怎樣在Linux系統(tǒng)上配置一個(gè)安全的WEB服務(wù)器呢?那么接下來(lái)就由愛(ài)站頻道的小編給小伙伴們分享一篇關(guān)于linux系統(tǒng)配置安全web服務(wù)器的詳細(xì)教程吧，感興趣的朋友跟小編一起來(lái)了解一下吧!

　　下面是基于SUSE Linux 6.4發(fā)布的一個(gè)例子。

　　安全區(qū)域

　　服務(wù)器安全由幾個(gè)安全區(qū)域組成，為了保證允許條件下的最高度的安全保護(hù)，安全必需在每個(gè)區(qū)域都予以一致的實(shí)現(xiàn)。

　　1. 基礎(chǔ)設(shè)施區(qū)

　　基礎(chǔ)設(shè)施區(qū)域定義服務(wù)器在網(wǎng)絡(luò)中的位置。這個(gè)區(qū)域必需能夠防止數(shù)據(jù)竊聽(tīng)、網(wǎng)絡(luò)映射和端口掃描等黑客技術(shù)的威脅。而且，可以跟蹤對(duì)一個(gè)暴露的WEB服務(wù)器的成功入侵，因?yàn)楸磺秩氲姆��?wù)器可能會(huì)用來(lái)作為攻擊其它重要的服務(wù)器的基地(這種方式在DoS攻擊中最為常見(jiàn))。

　　在這一端，所有提供Internet服務(wù)的服務(wù)器都通過(guò)一個(gè)集中部件保護(hù)起來(lái)并且位于一個(gè)隔離的網(wǎng)絡(luò)是必需的。這個(gè)隔離的網(wǎng)絡(luò)稱為非軍事區(qū)(DMZ)。具有保護(hù)功能的組件可能是一個(gè)復(fù)雜的防火墻或一個(gè)簡(jiǎn)單的路由器(這個(gè)路由器配置了具有很強(qiáng)限制的包過(guò)濾規(guī)則)。因此，僅僅指定的服務(wù)器服務(wù)才是允許訪問(wèn)的。

　　一般DMZ會(huì)采用一個(gè)具有端口安全和報(bào)文洪水保護(hù)的轉(zhuǎn)換開(kāi)關(guān)，這種方式可以保證DMZ的高度安全。

　　如果您關(guān)心物理安全，那么您必需保證服務(wù)器安裝在一個(gè)安全的房間里(或數(shù)據(jù)處理中心)并且所有的電源、電話線和網(wǎng)線等都必需得到物理上的保護(hù)。

　　2. 網(wǎng)絡(luò)協(xié)議區(qū)

　　網(wǎng)絡(luò)通信一般指的都是TCP/IP通信，操作系統(tǒng)內(nèi)核對(duì)通信負(fù)責(zé)并且保證一個(gè)透明的通信流。然而，一些函數(shù)或者協(xié)議的易受攻擊點(diǎn)可能會(huì)被用來(lái)發(fā)起攻擊或破壞行為。因此，內(nèi)核必需經(jīng)過(guò)必要的配置，以便阻擋這些類型的攻擊手段。雖然位于服務(wù)器前面的防火墻或路由器可以防止很多類型的攻擊，但一些WEB服務(wù)器的設(shè)置也必需做一些相應(yīng)的調(diào)整。

　　防止SYN洪水攻擊是很關(guān)鍵的，在所有的操作系統(tǒng)中，Linux提供了一種稱為SYN

　　cookies的最有效解決方案。此外，ICMP重定向和對(duì)廣播地址的ping操作以及IP源路由包也應(yīng)該被拒絕。適用附加的內(nèi)核過(guò)濾函數(shù)可以增加安全級(jí)別。

　　3. 服務(wù)區(qū)

　　服務(wù)區(qū)定義需要哪些服務(wù)。通過(guò)“如果不是指定需要的全部禁止”的安全策略，服務(wù)器上僅僅配置完成必要的操作所必需的服務(wù)，否則就會(huì)為攻擊者提供更多的攻擊點(diǎn)。

　　僅適用可以保證足夠安全級(jí)的服務(wù)：沒(méi)有充分認(rèn)證能力的服務(wù)(如：rexec)或者傳輸未經(jīng)過(guò)加密的敏感數(shù)據(jù)的服務(wù)(如telnet、ftp或通過(guò)WWW傳輸信用卡敏感數(shù)據(jù))都應(yīng)該用更安全的相應(yīng)服務(wù)所替代(如SSH、SSLftp或HTTPS)。

　　4. 應(yīng)用區(qū)

