典型的UNIX安全漏洞有守护进程程序的错误使入侵者可以直接获得root权限,一些应用的远程漏洞,本地漏洞,暴露系统信息等。对于典型的安全隐患要做到及时发现,立即消除。还要进行常规检查,经常注意应用程序的官方更新,及时打好补丁。
3.1.2 LINUX安全设置
一般来说,对Linux系统的安全设置包括取消不必要的服务、限制系统的出入、保持最新的系统核心、修补安全漏洞、检查登录密码、设定用户账号的安全等级、增强安全防护工具、采用安全工具以及经常性的安全检查等。在采用安全工具以及经常性的安全检查方面,在此介绍几个工具。
Nessus安全漏洞扫描器可以远程检查与网络有关的安全漏洞以及丢失的软件补丁和系统上的其它漏洞。Nessus软件可用来测试新安装的系统,也可以在维护期内检测工作中的服务器。
Nmap工具是另一种网络扫描器,不过应用不广泛。这个工具在Linux中可缺省安装。这个工具对于那些不适应配置Linux软件的IT工作人员来说是非常有用的。非常关注安全的公司将把以太网接口连接到具有防火墙保护的接口。这些公司还在这些接口连接能够检测网络通信的专用的包检测服务器。然后用ACID等工具分析这个信息,并且把这个信息同能够通过防火墙的以前的攻击进行比较。
ACID能够创建一个报警的电子邮件,并且通过网络GUI(图形用户界面)显示有关可疑的数据包的详细信息。
3.1.3 WINDOWS系统
Windows作为微软Microsoft软件帝国的城基,因其易学易用的特点而在桌面系统领域占据着统治地位。同时,随着众多业余编程用户的加入,使得Windows的服务器系统得到了越来越多的应用,在我国,70%的用户使用windows系统作为服务器系统。但Windows操作系统的大多数版本有一个共性:默认安装后安全性都非常差。比较明显的一个例子就是在用户登陆后,每个用户都具有硬盘分区的访问控制权。另外,系统还开放了一些服务(如Messenger服务),允许通过迂回的方式绕过用户审核直接进入系统。
如果要用一句简单的话来对比UNIX和Windows的安全性,那么可以说:UNIX系统默认把所有服务都关闭,用什么开什么;Windows系统默认所有服务都开启,不用什么关什么。当然这句话是有失偏颇的,只是说明了我们要对Windows进行安全设置,需要关闭一些服务。
以windows servers 2003为例,我们可以进行如下设置来提高windows系统的安全:用户设置上,Administrators 角色最好不要超过两个,为管理员用户设置一个健壮(8位以上包含字母数字符号)的密码,为管理员改名等。文件系统权限上,C盘只给administrators 和system权限,Windows目录要加上给users的默认权限,否则ASP和ASPX等应用程序就无法运行。另外,将net.exe ,
cmd.exe ,tftp.exe ,netstat.exe ,regedit.exe ,at.exe ,attrib.exe,format.exe 这些文件都设置只允许administrators访问。网络通信上,启用WIN2003的自身带的网络防火墙,并进行端口的改变。Internet 连接防火墙可以有效地拦截对Windows 2003服务器的非法入侵,防止非法远程主机对服务器的扫描,提高Windows 2003服务器的安全性。同时,也可以有效拦截利用操作系统漏洞进行端口攻击的病毒,如冲击波等蠕虫病毒。还有就是通过更改一些注册表项来防止SYN洪水攻击、ICMP重定向报文攻击以及关闭默认共享。
3.2 WEB服务器平台
世界上很多公司都开发了提供Web服务的平台软件,知名的有Microsoft IIS、IBM Web Sphere 、Oracle IAS、Apache和Tomcat,本文主要介绍常用的IIS和Apache的相关安全问题。
3.2.1 IIS平台
IIS是 Internet Information Server的缩写,它是微软公司主推的Web服务平台,最新的版本是VISTA里面包含的IIS 7.0。IIS的安装,管理和配置都相当简单,这是因为IIS与Windows NT Server网络操作系统紧密的集成在一起,另外,IIS还使用与Windows NT Server相同的SAM(Security Accounts Manager,安全性账号管理器),对于管理员来说,IIS使用诸如Performance Monitor和SNMP(Simple Network Management Protocol,简单网络管理协议)之类的NT已有管理工具。IIS支持ISAPI,使用ISAPI可以扩展服务器功能,可以实现Win2003下支持PHP,CGI,JSP程序。
下面主要分析以Win2003为基础的IIS6的安全配置。
3.2.1.1 删除不必要的虚拟目录
IIS安装完成后在wwwroot下默认生成了一些目录,并默认设置了几个虚拟目录,包括IISHelp、IISAdmin、IISSamples、 MSADC等,它们的实际位置有的是在系统安装目录下,有的是在重要的Program files下,从安全的角度来看很不安全,而且这些设置实际也没有太大的作用,所以我们可以删除这些不必要的虚拟目录。
3.2.1.2删除危险的IIS组件
默认安装后的有些IIS组件可能会造成安全威胁,应该从系统中去掉,以下组件可以根据自己的需要决定是否删除。
Internet服务管理器:这是基于Web 的IIS服务器管理页面,一般情况下不应通过Web进行管理,建议卸载它。
SMTP Service和NNTP Service:如果不打算使用服务器转发邮件和提供新闻组服务,就可以删除这两项,否则,可能因为它们的漏洞带来新的不安全。
样本页面和脚本:这些样本中有些是专门为显示IIS的强大功能设计的,但同样可被用来从Internet上执行应用程序和浏览服务器,建议删除。
3.2.1.3为IIS中的文件分类设置权限
除了在操作系统里为IIS的文件设置必要的权限外,还要在IIS管理器中为它们设置权限,以期做到双保险。一般而言,对一个文件夹永远也不应同时设置写和执行权限,以防止攻击者向站点上传并执行恶意代码。另外目录浏览功能也应禁止,预防攻击者把站点上的文件夹浏览个遍最后找到漏洞。一个好的设置策略是: 为Web 站点上不同类型的文件都建立目录,然后给它们分配适当权限。例如:
静态文件文件夹:包括所有静态文件,如HTM 或HTML,给予允许读取、拒绝写的权限。
ASP脚本文件夹:包含站点的所有脚本文件,如cgi、vbs、asp等等,给予允许执行、拒绝写和读取的权限。
EXE等可执行程序:包含站点上的二进制执行文件,给予允许执行、拒绝写和拒绝读取的权限。
3.2.1.4删除不必要的应用程序映射
IIS中默认存在很多种应用程序映射,如.htw、.ida、.idq、.asp、.cer、.cdx、
文章整理:西部数码--专业提供域名注册、虚拟主机服务
http://www.west263.com
以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢!
