Web服務器維護和安全管理技巧(1)
轉換角色,把自己當作可能的攻擊者
大部分時候,我們若只是站在WEB管理員的角度上考慮問題,可能就發現不了Web服務器的漏洞。相反,我們此時若能夠換個角度,把自己當作可能的攻擊者,從他們的角色出發,想想他們可能會利用那些手段、哪些Web服務器的漏洞進行攻擊,或許,我們就可以發現Web服務器可能存在的安全漏洞,從而早先一步,修補安全漏洞,防止被木馬或者病毒攻擊。
從公司外面訪問自己的Web服務器,進行完正的檢測,然后模擬攻擊自己的網站,看看,會有什么樣的結果。這對于WEB的安全性來說,可能是一種很好的方法。如我們可以假當攻擊者,利用掃描工具,對Web服務器進行掃描,看看有否存在可以被攻擊的服務。有些東西我們平時可能不會引起我們重視,但是,利用黑客常用的工具進行掃描,就會發現一些可能會被他們利用的服務或者漏洞。
如在服務器安裝的時候,操作系統會默認的安裝并啟動一些不需要的服務;或者在服務器配置的時候,需要啟動一些服務,但是事后沒有及時的關閉,從而給了不法攻擊者一個攻擊的機會。最常見的如SNMP服務,又稱簡單網絡管理協議。這個服務在系統安裝完畢后,默認情況下是開啟的。但是,這個服務可以為攻擊者提供服務器系統的詳細信息,如Web服務器是采用了什么操作系統,在服務器上開啟了什么服務與對應的端口等等寶貴的信息。攻擊者只有了解這些最基本的信息之后,才能夠開展攻擊。
我們安全管理人員,在平時的時候可能不會發現這個問題,但是,若能夠利用黑客的掃描工具一掃描,就能夠發現問題的所在。故在必要的時候,需要換個角度,從攻擊的角色出發,考慮他們會采用什么樣的攻擊方法。如此的話,我們才可以避免“當局者迷”的錯誤,保障Web服務器的安全。
合理的權限管理
有時候,在一臺服務器上,不僅運行了Web服務器,而且還會運行其他的諸如FTP服務器之類的網絡服務。在同一臺服務器上應用多種網絡服務的話,很可能造成服務之間的相互感染。也就是說,攻擊者只要攻擊一種服務,就可以利用相關的技術,攻陷另一種應用。因為攻擊者之需要攻破其中一種服務,就可以利用這個服務平臺,從企業內部攻擊其他服務。而一般來說,從企業內容進行攻擊,要比企業外部進行攻擊方便的多。
那或許有人會說,那不同服務采用不同服務器就可以了。其實,這對于企業來說,可能是種浪費。因為從性能上講,現在的服務器上同時部署WEB服務與FTP服務的話,是完全可行的,性能不會受到影響。為此,企業從成本考慮,會采取一個服務器。而現在給我們安全管理員出了一個難題,就是在兩種、甚至兩種以上的服務同時部署在一臺服務器上,如何保障他們的安全,防止他們彼此相互之間感染呢?
例如現在的Web服務器上運行著三種服務。一個是傳統等WEB服務;二是FTP服務;三是OA(辦公自動化)服務,因為該服務是WEB模式的,互聯網上也可以直接訪問OA服務器,所以也就把他部署在這臺服務器上。由于這臺服務器的配置還是比較高的,所以,運行這三個服務來說,沒有多少的困難,性能不會有所影響。現在的問題是,如號來保障他們的安全,FTP服務器、OA服務器與Web服務器之間安全上不會相互影響呢?
現在采用的是Windows2003服務器,為了實現這個安全需求,把服務器中所有的硬盤都轉換為NTFS分區。一般來說,NTFS分區比FAT分區安全性要高的多。利用NTFS分區自帶的功能,合理為他們分配相關的權限。如為這個三個服務器配置不同的管理員帳戶,而不同的帳戶又只能對特定的分區與目錄進行訪問。如此的話,即使某個管理員帳戶泄露,則他們也只能夠訪問某個服務的存儲空間,而不能訪問其他服務的。
如把WEB服務裝載分區D,而把FTP服務放在分區E。若FTP的帳戶泄露,被攻擊利用;但是,因為FTP帳戶沒有對分區D具有讀寫的權利,所以,其不會對Web服務器上的內容進行任何的讀寫操作。這就可以保障,其即時攻陷FTP服務器后,也不會對Web服務器產生不良的影響。
雖然說微軟的操作系統價格昂貴,而安全漏洞又比較多,但是,其NTFS分區上的成就表現還是不差的。在NTFS分區上,可以實現很大程度的安全管理,保障相關服務于數據的安全性。所以最后還是采用了微軟的2003操作系統作為服務器系統,而沒有采用Linux系統。
Web服務器維護和安全管理技巧不光是以上本文介紹的內容,我們還會在以后的文章中繼續向大家介紹的。
【編輯推薦】