　　為安全起見(jiàn)，每個(gè)服務(wù)都必需單獨(dú)配置。一個(gè)配置的不好的郵件服務(wù)器可能會(huì)被用來(lái)發(fā)送垃圾郵件，配置不好的WEB服務(wù)器可以執(zhí)行所有的系統(tǒng)命令。注意，千萬(wàn)不要?jiǎng)?chuàng)建具有高特權(quán)的服務(wù)(root)。

　　您必需仔細(xì)研讀您所適用的軟件的操作手冊(cè)中的相關(guān)內(nèi)容才可以更安全地配置您的應(yīng)用。

　　5. 操作系統(tǒng)區(qū)

　　最后的保護(hù)機(jī)制是操作系統(tǒng)自身。如果如果應(yīng)用區(qū)的安全方法配置合理的話，即使入侵者成功地進(jìn)入計(jì)算機(jī)系統(tǒng)也沒(méi)有足夠的管理權(quán)限完成破壞工作。程序的安裝，尤其是高特權(quán)的程序，應(yīng)該限制在系統(tǒng)操作的絕對(duì)需要范圍內(nèi)。許多高特權(quán)的程序可以通過(guò)更高級(jí)別的認(rèn)證來(lái)限制用戶的濫用，因?yàn)橄到y(tǒng)中的標(biāo)準(zhǔn)用戶帳號(hào)根本不需要使用這些程序。但這還遠(yuǎn)遠(yuǎn)不夠，萬(wàn)一攻擊者成功地進(jìn)入計(jì)算機(jī)系統(tǒng)，應(yīng)該存在一個(gè)檢測(cè)入侵的機(jī)制。這被稱為“基于主機(jī)的入侵檢測(cè)”。當(dāng)然，最好還要能夠監(jiān)視和記錄系統(tǒng)中的文件操作，以便了解入侵者的真正意圖。當(dāng)然也不能忽視經(jīng)常性地備份，并且不要丟棄舊的備份文件。這種做法不僅可以用來(lái)配置備份服務(wù)器和避免數(shù)據(jù)丟失，它還可以用來(lái)跟蹤系統(tǒng)中文件的操作情況。如果有幾個(gè)管理員同時(shí)管理一個(gè)服務(wù)器，那么一個(gè)記錄誰(shuí)執(zhí)行過(guò)哪些操作的機(jī)制可以在下面提及。

　　----------------------------------------------------------------

　　想定

　　Internet需要配置一臺(tái)自己的WEB服務(wù)器，由于沒(méi)有自己的安全基礎(chǔ)設(shè)施，應(yīng)該在WEB服務(wù)器前面放一臺(tái)配置了相應(yīng)過(guò)濾規(guī)則的路由器。這臺(tái)WEB服務(wù)器僅僅提供WWW和HTTPS服務(wù)，但是，它當(dāng)然也需要具有遠(yuǎn)程控制特性。另外，這臺(tái)WEB服務(wù)器最好還能夠發(fā)送郵件。由于Linux服務(wù)器和網(wǎng)頁(yè)是由三個(gè)不同的管理員維護(hù)的，所有的管理操作都應(yīng)該保證在以后進(jìn)行日志分析是更容易理解。

　　-----------------------------------------------------------------

　　實(shí)現(xiàn)

　　前面段落中說(shuō)明的安全WEB服務(wù)器的需求如何實(shí)現(xiàn)呢?下面的例子說(shuō)明了一種在SuSE Linux 6.4發(fā)布的服務(wù)器上的實(shí)現(xiàn)方法。為了實(shí)現(xiàn)上述想定，我們決定選擇SSH管理和Apache WEB服務(wù)器。

　　第一步：配置路由器

　　每一個(gè)流行的路由器都提供配置過(guò)濾列表的功能。您必需配置下面的簡(jiǎn)單規(guī)則： +---------------------------------------------------------------+

　　|------------------------過(guò)濾規(guī)則-------------------------------|

　　+---------------------+------------------+---------------------+

　　|-------來(lái)源----------|--------目標(biāo)------|------服務(wù)-----------|

　　+---------------------+------------------+---------------------+

　　|任何位置-------------|web服務(wù)器---------|WWW, HTTPS, UDP highport,|

　　|---------------------|------------------|ICMP types 0 + 3----|

　　+---------------------+------------------+--------------------+

　　|管理員---------------|web服務(wù)器---------|SSH-----------------|

　　+---------------------+------------------+--------------------+

　　|web服務(wù)器--------- --|任何位置----------|DNS, SMTP-----------|

　　+---------------------+------------------+--------------------+

　　|web服務(wù)器------------|路由器------------|SSH或telnet----------|

　　+---------------------+------------------+---------------------+

　　路由器的操作手冊(cè)會(huì)提供如何進(jìn)行上述配置的詳細(xì)信息。這里我建議使用Cisco路由器，因?yàn)閷?duì)于這種情況它非常容易配置，并且還在IOS的第12版以后提供了SSH的加密服務(wù)。

