網(wǎng)絡(luò)空間安全技術(shù)教學(xué)課件第3章-服務(wù)器技術(shù)

機(jī)械工業(yè)出版社《網(wǎng)絡(luò)空間安全技術(shù)》第3章：服務(wù)器技術(shù)要點(diǎn)服務(wù)器操作系統(tǒng)三個(gè)開源Linux操作系統(tǒng)六大Web服務(wù)器Web服務(wù)器技術(shù)相關(guān)安全漏洞披露1服務(wù)器操作系統(tǒng)服務(wù)器操作系統(tǒng)可以實(shí)現(xiàn)對(duì)計(jì)算機(jī)硬件與軟件的直接控制和管理協(xié)調(diào)。任何計(jì)算機(jī)的運(yùn)行離不開操作系統(tǒng)，服務(wù)器也一樣。服務(wù)器操作系統(tǒng)主要分為四大流派：WindowsServer、Netware、Unix、Linux。對(duì)服務(wù)器操作系統(tǒng)進(jìn)行安全加固是減少脆弱性并提升系統(tǒng)安全的一個(gè)過程，其中主要包括：打上補(bǔ)丁消滅已知安全漏洞、去掉不必要的服務(wù)、禁止使用不安全賬號(hào)密碼登錄、禁用不必要的端口等。1.1WindowsServerWindowsServer系統(tǒng)：1）優(yōu)點(diǎn)：WindowsServer系統(tǒng)相對(duì)于其他服務(wù)器系統(tǒng)而言，極其易用，極大降低使用者的學(xué)習(xí)成本。2）缺點(diǎn)：WindowsServer系統(tǒng)對(duì)服務(wù)器硬件要求較高、穩(wěn)定性不是很好。3）應(yīng)用：WindowsServer系統(tǒng)適用于中、低檔服務(wù)器中。WindowsServer系統(tǒng)安全加固：安全加固是企業(yè)安全中及其重要的一環(huán)，其主要內(nèi)容包括賬號(hào)安全、認(rèn)證授權(quán)、協(xié)議安全、審計(jì)安全等。更多請(qǐng)參考書籍。1.2NetwareNetware系統(tǒng)：1）優(yōu)點(diǎn)：Netware系統(tǒng)具有優(yōu)秀的批量處理功能和安全、穩(wěn)定的系統(tǒng)性能，且兼容DOS命令，支持豐富的應(yīng)用軟件，對(duì)無盤站和游戲有著較好的支持，對(duì)網(wǎng)絡(luò)硬件要求較低。2）缺點(diǎn)：Netware系統(tǒng)操作大部分依靠手工命令實(shí)現(xiàn)，不夠人性化；對(duì)硬盤識(shí)別最高只能達(dá)到1G，無法滿足TB級(jí)數(shù)據(jù)的存儲(chǔ)。3）應(yīng)用：Netware系統(tǒng)適用于低檔服務(wù)器，常運(yùn)用在中小型企業(yè)、學(xué)校、游戲廳。Netware系統(tǒng)安全加固：1）NetWare的用戶類型：網(wǎng)絡(luò)管理員（通過設(shè)置用戶權(quán)限來實(shí)現(xiàn)網(wǎng)絡(luò)安全保護(hù)措施）、組管理員、網(wǎng)絡(luò)操作員（FCONSOLE操作員，隊(duì)列操作員、控制臺(tái)操作員）、普通網(wǎng)絡(luò)用戶。2）NetWare的四級(jí)安全保密機(jī)制：注冊(cè)安全性、用戶信任者權(quán)限、最大信任者權(quán)限屏蔽、目錄與文件服務(wù)3）NetWare操作系統(tǒng)的系統(tǒng)容錯(cuò)技術(shù)1.3UnixUnix系統(tǒng)：1）優(yōu)點(diǎn)：Unix系統(tǒng)支持大型文件系統(tǒng)服務(wù)、數(shù)據(jù)服務(wù)應(yīng)用，功能強(qiáng)大、穩(wěn)定性和安全性能好。2）缺點(diǎn)：Unix系統(tǒng)操作主要以命令的方式進(jìn)行，不容易掌握。3）應(yīng)用：大型網(wǎng)站或是大型企、事業(yè)局域網(wǎng)中。Unix系統(tǒng)安全加固：系統(tǒng)安全加固包括的內(nèi)容很多，以下舉2個(gè)例子說明。1）關(guān)閉不必要的服務(wù)，比如收發(fā)郵件服務(wù)。

