suEXEC的應用程序，可以為Apache服務(wù)器提供CGI程序的控制支持(從Apache l.3版以后，suEXEC已經(jīng)作為Apache服務(wù)器的一部分)，可以把suEXEC看作一個(gè)包裝器，在A(yíng)pache接到對CGI程序的調用請求后，它將這個(gè)調用請求交給suEXEC來(lái)負責完成具體的調用，并且從這里獲得返回的結果?！　uEXEC能解決一些安全問(wèn)題，但也會(huì )降低服務(wù)性能，因為它只能運行在CGI版本的PHP上，而CGI版本比模塊版本運行速度慢。原因是模塊版本使用了線(xiàn)程，而使用CGI版本的是進(jìn)程。在不同線(xiàn)程之間的環(huán)境轉換和訪(fǎng)問(wèn)公用的存儲區域顯然要比在不同的進(jìn)程之間要快得多?！　〗ㄗh在對安全性能要求比較高時(shí)使用suEXEC,為此您還要以犧牲速度為代價(jià)。另外可以嘗試另外一個(gè)軟件CGIWrap，它的安全性能高于suEXEC。官方網(wǎng)址為：ftp://ftp.cc.umr.edu/pub/cgi/cgiwrap?！　p少SSI腳本的風(fēng)險：如果用exec等SSI命令運行外部程序，也會(huì )存在類(lèi)似CGI腳本程序的危險，除了內部調試程序時(shí)都應當可以使用Option命令禁止使用?！　　　　　ptions IncludesNOEXEC 　　　 10、Apache服務(wù)器在監牢中運行所謂“監牢”是指通過(guò)chroot機制來(lái)更改某個(gè)軟件運行時(shí)所能看到的根目錄，即將某軟件運行限制在指定目錄中，保證該軟件只能對該目錄及其子目錄的文件有所動(dòng)作，從而保證整個(gè)服務(wù)器的安全。這樣即使被破壞或侵入，所受的損傷也不大?！　④浖hroot化的一個(gè)問(wèn)題是該軟件運行時(shí)需要的所有程序、配置文件和庫文件都必須事先安裝到chroot目錄中，通常稱(chēng)這個(gè)目錄為chroot jail（chroot“監牢”）。如果要在“監牢”中運行Apache，而事實(shí)上根本看不到文件系統中那個(gè)真正的目錄，就需要事先創(chuàng )建目錄，并將httpd復制到其中。同時(shí)，httpd需要庫文件，可以使用ldd（Library Dependency Display縮寫(xiě)）命令查看，ldd作用是顯示一個(gè)可執行程序必須使用的共享庫。這意味著(zhù)還需要在“監牢”中創(chuàng )建lib目錄，并將庫文件復制到其中。手工完成這一工作是非常麻煩的，此時(shí)可以用jail軟件包來(lái)幫助簡(jiǎn)化chroot“監牢”建立的過(guò)程。Jail官方網(wǎng)站是：http://www.jmcresearch.com/，最新版本為1.9a。11、使用SSL加固Apache使用具有SSL(安全套接字協(xié)議層)功能的Web服務(wù)器，可以提高網(wǎng)站的安全性能。SSL協(xié)議工作在Linux TCP/IP協(xié)議和HTTP協(xié)議之間，其關(guān)系如圖2所示。 　　SSL使用加密方法來(lái)保護Web服務(wù)器和瀏覽器之間的信息流。SSL不僅用于加密在互聯(lián)網(wǎng)上傳遞的數據流，而且還提供雙方身份驗證。這樣，您就可以安全地在線(xiàn)購物而不必擔心別人竊取您信用卡的信息。這種特性使得SSL適用于那些交換重要信息的地方，像電子商務(wù)和基于Web的郵件。 S　　SL使用公共密鑰加密技術(shù)，服務(wù)器在連接結束時(shí)給客戶(hù)端發(fā)送公用密鑰用來(lái)加密信息，而加密的信息只有服務(wù)器用它自己持有的專(zhuān)用密鑰才能解開(kāi)?？