一 引言
隨著計(jì)算機(jī)應(yīng)用的快速普及,很多企業(yè)和事業(yè)單位都有了自己的專用服務(wù)器。服務(wù)器是網(wǎng)絡(luò)環(huán)境中為客戶機(jī)提供各種服務(wù)的、特殊的計(jì)算機(jī)系統(tǒng),在網(wǎng)絡(luò)中具有非常重要的地位,它的安全性顯得尤為重要。本文從對常用服務(wù)器的安全性問題行了闡述。
二 WEB服務(wù)器
2.1 安全漏洞
Web服務(wù)器上的漏洞可以從以下幾方面考慮:
a.在web服務(wù)器上你不讓人訪問的秘密文件、目錄或重要數(shù)據(jù)。
b.從遠(yuǎn)程用戶向服務(wù)器發(fā)送信息時(shí)。特別是信用卡之類東西時(shí),中途遭不法分子非法攔截。
c.Web服務(wù)器本身存在一些漏洞,使得一些人能侵入到主機(jī)系統(tǒng),破壞一些重要的數(shù)據(jù),甚至造成系統(tǒng)癱瘓。
d.CGI安全方面的漏洞有:
(1)有意或無意在主機(jī)系統(tǒng)中遺漏Bugs給非法黑客創(chuàng)造條件。
(2)用CGI腳本編寫的程序當(dāng)涉及到遠(yuǎn)程用戶從瀏覽器中輸入表格(Form),并進(jìn)行檢索(Search index),或form-mail之類在主機(jī)上直接操作命令時(shí),或許會給Web主機(jī)系統(tǒng)造成危險(xiǎn)。
2.2 提高系統(tǒng)安全性和穩(wěn)定性
a.限制在Web服務(wù)器開賬戶,定期刪除一些斷進(jìn)程的用戶。
b.對在Web服務(wù)器上開的賬戶,在口令長度及定期更改方面作出要求,防止被盜用。
c.盡量使FTP、MAIL等服務(wù)器與之分開,去掉ftp,sendmail,tftp,NIS,NFS,finger,netstat等一些無關(guān)的應(yīng)用。
d.在Web服務(wù)器上去掉一些絕對不用的如SHELL之類的解釋器,即當(dāng)在你的CGI的程序中沒用到PERL時(shí)。就盡量把PERL在系統(tǒng)解釋器中刪除掉。
e.定期查看服務(wù)器中的日志logs文件。分析一切可疑事件。在errorlog中出現(xiàn)rm,login,/bin/perl,/bin/sh等之類記錄時(shí),你的服務(wù)器可能已經(jīng)受到了一些非法用戶的入侵。
f.設(shè)置好web服務(wù)器上系統(tǒng)文件的權(quán)限和屬性,對可讓人訪問的文檔分配一個(gè)公用的組,如www,并只分配它只讀的權(quán)利。把所有的HTML文件歸屬WWW組,由Web管理員管理WWW組。對于Web的配置文件僅對Web管理員有寫的權(quán)利。
g.有些Web服務(wù)器把Web的文檔目錄與FTP目錄指在同一目錄時(shí),應(yīng)該注意不要把FTP的目錄與CGI-BIN指定在一個(gè)目錄之下。這樣是為了防止一些用戶通過FTP上載一些如PERL或SH之類程序,并用Web的CGI-BIN去執(zhí)行,造成不良后果。
2.3 從CGI編程角度考慮安全
1.采用編譯語言比解釋語言會更安全些。并且CGI程序應(yīng)放在獨(dú)立于HTML存放目錄之外的CGI-BIN下,這是為了防止一些非法訪問者從瀏覽器端取得解釋性語言的原代碼后從中尋找漏洞。
2.在用C來編寫CGI程序時(shí)應(yīng)盡量少用popen()、system()、所有涉及/bin/sh的SHELL命令以及在PERL中的system()、exec()、open()、eval()等exec或eval之類命令在由用戶填寫的form還回CGI時(shí),不要直接調(diào)用system()之類函數(shù)。
另外,對于數(shù)據(jù)的加密與傳輸,目前有SSL、SHTTP、SHEN等協(xié)議供大家研究。
