一个安全Web服务器的安装(5)

web|web服务|web服务器|安全

  更新!一个没有采用最新的安全补丁进行更新的系统会很快称为攻击者的目标。

  已经完成配置安全系统所需的所有工作之后,要记住:CGI脚本将是最大的安全隐患。大多数成功的攻击都是通过这些脚本实现的。简明的建议是:最好使用那些公开发布并且已经被不同的网站使用了一段时间的CGI脚本;如果管理员不得已需要写一些CGI脚本程序的话,这些程序应该由其它人对其安全因素进行例行检查。

结论

  一个非常安全且高可用的WEB服务器——这似乎有些矛盾,但确实是很好的折中——能够在短短45分钟的时间内配置完。当然您可以通过更多的工作以提高系统的安全级别,但是这里配置的系统对大多数应用来说已经足够了。

  Linux与安全的更多信息

  如果您决定选用Linux,您应该感到庆幸,因为您可以免费使用非常多且优秀的安全程序,这是其它UNIX和Windows平台所无法比拟的。为找到合适的工具,您会发现安全焦点[9]和包风暴(Packetstorm [10])是两个比较好的起点。

  迄今为止,SuSE Linux是所有商用Linux发布中最专注与安全的。下面一些工具是SuSE所开发的,您可以根据需要自由下载:

  --------------------------------SuSE安全软件------------------------------
  ---------------------------------------------------------------------------------
  程序名称(rpm)---功能-----------从哪一版本------能否运行-----下载地址-----------
  -------------------------------开始包含在--------于其它发布
  -------------------------------Linux发布中----------------
  ———————————————————————————————————————
  FTP代理套件--一个非常--------6.3------------------http://proxy-suite.suse.de----
  ---------------安全的FTP---------------------------------------------------
  ---------------代理,它还----------------------------------------------
  (fwproxys)-----支持SSL--------------------------------------------
  SuSE防火墙-----一个包过滤器---6.3-------http://www.suse.de/~marc-(betas)
  ---------------,能够创建一----------------(如果是其它--------------------------
  (firewals)------复杂的防火墙----------------发布,init.d------
  -----------------系统并且非常----------------和startup脚本-------
  ------------------容易配置--------------------要重新调整)----------------------------
  -------------------------------------------------------------------------
  加固SuSE-------配置一个非常-----6.1------------否------------http://www.suse.de/~marc-(betas)----
  ---------------安全的SuSE------------------(专门为SuSE----------------------
  (hardsuse)----------------------------------所设计)--------------
  ---------------------------------------------------------------
  安全模块-------一个防止symlink--6.3------------是-------------SuSE-FTP-server----
  ---------------,hardlink,-pipe-------------------------------------------------------
  (secumod)------和许多其它安全策
  -------------------略的内核模块
  ----------------------------------------------------
  安全检查器-----每天对本地安全------6.2---------大部分--------------SuSE-FTP-server----
  ---------------进行一次例行检----------------------------------------------------
  (seccheck)-----查---------------------------------------------http://www.suse.de/~marc-(betas)------
  Compartment----程序的安全包装------计划在------是-------------http://www.suse.de/~marc-(betas)
  (-)------------器,支持chroot------7.0中采用----------------------------------
  ---------------ing,特权和能力--------------------------------------------------------
  ---------------分配
  --------------------------------------------------------------------
  Auditdisk-(-)--安全产生校验和------计划在------是-------------现在还没有发布beta版-------
  ---------------与Tripwire不同------7.0中采用---------------------------
  ---------------它不能被回避---------------------------------------------------
  -------------------------------------------------------------------------------
  SCSLogger------能够记录向内和------6.2---------是-------------SuSE-FTP-server---- ---------------向外连接日志的---------------------------------http://www.suse.de/~thomas-
  (betas)-----------------------
  (scslog)-------内核模块-----------------------------------
  ----------------------------------------------------------
  安全库---------一个为程序员准------计划在------是-------------http://www.suse.de/~thomas-(betas)
  (-)------------备的函数库,它------7.0中采用--------------------------------
  ---------------为不安全的函数----------------------------------------------------
  ---------------提供了安全功能---------------------------------------------------
  ---------------提示--------------------------------------------------------
  CD上提供的其它安全程序还有:Nessus, Saint, nmap, PGP, GNU Privacy Guard, OpenSSH, Tripwire, FreeSWAN,等等。

