信息安全知识竞赛培训_应用

,网络应用基础知识培训,内容提要,Microsoft IIS服务器安全管理 Apache 服务器安全管理 DNS/Bind服务器安全管理,Micosoft IIS概述,Microsoft 的 IIS 是一个流行的Web服务器，提供 HTTP、FTP、SMTP、NNTP 的服务。尤其是HTTP服务器的功能非常强大。目前Internet有相当数量的HTTP服务器都在运行IIS。但是，正因为IIS功能的强大，如果配置不当，就会带来很多安全问题。 在Windows NT 4.0时代，IIS 4.0是作为Option Pack 4的一部分发行的，需要进行额外的安装才能运行，在Windows 2000中，IIS 5.0应经完全成为操作系统的一个有机组成部分，与上一版本的IIS（IIS 4.0）相比，IIS 5.0引入了许多新特性，也修改并优化了一些功能, 下面从安全性、管理、可编程性、Internet 标准这四个角度分析。 IIS 已完全集成了Kerberos 5 验证协议，从而允许用户在运行 Windows 的计算机之间传递验证凭据。,IIS虚拟安全技术,虚拟服务器 在实际中，可以在一台计算机上安装多个Web网站，在使用中，就好像这些网站分别处于不同的计算机一样，这种称为虚拟服务器。 虚拟服务器的方法主要有3种： IP法：通过多个网卡或者给一个网卡绑定多个IP 的方法实现，如图： 端口法：在同一个IP 下通过分配不同的端口号来实现，IIS中的远程管理就是这样实现的。当然在使用端口号是要分配的范围为： 102465535。 主机头法：这个方法是在http1.1版本的基础上，通过一个叫主机头的方法，在同IP同端口的前提下，实现通过完全域名（F.Q.D.N）虚拟主机。 虚拟目录 每一网站在创建时都需要定义一个主目录，作为存放网站信息文件的主要场所。也可以定义一个不相关的目录，使其好像是在主目录下，好像就是主目录下的子目录一样存储网站文件。这些目录叫做虚拟目录。,IIS安全配置最佳实践,不要将IIS安装在系统分区上 使用NTFS文件系统 在NT系统中应该使用NTFS系统，NTFS可以对文件和目录进行管理，而FAT文件系统只能提供共享级的安全，而且在默认情况下，每建立一个新的共享，所有的用户就都能看到，这样不利于系统的安全性。而在NTFS文件下，建立新共享后可以通过修改权限保证系统安全。 修改IIS的安装默认路径 打上Windows和IIS的最新安全补丁,关闭默认共享 在Windows 2000中，有一个“默认共享”，这是在安装服务器的时候，把系统安装分区自动进行共享，虽然对其访问还需要超级用户的密码，但这是潜在的安全隐患，从服务器的安全考虑，最好关闭这个“默认共享”，以保证系统安全。方法是：单击“开始/运行”，在运行窗口中输入“Regedit”，打开注册表编辑器，展开“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameters”项，添加键值AutoShareServer，类型为REG_DWORD，值为0。 这样就可以彻底关闭“默认共享”。,IIS安全配置最佳实践,共享权限的修改 在系统默认情况下，每建立一个新的共享，Everyone用户就享有“完全控制”的共享权限，因此，在建立新的共享后应该立即修改Everyone的缺省权限，不能让Web服务器访问者得到不必要的权限，给服务器带来被攻击的危险。,IIS安全配置最佳实践,为系统管理员账号改名 对于一般用户，我们可以在“本地安全策略”中的“帐户锁定策略”中限制猜测口令的次数，但对系统管理员账号（adminstrator）却无法限制，这就可能给非法用户攻击管理员账号口令带来机会，所以我们需要将管理员账号更名。具体设置方法如下： 鼠标右击“我的电脑” “管理”，启动“计算机管理”程序，在“本地用户和组”中，鼠标右击“管理员账号（administrator）”,选择“重命名”，将管理员帐号修改为一个很普通的用户名即可。,IIS安全配置最佳实践,删除不必要的应用程序映射 IIS中默认存在很多种应用程序映射，如.htw、.ida、.idq、.asp、.cer、.cdx、.asa、.htr、.idc、.shtm、.shtml、.stm、.printer等，通过这些程序映射，IIS就能知道对于什么样的文件该调用什么样的动态链接库文件来进行解析处理。但是，在这些程序映射中，除了.asp的这个程序映射，其它的文件在网站上都很少用到。而且在这些程序映射中，.htr、.idq/ida、.printer等多个程序映射都已经被发现存在缓存溢出问题，入侵者可以利用这些程序映射中存在的缓存溢出获得系统的权限。 所以我们需要将这些不需要的程序映射删除。在“Internet服务管理器”中，右击网站目录，选择“属性”，在网站目录属性对话框的“主目录”页面中，点击“配置”按钮，弹出“应用程序配置”对话框，在“应用程序映射”页面，删除无用的程序映射。,IIS安全配置最佳实践,保护日志安全 日志是系统安全策略的一个重要坏节，IIS带有日志功能，能记录所有的用户请求。确保日志的安全能有效提高系统整体安全性。 修改IIS日志的存放路径 IIS的日志默认保存在一个众所周知的位置（%WinDir%System32LogFil-es），这对Web日志的安全很不利。,IIS安全配置最佳实践,禁用TCP/IP 上的NetBIOS TCP/IP筛选 利用IP安全策略,IIS安全配置最佳实践,删除不必要的虚拟目录 IIS安装完成后在wwwroot下默认生成了一些目录，并默认设置了几个虚拟目录，包括IISHelp、IISAdmin、IISSamples、MSADC等，它们的实际位置有的是在系统安装目录下，有的是在重要的Program files下，从安全的角度来看很不安全，而且这些设置实际也没有太大的作用，所以我们可以删除这些不必要的虚拟目录。