一個安全WEB服務器的安裝(2)_Windows教程
      
編輯Tag賺U幣
      


      教程Tag:暫無Tag,歡迎添加,賺取U幣!
      


      
3. 服務區 

      

        服務區定義需要哪些服務。通過“如果不是指定需要的全部禁止”的安全策略,服務器上僅僅配置完成必要的操作所必需的服務,否則就會為攻擊者提供更多的攻擊點。
      

        僅適用可以保證足夠安全級的服務:沒有充分認證能力的服務(如:rexec)或者傳輸未經過加密的敏感數據的服務(如telnet、ftp或通過WWW傳輸信用卡敏感數據)都應該用更安全的相應服務所替代(如SSH、SSLftp或HTTPS)。
      

        4. 應用區
      

        為安全起見,每個服務都必需單獨配置。一個配置的不好的郵件服務器可能會被用來發送垃圾郵件,配置不好的Web服務器可以執行所有的系統命令。注意,千萬不要創建具有高特權的服務(root)。
      

        您必需仔細研讀您所適用的軟件的操作手冊中的相關內容才可以更安全地配置您的應用。
      

        5. 操作系統區
      

        最后的保護機制是操作系統自身。如果如果應用區的安全方法配置合理的話,即使入侵者成功地進入計算機系統也沒有足夠的管理權限完成破壞工作。程序的安裝,尤其是高特權的程序,應該限制在系統操作的絕對需要范圍內。許多高特權的程序可以通過更高級別的認證來限制用戶的濫用,因為系統中的標準用戶帳號根本不需要使用這些程序。但這還遠遠不夠,萬一攻擊者成功地進入計算機系統,應該存在一個檢測入侵的機制。這被稱為“基于主機的入侵檢測”。當然,最好還要能夠監視和記錄系統中的文件操作,以便了解入侵者的真正意圖。當然也不能忽視經常性地備份,并且不要丟棄舊的備份文件。這種做法不僅可以用來配置備份服務器和避免數據丟失,它還可以用來跟蹤系統中文件的操作情況。如果有幾個管理員同時管理一個服務器,那么一個記錄誰執行過哪些操作的機制可以在下面提及。
      

        想定
      

        Internet需要配置一臺自己的WEB服務器,由于沒有自己的安全基礎設施,應該在WEB服務器前面放一臺配置了相應過濾規則的路由器。這臺WEB服務器僅僅提供WWW和HTTPS服務,但是,它當然也需要具有遠程控制特性。另外,這臺Web服務器最好還能夠發送郵件。由于Linux服務器和網頁是由三個不同的管理員維護的,所有的管理操作都應該保證在以后進行日志分析是更容易理解。
      

        實現
      

        前面段落中說明的安全WEB服務器的需求如何實現呢?下面的例子說明了一種在SuSE Linux 6.4發布的服務器上的實現方法。為了實現上述想定,我們決定選擇SSH管理和Apache Web服務器。
      

        第一步:配置路由器
      

        每一個流行的路由器都提供配置過濾列表的功能。您必需配置下面的簡單規則:
      

        +---------------------------------------------------------------+
        |-----------------------過濾規則--------------------------------|
        +------------------+------------------+-------------------------+
        |--------來源------|--------目標------|---------服務------------|
        +------------------+------------------+-------------------------+
        |任何位置----------|Web服務器---------|WWW, HTTPS, UDP highport,|
        |------------------|------------------|ICMP types 0 + 3---------|
        +------------------+------------------+-------------------------+
        |管理員------------|Web服務器---------|SSH----------------------|
        +------------------+------------------+-------------------------+
        |Web服務器---------|任何位置----------|DNS, SMTP----------------|
        +------------------+------------------+-------------------------+
        |Web服務器---------|路由器------------|SSH或telnet--------------|
        +------------------+------------------+-------------------------+
      

        路由器的操作手冊會提供如何進行上述配置的詳細信息。這里我建議使用Cisco路由器,因為對于這種情況它非常容易配置,并且還在IOS的第12版以后提供了SSH的加密服務。
      



      

      


      來源:網絡搜集//所屬分類:Windows教程/更新時間:2013-04-15


      


      



      


      



      相關Windows教程