当前位置: 电脑软硬件应用网 > 电脑学院 > 服务器技术 > 正文 |
|
|||
Web服务器的安全和攻击防范 | |||
2005-12-30 21:01:36 文/45IT收集 出处:电脑软硬件应用网 | |||
本文共分两个部分,介绍Web服务器所面临的各种安全威胁以及寻找服务器安全漏洞的各种工具。这是第一部分,主要涉及:端口扫描,NFS安全漏洞寻找,以及lsof的应用。 原文出处http://www.devshed.com/Server_Side/Administration/WebSecurityI/ 分析一下最近几个月信用卡号码被盗和网站被黑所显示的种种安全问题,可以很清楚地看出,许多Web应用都是凑合着运行,很少有人关注其安全问题或作出安全规划。那么,造成服务器缺乏安全保障的常见原因有哪些?如何防范这些不安全因素?作为客户或者最终用户,如何才能信任某个服务器符合了基本的安全需求? 对于以往安全事故的分析表明,大多数安全问题都属于下面三种类型之一: 服务器向公众提供了不应该提供的服务。 提供不应该提供的服务 显然,许多服务器管理员从来没有从另一个角度来看看他们的服务器,例如使用端口扫描程序。如果他们曾经这样做了,就不会在自己的系统上运行那么多的服务,而这些服务原本无需在正式提供Web服务的机器上运行,或者这些服务原本无需面向公众开放。 与这种错误经常相伴的是,为了进行维护而运行某些不安全的、可用于窃取信息的协议。例如,有些Web服务器常常为了收集订单而提供POP3服务,或者为了上载新的页面内容而提供FTP服务甚至数据库服务。在某些地方这些协议可能提供安全认证(比如APOP)甚至安全传输(比如POP或者FTP的SSL版本),但更多的时候,人们使用的是这些协议的非安全版本。有些协议,比如msql数据库服务,则几乎没有提供任何验证机制。 从公司外面访问自己的网络,完整地检测、模拟攻击自己的网站看看会发生些什么,这对于Web管理者来说是一个很好的建议。有些服务在机器安装之后的默认配置中已经启动,或者由于安装以及初始设置的需要而启动了某些服务,这些服务可能还没有正确地关闭。例如,有些系统提供的Web服务器会在非标准的端口上提供编程示范以及系统手册,它们往往包含错误的程序代码并成为安全隐患所在。正式运行的、可从Internet访问的Web服务器不应该运行这些服务,请务必关闭这些服务。 另外一种攻击者经常利用的资源是SNMP协议(简单网络管理协议,Simple Network Management Protocol)。它可能为攻击者提供有关系统和网络布局的极其详细和宝贵的信息。由于SNMP是一种UDP服务,比较简单的安全检查不会发现它。 当然,需要保护的不仅仅是Web服务器,在防火墙外面的所有其他机器更必须遵从同样的安全标准。 nmap可以http://www.insecure.org/nmap/获得。 在这些服务中,ssh是一种带有完善加密和认证机制的协议,如果服务器上运行的ssh是最新版本,那么使用它应该是安全的。 http、ftp、smtp和nntp是www.example.server服务器实际提供的服务,这些服务是必须运行的。只要FTP只用于匿名服务,网络上也不会因此出现以明文形式传送的密码。所有其他文件传输都应该用scp工具和ssh协议完成。 sunrpc、mysql和msql服务没有必要从防火墙外面的机器访问,而且也没有必要被所有的IP地址访问。这些端口应该用防火墙或者包过滤器阻隔。 对于所有向公众开放的服务,你应该密切关注其程序的最新版本和安全信息,应该做好一旦发现与这些程序有关的安全问题就立即升级软件的准备。例如,某些版本的ssh会出现问题,在一些特殊的情形下服务器可能被骗并以非加密方式运行。对于有些FTP服务器、早期的sendmail以及某些版本的INN,已知的安全问题包括缓存溢出等。 有些时候端口扫描程序找到了一个打开的端口,但我们却不知道哪一个程序在操作这个端口,此时就要使用lsof之类的工具了。执行命令“lsof -P -n -i”即可显示出所有本地打开的端口以及操作这些端口的程序。
