如何確保Web服務器的安全？

:em02:  
 
　　何時

　　至少每月一次檢查Web服務器的漏洞；每年一次或每次升級修補程序時更新Web服務器的政策。

 :em02: 
　　為何

　　Web服務器是組織的門面并且提供了進入網絡的簡單方法。所有的Web服務器都與安全事件相關，一些更甚。最近安全焦點列出了微軟IIS服務器的116個安全問題，而開放源碼的Apache有80個。

 :em02: 
　　策略

　　許多Web服務器默認裝有標準通用網關接口（CGI），例如ColdFusion，它可以用于處理惡意請求。既然它們很容易發現并且在root權限下運行，駭客開發易受攻擊的CGI程序來摧毀網頁，盜取信用卡信息并且為將來的入侵設置后門。通用法則是，在操作系統中移除樣本程序，刪除bin目錄下的CGI原本解釋程序，移除不安全的CGI原本，編寫更好的CGI程序，決定你的Web服務器是否真的需要CGI支持。

　　檢查Web服務器，只允許需要分發的信息駐留在服務器上。這個問題有時會被誤解。大多數服務器在root下運行，所以駭客可以打開80端口，更改日志文件。他們等待進入80端口的連接。接受這個連接，分配給子程序處理請求并回去監聽。子程序把有效的用戶標識改為“nobody”用戶并處理請求。當“服務器以root運行”時，并未向所設想的用戶告警。這個警告是關于配置成以root運行子程序的服務器（例如，在服務器配置文件中指定root用戶）。以root許可進入的每一個CGI原本都可以訪問你的系統。

　　在“chroot”環境中運行Web服務器。運行chroot系統命令可以增強Unix環境中Web服務器的安全特性，因為此時看不到服務器上文件目錄的任何部分——目錄上的所有內容都不能訪問。在chroot環境中運行服務器，你必需創建一整個微型root文件系統，包括服務器需要訪問的所有內容，還包括特定的設備文件和共享庫。你還要調整服務器配置文件中的全部路徑名，使之與新的root目錄相關聯。

　　如果你的系統被用于攻擊其他系統，小心引起訴訟。如果不能擊退每一次攻擊，至少確保你用于追溯惡意事件的審核文件記錄信息的安全。最后，確認Web服務器政策：代碼安裝；管理/許可；認證；內容和版本控制；修補程序/熱點修理/告警；登錄；電子商務處理；電子商務處理報告；隱私政策/個人信息收集。

tma 回復于：2004-10-20 22:28:40

謝

panpa 回復于：2004-10-21 08:37:18

學習...：D

原文轉自：http://www.kjueaiud.com