WEB服务器架设-安全篇.doc

WEB服务器架设-安全篇 一、ServerRoot目录的权限 1 二、服务器端包含 2 三、CGI安全 2 四、系统设置的保护 3 五、默认配置下服务器文件的保护 3 六、观察日志文件 4 ServerRoot目录的权限 ?服务器端包含 ?有关CGI ?未指定为脚本的CGI ?指定为脚本的CGI ?系统设置的保护 ?默认配置下服务器文件的保护 ?观察日志文件 ServerRoot目录的权限一般情况下，Apache由root用户启动，在提供服务时切换为由User指令所指定的用户。 正如root所执行的任何命令那样，你必须注意它是受保护的，不允许非root用户对它修改。 不仅文件本身，目录及其父目录都必须只能由root来改写。 例如，如果将ServerRoot指定为/usr/local/apache，则，推荐以root身份来建立此目录，如：mkdir /usr/local/apache cd /usr/local/apache mkdir bin conf logs chown 0 . bin conf logs chgrp 0 . bin conf logs chmod 755 . bin conf logs 这里已经假定了 /, /usr, 和 /usr/local 只能由root来改写。 在安装httpd执行文件时，应该确保它也受到了这样的保护: cp httpd /usr/local/apache/bin chown 0 /usr/local/apache/bin/httpd chgrp 0 /usr/local/apache/bin/httpd chmod 511 /usr/local/apache/bin/httpd 而htdocs子目录则可以允许其他用户改写 -- 因为root绝不会执行其中任何文件，也不应该在其中建立文件。 如果允许非root用户对由root执行或读写的文件有写权限，则会危及系统。· 比如，别人有可能会覆盖httpd的执行文件， 那么下一次启动时，就会执行任意的代码。·?如果日志目录(对一个非root用户)是可写的， 别人就有可能用一个指向其他系统文件的连接来覆盖日志文件， 使那个文件被改写为杂乱的数据。· 如果日志文件本身是可写的，别人就可能伪造其记录。 二、服务器端包含服务器端包含(SSI)会带来一些潜在的安全隐患。首先是增加了服务器的负载。 Apache必须解析所有允许SSI的文件，而无论其中是否包含SSI指令。 虽然增加的负载较小，但是在共享服务器环境中会变得很显著。补充：什么是SSI?SSI (Server Side Includes)是HTML页面中的指令，在页面被提供时由服务器进行运算，以对现有HTML页面增加动态生成的内容，而无须通过CGI程序提供其整个页面，或者使用其他动态技术。对什么时候用SSI，而什么时候用某些程序生成整个页面的权衡，取决于页面中有多少内容是静态，有多少内容需要在每次页面被提供时重新计算。SSI固然不能替代CGI或者其他动态页面技术，但它是在页面中插入众多小型的动态片段的优秀方法，而无须大量额外的操作。SSI文件与CGI脚本一样存在风险。 使用exec cmd，允许SSI的文件得以执行任何CGI脚本， 以及由httpd.conf设置的执行Apache的用户或组所允许执行的任何程序。若干方法可以在得其利的同时提高SSI文件的安全性。务器管理员可以使用有关CGI中所描述的suexec，以隔离野蛮SSI文件所造成的破坏。对.html或.htm后缀的文件都允许SSI是危险的， 尤其是在一个共享的高流量的服务器环境中。 允许SSI的文件应该有一个独立的后缀，比如常规的.shtml， 使服务器负载保持在最低水平，并使风险管理更容易。另一个方案是，关闭SSI页面执行脚本和程序的功能，即， 在用Options指令中， 用IncludesNOEXEC替换Includes。 注意，用户仍然可以使用--#include virtual=... --来执行位于ScriptAlias指令所指定的目录中的CGI脚本。三、CGI安全?CGI脚本可以执行网络服务器执行身份所允许执行的任意系统命令， 如果没有经过仔细的检查，这可能是极其危险的。由于所有CGI脚本都以相同的身份执行，所以可能会和其他脚本(有意或无意地)冲突。 比如，用户A憎恨用户B，因此他就可能写一个脚本去破坏用户B的数据库。 suEXEC是一个允许脚本以不同的身份运行的程序， 它包含在Apache 1.2以后的版本中，并被Apache服务器代码中特殊钩子程序所调用。 还有一种常用的方法是，使用CGIWrap. 未指定为脚本的CGI仅在下列情况下，可以考虑允许用户执行