三 DATA服務(wù)器
先來看看DATA服務(wù)器。它主要是存放數(shù)據(jù)庫的服務(wù)器。以SQL數(shù)據(jù)庫為例,從安全角度考慮。SQL服務(wù)器與BACKOFFICE組件中的所有程序一樣,都是以Windows NT Server為基礎(chǔ),利用了Windows NT Server自身擁有的安全性能。而且,當(dāng)你將SQL服務(wù)器與Internet相連時(shí),為保證你數(shù)據(jù)的安全性和完整性,有些事情你需要特別考慮。
1 支持SQL服務(wù)器的Internet Database Connector(簡稱IDC)的安全性在通常情況下,數(shù)據(jù)庫的開發(fā)者在使用IDC來處理SQL服務(wù)器數(shù)據(jù)時(shí),就應(yīng)該考慮對你的數(shù)據(jù)庫實(shí)施必要的保護(hù)措施。有哪些是必須要做到的呢!根據(jù)我的一些經(jīng)驗(yàn),以下幾點(diǎn)是需要考慮的:
(1)使用NTFS分區(qū)。
(2)給予用戶執(zhí)行日常任務(wù)所必需的最低等級的訪問許可權(quán)。
(3)強(qiáng)制執(zhí)行口令和登錄策略。
(4)TCP/IP過濾。
(5)防火墻及代理服務(wù)器。
通過以上幾步措施,你的SQL服務(wù)器已經(jīng)具備初級的安全防范的功能。但是這些是遠(yuǎn)遠(yuǎn)不夠的,因?yàn)楦呒壍木W(wǎng)絡(luò)入侵者往往能夠繞過這些防御。那么我們就需要進(jìn)一步提高服務(wù)器的安全性能。用戶必須得到訪問.IDC和.HTX文件的許可權(quán)才能處理數(shù)據(jù)。如果你賦予匿名訪問權(quán),那么IUSR_計(jì)算機(jī)為匿名訪問設(shè)定的賬戶必須擁有訪問這些文件的許可權(quán)。
這里必須提出的是,Windows NT用戶名必須嚴(yán)格符合SQL服務(wù)器綜合性安全命名原則。下劃線、美元符號和英鎊符號都不允許使用(這意味著不能使用缺省的賬戶IUSR_計(jì)算機(jī)名進(jìn)行SQL服務(wù)器訪問)。另外IDC文件對于SQL數(shù)據(jù)庫有效用戶口令的保護(hù)等措施也是很必要的。
2 IIS本身的安全性問題這個(gè)話題相信很多朋友看了都會感到很熟悉。在這里,我只想討論一下IIS的SQLWeb Assistant的問題。通過使用SQL Web Assistant也可以多少地保證你的Microsoft Exchange服務(wù)器、Internet信息服務(wù)器和SQL的安全。一般來講,只要您正確使用配置好SQL Web Assistant。都能夠比較理想地達(dá)到SQL數(shù)據(jù)庫的安全保障。
四 DNS服務(wù)器
DNS服務(wù)器是Internet上其它服務(wù)的基礎(chǔ),它處理DNS客戶機(jī)的請求:將名字與IP地址進(jìn)行互換,并提供特定主機(jī)的其它已公布信息(如MX記錄等)。一般而言,網(wǎng)絡(luò)管理者碰到的大多會有以下幾種情況。
1 名字欺騙
當(dāng)主機(jī)B訪問主機(jī)A(同時(shí)也作為DNS服務(wù)器)如執(zhí)行rlogin時(shí),A接收到這個(gè)連接并獲得發(fā)起本次連接主機(jī)B的IP地址。為驗(yàn)證本次連接的合法性,主機(jī)A就向本地DNS服務(wù)器逆向查詢對應(yīng)于這個(gè)IP地址的主機(jī)名字。當(dāng)返回查詢結(jié)果:主機(jī)名B為本機(jī)所信任的主機(jī)時(shí),就允許來自B的遠(yuǎn)程命令rlogin。
2 信息隱藏