# lsof -P -n -i tcp:139 再使用前面的example.server域: # nslookup < set type=ns example.server < ls example.server.
接下来我们用命令“server ns.example.server”把所有以后的查询直接定向到该服务器。然后,我们用“ls example.server”命令查询该服务器要求列出“example.server”区域的完整清单,结果就看到了example.server管理员所设定的所有主机名字和IP地址列表。 如果一个域有多个名称服务器,尝试查询所有的名称服务器往往是值得的,这是因为虽然主名称服务器往往有安全保护,其他名称服务器却往往没有,很容易从这些服务器得到域主机和IP地址信息。 注重安全的网络管理员总是在另外的机器上运行内部DNS服务,而不是在直接接入Internet的机器上运行。没有必要告诉整个世界自己的办公室内运行着哪些机器、这些机器怎样命名。把直接服务于Web网站的机器名字和地址发布出去已经完全足够了。 使用网络监测器Etherealhttp://ethereal.zing.org/)可以分析网络传输。Ethereal能够跟踪TCP流,对于获知由telnet、ftp、pop3等协议传输的明文密码很有用。 使用rpcinfo和showmount(对于Linux的某些版本,还可以使用kshowmount),你可以查询自己机器的sunrpc提供了哪些服务。如果NFS正在运行,就有可能从服务器获得已导出文件系统的清单。 # rpcinfo -p www.example.server 由于NFS默认值极不合理,把文件系统完全不受保护地以可读写方式显露给外界就成了一种极为常见的错误。下面是一个实例: 许多Web商店把订单日志和调试输出写入一个或多个日志文件,或者用配置文件来保存密码和商品数据。如果这些数据保存到页面文档根目录之下,那么它们就有相应的URL而且可以通过Web访问。此时攻击者所要做的只是猜出这些文件的名字。只要了解了20种主流在线商店系统的默认设置并正确地识别出目标网站所用的系统,要猜出这些文件名字是相当简单的。 如果Web服务器既提供私有数据存储又提供公用页面目录,上述问题就不会再出现。例如在这些方案中,FTP根目录“/”映射到“/home/www/servers/www.customer.com/”,但页面文档的根目录却在它的下一级目录“/home/www/servers/www.customer.com/pages”,可以通过FTP以“/pages”形式访问。在这种目录配置下,用户可以另外创建和页面文档根目录平行的目录,然后把敏感数据放到这些目录中。由于这些目录可以通过FTP访问,但不能通过HTTP访问,所以它们是无法通过Web访问的。 如果系统没有采用上述根目录分离的目录结构,我们还有一种解决问题的办法,即在页面文档根目录下创建专用的私有数据存储目录,如“/shop”,然后在这个目录中创建.htaccess文件,通过.htaccess文件拒绝所有HTTP访问(适用于Apache服务器): 该目录中的文件只能通过FTP传输,因为FTP传输忽略.htaccess文件。但与前面采用页面文档根目录之外独立目录的方法相比,这种方法的风险更多一点,因为如果服务器管理员在服务器主配置文件中意外地关闭了该目录必不可少的“AllowOverride Limit”优先权,这种保护将不再有效。 上述问题还有各种变化形式。如果一台机器上运行着多个客户网站,那么客户就能够欺骗机器,访问在其自己目录层次之外的路径,例如“/home/www/servers/www.customer.com”目录之外的文件。通常,只需创建各种符号链接(指向保存在用户虚拟服务器之外的文件)就有可能实现这一点。最有可能成为链接目标的是包含文件和私有密匙,这是为了获取数据库密码和其他必须保密的信息(为了让应用能够正常运行这些信息往往以明文形式保存在这类文件中)。其他可能的攻击目标还包括保存在非公用目录中的订单记录和其他有用数据。 把尽可能多的服务隔离运行可以部分地解决这个问题,例如用Apache suexec程序的sbox让所有的CGI在隔离的环境以客户的用户ID而不是Web服务器的用户ID运行。另外,许多服务器上运行着FTP服务,例如wu-ftpd,该服务的所有文件传输都是隔离进行的,同样也保护了善意客户的资料避免被其他人偷看。 然而,恶意的客户仍旧能够用CGI程序创建符号链接指向其他用户的存储区域,然后通过它自己的Web服务器查看其他人的文件,这是因为在一个运行多个网站的环境中,Web服务器无法简单地以隔离方式以及用它为之应答请求的客户的用户ID运行。管理员应该配置Web服务器以及其他文件传输程序使其不再使用符号链接。在Apache上,这可以通过关闭最顶层的“FollowSymLinks”选项实现(不要在较低的层次上把它重新打开),配置代码示例如下: < directory / > |
|||
最新热点 | 最新推荐 | 相关文章 | ||
多图详解苹果“雪豹”服务器系统安装… 支招:如何搭建九层高的服务器机架? IBM System x3200M2服务器常见问题解… IBM刀片服务器搭建理想动态基础架构 Windows服务器组件安全设置策略 配置WSUS服务器客户端计算机进行自动… 微软WSUS服务器 3.0安装配置详解 WSUS服务器常见故障 Serv-U8.0添加匿名用户的技巧 Serv-U服务器中文乱码问题的解决 |
关于45IT | About 45IT | 联系方式 | 版权声明 | 网站导航 | |
Copyright © 2003-2011 45IT. All Rights Reserved 浙ICP备09049068号 |