  另外,除随SuSE Linux发布的操作手册中广泛深入地涉猎安全内容之外,还有suse-security和suse-security-announce两个邮件列表可供参考。

  当然,也有其它的选择。比如说Trustix[6] Linux发布就是新近出现的完全面向安全的产品。令人失望的是,这个发布还处在初级阶段。不过,它的一个大约150 MB ISO文件的第一个Alpha已经提供下载了。

  如果您不信任Linux,那就看看OpenBSD [5]。就在几年前,人们为了安全问题逐行地检查了NetBSD发布的程序。通过比较关于Unix变种(当然还有Windows)的安全问题的消息的数量和质量,人们发现OpenBSD是无可争议的优胜者。那么主要障碍是什么呢?其中的一个原因是应用软件太少。把所有的OpenBSD汇集在一起,甚至还不能填满一张CD。其它需要集成到系统中的程序都需要用户通过一种所谓的接口(ports)或者称为引入(imported)的方法实现。这些都没能被验证是安全的。另外一个问题是,它的代码基础是BSD,受Linux热潮的影响,BSD平台已经不再是软件工业的战略目标。但是,OpenBSD在安全专家中间仍然有很好的口碑。如果不需要运行一些特殊的软件的话,OpenBSD仍然是配置安全服务器的正确选择。

  当然,也有很多商用的高度安全的Unix系统。他们被称为Trusted {Solaris, Irix, SCO, ...}。不同的系统实现了美国C2、B1甚至B2安全标准。这些系统除了非常昂贵以外,其安全也根本没有达到他们宣称的那样高。虽然安全标准的实现显著地增强了系统的安全性,但受到缺少开放源码和质量声誉极佳的源码的影响,期望它100%的安全是不现实的(但还是要比Windows强很多)。

时间: 2024-09-20 15:35:33

一个安全Web服务器的安装(5)的相关文章

一个安全WEB服务器的安装(1)

web|web服务|web服务器|安全 WEB服务器是Internet上最暴露的服务器.为了让客户/目标用户群访问提供的信息,WEB服务器必需是Internet上的任何接入点都可以访问的.与其它诸如DNS和FTP等公共服务相比,WEB对黑客高手更有诱惑力,因为一个成功地侵入一个网站的人可以更改主页从而让别人更加意识到他的存在.这些入侵事件能够让一个公司失去客户的信任,尤其是当一些敏感数据(如信用卡详细信息等)被窃取甚至被公开时就更加严重. 如果说用于防止从Internet对内部网络进行攻击的防火

一个安全Web服务器的安装(3)

web|web服务|web服务器|安全 这样就会保证Apache.Scanlogd和SuSE防火墙在计算机启动时自动执行.现在我们继续配置本地防火墙,将/etc/rc.config.d/firewall.rc.config(个别变量的细节描述在这个文件中可以找到)文件中的对应行改成下面的形式: FW_DEV_WORLD="eth0" # query no. 2 FW_SERVICES_EXTERNAL_TCP="www https" # query no. 9 FW

《深入理解Nginx:模块开发与架构解析》一2.4 用HTTP核心模块配置一个静态Web服务器

2.4 用HTTP核心模块配置一个静态Web服务器 静态Web服务器的主要功能由ngx_http_core_module模块(HTTP框架的主要成员)实现,当然,一个完整的静态Web服务器还有许多功能是由其他的HTTP模块实现的.本节主要讨论如何配置一个包含基本功能的静态Web服务器,文中会完整地说明ngx_http_core_module模块提供的配置项及变量的用法,但不会过多说明其他HTTP模块的配置项.在阅读完本节内容后,读者应当可以通过简单的查询相关模块(如ngx_http_gzip_f