當(dāng)某個(gè)企業(yè)由于保密等原因的需要。給某些特定主機(jī)以特定的內(nèi)部主機(jī)名,而這些主機(jī)密碼又被入侵者獲取時(shí),存放保密數(shù)據(jù)的服務(wù)器主機(jī)就會完全暴露。
解決以上兩個(gè)問題的辦法主要有兩種:
(1)直接利用DNS軟件本身具備的安全特性來實(shí)現(xiàn);
(2)以防火墻/NAT為基礎(chǔ),并運(yùn)用私有地址和注冊地址的概念。簡而言之就是將內(nèi)部DNS服務(wù)器和外部DNS服務(wù)器進(jìn)行物理分開。內(nèi)部DNS服務(wù)器解析私有的IP,而外部DNS則解析公開的IP。內(nèi)部主機(jī)使用私有地址:對Internet服務(wù)的主機(jī)用NAT完成注冊地址到其私有地址的靜態(tài)映射:訪問Internet的主機(jī)用NAT完成其私有地址到注冊地址的動態(tài)映射。
五 MAIL服務(wù)器
MAIL服務(wù)器一直因其安全性而成為廣大網(wǎng)絡(luò)管理者抱怨的對象。的確,從理論上講,MAIL服務(wù)是一種不安全的服務(wù),因?yàn)樗仨毥邮軄碜訧NTERNET的幾乎所有數(shù)據(jù)。Internet上,服務(wù)器間的郵件交換是通過SMTP協(xié)議來完成的。主機(jī)的SMTP服務(wù)器接收郵件(該郵件可能來自外部主機(jī)上的SMTP服務(wù)器,也可能來自本機(jī)上的用戶代理),然后檢查郵件地址,以便決定在本機(jī)發(fā)送還是轉(zhuǎn)發(fā)到其它一些主機(jī)。Unix系統(tǒng)上的SMTP程序通常是Sendmail。有關(guān)Sendmail的安全問題重要的原因在于它是一個(gè)異常復(fù)雜的程序,而另一個(gè)原因是它需root用戶特權(quán)運(yùn)行。
解決的方法大致有三種:
1 使用Unix系統(tǒng)自帶的安全特性;
2 使用代理:
3 直接修改源碼。
以上是對網(wǎng)絡(luò)服務(wù)器安全問題及其解決辦法的一些初步探討。其實(shí),關(guān)鍵的問題還是在于網(wǎng)絡(luò)管理員對網(wǎng)絡(luò)安全意識的建立和實(shí)施。因?yàn)槎鄶?shù)網(wǎng)絡(luò)安全事件的發(fā)生,都是因?yàn)榫W(wǎng)絡(luò)管理員安全意識的缺乏和防范措施實(shí)施的不到位。
六 結(jié)束語
網(wǎng)絡(luò)服務(wù)器的安全性問題隨著計(jì)算機(jī)技術(shù)的發(fā)展永遠(yuǎn)都是一個(gè)值得研究和探討的話題。但是只要充分利用先進(jìn)的技術(shù)和先進(jìn)的管理手段,堅(jiān)持發(fā)現(xiàn)問題就必須解決問題的態(tài)度。那么我們的網(wǎng)絡(luò)服務(wù)器的安全就是有保障的,
核心關(guān)注:拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用,蘊(yùn)涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務(wù)管理理念,功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理,全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域,是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。
轉(zhuǎn)載請注明出處:拓步ERP資訊網(wǎng)http://www.ezxoed.cn/
本文標(biāo)題:網(wǎng)絡(luò)服務(wù)器的安全性問題
本文網(wǎng)址:http://www.ezxoed.cn/html/consultation/1083954631.html