先關(guān)閉sendmail服務(wù)自動(dòng)啟動(dòng)功能，使用root用戶編輯/etc/rc.config.d/mailservs文件，把exportSENDMAIL_SERVER=1改為

exportSENDMAIL_SERVER=0。

然后

ps-ef|grepsendmail檢查進(jìn)程是否已經(jīng)終止了，root用戶執(zhí)行

/sbin/init.d/sendmailstop關(guān)閉sendmail進(jìn)程，root用戶執(zhí)行

/sbin/init.d/SnmpMasterstop關(guān)閉snmp服務(wù)。2）通過IP限制用戶遠(yuǎn)程登錄。

在etc下創(chuàng)建hosts.allow和hosts.deny文件，該文件完成主機(jī)訪問權(quán)限控制。hosts.deny文件設(shè)置工作站拒絕的ip地址和服務(wù)范圍。

hosts.allow文件設(shè)置工作站允許的ip地址和服務(wù)范圍。1.4LinuxLinux系統(tǒng)：1）優(yōu)點(diǎn)：Linux系統(tǒng)是開源系統(tǒng)，受到所有開發(fā)者的共同監(jiān)督，已經(jīng)是非常成熟的服務(wù)器系統(tǒng)，并且擁有著一套完整的權(quán)限機(jī)制，安全性與穩(wěn)定性都很高。2）缺點(diǎn)：Linux系統(tǒng)操作需要一定時(shí)間的學(xué)習(xí)。3）應(yīng)用：Linux系統(tǒng)適用于中、高檔服務(wù)器中。Linux系統(tǒng)安全加固：對(duì)Linux系統(tǒng)進(jìn)行安全加固，主要策略涉及到如下幾點(diǎn)：取消所有服務(wù)器的root遠(yuǎn)程ssh登錄，限制su-root的用戶權(quán)限，同時(shí)ssh登錄端口調(diào)整，外網(wǎng)ssh登錄全部調(diào)整；調(diào)整密碼過期時(shí)間和復(fù)雜度；調(diào)整網(wǎng)絡(luò)泛洪、SYN等防攻擊策略參數(shù)；清理服務(wù)器無效賬戶如lp、news等，調(diào)整系統(tǒng)關(guān)鍵目錄權(quán)限；優(yōu)化服務(wù)器連接數(shù)參數(shù)；日志管理：登錄認(rèn)證記錄等。2三個(gè)開源Linux操作系統(tǒng)Linux有非常多的發(fā)行版本，從性質(zhì)上劃分，大體分為由商業(yè)公司維護(hù)的商業(yè)版本與由開源社區(qū)維護(hù)的免費(fèi)發(fā)行版本。商業(yè)版本以Redhat為代表，開源社區(qū)版本則以Debian為代表。CentOS、Ubuntu、Debian三個(gè)Linux版本都是非常優(yōu)秀的系統(tǒng)。2.1CentOSCentOS（CommunityEnterpriseOperatingSystem，中文意思是社區(qū)企業(yè)操作系統(tǒng)）是Linux發(fā)行版之一，它是來自于RedHatEnterpriseLinux依照開放源代碼規(guī)定釋出的源代碼所編譯而成。由于出自同樣的源代碼，因此有些要求高度穩(wěn)定性的服務(wù)器以CentOS替代商業(yè)版的RedHatEnterpriseLinux使用。兩者的不同，在于CentOS完全開源。很多網(wǎng)站站長一般都選擇CentOS系統(tǒng)，CentOS去除很多與服務(wù)器功能無關(guān)的應(yīng)用，系統(tǒng)簡單但非常穩(wěn)定，命令行操作可以方便管理系統(tǒng)和應(yīng)用，并且有幫助文檔和社區(qū)的支持。CentOS系統(tǒng)安全加固，更多請(qǐng)參考書籍：設(shè)置密碼失效時(shí)間，強(qiáng)制定期修改密碼，減少密碼被泄漏和猜測風(fēng)險(xiǎn)：在/etc/login.defs中將PASS_MAX_DAYS參數(shù)設(shè)置為60-180之間。參數(shù)：PASS_MAX_DAYS90執(zhí)行命令為：root:chage--maxdays90root2.2UbuntuUbuntuLinux是由南非人MarkShuttleworth創(chuàng)辦的基于DebianLinux的操作系統(tǒng)，開于2004年10月公布Ubuntu的第一個(gè)版本(Ubuntu4.10WartyWarthog)。用戶下載、使用、分享Ubuntu系統(tǒng)，以及獲得技術(shù)支持與服務(wù)，無需支付任何許可費(fèi)用。Ubuntu被視為一種傳統(tǒng)的非洲民族理念，同時(shí)也被認(rèn)為是南非共和國的建國準(zhǔn)則之一，并且與非洲復(fù)興的理想密切相關(guān)。該詞源于祖魯語和科薩語，它的核心理念是“人道待人”，“我的存在是因?yàn)榇蠹业拇嬖凇?，著眼于人們之間相互的忠誠與交流。Ubuntu系統(tǒng)安全加固，更多請(qǐng)參考書籍：1）刪除系統(tǒng)不需要的默認(rèn)賬號(hào)：#userdellp#groupdellp#passwd–llp如果下面這些系統(tǒng)默認(rèn)帳號(hào)不需要的話，建議刪除。Lp、syncnews、uucp、games、bin、man2.3DebianDebian作為適合于服務(wù)器的操作系統(tǒng)，它比Ubuntu要穩(wěn)定得多。可以說穩(wěn)定得無與倫比了。Debian整個(gè)系統(tǒng)，只要應(yīng)用層面不出現(xiàn)邏輯缺陷，基本上固若金湯，是個(gè)常年不需要重啟的系統(tǒng)。Debian整個(gè)系統(tǒng)基礎(chǔ)核心非常小，不僅穩(wěn)定，而且占用硬盤空間小，占用內(nèi)存小。但是由于Debian的發(fā)展路線，使它的幫助文檔相對(duì)于CentOS略少，技術(shù)資料也少一些。Debian系統(tǒng)安全加固，更多請(qǐng)參考書籍：防止任何人都可以su為root