,IIS安全配置最佳实践,删除危险的IIS组件 默认安装后的有些IIS组件可能会造成安全威胁，应该从系统中去掉，大家可以根据自己的需要决定是否需要删除。 Internet服务管理器（HTML）：这是基于Web 的IIS服务器管理页面，一般情况下不应通过Web进行管理，建议卸载它。 SMTP Service和NNTP Service：如果不打算使用服务器转发邮件和提供新闻组服务，就可以删除这两项，否则，可能因为它们的漏洞带来新的不安全。 样本页面和脚本：这些样本中有些是专门为显示IIS的强大功能设计的，但同样可被用来从Internet上执行应用程序和浏览服务器，建议删除。,IIS安全配置最佳实践,为IIS中的文件分类设置权限 除了在操作系统里为IIS的文件设置必要的权限外，还要在IIS管理器中为它们设置权限，对一个文件夹永远也不应同时设置写和执行权限，以防止攻击者向站点上传并执行恶意代码。另外目录浏览功能也应禁止，预防攻击者把站点上的文件夹浏览个遍最后找到漏洞。一个好的设置策略是：为Web 站点上不同类型的文件都建立目录，然后给它们分配适当权限。例如： 静态文件文件夹：包括所有静态文件，如HTM 或HTML，给予允许读取、拒绝写的权限。 ASP脚本文件夹：包含站点的所有脚本文件，如cgi、vbs、asp等等，给予允许执行、拒绝写和读取的权限。 EXE等可执行程序：包含站点上的二进制执行文件，给予允许执行、拒绝写和拒绝读取的权限。,IIS安全配置最佳实践,内容提要,Microsoft IIS服务器安全管理 Apache 服务器安全管理 DNS/Bind服务器安全管理,Apache概述 是在NCSA Web服务器的基础上开发的，1995年4月，最早的Apache 0.6.2公开发行。 而Apache 1.0则在1995年12月1日发布。Apache Group是一个非盈利团体，完全通过Internet进行运作，允许世界各地的开发人员提供新的特性、修正bug和将Apache移植到新的平台，还允许做其他更多的工作，比如Apache吸引了全世界很多的开发人员，他们为Apache编写了很多模块，这些模块为Apache提供了各种各样的功能，详细请见Apache的主页。 Apache服务器是自由软件的成功产物，在Internet中的Web服务器领域内，Apache占有无可争议的领先地位。 Apache可能受到以下安全威胁： 是使用HTTP协议进行的拒绝服务攻击 缓冲区溢出攻击 被攻击者获得root权限三缺陷,Apache概述,Apache基本功能配置 Apache安装成功以后，在其conf子目录下有四个配置文件： httpd.conf：httpd.conf是Apache的主配置文件，httpd程序启动时会先读取httpd.conf。该文件设定Apache服务器一般的属性、端口、执行者身份等等。 srm.conf：srm.conf是数据配置文件，在这个文件中主要设置WWW Server读取文件的目录、目录索引时的画面、CGI执行时的目录等等。srm.conf不是必须的，可以完全由httpd.conf里设定。 access.conf：access.conf是负责基本的读取文件控制，限制目录所能执行的功能及访问目录的权限设置。access.conf不是必须的，可以完全由httpd.conf里设定。 mime.types：mime.types设定Apache所能辨别的MIME格式，一般而言，无须动此文件。若要增加MIME格式，可参考srm.conf中AddType的语法说明。 如果你安装了mod_mime_magic模块，还会有magic这个配置文件。 Apache安装目录的bin目录下的apachectl文件用来启动Apache，普通的启动只需使用apachectl start，如果要通过SSL方式启动需要使用apachectl startssl。,Apache基本功能配置,httpd.conf的常用指令说明 ServerType standalone #设置服务器的形式是单独启动（standalone），还是由inetd来启动。一般使用前者。 ServerTokens Prod #尽可能少显示Apache的banner，结合下面的ServerSignature Off使Apache不显示版本号和模块信息。 ServerSignature Off ServerRoot “/usr/local/apache“ #设置服务器的Home目录，用来存放服务器的设置文件、错误文件、记录文件。 PidFile logs/httpd.pid #程序启动时，把父进程httpd的进程号（process id）存在这个文件中。这个文件名可以配合PidFile指令加以改变。,httpd.conf的常用指令说明,ScoreBoardFile logs/apache_status #设置网络上WWW服务器一些执行程序的记录文件。 #ResourceConfig conf/srm.conf #AccessConfig conf/access.conf #这两个文件的内容已经包含在httpd.conf文件中了。如果觉得httpd.conf文件太长，可以把一些配置指令放到srm.conf和access.conf里设定。 Timeout 300 #如果客户端300秒还没有连上，或者服务器300秒还没有传送数据到客户端，就会自动断线。这个值可以适当减少以防止连接耗尽攻击。 KeepAlive On #设置是否支持续传功能。,httpd.conf的常用指令说明,MaxKeepAliveRequests 100 #设置支持续传功能的数目。数目越多则浪费的硬盘空间越多。设置为0则不止持续传。 KeepAliveTimeout 15 #如果该为使用者在15秒后还没有向服务器发出