如何确保Web服务器的安全

数据时代

高密度配置的目标是将尽可能多的服务器放置在尽可能小的空间。按照这种思路，刀片服务器是理想的选择，因为你可以将某些刀片服务器放置在10U的机架里，而同等规模的普通服务器却需要占用16U的机架。在很多情况下，刀片服务器具有与适用于1U或2U机架的普通服务器一样强大的性能，因此你可以在不牺牲电量的同时扩大配置密度。当然，刀片服务器有一个典型特性，就是其磁盘扩展选项相对要少一些，但我们可以通过SAN来巩固其存储性能，因此这点不足就变得无足轻重了。接下来是虚拟机与服务器的结合。服务器虚拟化使你可以在一台物理机器中放置3台到33台（或更多）虚拟主机。你从虚拟化中获得的额外服务器密度当然会有很大范围的变化，这取决于你所部署的刀片服务器的功率及虚拟主机的硬件需求。关键在于，如果每台服务器都能容纳四台虚拟主机，你就可以将服务器的密度增加到四倍。
带有高密度配置的整合
　至少每月一次检查Web服务器的漏洞；每年一次或每次升级修补程序时更新Web服务器的政策。
　　为何

　　Web服务器是组织的门面并且提供了进入网络的简单方法。所有的Web服务器都与安全事件相关，一些更甚。最近安全焦点列出了微软IIS服务器的116个安全问题，而开放源码的Apache有80个。

　　策略

　　许多Web服务器默认装有标准通用网关接口（CGI），例如ColdFusion，它可以用于处理恶意请求。既然它们很容易发现并且在root权限下运行，骇客开发易受攻击的CGI程序来摧毁网页，盗取信用卡信息并且为将来的入侵设置后门。通用法则是，在操作系统中移除样本程序，删除bin目录下的CGI原本解释程序，移除不安全的CGI原本，编写更好的CGI程序，决定你的Web服务器是否真的需要CGI支持。

　　检查Web服务器，只允许需要分发的信息驻留在服务器上。这个问题有时会被误解。大多数服务器在root下运行，所以骇客可以打开80端口，更改日志文件。他们等待进入80端口的连接。接受这个连接，分配给子程序处理请求并回去监听。子程序把有效的用户标识改为“nobody”用户并处理请求。当“服务器以root运行”时，并未向所设想的用户告警。这个警告是关于配置成以root运行子程序的服务器（例如，在服务器配置文件中指定root用户）。以root许可进入的每一个CGI原本都可以访问你的系统。

　　在“chroot”环境中运行Web服务器。运行chroot系统命令可以增强Unix环境中Web服务器的安全特性，因为此时看不到服务器上文件目录的任何部分——目录上的所有内容都不能访问。在chroot环境中运行服务器，你必需创建一整个微型root文件系统，包括服务器需要访问的所有内容，还包括特定的设备文件和共享库。你还要调整服务器配置文件中的全部路径名，使之与新的root目录相关联。
文章来源于：主机论坛：http://bbs.cuwww.com/forum.php       Q；79354300 82235966

黑名单

读过，还可以，了解到了很多，大家都顶一下

糖小逗

下午好，我来飘过，大家多多支持下，

服务器销售1

大家都来顶一下，文章说的确实很好啊