在/etc/pam.d/su中添加如下兩行。authsufficient/lib/security/$ISA/pam_rootok.sodebugauthrequired/lib/security/$ISA/pam_wheel.sogroup=wheel2.采用最少服務(wù)原則

凡是不需要的服務(wù)一律注釋掉。在/etc/inetd.conf中不需要的服務(wù)前加"#"。3六大Web服務(wù)器統(tǒng)計(jì)數(shù)據(jù)顯示，超過80%的web應(yīng)用程序和網(wǎng)站都是使用的開源Web服務(wù)器。目前最為流行的Web服務(wù)器有ApacheHTTPServer、IIS、GFE、Nginx、Lighttpd、Tomcat等。3.1ApacheHTTPServerApacheHTTPServer（簡稱Apache），是Apache軟件基金會(huì)的一個(gè)開放源代碼的網(wǎng)頁服務(wù)器，可以在大多數(shù)電腦操作系統(tǒng)中運(yùn)行，由于其具有的跨平臺(tái)性和安全性，被廣泛使用，是最流行的Web服務(wù)器端軟件之一。它快速、可靠并且可通過簡單的API擴(kuò)展，Perl/Python解釋器可被編譯到服務(wù)器中，可以創(chuàng)建一個(gè)每天有數(shù)百萬人訪問的Web服務(wù)器。ApacheHTTPServer安全加固：更多請(qǐng)參考書籍隱藏Apache版本號(hào)，隱藏Apache的版本號(hào)及其它敏感信息。修改httpd.conf配置文件：ServerSignatureOffServerTokensProd3.2IISIIS（InternetInformationServices：互聯(lián)網(wǎng)信息服務(wù)）是由微軟公司提供的基于運(yùn)行MicrosoftWindows的互聯(lián)網(wǎng)基本服務(wù)。IIS是一種Web（網(wǎng)頁）服務(wù)組件，其中包括Web服務(wù)器、FTP服務(wù)器、NNTP服務(wù)器和SMTP服務(wù)器，分別用于網(wǎng)頁瀏覽、文件傳輸、新聞服務(wù)和郵件發(fā)送等方面，它使得在網(wǎng)絡(luò)（包括互聯(lián)網(wǎng)和局域網(wǎng)）上發(fā)布信息成了一件很容易的事。IIS安全加固：更多參考書籍1）停用或刪除默認(rèn)站點(diǎn)IIS安裝后的默認(rèn)主目錄是“C:\inetpub\wwwroot”，為更好地抵抗踩點(diǎn)、刺探等攻擊行為，應(yīng)該更改主目錄位置，禁用默認(rèn)站點(diǎn)，新建立站點(diǎn)并進(jìn)行安全配置。

