一个安全Web服务器的安装(5)
来源:asp之家 发布时间:2010-04-06 18:02:00
更新!一个没有采用最新的安全补丁进行更新的系统会很快称为攻击者的目标。
已经完成配置安全系统所需的所有工作之后,要记住:CGI脚本将是最大的安全隐患。大多数成功的攻击都是通过这些脚本实现的。简明的建议是:最好使用那些公开发布并且已经被不同的网站使用了一段时间的CGI脚本;如果管理员不得已需要写一些CGI脚本程序的话,这些程序应该由其它人对其安全因素进行例行检查。
结论
一个非常安全且高可用的WEB服务器——这似乎有些矛盾,但确实是很好的折中——能够在短短45分钟的时间内配置完。当然您可以通过更多的工作以提高系统的安全级别,但是这里配置的系统对大多数应用来说已经足够了。
Linux与安全的更多信息
如果您决定选用Linux,您应该感到庆幸,因为您可以免费使用非常多且优秀的安全程序,这是其它UNIX和Windows平台所无法比拟的。为找到合适的工具,您会发现安全焦点[9]和包风暴(Packetstorm [10])是两个比较好的起点。
迄今为止,SuSE Linux是所有商用Linux发布中最专注与安全的。下面一些工具是SuSE所开发的,您可以根据需要自由下载:
--------------------------------SuSE安全软件------------------------------
---------------------------------------------------------------------------------
程序名称(rpm)---功能-----------从哪一版本------能否运行-----下载地址-----------
-------------------------------开始包含在--------于其它发布
-------------------------------Linux发布中----------------
———————————————————————————————————————
FTP代理套件--一个非常--------6.3------------------http://proxy-suite.suse.de----
---------------安全的FTP---------------------------------------------------
---------------代理,它还----------------------------------------------
(fwproxys)-----支持SSL--------------------------------------------
SuSE防火墙-----一个包过滤器---6.3-------http://www.suse.de/~marc-(betas)
---------------,能够创建一----------------(如果是其它--------------------------
(firewals)------复杂的防火墙----------------发布,init.d------
-----------------系统并且非常----------------和startup脚本-------
------------------容易配置--------------------要重新调整)----------------------------
-------------------------------------------------------------------------
加固SuSE-------配置一个非常-----6.1------------否------------http://www.suse.de/~marc-(betas)----
---------------安全的SuSE------------------(专门为SuSE----------------------
(hardsuse)----------------------------------所设计)--------------
---------------------------------------------------------------
安全模块-------一个防止symlink--6.3------------是-------------SuSE-FTP-server----
---------------,hardlink,-pipe-------------------------------------------------------
(secumod)------和许多其它安全策
-------------------略的内核模块
----------------------------------------------------
安全检查器-----每天对本地安全------6.2---------大部分--------------SuSE-FTP-server----
---------------进行一次例行检----------------------------------------------------
(seccheck)-----查---------------------------------------------http://www.aspxhome.com/~marc-(betas)------
Compartment----程序的安全包装------计划在------是-------------http://www.suse.de/~marc-(betas)
(-)------------器,支持chroot------7.0中采用----------------------------------
---------------ing,特权和能力--------------------------------------------------------
---------------分配
--------------------------------------------------------------------
Auditdisk-(-)--安全产生校验和------计划在------是-------------现在还没有发布beta版-------
---------------与Tripwire不同------7.0中采用---------------------------
---------------它不能被回避---------------------------------------------------
-------------------------------------------------------------------------------