　　第二步：安裝Linux服務(wù)器

　　執(zhí)行SUSE 6.4的標(biāo)準(zhǔn)安裝。處于安全考慮，至少應(yīng)該為/、/var、/tmp、/home和/usr/local安裝5個(gè)分區(qū)。后面會(huì)定義一些mount這些分區(qū)的特殊選項(xiàng)，這些選項(xiàng)可以保證系統(tǒng)具有更高的本地安全性能。

　　現(xiàn)在是選擇需要安裝哪些程序包的時(shí)候了。選擇最小系統(tǒng)安裝，然后手工加入下面一些必要的程序包：

　　在Basis (a)中選擇compat

　　在Applications (ap)中選擇sudo

　　在Network (n)中選擇apache, bindutil; 去掉postfix和sendmail

　　在Security (sec)中選擇firewals, hardensuse, mod_ssl, scanlogd, seccheck, secumod, tripwire.

　　其它一些您認(rèn)為需要的程序包，如數(shù)據(jù)庫(kù)和為Apache設(shè)計(jì)的一些模塊。

　　然后完成安裝。

　　第三步：更新

　　在配置之前，檢查一下是否可以獲得這些安裝包的更新版本，如果有，需要的話最好進(jìn)行更新。

　　您可以在這里找到SuSE 6.4的更新信息。

　　第四步：Linux的本地配置

　　在開(kāi)始真正工作之前，必需首先執(zhí)行所有的諸如輸入服務(wù)器名、配置網(wǎng)絡(luò)接口和設(shè)置用戶等標(biāo)準(zhǔn)Linux配置。在初始情況下，所有不需要的服務(wù)都是非活動(dòng)狀態(tài)的。特權(quán)程序的授權(quán)回收工作并不是必需的，您可以通過(guò)harden_suse工具簡(jiǎn)單地實(shí)現(xiàn)這個(gè)任務(wù)：

　　erde#harden_suse yes

　　這個(gè)命令在很多地方更改了系統(tǒng)的配置，這些更改都記錄在/etc/harden_suse.log日志文件中，這些操作可以通過(guò)/etc/undo_harden_suse腳本予以恢復(fù)。使用其它Linux發(fā)布的用戶可應(yīng)使用Bastille腳本或者其它類似的程序。

　　隨后，所有網(wǎng)絡(luò)訪問(wèn)服務(wù)(除了SSH)都被禁止，僅僅保留了下面的授予特權(quán)的suid和sgid程序：

　　erde# find / -perm -04000 -type f -exec ls -ld {} ;

　　-rwsr-x--- 1 root trusted 23840 Mar 11 11:26 /bin/ping

　　-rwsr-x--- 1 root trusted 30750 Mar 11 11:37 /bin/su

　　-rwsr-x--- 1 root trusted 21268 Mar 11 11:10 /usr/bin/crontab

　　-rwsr-xr-x 1 man root 85460 Mar 11 11:24 /usr/bin/man

　　-rwsr-xr-x 1 root root 15308 Mar 11 11:26 /usr/bin/rcp

　　-rwsr-xr-x 1 root root 11052 Mar 11 11:26 /usr/bin/rlogin

　　-rwsr-xr-x 1 root root 8104 Mar 11 11:26 /usr/bin/rsh

　　-rwsr-x--- 1 root shadow 38340 Mar 11 11:50 /usr/bin/gpasswd

　　-rwsr-x--- 1 root trusted 22184 Mar 11 11:50 /usr/bin/newgrp

　　-rwsr-xr-x 1 root shadow 27920 Mar 11 11:50 /usr/bin/passwd

　　-rwsr-x--- 1 root trusted 56600 Mar 11 18:41 /usr/bin/sudo

　　-rwsr-xr-x 1 root root 20300 Ma

　　以上就是關(guān)于linux系統(tǒng)配置安全web服務(wù)器的詳細(xì)教程，想必都了解了吧，更多相關(guān)內(nèi)容請(qǐng)繼續(xù)關(guān)注愛(ài)站技術(shù)頻道。

標(biāo)簽： dns linux ssl web服務(wù)器 安全 防火墻 服務(wù)器 服務(wù)器安全 服務(wù)器安裝 腳本 權(quán)限 數(shù)據(jù)庫(kù) 通信 網(wǎng)絡(luò)

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請(qǐng)聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點(diǎn)！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請(qǐng)與原作者聯(lián)系。