没有合适的资源?快使用搜索试试~ 我知道了~
Web服务器安全策略[总结].pdf
1.该资源内容由用户上传,如若侵权请联系客服进行举报
2.虚拟产品一经售出概不退款(资源遇到问题,请及时私信上传者)
2.虚拟产品一经售出概不退款(资源遇到问题,请及时私信上传者)
版权申诉
0 下载量 195 浏览量
2021-10-12
01:35:35
上传
评论
收藏 37KB PDF 举报
温馨提示
试读
6页
Web服务器安全策略[总结].pdf
资源推荐
资源详情
资源评论
Web 服务器安全策略
随着网络技术的普及、应用和 Web 技术的不断完善, Web 服务已经成为互联网上颇为重要
的服务形式之一。原有的客户/服务器模式正在逐渐被浏览器/服务器模式所取代。
本文将重点介绍 Web 面临的主要威胁,并结合在 Linux 中使用较多的 Apache 服务器,
介绍进行 Web 服务器 安全 配置的技巧。
Web服务器面临的 安全 隐患
为了保护 Web服务器不被恶意攻击和破坏, 第一步就是要了解和识别它所面
临的 安全 风险。
以前, Web站点仅仅提供静态的页面,因此 安全风险很少。恶意破坏者进入这类
Web站点的惟一方法是获得非法的访问权限。
近年来,大部分 Web服务器不再提供静态的 HTML页面,它们提供动态的内
容,许多 Web站点与颇有价值的客户服务或电子商务活动应用结合在一起 (这也
是风险所在,通常不注意的)。
◆ HTTP 拒绝服务。攻击者通过某些手段使服务器拒绝对 HTTP应答。这使
得 Apache 对系统资源( CPU时间和内存)需求的剧增,最终造成系统变慢甚至
完全瘫痪。
◆ 缓冲区溢出。攻击者利用 CGI程序编写的一些缺陷使程序偏离正常的流
程。程序使用静态分配的内存保存请求数据, 攻击者就可以发送一个超长请求使
缓冲区溢出。 比如一些 Perl 编写的处理用户请求的网关脚本。 一旦缓冲区溢出,
攻击者可以执行其恶意指令。
◆ 攻击者获得 root 权限。如果 Apache 以 root 权限运行, 系统上一些程序
的逻辑缺陷或缓冲区溢出的手 段,会让攻击者很容易在本地获得 Linux 服务
器上管理员权限 root 。在一些远程的情况下,攻击者会利用一些以 root 身份执
行的有缺陷的系统守护进程来取得 root 权限,或利用有缺陷的服务进程漏洞来
取得普通用户权限,用以远程登录服务器,进而控制整个系统。
合理的网络配置能够保护 Apache服务器免遭多种攻击。
配置一个 安全 Apache服务器
1、勤打补丁
在 www.apache.org 上最新的 changelog 中都写着: bug fix 、security bug
fix 的字样。所以, Linux 网管员要经常关注相关网站的缺陷修正和升级,及时
升级系统或添加补丁。使用最高和最新安全版本对于加强 Apache Web服务器的
安全是至关重要的。
2、隐藏 Apache 的版本号
通常,软件的漏洞信息和特定版本是相关的, 因此,版本号对黑客来说是最
有价值的。
默认情况下,系统会把 Apache版本系统模块都显示出来( http 返回头)。如果
列举目录的话,会显示域名信息 ( 文件列表正文 ) 去除 Apache 版本号:修改配置
文件: /etc/httpd.conf. 找到关键字 ServerSignature ,将其设定为:
ServerSignature Off
ServerTokens Prod
资源评论
czq131452007
- 粉丝: 2
- 资源: 12万+
下载权益
C知道特权
VIP文章
课程特权
开通VIP
上传资源 快速赚钱
- 我的内容管理 展开
- 我的资源 快来上传第一个资源
- 我的收益 登录查看自己的收益
- 我的积分 登录查看自己的积分
- 我的C币 登录后查看C币余额
- 我的收藏
- 我的下载
- 下载帮助
安全验证
文档复制为VIP权益,开通VIP直接复制
信息提交成功