在当今数字化时代互联网已成为全球信息交流的重要平台。然而,随着美国服务器网络技术的飞速发展,网络安全问题也日益凸显。其中,分布式拒绝服务(DDoS)攻击以其破坏力强、影响范围广的特点,成为了许多美国服务器网站和服务器面临的重大威胁,接下来小编就来分享如何在美国Linux服务器上设置并保护Web应用程序,确保其在ddos攻击面前能够屹立不倒。
一、操作系统安全配置
sudo iptables -A INPUT -p tcp –dport 80 -j ACCEPT
sudo iptables -A INPUT -p tcp –dport 443 -j ACCEPT
sudo iptables -P INPUT DROP
二、Web服务器安全配置
三、应用程序安全
四、数据库安全
五、备份与恢复
六、结语
综上所述,通过合理配置操作系统和Web服务器、编写安全的应用程序代码、定期审计和漏洞扫描、保护数据库安全以及定期备份和恢复等方法,我们可以有效地保护美国Linux服务器上的Web应用程序免受DDoS攻击和其他安全威胁的侵害。这些措施的实施不仅需要技术的支持,还需要持续的关注和努力来确保服务器的安全性和稳定性。
ASP站点防止服务器被入侵的安全设置方法?
既然是我们的防范是从入侵者角度来进行考虑,那么我们就首先需要知道入侵者的入侵方式。 目前较为流行web入侵方式都是通过寻找程序的漏洞先得到网站的webshell然后再根据服务器的配置来找到相应的可以利用的方法进行提权,进而拿下服务器权限的。 所以配合服务器来设置防止webshell是有效的方法。 一、防止数据库被非法下载应当说,有一点网络安全的管理员,都会把从网上下载的网站程序的默认数据库路径进行更改。 当然也有一部分管理员非常粗心,拿到程序直接在自己的服务器上进行安装,甚至连说明文件都不进行删除,更不要说更改数据库路径了。 这样黑客就可以通过直接从源码站点下载网站源程序,然后在本地测试找到默认的数据库,再通过下载数据库读取里面的用户信息和资料(一般是经过MD5加密的)找到管理入口进行登陆获得webshell。 还有一种情况是由于程序出错暴出了网站数据库的路径,那么怎么防止这种情况的发生呢?我们可以添加mdb的扩展映射。 如下图所示:打开IIS添加一个MDB的映射,让mdb解析成其他下载不了的文件:“IIS属性”—“主目录”—“配置”—“映射”—“应用程序扩展”里面添加文件应用解析,至于用于解析它的文件大家可以自己进行选择,只要访问数据库文件出现无法访问就可以了。 这样做的好处是:1只是要是mdb后缀格式的数据库文件就肯定下载不了;2对服务器上所有的mdb文件都起作用,对于虚拟主机管理员很有用处。 二、防止上传针对以上的配置如果使用的是MSSQL的数据库,只要存在注入点,依然可以通过使用注入工具进行数据库的猜解。 倘若上传文件根本没有身份验证的话,我们可以直接上传一个asp的木马就得到了服务器的webshell。 对付上传,我们可以总结为:可以上传的目录不给执行权限,可以执行的目录不给上传权限。 Web程序是通过IIS用户运行的,我们只要给IIS用户一个特定的上传目录有写入权限,然后又把这个目录的脚本执行权限去掉,就可以防止入侵者通过上传获得webshell了。 配置方法:首先在IIS的web目录中,打开权限选项卡、只给IIS用户读取和列出目录权限,然后进入上传文件保存和存放数据库的目录,给IIS用户加上写入权限,最后在这两个目录的“属性”—“执行权限”选项把“纯脚本”改为“无”即可。 见下图最后提醒一点,在你设置以上权限的时候,一定要注意到设置好父目录的继承。 避免所做的设置白费。 三、MSSQL注入对于MSSQL数据库的防御,我们说,首先要从数据库连接帐户开始。 数据库不要用SA帐户。 使用SA帐户连接数据库对服务器来说就是一场灾难。 一般来说可以使用DB_OWNER权限帐户连接数据库,如果可以正常运行,使用public用户最安全的。 设置成dbo权限连接数据库之后,入侵者基本就只能通过猜解用户名和密码或者是差异备份来获得webshell了,对于前者,我们可以通过加密和修改管理后台的默认登陆地址来防御。 对于差异备份,我们知道它的条件是有备份的权限,并且要知道web的目录。 寻找web目录我们说通常是通过遍历目录进行寻找或者直接读取注册表来实现。 无路这两个方法的哪一种,都用到了xp_regread和xp_dirtree两个扩展存储过程,我们只需要删除这两个扩展存储就可以了,当然也可以把对应的dll文件也一起删除。 但是如果是由于程序出错自己暴出了web目录,就没有办法了。 所以我们还要让帐户的权限更低,无法完成备份操作。 具体操作如下:在这个帐户的属性—数据库访问选项里只需要对选中对应的数据库并赋予其DBO权限,对于其他数据库不要操作。 接着还要到该数据库—属性—权限把该用户的备份和备份日志的权限去掉,这样入侵者就不能通过差异备份获得webshell了。
