07信息安全知識競賽培訓(xùn)-應(yīng)用

網(wǎng)絡(luò)應(yīng)用根底知識培訓(xùn)內(nèi)容提要MicrosoftIIS效勞器平安管理Apache效勞器平安管理DNS/Bind效勞器平安管理MicosoftIIS概述Microsoft的IIS是一個(gè)流行的Web效勞器，提供HTTP、FTP、SMTP、NNTP的效勞。尤其是HTTP效勞器的功能非常強(qiáng)大。目前Internet有相當(dāng)數(shù)量的HTTP效勞器都在運(yùn)行IIS。但是，正因?yàn)镮IS功能的強(qiáng)大，如果配置不當(dāng)，就會(huì)帶來很多平安問題。在WindowsNT4.0時(shí)代，IIS4.0是作為OptionPack4的一局部發(fā)行的，需要進(jìn)行額外的安裝才能運(yùn)行，在Windows2000中，IIS5.0應(yīng)經(jīng)完全成為操作系統(tǒng)的一個(gè)有機(jī)組成局部，與上一版本的IIS〔IIS4.0〕相比，IIS5.0引入了許多新特性，也修改并優(yōu)化了一些功能,下面從平安性、管理、可編程性、Internet標(biāo)準(zhǔn)這四個(gè)角度分析。IIS已完全集成了Kerberos5驗(yàn)證協(xié)議，從而允許用戶在運(yùn)行Windows的計(jì)算機(jī)之間傳遞驗(yàn)證憑據(jù)。IIS虛擬平安技術(shù)虛擬效勞器在實(shí)際中，可以在一臺計(jì)算機(jī)上安裝多個(gè)Web網(wǎng)站，在使用中，就好似這些網(wǎng)站分別處于不同的計(jì)算機(jī)一樣，這種稱為虛擬效勞器。虛擬效勞器的方法主要有3種：IP法：通過多個(gè)網(wǎng)卡或者給一個(gè)網(wǎng)卡綁定多個(gè)IP的方法實(shí)現(xiàn)，如圖：端口法：在同一個(gè)IP下通過分配不同的端口號來實(shí)現(xiàn)，IIS中的遠(yuǎn)程管理就是這樣實(shí)現(xiàn)的。當(dāng)然在使用端口號是要分配的范圍為：1024~65535。主機(jī)頭法：這個(gè)方法是在1.1版本的根底上，通過一個(gè)叫主機(jī)頭的方法，在同IP同端口的前提下，實(shí)現(xiàn)通過完全域名〔〕虛擬主機(jī)。虛擬目錄每一網(wǎng)站在創(chuàng)立時(shí)都需要定義一個(gè)主目錄，作為存放網(wǎng)站信息文件的主要場所。也可以定義一個(gè)不相關(guān)的目錄，使其好似是在主目錄下，好似就是主目錄下的子目錄一樣存儲(chǔ)網(wǎng)站文件。這些目錄叫做虛擬目錄。IIS平安配置最正確實(shí)踐不要將IIS安裝在系統(tǒng)分區(qū)上

使用NTFS文件系統(tǒng)在NT系統(tǒng)中應(yīng)該使用NTFS系統(tǒng)，NTFS可以對文件和目錄進(jìn)行管理，而FAT文件系統(tǒng)只能提供共享級的平安，而且在默認(rèn)情況下，每建立一個(gè)新的共享，所有的用戶就都能看到，這樣不利于系統(tǒng)的平安性。而在NTFS文件下，建立新共享后可以通過修改權(quán)限保證系統(tǒng)平安。

修改IIS的安裝默認(rèn)路徑打上Windows和IIS的最新平安補(bǔ)丁關(guān)閉默認(rèn)共享

在Windows2000中，有一個(gè)“默認(rèn)共享〞，這是在安裝效勞器的時(shí)候，把系統(tǒng)安裝分區(qū)自動(dòng)進(jìn)行共享，雖然對其訪問還需要超級用戶的密碼，但這是潛在的平安隱患，從效勞器的平安考慮，最好關(guān)閉這個(gè)“默認(rèn)共享〞，以保證系統(tǒng)平安。方法是：單擊“開始/運(yùn)行〞，在運(yùn)行窗口中輸入“Regedit〞，翻開注冊表編輯器，展開“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters〞項(xiàng)，添加鍵值A(chǔ)utoShareServer，類型為REG_DWORD，值為0。這樣就可以徹底關(guān)閉“默認(rèn)共享〞。IIS平安配置最正確實(shí)踐共享權(quán)限的修改

