题目:基于linux平台的WEB安全技术研究
—APACHE安全技术
摘要 网络技术的普及、应用和Web技术的不断完善,Web服务已经成为互联网
上重要的服务形式之一。原有的客户端/服务器模式正在逐渐被浏览器/服务器模式所取代。但是由于Internet的开放性,及在设计时对于信息的保密和系统的安全考虑不完备,Web站点被黑客入侵的事件屡有发生,Web安全问题已引起人们的极大重视。本文将根据目前Web面临的主要威胁,并结合在Linux中使用最多的Apache服务器,介绍进行Web服务器安全配置的技巧。
关键词 Linux,网络安全,WEB服务,Apache服务器
ABSTRACT Popularization of network technology, applications and Web technology
continues to improve the, Web services, the Internet has become an important form of service. The original client / server model is gradually being browser / server model replaced. However, due to the open Internet, and the design for the confidentiality of information and system security is not complete, Web sites were hacked happened
frequently, Web security issue has been of great importance. This article will present the main threat facing the Web, combined with the use of Linux in the most Apache servers, as described in the Web server security configuration skills.
Keyworks Linux; the Network Safety; Website of WEB;Apache Server
目 录
前言............................................................................................................1 第一章
Web服务器安全分析.......................................................................2
1.1 Web服务器安全威胁分析 ................................................................2 1.2 Web服务器安全目标 ......................................................................3 第二章
基于Linux的Web服务器安全模型 ...................................................4
2.1 木桶理论分析.................................................................................4 2.2 模型的设计 ....................................................................................5
2.2.1 模型的提出.........................................................................5 2.2.2 模型的组成.........................................................................5 2.2.3 模块的分析.........................................................................6
第三章 安全模型设计与实现...........................................................................7
3.1 Linux平台安全模型.........................................................................7
3.1.1 发行版的选择 .....................................................................7 3.1.2 系统安装与升级 ..................................................................8 3.1.3 系统安全设置 ................................................................... 11 3.1.4 系统安全漏洞检测 ............................................................. 17 3.2 防火墙安全模型 ........................................................................... 22
3.2.1 Linux 安全性和 netfilter/iptables ......................................... 22 3.2.2 netfilter/iptables 系统是如何工作的? .................................. 22 3.2.3 iptables规则构思 .............................................................. 23 3.2.4编写脚本 .......................................................................... 25 3.3 Apache服务器安全模型 ................................................................ 27
3.3.1 Apache服务器简介............................................................ 27 3.3.2 Apache服务器的安全配置 .................................................. 27 3.3.3 Apache服务器的安全模块 .................................................. 33
·
第四章 安全模型的测试 ............................................................................... 40
4.1 系统实现环境............................................................................... 40 4.2 安全模型测试............................................................................... 41
4.2.1远程连接信息机密性测试 ........................................................ 41 4.2.2网站密码认证功能: .............................................................. 42 4.2.3摘要式认证测试:.................................................................. 44
总结与展望 ................................................................................................ 47 参考文献 ................................................................................................... 48
·
广州大学华软软件学院网络技术系学位论文
前 言
随着网络技术的普及、应用和Web技术的不断完善,Web服务已经成为互联网上重要的服务形式之一。网络银行、电子政府、远程教育、电子商务等这些应用已经成为了我们日常生活中不可或缺的部分,企业和机构已经将网络作为竞争力的重要来源,包括中国在内的很多国家都把信息技术提升到战略的高度来考量。
显然,互联网以其网络的开放性、技术的渗透性、信息传播的交互性而广泛渗透到各个领域,有力地促进了经济社会的发展。但同时,网络信息安全问题日益突出,据工信部日前透露,2010年1月4日至10日,我国境内被篡改的政府网站数量为178个,与前一周相比大幅增长409%。紧接着,全球最大的中文搜索引擎百度也遭遇攻击,从而导致用户不能正常访问,众多网站最近频遭网络攻击的消息。
认识网络安全工作的重要性和紧迫性,进一步加强网络安全工作,创建一个健康、和谐的网络环境,需要我们深入研究,落实措施。本文将根据目前Web面临的主要威胁,并结合在Linux中使用最多的Apache服务器,介绍进行Web服务器安全配置的技巧。
第1页 共47 作者:杨锦辉
第一章 Web服务器安全分析
1.1 Web服务器安全威胁分析
由于Web服务器的应用越来越广泛,同时其重要性也日益加重,所以,在现实中Web服务器的安全问题备受关注。目前,Web服务器面临以下主要的安全威胁:
1.攻击者获得管理员权限
如果Web服务器以管理员权限运行,系统上一些程序的逻辑缺陷或缓冲区溢出的漏洞,会让攻击者很容易在本地获得Web服务器上管理员管理员权限。在一些远程的情况下,攻击者会利用一些以管理员身份执行的有缺陷的系统守护进程来取得管理员权限,或利用有缺陷的服务进程漏洞来取得普通用户权限,用以远程登录服务器,进而控制整个系统。
2.缓冲区溢出
攻击者利用CGI程序编写的一些缺陷使程序偏离正常的流程。程序使用静态分配的内存保存请求数据,攻击者就可以发送一个超长请求使缓冲区溢出。比如,一些Perl编写的处理用户请求的网关脚本。一旦缓冲区溢出,攻击者可以执行其恶意指令。
3.HTTP拒绝服务
攻击者通过某些手段使服务器拒绝对HTTP应答。这使得Web服务器对系统资源(CPU时间和内存)需求剧增,最终造成系统变慢甚至完全瘫痪。Web服务器服务器最大的缺点是,它的普及性使它成为众矢之的。Web服务器服务器无时无刻不受到DoS攻击的威胁。主要包括以下几种形式。
(1)数据包洪水攻击 (2)磁盘攻击 (3)路由不可达
第2页 共48 页