如何用PHP来实现一个动态Web服务器_php实例

要是现实一个 web 服务器,那么就需要大概了解 web 服务器的运行原理.先从静态的文本服务器开始,以访问 web 服务器的1.html为例 1.客户端通过发送一个 http 请求到服务器,如果服务器监听的端口号是9002,那么在本机自身测试访问的地址就是http://localhost:9002/1.html. 2.服务器监听着9002端口,那么在收到请求了请求之后,就能从 http head 头中获取到请求里需要访问的 uri 资源在web 目录中的位置. 3.服务器读取需要访问的资源文件

Caddy Web服务器一键安装脚本

老左晚上有在浏览海外的资源网站时候有看到一键快速安装Caddy Web服务器的脚本以及简单的应用,所以准备也在博客中整理出来.Caddy这款工具是利用GO语言写的WEB Service服务器,支持HTTP/2静态网页服务器,当然老左也没有深入的研究其功能,因为我在简单的快速安装之后看到是支持HTML等静态文件的,对于PHP等我们常用在Nginx.Apache等动态交互环境有些不同. 在记录这篇文章的时候,老左大概浏览关于Caddy 的相关信息,在国内的信息还是比较少的,也许后面会有所关注或者后面

Nginx+PHP(FastCGI)搭建高并发WEB服务器(自动安装脚本)第二版_nginx

本文是依照张宴的 Nginx 0.7.x + PHP 5.2.10(FastCGI)搭建胜过Apache十倍的Web服务器(第5版) 编写 原文地址 http://blog.s135.com/nginx_php_v5/ 因为编译过程和等待时间繁琐,于是就自己写了个全自动安装的shell脚本,此脚本可以随意修改,转载请注明出处. 这篇文章为这个系列的第二版,在第一版的基础上加入 1.日志切割 2.智能选择yum或者rpm安装 下载地址 注意:如果不能使用yum源,请放入系统光盘,单张dvd的,如果

Shell脚本实现的一个简易Web服务器例子分享_linux shell

假设你想测试网页和一些CGI,而你又不想麻烦Apache安装完整的包.这个快速的shell脚本可能只是你所需要的东西. 简而言之,一个web服务器是一个应用程序,该应用程序将本地文本文件通过网络发送给客户的请求.如果你让另一个程序(例如inetd)处理网络情况下,web服务器可以减少到只有 cat "文件名"发送到stdout.当然,困难将提取部分文件名的HTTP请求字符串:任何一个Bash脚本无法轻易做到. 脚本 我们的脚本应该像其他任何脚本一样,加上一些定义: 复制代码 代码如下:

Nginx的扩展Web服务器OpenResty安装及使用

OpenResty,也被称为"ngx_openresty",是一个基于Nginx的核心Web应用程序服务器,它包含了大量的第三方的Nginx模块和大部分系统依赖包. OpenResty不是Nginx的分支,它只是一个软件包.主要有章亦春维护. 为什么是OpenResty? OpenResty允许开发人员使用lua编程语言构建现有的Nginx的C模块,支持高流量的应用程序. 安装OpenResty 依赖的软件包:     perl 5.6.1+     libreadline     l

Go语言实现的一个简单Web服务器_Golang

Web是基于http协议的一个服务,Go语言里面提供了一个完善的net/http包,通过http包可以很方便的就搭建起来一个可以运行的Web服务.同时使用这个包能很简单地对Web的路由,静态文件,模版,cookie等数据进行设置和操作. http包建立Web服务器 复制代码 代码如下: package main import (     "fmt"     "net/http"     "strings"     "log"