在系統(tǒng)默認(rèn)情況下，每建立一個(gè)新的共享，Everyone用戶就享有“完全控制〞的共享權(quán)限，因此，在建立新的共享后應(yīng)該立即修改Everyone的缺省權(quán)限，不能讓W(xué)eb效勞器訪問者得到不必要的權(quán)限，給效勞器帶來被攻擊的危險(xiǎn)。IIS平安配置最正確實(shí)踐為系統(tǒng)管理員賬號改名

對于一般用戶，我們可以在“本地平安策略〞中的“帳戶鎖定策略〞中限制猜測口令的次數(shù)，但對系統(tǒng)管理員賬號〔adminstrator〕卻無法限制，這就可能給非法用戶攻擊管理員賬號口令帶來時(shí)機(jī)，所以我們需要將管理員賬號更名。具體設(shè)置方法如下：

鼠標(biāo)右擊“我的電腦〞“管理〞，啟動(dòng)“計(jì)算機(jī)管理〞程序，在“本地用戶和組〞中，鼠標(biāo)右擊“管理員賬號〔administrator〕〞,選擇“重命名〞，將管理員帳號修改為一個(gè)很普通的用戶名即可。IIS平安配置最正確實(shí)踐刪除不必要的應(yīng)用程序映射IIS中默認(rèn)存在很多種應(yīng)用程序映射，如.htw、.ida、.idq、.asp、.cer、.cdx、.asa、.htr、.idc、.shtm、.shtml、.stm、.printer等，通過這些程序映射，IIS就能知道對于什么樣的文件該調(diào)用什么樣的動(dòng)態(tài)鏈接庫文件來進(jìn)行解析處理。但是，在這些程序映射中，除了.asp的這個(gè)程序映射，其它的文件在網(wǎng)站上都很少用到。而且在這些程序映射中，.htr、.idq/ida、.printer等多個(gè)程序映射都已經(jīng)被發(fā)現(xiàn)存在緩存溢出問題，入侵者可以利用這些程序映射中存在的緩存溢出獲得系統(tǒng)的權(quán)限。所以我們需要將這些不需要的程序映射刪除。在“Internet效勞管理器〞中，右擊網(wǎng)站目錄，選擇“屬性〞，在網(wǎng)站目錄屬性對話框的“主目錄〞頁面中，點(diǎn)擊“配置〞按鈕，彈出“應(yīng)用程序配置〞對話框，在“應(yīng)用程序映射〞頁面，刪除無用的程序映射。IIS平安配置最正確實(shí)踐保護(hù)日志平安

日志是系統(tǒng)平安策略的一個(gè)重要壞節(jié)，IIS帶有日志功能，能記錄所有的用戶請求。確保日志的平安能有效提高系統(tǒng)整體平安性。

修改IIS日志的存放路徑

IIS的日志默認(rèn)保存在一個(gè)眾所周知的位置〔%WinDir%\System32\LogFil-es〕，這對Web日志的平安很不利。IIS平安配置最正確實(shí)踐禁用TCP/IP上的NetBIOSTCP/IP篩選利用IP平安策略IIS平安配置最正確實(shí)踐刪除不必要的虛擬目錄IIS安裝完成后在wwwroot下默認(rèn)生成了一些目錄，并默認(rèn)設(shè)置了幾個(gè)虛擬目錄，包括IISHelp、IISAdmin、IISSamples、MSADC等，它們的實(shí)際位置有的是在系統(tǒng)安裝目錄下，有的是在重要的Programfiles下，從平安的角度來看很不平安，而且這些設(shè)置實(shí)際也沒有太大的作用，所以我們可以刪除這些不必要的虛擬目錄。