如何设置 Web 服务器的权限
如何设置 Web 服务器的权限?如果Web服务器的权限没有设置好,那么网站就会出现漏洞并且很可能会出现被不怀好意的人黑掉的情况。 我们不应该把这归咎于 IIS 的不安全。 如果对站点的每个目录都配以正确的权限,出现漏洞被人黑掉的机会还是很小的(Web 应用程序本身有问题和通过其它方式入侵黑掉服务器的除外)。 下面是我在配置过程中总结的一些经验,希望对大家有所帮助。 IIS Web 服务器的权限设置有两个地方,一个是 NTFS 文件系统本身的权限设置,另一个是 IIS 下网站->站点->属性->主目录(或站点下目录->属性->目录)面板上。 这两个地方是密切相关的。 下面以实例的方式来讲解如何设置权限。 IIS 下网站->站点->属性->主目录(或站点下目录->属性->目录)面板上有:脚本资源访问读取写入浏览记录访问索引资源6 个选项。 这 6 个选项中,“记录访问”和“索引资源”跟安全性关系不大,一般都设置。 但是如果前面四个权限都没有设置的话,这两个权限也没有必要设置。 在设置权限时,记住这个规则即可,后面的例子中不再特别说明这两个权限的设置。 另外在这 6 个选项下面的执行权限下拉列表中还有:无纯脚本纯脚本和可执行程序3 个选项。 而网站目录如果在 NTFS 分区(推荐用这种)的话,还需要对 NTFS 分区上的这个目录设置相应权限,许多地方都介绍设置 everyone 的权限,实际上这是不好的,其实只要设置好 InterNet 来宾帐号(IUSR_xxxxxxx)或 IIS_WPG 组的帐号权限就可以了。 如果是设置 ASP、PHP 程序的目录权限,那么设置 Internet 来宾帐号的权限,而对于 程序,则需要设置 IIS_WPG 组的帐号权限。 在后面提到 NTFS 权限设置时会明确指出,没有明确指出的都是指设置 IIS 属性面板上的权限。 例1 —— ASP、PHP、 程序所在目录的权限设置: 如果这些程序是要执行的,那么需要设置“读取”权限,并且设置执行权限为“纯脚本”。 不要设置“写入”和“脚本资源访问”,更不要设置执行权限为“纯脚本和可执行程序”。 NTFS 权限中不要给 IIS_WPG 用户组和 Internet 来宾帐号设置写和修改权限。 如果有一些特殊的配置文件(而且配置文件本身也是 ASP、PHP 程序),则需要给这些特定的文件配置 NTFS 权限中的 Internet 来宾帐号( 程序是 IIS_WPG 组)的写权限,而不要配置 IIS 属性面板中的“写入”权限。 IIS 面板中的“写入”权限实际上是对 HTTP PUT 指令的处理,对于普通网站,一般情况下这个权限是不打开的。 IIS 面板中的“脚本资源访问”不是指可以执行脚本的权限,而是指可以访问源代码的权限,如果同时又打开“写入”权限的话,那么就非常危险了。 执行权限中“纯脚本和可执行程序”权限可以执行任意程序,包括 exe 可执行程序,如果目录同时有“写入”权限的话,那么就很容易被人上传并执行木马程序了。 对于 程序的目录,许多人喜欢在文件系统中设置成 Web 共享,实际上这是没有必要的。 只需要在 IIS 中保证该目录为一个应用程序即可。 如果所在目录在 IIS 中不是一个应用程序目录,只需要在其属性->目录面板中应用程序设置部分点创建就可以了。 Web 共享会给其更多权限,可能会造成不安全因素。 总结: 也就是说一般不要打开-主目录-(写入),(脚本资源访问) 这两项以及不要选上(纯脚本和可执行程序),选(纯脚本)就可以了.需要的应用程序的如果应用程序目录不止应用程序一个程序的可以在应用程序文件夹上(属性)-目录-点创建就可以了.不要在文件夹上选web共享.例2 —— 上传目录的权限设置: 用户的网站上可能会设置一个或几个目录允许上传文件,上传的方式一般是通过 ASP、PHP、 等程序来完成。 