開始->管理工具->Internet信息服務(wù)(IIS)管理器選擇相應(yīng)的站點(diǎn)，然后右鍵站點(diǎn)，選擇停止或者刪除。2）卸載不需要的IIS角色服務(wù)

通常下列角色可以刪除：“默認(rèn)文檔”，“目錄瀏覽”，“CGI”，“在服務(wù)器端的包含文件”。3.3GFEGFE（GoogleFrontEnd：谷歌前端服務(wù)器）。谷歌基礎(chǔ)設(shè)施內(nèi)部的服務(wù)需要通過谷歌前端服務(wù)（GFE）注冊(cè)之后，才能運(yùn)行于外部互聯(lián)網(wǎng)上。GFE確保所有TLS連接必須使用正確的證書和安全策略，同時(shí)還能起到防御DoS攻擊的作用。GFE對(duì)請(qǐng)求的轉(zhuǎn)發(fā)使用了前述的RPC安全協(xié)議。實(shí)際上，任何通過GFE注冊(cè)運(yùn)行于互聯(lián)網(wǎng)的內(nèi)部服務(wù)都是敏捷的反向前端代理服務(wù)，該前端不僅能提供服務(wù)的DNS公共IP，還能起到DoS防御和TLS保護(hù)作用。3.4NginxNginx(enginex)是一個(gè)高性能的HTTP和反向代理web服務(wù)器，同時(shí)也提供了IMAP/POP3/SMTP服務(wù)。俄羅斯人IgorSysoev從2002年開始開發(fā)NGINX，并在2004年發(fā)布了第一個(gè)公開版本。NGINX的開發(fā)是為了解決C10K（C10K是如何處理1萬個(gè)并發(fā)連接的簡寫）問題，目前，全球有超過30%的網(wǎng)站在使用它。Nginx作為負(fù)載均衡服務(wù)：Nginx既可以在內(nèi)部直接支持Rails和PHP程序?qū)ν膺M(jìn)行服務(wù)，也可以支持作為HTTP代理服務(wù)對(duì)外進(jìn)行服務(wù)。Nginx安全加固：更多參考書籍1）禁止目錄瀏覽

先備份nginx.conf配置文件，然后編輯配置文件，HTTP模塊添加如下一行內(nèi)容：

autoindexoff;保存，然后后重啟nginx服務(wù)。2）隱藏版本信息

先備份nginx.conf配置文件，然后編輯配置文件，添加http模塊中如下一行內(nèi)容：

server_tokensoff;保存，然后后重啟nginx服務(wù)。3.5LighttpdLighttpd是一個(gè)德國人領(lǐng)導(dǎo)的開源Web服務(wù)器軟件，其根本的目的是提供一個(gè)專門針對(duì)高性能網(wǎng)站，安全、快速、兼容性好并且靈活的Web服務(wù)器環(huán)境。具有非常低的內(nèi)存開銷、CPU占用率低、效能好以及豐富的模塊等特點(diǎn)。Lighttpd是眾多開源輕量級(jí)的Web服務(wù)器中較為優(yōu)秀的一個(gè)。支持FastCGI，CGI，Auth，輸出壓縮，URL重寫，Alias等重要功能。Lighttpd安全加固：更多參考書籍強(qiáng)制定向到HTTPS，強(qiáng)制HTTP定向到HTTPS的部分配置。$HTTP["scheme"]=="http"{