IIS平安配置最正確實(shí)踐刪除危險(xiǎn)的IIS組件

默認(rèn)安裝后的有些IIS組件可能會(huì)造成平安威脅，應(yīng)該從系統(tǒng)中去掉，大家可以根據(jù)自己的需要決定是否需要?jiǎng)h除。

●Internet效勞管理器〔HTML〕：這是基于Web的IIS效勞器管理頁面，一般情況下不應(yīng)通過Web進(jìn)行管理，建議卸載它。

●SMTPService和NNTPService：如果不打算使用效勞器轉(zhuǎn)發(fā)郵件和提供新聞組效勞，就可以刪除這兩項(xiàng)，否那么，可能因?yàn)樗鼈兊穆┒磶硇碌牟黄桨病?/p>

●樣本頁面和腳本：這些樣本中有些是專門為顯示IIS的強(qiáng)大功能設(shè)計(jì)的，但同樣可被用來從Internet上執(zhí)行應(yīng)用程序和瀏覽效勞器，建議刪除。

IIS平安配置最正確實(shí)踐為IIS中的文件分類設(shè)置權(quán)限

除了在操作系統(tǒng)里為IIS的文件設(shè)置必要的權(quán)限外，還要在IIS管理器中為它們設(shè)置權(quán)限，對一個(gè)文件夾永遠(yuǎn)也不應(yīng)同時(shí)設(shè)置寫和執(zhí)行權(quán)限，以防止攻擊者向站點(diǎn)上傳并執(zhí)行惡意代碼。另外目錄瀏覽功能也應(yīng)禁止，預(yù)防攻擊者把站點(diǎn)上的文件夾瀏覽個(gè)遍最后找到漏洞。一個(gè)好的設(shè)置策略是：為Web站點(diǎn)上不同類型的文件都建立目錄，然后給它們分配適當(dāng)權(quán)限。例如：