SCSLogger------能够记录向内和------6.2---------是-------------SuSE-FTP-server---- ---------------向外连接日志的---------------------------------http://www.suse.de/~thomas-
(betas)-----------------------
(scslog)-------内核模块-----------------------------------
----------------------------------------------------------
安全库---------一个为程序员准------计划在------是-------------http://www.suse.de/~thomas-(betas)
(-)------------备的函数库,它------7.0中采用--------------------------------
---------------为不安全的函数----------------------------------------------------
---------------提供了安全功能---------------------------------------------------
---------------提示--------------------------------------------------------
CD上提供的其它安全程序还有:Nessus, Saint, nmap, PGP, GNU Privacy Guard, OpenSSH, Tripwire, FreeSWAN,等等。
另外,除随SuSE Linux发布的操作手册中广泛深入地涉猎安全内容之外,还有suse-security和suse-security-announce两个邮件列表可供参考。
当然,也有其它的选择。比如说Trustix[6] Linux发布就是新近出现的完全面向安全的产品。令人失望的是,这个发布还处在初级阶段。不过,它的一个大约150 MB ISO文件的第一个Alpha已经提供下载了。
如果您不信任Linux,那就看看OpenBSD [5]。就在几年前,人们为了安全问题逐行地检查了NetBSD发布的程序。通过比较关于Unix变种(当然还有Windows)的安全问题的消息的数量和质量,人们发现OpenBSD是无可争议的优胜者。那么主要障碍是什么呢?其中的一个原因是应用软件太少。把所有的OpenBSD汇集在一起,甚至还不能填满一张CD。其它需要集成到系统中的程序都需要用户通过一种所谓的接口(ports)或者称为引入(imported)的方法实现。这些都没能被验证是安全的。另外一个问题是,它的代码基础是BSD,受Linux热潮的影响,BSD平台已经不再是软件工业的战略目标。但是,OpenBSD在安全专家中间仍然有很好的口碑。如果不需要运行一些特殊的软件的话,OpenBSD仍然是配置安全服务器的正确选择。
当然,也有很多商用的高度安全的Unix系统。他们被称为Trusted {Solaris, Irix, SCO, ...}。不同的系统实现了美国C2、B1甚至B2安全标准。这些系统除了非常昂贵以外,其安全也根本没有达到他们宣称的那样高。虽然安全标准的实现显著地增强了系统的安全性,但受到缺少开放源码和质量声誉极佳的源码的影响,期望它100%的安全是不现实的(但还是要比Windows强很多)。
猜你喜欢
- 假设在math目录下已编辑好add.c sub.c div.c mul.c func_point.c文件,func_point.c为包含ma
- 问题一:双核的优势在哪里?主要的应用领域有哪些?彭震:由于双核处理器在性价比、功效和可扩展性方面具有极大的优势,双核处理器可以在不改变基础设
- sar(System Activity Reporter系统活动情况报告)是目前 Linux 上最为全面的系统性能分析工具之一,可以从多方面
- 现在网络上的术语太多了,不记一下还真容易犯糊涂。雅虎统计中有个“UV”这个简写名称,一开始还真没弄明白什么意思,后来查了一下,原来就是独立访
- 网聊时代,大家总是喜欢寻找更多的快乐,所以我们看到了火星文、看到了搞笑的聊天表情、看到了QQ闪字…。这些,都是我们网上网下生活的调剂。今天,
- 你的服务器上是否存有一些不能随意公开的重要数据呢?当然有吧?而最近,偏偏服务器遭受的风险又特别大,越来越多的病毒、心怀不轨的黑客,以及那些商
- 一、.htaccess的基本作用 .htaccess是一个纯文本文件
- 最新消息!斥资100万,联合多个推广平台,通过线上选秀打造新明星——《寻找女一号》暨51wan游戏代
- mysql-virtual.cfuser=mysql-postfix-userpassword=mysql-postfix-pa
- 我的师父黄裳@岳旭强曾经说过,“好的架构图充满美感”,一个架构好不好,从审美的角度就能看得出来。后来我看了很多系统的架构,发现这个言论基本成
- 当用户试图通过 HTTP 或文件传输协议 (FTP) 访问一台正在运行 Internet 信息服务 (IIS) 的服务器上的内容时,IIS
- 二、工作环境本文假设用户希望在企业网环境中创建一个电子邮件服务器,为本企业用户提供邮件服务。该服务器拥有一个合法的IP地址202.99.11
- 在Windows服务器系统中,每当服务器启动成功时,系统的C盘、D盘等都会被自动设置成隐藏共享,尽管通过这些默认共享可以让服务器管理维护起来
- 除非帐户处于付款保留状态或另有书面协定(包括电子邮件),当帐户余额达到 $100 美元后,Google会在当月月末后约 30 天内向你发出支
- 接下来当然是要分析这个ajax.php是怎么一回事,它做了哪些使function(s)中能返回我们要的东西。由于只分析检查用户名这一个部分,
- 一、什么是守护进程 Linux系统启动时会启动很多系统服务进程,这些系统服 务进程没有控制终端,不能直接和用户交互。其它进程都是在用户登录或
- 11月26日消息,178.com与百度游戏频道今日在北京联合宣布:178游戏网与百度游戏频道达成内容深度合作,新版百度游戏频道今日正式上线,
- 国内知名IT企业金山软件近日宣布,旗下业务增长重心之一金山毒霸将与泰国知名网游运营商Asiasoft合作,正式进军泰国市场,并推出泰文版金山
- 肥胖 长期坐在电脑前的人,因缺乏锻炼,会出现重力性脂肪组织分布异常。脂肪堆积在下腹部和腰背部,导致向心性肥胖。 下肢静脉曲张 因缺乏活动,依
- 初级安全篇1、物理安全服务器应该安放在安装了监视器的隔离房间内,并且监视器要保留15天以上的摄像记录。另外,机箱,键盘,电脑桌抽屉要上锁,以