$HTTP["host"]=~".*"{url.redirect=(".*"=>"https://%0$0")}}3.6TomcatApache只支持靜態(tài)網(wǎng)頁，但像PHP、CGI、JSP等動(dòng)態(tài)網(wǎng)頁就需要Tomcat來處理。Tomcat是由Apache軟件基金會(huì)下屬的Jakarta項(xiàng)目開發(fā)的一個(gè)Servlet容器，按照SunMicrosystems提供的技術(shù)規(guī)范，實(shí)現(xiàn)了對(duì)Servlet和JavaServerPage（JSP）的支持，并提供了作為Web服務(wù)器的一些特有功能，如Tomcat管理和控制平臺(tái)、安全域管理和Tomcat閥等。Tomcat安全加固：更多參考書籍禁用tomcat默認(rèn)帳號(hào)，打開conf/tomcat-user.xml文件，將以下用戶注釋掉：<!--

<rolerolename="tomcat"/>

<rolerolename="role1"/>

<userusername="tomcat"password="tomcat"roles="tomcat"/>

<userusername="both"password="tomcat"roles="tomcat,role1"/>

<userusername="role1"password="tomcat"roles="role1"/>-->4Web服務(wù)器技術(shù)Web服務(wù)器技術(shù)主要包括服務(wù)器、CGI、Servlet、PHP、ASP、ASP.NET和JSP技術(shù)。服務(wù)器就包括服務(wù)器操作系統(tǒng)的選擇。4.1PHPPHP即“超文本預(yù)處理器”，是一種通用開源腳本語言。PHP是在服務(wù)器端執(zhí)行的腳本語言，與C語言類似，是常用的網(wǎng)站編程語言。PHP獨(dú)特的語法混合了C、Java、Perl以及PHP自創(chuàng)的語法。利于學(xué)習(xí)，使用廣泛，主要適用于Web開發(fā)領(lǐng)域。PHP原始為PersonalHomePage的縮寫，后來更名為"PHP:HypertextPreprocessor"。自20世紀(jì)90年代國內(nèi)互聯(lián)網(wǎng)開始發(fā)展到現(xiàn)在，互聯(lián)網(wǎng)信息幾乎覆蓋了人們?nèi)粘；顒?dòng)所有知識(shí)范疇，并逐漸成為我們生活、學(xué)習(xí)、工作中必不可少的一部分。PHP安全設(shè)置：更多請(qǐng)參考書籍屏蔽PHP版本默認(rèn)情況下PHP版本會(huì)被顯示在返回頭里，如：ResponseHeadersX-powered-by:PHP/7.2.0將php.ini中如下的配置值改為Offexpose_php=Off4.2JSPJSP（全稱JavaServerPages）是由SunMicrosystems公司主導(dǎo)創(chuàng)建的一種動(dòng)態(tài)網(wǎng)頁技術(shù)標(biāo)準(zhǔn)。JSP部署于網(wǎng)絡(luò)服務(wù)器上，可以響應(yīng)客戶端發(fā)送的請(qǐng)求，并根據(jù)請(qǐng)求內(nèi)容動(dòng)態(tài)地生成HTML、XML或其他格式文檔的Web網(wǎng)頁，然后返回給請(qǐng)求者。JSP技術(shù)以Java語言作為腳本語言，為用戶的HTTP請(qǐng)求提供服務(wù)，并能與服務(wù)器上的其它Java程序共同處理復(fù)雜的業(yè)務(wù)需求。JSP安全設(shè)置：JSP安全中出現(xiàn)的像源代碼暴露、遠(yuǎn)程程序執(zhí)行等問題，主要通過在服務(wù)器軟件網(wǎng)站下載安裝最新的補(bǔ)丁來解決。4.3ASP/ASP.NETASP即ActiveServerPages，是Microsoft公司開發(fā)的服務(wù)器端腳本環(huán)境，可用來創(chuàng)建動(dòng)態(tài)交互式網(wǎng)頁并建立強(qiáng)大的web應(yīng)用程序。當(dāng)服務(wù)器收到對(duì)ASP文件的請(qǐng)求時(shí)，它會(huì)處理包含在用于構(gòu)建發(fā)送給瀏覽器的HTML網(wǎng)頁文件中的服務(wù)器端腳本代碼。