●靜態(tài)文件文件夾：包括所有靜態(tài)文件，如HTM或HTML，給予允許讀取、拒絕寫的權(quán)限。

●ASP腳本文件夾：包含站點(diǎn)的所有腳本文件，如cgi、vbs、asp等等，給予允許執(zhí)行、拒絕寫和讀取的權(quán)限。

●EXE等可執(zhí)行程序：包含站點(diǎn)上的二進(jìn)制執(zhí)行文件，給予允許執(zhí)行、拒絕寫和拒絕讀取的權(quán)限。

IIS平安配置最正確實(shí)踐內(nèi)容提要MicrosoftIIS效勞器平安管理Apache效勞器平安管理DNS/Bind效勞器平安管理Apache概述是在NCSAWeb效勞器的根底上開發(fā)的，1995年4月，最早的公開發(fā)行。而Apache1.0那么在1995年12月1日發(fā)布。ApacheGroup是一個(gè)非盈利團(tuán)體，完全通過Internet進(jìn)行運(yùn)作，允許世界各地的開發(fā)人員提供新的特性、修正bug和將Apache移植到新的平臺，還允許做其他更多的工作，比方Apache吸引了全世界很多的開發(fā)人員，他們?yōu)锳pache編寫了很多模塊，這些模塊為Apache提供了各種各樣的功能，詳細(xì)請見Apache的主頁。Apache效勞器是自由軟件的成功產(chǎn)物，在Internet中的Web效勞器領(lǐng)域內(nèi)，Apache占有無可爭議的領(lǐng)先地位。Apache可能受到以下平安威脅：是使用HTTP協(xié)議進(jìn)行的拒絕效勞攻擊緩沖區(qū)溢出攻擊被攻擊者獲得root權(quán)限三缺陷Apache概述Apache根本功能配置Apache安裝成功以后，在其conf子目錄下有四個(gè)配置文件：d.conf：d.conf是Apache的主配置文件，d程序啟動(dòng)時(shí)會(huì)先讀取d.conf。該文件設(shè)定Apache效勞器一般的屬性、端口、執(zhí)行者身份等等。srm.conf：srm.conf是數(shù)據(jù)配置文件，在這個(gè)文件中主要設(shè)置WWWServer讀取文件的目錄、目錄索引時(shí)的畫面、CGI執(zhí)行時(shí)的目錄等等。srm.conf不是必須的，可以完全由d.conf里設(shè)定。access.conf：access.conf是負(fù)責(zé)根本的讀取文件控制，限制目錄所能執(zhí)行的功能及訪問目錄的權(quán)限設(shè)置。access.conf不是必須的，可以完全由d.conf里設(shè)定。mime.types：mime.types設(shè)定Apache所能區(qū)分的MIME格式，一般而言，無須動(dòng)此文件。假設(shè)要增加MIME格式，可參考srm.conf中AddType的語法說明。如果你安裝了mod_mime_magic模塊，還會(huì)有magic這個(gè)配置文件。Apache安裝目錄的bin目錄下的apachectl文件用來啟動(dòng)Apache，普通的啟動(dòng)只需使用apachectlstart，如果要通過SSL方式啟動(dòng)需要使用apachectlstartssl。Apache根本功能配置d.conf的常用指令說明ServerTypestandalone#設(shè)置效勞器的形式是單獨(dú)啟動(dòng)〔standalone〕，還是由inetd來啟動(dòng)。一般使用前者。ServerTokensProd#盡可能少顯示Apache的banner，結(jié)合下面的ServerSignatureOff使Apache不顯示版本號和模塊信息。ServerSignatureOffServerRoot"/usr/local/apache"#設(shè)置效勞器的Home目錄，用來存放效勞器的設(shè)置文件、錯(cuò)誤文件、記錄文件。PidFilelogs/d.pid#程序啟動(dòng)時(shí)，把父進(jìn)程d的進(jìn)程號〔processid〕存在這個(gè)文件中。這個(gè)文件名可以配合PidFile指令加以改變。d.conf的常用指令說明ScoreBoardFilelogs/apache_status#設(shè)置網(wǎng)絡(luò)上WWW效勞器一些執(zhí)行程序的記錄文件。#ResourceConfigconf/srm.conf#AccessConfigconf/access.conf#這兩個(gè)文件的內(nèi)容已經(jīng)包含在d.conf文件中了。如果覺得d.conf文件太長，可以把一些配置指令放到srm.conf和access.conf里設(shè)定。Timeout300#如果客戶端300秒還沒有連上，或者效勞器300秒還沒有傳送數(shù)據(jù)到客戶端，就會(huì)自動(dòng)斷線。這個(gè)值可以適當(dāng)減少以防止連接耗盡攻擊。KeepAliveOn#設(shè)置是否支持續(xù)傳功能。d.conf的常用指令說明MaxKeepAliveRequests100#設(shè)置支持續(xù)傳功能的數(shù)目。數(shù)目越多那么浪費(fèi)的硬盤空間越多。設(shè)置為0那么不止持續(xù)傳。KeepAliveTimeout15#如果該為使用者在15秒后還沒有向效勞器發(fā)出要求，那么他在不能續(xù)傳。MaxRequestsPerChild0#設(shè)置同時(shí)間內(nèi)childprocess數(shù)目，為了平安一般設(shè)為0。ThreadsPerChild50#設(shè)置效勞器使用進(jìn)程的數(shù)目。