蛻?hù)端用公用密鑰加密數據，并且發(fā)送給服務(wù)端自己的密鑰，以惟一確定自己，防止在系統兩端之間有人冒充服務(wù)端或客戶(hù)端進(jìn)行欺騙。加密的HTTP連接用443端口號代替80端口號，以區別于普通的不加密的HTTP?？蛻?hù)端使用加密HTTP連接時(shí)會(huì )自動(dòng)使用443端口而不是80端口，這使得服務(wù)端更容易作出相應的響應。SSL運行結構見(jiàn)圖3。 　　Apache服務(wù)器使用SSL時(shí)通常有兩種選擇，即主服務(wù)器或虛擬Web站點(diǎn)。12、Apache服務(wù)器防范DoSApache服務(wù)器對拒絕攻擊的防范主要通過(guò)軟件Apache DoS Evasive Maneuvers Module 來(lái)實(shí)現。它是一款mod_access的替代軟件，可以對抗DoS攻擊。該軟件可以快速拒絕來(lái)自相同地址對同一URL的重復請求，通過(guò)內部一張各子進(jìn)程的哈希表查詢(xún)來(lái)實(shí)現。軟件下載鏈接：http://online. 　　securityfocus.com/data/tools/dospatch.tar.gz。軟件安裝的配置可以察看Linux中文主頁(yè)http://www.linux.gov.cn/：Apache性能和安全指南，過(guò)程很簡(jiǎn)單，限于篇幅這里就不介紹了。同時(shí)可以使用Linux系統強大的命令手段Apache服務(wù)器防范Dos攻擊。netstat -an | grep -i “服務(wù)器ip地址:80” | awk '{print $6}' | sort | uniq -c | sort -n 這個(gè)命令會(huì )自動(dòng)統計TCP連接各個(gè)狀態(tài)的數量，如果SYN_RECV很高的話(huà)，就不能排除有基于TCP協(xié)議的拒絕服務(wù)攻擊的可能。這樣的話(huà)，您需要打開(kāi)tcp_syncookies： echo 1 > /proc/sys/net/ipv4/tcp_syncookies 　如果沒(méi)有 /proc/sys/net/ipv4/tcp_syncookies，說(shuō)明您的內核不支持syncookies，需要重新編譯內核，同時(shí)降低syn重試次數。echo “1” > /proc/sys/net/ipv4/tcp_syn_retries echo “1” > /proc/sys/net/ipv4/tcp_synack_retries 　　同時(shí)加大syn_backlog，以保證用戶(hù)的訪(fǎng)問(wèn)： echo “2048” > /proc/sys/net/ipv4/tcp_max_syn_backlog 13、其他安全工具使用TCP_wrappers和AIDE可以為您的系統提供額外的保護。使用TCP_wrappers可以進(jìn)一部控制訪(fǎng)問(wèn)權限。AIDE是一個(gè)數據完整性檢測工具，可以幫助系統管理員監視系統是否被改動(dòng)過(guò)，您可以在A(yíng)IDE的配置文件中編制特定的策略，監視Web服務(wù)器的配置文件、數據和CGI文件是否被修改。實(shí)際上，大部分Web站點(diǎn)被破壞者惡意攻擊是因為應用程序或腳本中的漏洞。Web安全專(zhuān)家認為，運行在Web服務(wù)器上的腳本或應用程序是最大的危險因素。因為CGI腳本通常負責產(chǎn)生動(dòng)態(tài)內容，它們經(jīng)常導致大部分的損害。對于大部分Web服務(wù)器來(lái)說(shuō)，首先應該考慮如何為加強安全配置。編輯提示：下期將以L(fǎng)inux下應用的FTP服務(wù)器—WuFTP、Vsftpd、ProFTP為例，介紹FTP服務(wù)的安全策略。 Generated by Bo-blog 2.0.2