除服務(wù)器端腳本代碼外，ASP文件也可以包含文本、HTML（包括相關(guān)的客戶端腳本）和com組件調(diào)用。ASP/ASP.NET安全設(shè)置：1）保護(hù)WINDOWS：使用NTFS格式；選擇安全的口令；重新設(shè)置管理員帳戶，重新命名或重新建立；刪除不必要的共享；設(shè)置ACL等。2）設(shè)置windows安全性使用微軟提供的模板。3）在ASP.NET的web.config中使用URL授權(quán)；可以允許或拒絕。4）ASP.NET帳戶缺省該用戶只擁有本地USERS組的權(quán)限。4.4CGICGI（CommonGatewayInterface，公共網(wǎng)關(guān)接口）是Web服務(wù)器運(yùn)行時(shí)外部程序的規(guī)范，按CGI編寫的程序可以擴(kuò)展服務(wù)器功能。CGI應(yīng)用程序能與瀏覽器進(jìn)行交互，還可通過數(shù)據(jù)API與數(shù)據(jù)庫服務(wù)器等外部數(shù)據(jù)源進(jìn)行通信，從數(shù)據(jù)庫服務(wù)器中獲取數(shù)據(jù)。格式化為HTML文檔后，發(fā)送給瀏覽器，也可以將從瀏覽器獲得的數(shù)據(jù)放到數(shù)據(jù)庫中。CGI安全加固：使用最新版本的Web服務(wù)器，安裝最新的補(bǔ)丁程序，正確配置服務(wù)器。按照幫助文件正確安裝CGI程序，刪除不必要的安裝文件和臨時(shí)文件。使用C編寫CGI程序時(shí)，使用安全的函數(shù)。使用安全有效的驗(yàn)證用戶身份的方法。驗(yàn)證用戶的來源，防止用戶短時(shí)間內(nèi)過多動(dòng)作。推薦過濾“&;`'\"|*?~<>;^()[]{}$\n\r\t\0#../”。4.5ServletServlet（ServerApplet）是JavaServlet的簡稱，稱為小服務(wù)程序或服務(wù)連接器，用Java編寫的服務(wù)器端程序，具有獨(dú)立于平臺(tái)和協(xié)議的特性，主要功能在于交互式地瀏覽和生成數(shù)據(jù)，生成動(dòng)態(tài)Web內(nèi)容。Servlet安全加固：更多參考書籍一般說來，Servlet會(huì)部署到Internet上，因此需要一些安全性的考慮?？梢灾贫⊿ervlet的安全模式，例如角色、訪問控制、鑒權(quán)等。這些都可以用annotation或web.xml進(jìn)行配置。5近期服務(wù)器技術(shù)相關(guān)安全漏洞披露漏洞號(hào)影響產(chǎn)品漏洞描述CNVD-2020-25576MicrosoftWindowsServer1803MicrosoftWindowsServer2019MicrosoftWindowsServer1903MicrosoftWindowsServer1909MicrosoftWindows和WindowsServer中存在提權(quán)漏洞，攻擊者可通過登錄到系統(tǒng)并運(yùn)行特制的應(yīng)用程序利用該漏洞在內(nèi)核模式下運(yùn)行任意代碼。CNVD-2020-24063MicrosoftWindowsServer2016MicrosoftWindowsServer1803MicrosoftWindowsServer2019MicrosoftWindowsServer1903MicrosoftWindowsAdobeFontManagerLibrary中存在遠(yuǎn)程代碼執(zhí)行漏洞，該漏洞源于程序未正確處理特制的MM字體（一種AdobeType1PostScript格式），攻擊者可借助特制的文檔利用該漏洞以有限的權(quán)限在AppContainer沙盒上下文中執(zhí)行代碼。CNVD-2018-23882NovellNetware<6.5SP8NovellNetWare6.5SP8之前版本中的PKERNEL.NLM的CALLITRPC調(diào)用的處理存在棧緩沖區(qū)溢出漏洞。遠(yuǎn)程攻擊者可利用該漏洞執(zhí)行代碼。CNVD-2020-28054LinuxLinuxkernelLinuxkernel（用于PowerPC處理器）中KVM的存在安全漏洞，該漏洞源于程序未能正確將虛擬機(jī)的狀態(tài)和主機(jī)狀態(tài)分離。攻擊者可利用該漏洞造成拒絕服務(wù)。CNVD-2019-46764CentOSWeb