d.conf的常用指令說明本地文件平安Apache安裝后默認(rèn)設(shè)置的文件屬主和權(quán)限是比較合理與平安的，如果你的本地用戶比較多，可以按照手冊的要求稍稍做些修改。#chown-Rroot.root/usr/local/apache#chmod511/usr/local/apache/bin/d#chmod600/usr/local/apache/logs/*logApache平安配置最正確實(shí)踐模塊平安Apache效勞器的大范圍流行以及模塊化結(jié)構(gòu)使得Apache的模塊越來越多，原那么是不需要的功能就不使用，可以在配置的時(shí)候禁止相應(yīng)的模塊，比方如下的配置命令：#SSL_BASE=../your_open_ssl_home\./configure\--enable-module=so\--enable-module=ssl\--disable-module=negotiation\--disable-module=status\--disable-module=include\--disable-module=autoindex\--disable-module=asis\--disable-module=imap\--disable-module=actions\等等Apache平安配置最正確實(shí)踐用戶認(rèn)證平安如果需要對某個(gè)Web目錄進(jìn)行訪問控制，Apache提供了非常簡單方便的用戶認(rèn)證機(jī)制。比方要對/usr/local/apache/htdocs/secret目錄進(jìn)行訪問控制?？梢酝ㄟ^以下配置實(shí)現(xiàn)：修改Apache的配置文件d.conf修改/usr/local/apache/htdocs/secret用Apache提供的htpasswd命令來創(chuàng)立用戶修改.htaccess文件Apache平安配置最正確實(shí)踐鏈接耗盡問題這種攻擊有如下的三種解決方法：1)減少Apache超時(shí)〔Timeout〕設(shè)置、增大MaxClients設(shè)置。例如修改d.conf配置文件：Timeout30MaxClients256不過Maxclients設(shè)置設(shè)的越大，要求你的內(nèi)存也越大，否那么可能會(huì)由于進(jìn)程過多導(dǎo)致內(nèi)存占滿。2)限制同一IP的最大連接數(shù)。這個(gè)可以通過一些支持此功能的防火墻來完成，或者使用xinetd來啟動(dòng)apache,xinetd中有一個(gè)參數(shù)per_source可以進(jìn)行設(shè)置，不過對于訪問量大的web效勞器，使用xinetd可能會(huì)造成性能下降。3)由于這種全連接攻擊無法偽造IP，源IP總是真實(shí)的。所以可以通過防火墻來屏蔽該IP的訪問。Apache平安配置最正確實(shí)踐對方多線程下載方法用戶多線程下載對效勞器負(fù)載非常重，可能會(huì)導(dǎo)致效勞器僵死。比較簡單的解決方法是根據(jù)User_Agent判斷，把的多線程工具都給禁止掉：修改d.conf配置文件BrowserMatch"NetAnt"badguyBrowserMatch"GetRight"badguyBrowserMatch"JetCar"badguyBrowserMatch"MassDownloader"badguyBrowserMatch"ReGet"badguyBrowserMatch"DLExpert"badguyBrowserMatch"FlashGet"badguy......注意d里面應(yīng)該有mod_setenvif模塊。這種方法簡單易行，但是很多下載工具都是可以偽造User_Agent的，所以很容易就繞過Apache的限制了。Apache平安配置最正確實(shí)踐內(nèi)容提要MicrosoftIIS效勞器平安管理Apache效勞器平安管理DNS/Bind效勞器平安管理Bind概述：BerkeleyInternertNameDomain(BIND)是我們所熟知的域名效勞器軟件，它具有廣泛的使用根底，是Internet上DNS效勞器軟件事實(shí)上的標(biāo)準(zhǔn)，幾乎所有大型的DNS效勞器都是使用bind，在因特網(wǎng)開展過程中起了重大推動(dòng)作用。bind目前由ISC(InternetSoftwareConsortium)負(fù)責(zé)維護(hù)，具體的開發(fā)由)公司來完成。域名系統(tǒng)平安協(xié)議〔DomainNameSystemSECurity，DNSSEC〕給DNS鑒定添加了兩種記錄類型，分別是：KEY記錄：記錄存儲(chǔ)主機(jī)或管理區(qū)域的公鑰SIG記錄：記錄存儲(chǔ)各記錄相關(guān)的數(shù)字簽名Bind概述Bind自動(dòng)運(yùn)行配置兩種方法：如果我們要在系統(tǒng)啟動(dòng)就運(yùn)行bind，可以運(yùn)行命令/usr/sbin/ntsysv去掉自動(dòng)啟動(dòng)的named前面的標(biāo)記或者直接把/etc/rc.d/rc3.d/K45named改名為S45named，在/etc/rc.d/rc.local文件里加上如下一句：/usr/local/sbin/named-unamed-t/chroot/named-c/etc/named.conf通常為防止安裝bind軟件過程中發(fā)生不可預(yù)知的平安性問題，通常把軟件安裝到chroot環(huán)境下。為了平安考慮，bind通常不以root帳號啟用