WEB服务器安全知识:权限与安全管理

    以下是PC捍卫者为你整理的WEB服务器安全知识,主要分成合理的权限管理,脚本的安全管理,以及把自己当作可能的攻击者三方面的知识,希望能对你有所帮助.

　　一、合理的权限管理

　　有时候，在一台服务器上，不仅运行了Web服务器，而且还会运行其他的诸如FTP服务器之类的网络服务。在同一台服务器上应用多种网络服务的话，很可能造成服务之间的相互感染。也就是说，攻击者只要攻击一种服务，就可以利用相关的技术，攻陷另一种应用。因为攻击者之需要攻破其中一种服务，就可以利用这个服务平台，从企业内部攻击其他服务。而一般来说，从企业内容进行攻击，要比企业外部进行攻击方便的多。

　　那或许有人会说，那不同服务采用不同服务器就可以了。其实，这对于企业来说，可能是种浪费。因为从性能上讲，现在的服务器上同时部署WEB服务与FTP服务的话，是完全可行的，性能不会受到影响。为此，企业从成本考虑，会采取一个服务器。而现在给我们安全管理员出了一个难题，就是在两种、甚至两种以上的服务同时部署在一台服务器上，如何保障他们的安全，防止他们彼此相互之间感染呢?

　　笔者现在就遇到这个问题。笔者现在的Web服务器上运行着三种服务。一个是传统等WEB服务;二是FTP服务;三是OA(办公自动化)服务，因为该服务是WEB模式的，互联网上也可以直接访问OA服务器，所以也就把他部署在这台服务器上。由于这台服务器的配置还是比较高的，所以，运行这三个服务来说，没有多少的困难，性能不会有所影响。现在的问题是，如号来保障他们的安全，FTP服务器、OA服务器与Web服务器之间安全上不会相互影响呢?

　　我现在采用的是Windows2003服务器，为了实现这个安全需求，把服务器中所有的硬盘都转换为NTFS分区。一般来说，NTFS分区比FAT分区安全性要高的多。利用NTFS分区自带的功能，合理为他们分配相关的权限。如为这个三个服务器配置不同的管理员帐户，而不同的帐户又只能对特定的分区与目录进行访问。如此的话，即使某个管理员帐户泄露，则他们也只能够访问某个服务的存储空间，而不能访问其他服务的。如把WEB服务装载分区D，而把FTP服务放在分区E。若FTP的帐户泄露，被攻击利用;但是，因为FTP帐户没有对分区D具有读写的权利，所以，其不会对Web服务器上的内容进行任何的读写操作。这就可以保障，其即时攻陷FTP服务器后，也不会对Web服务器产生不良的影响。

　　虽然说微软的操作系统价格昂贵，而安全漏洞又比较多，但是，其NTFS分区上的成就表现还是不差的。在NTFS分区上，可以实现很大程度的安全管理，保障相关服务于数据的安全性。所以最后还是采用了微软的2003操作系统作为服务器系统，而没有采用Linux系统。

　　二、脚本安全管理

　　根据以往经验，其实很多Web服务器因为被攻击而瘫痪，都是由于不良的脚本所造成的。特别是，攻击者非常喜欢利用CGI程序或者PHP脚本，利用他们的脚本或者程序漏洞，进行攻击。

　　如我们的网站就遇到个几次攻击，他们利用CGI程序的漏洞，让外部攻击者向Web服务器传递了一些不可靠的参数。一般来说，WEB应用需要传递一些必要的参数，才能够正常访问。而这个参数又可以分为两类，一个是可值得信任的参数，另外一类是不值得信任的参数。如企业可能是自己管理Web服务器，而不是托管。他们就把服务器放置在企业的防火墙内部，以提高Web服务器的安全性。所以一般来说，来自于企业防火墙内部的参数都是可靠的，值得信任的;而来自于企业外部的参数，都是不值得信任的。但是，也不是说不值得信任的参数或者说，来自于防火墙外部的参数Web服务器都不采用。而是说，在Web服务器设计的时候，需要注意，采用这些不值得信任的参数的时候，需要进行检查，看其是否合法;而不能向来自于企业内部的参数那样，不管三七二十一，都照收不误。这明显会对Web服务器的安全带来威胁。如有时会，攻击者利用TELNET连接到80端口，就可以向CGL脚本传递不安全的参数。

转截请注明:文章来自 pc捍卫者 http://www.pchwz.com 本站发布此文为传递更多信息之目的,不表明pc捍卫者赞同其观点