这时需要注意,一定要将上传目录的执行权限设为“无”,这样即使上传了 ASP、PHP 等脚本程序或者 exe 程序,也不会在用户浏览器里就触发执行。 同样,如果不需要用户用 PUT 指令上传,那么不要打开该上传目录的“写入”权限。 而应该设置 NTFS 权限中的 Internet 来宾帐号( 程序的上传目录是 IIS_WPG 组)的写权限。 如果下载时,是通过程序读取文件内容然后再转发给用户的话,那么连“读取”权限也不要设置。 这样可以保证用户上传的文件只能被程序中已授权的用户所下载。 而不是知道文件存放目录的用户所下载。 “浏览”权限也不要打开,除非你就是希望用户可以浏览你的上传目录,并可以选择自己想要下载的东西。 总结: 一般的一些等程序都有一个上传目录.比如论坛.他们继承了上面的属性可以运行脚本的.我们应该将这些目录从新设置一下属性.将(纯脚本)改成(无).例3 —— Access 数据库所在目录的权限设置: 许多 IIS 用户常常采用将 Access 数据库改名(改为 asp 或者 aspx 后缀等)或者放在发布目录之外的方法来避免浏览者下载它们的 Access 数据库。 而实际上,这是不必要的。 其实只需要将 Access 所在目录(或者该文件)的“读取”、“写入”权限都去掉就可以防止被人下载或篡改了。 你不必担心这样你的程序会无法读取和写入你的 Access 数据库。 你的程序需要的是 NTFS 上 Internet 来宾帐号或 IIS_WPG 组帐号的权限,你只要将这些用户的权限设置为可读可写就完全可以保证你的程序能够正确运行了。 总结: Internet 来宾帐号或 IIS_WPG 组帐号的权限可读可写.那么Access所在目录(或者该文件)的“读取”、“写入”权限都去掉就可以防止被人下载或篡改了例4 —— 其它目录的权限设置: 你的网站下可能还有纯图片目录、纯 html 模版目录、纯客户端 js 文件目录或者样式表目录等,这些目录只需要设置“读取”权限即可,执行权限设成“无”即可。 其它权限一概不需要设置。 上面的几个例子已经包含了大部分情况下的权限设置,只要掌握了设置的基本原理,也就很容易地完成能其它情况下的权限设置。
安全配置和维护Apache WEB Server
前言:在目前的Internet时代,主页已成为树立公司形象和展示自我天地的一个重要手段,配置一台强大且安全的Web Server就显得尤其重要。 在众多的Web Server产品中,Apache是应用最为广泛的一个产品, 同时也是一个设计上非常安全的程序。 但是,同其它应用程序一样,Apache也存在安全缺陷。 上海快网将详细介绍如何正确配置和维护Apache WEB Server的安全性问题等。 一、Apache服务器的介绍Apache服务器它是Internet网上应用最为广泛的Web服务器软件之一。 Apache服务器源自美国国家超级技术计算应用中心(NCSA)的Web服务器项目中。 目前已在互联网中占据了领导地位。 Apache服务器得经过精心配置之后,才能使它适应高负荷,大吞吐量的互联网工作。 快速、可靠、通过简单的API扩展,Perl/Python解释器可被编译到服务器中,且完全免费,完全源代码开放。 如果你需要创建一个每天有数百万人访问的Web服务器,Apache可能是最佳选择。 二、Apache服务器的主要安全缺陷正如我们前言所说尽管Apache服务器应用最为广泛,设计上非常安全的程序。 但是同其它应用程序一样,Apache也存在安全缺陷。 毕竟它是完全源代码,Apache服务器的安全缺陷主要是使用HTTP协议进行的拒绝服务攻击(denial of service)、缓冲区溢出攻击以及被攻击者获得root权限三缺陷和最新的恶意的攻击者进行“拒绝服务”(DoS)攻击。 合理的网络配置能够保护Apache服务器免遭多种攻击。 我们来介绍一下主要的安全缺陷:(1)使用HTTP协议进行的拒绝服务攻??(denial of service)的安全缺陷这种方法攻击者会通过某些手段使服务器拒绝对HTTP应答。 这样会使Apache对系统资源(CPU时间和内存)需求的剧增,最终造成Apache系统变慢甚至完全瘫痪。 (2)缓冲区溢出的安全缺陷 该方法攻击者利用程序编写的一些缺陷,使程序偏离正常的流程。 程序使用静态分配的内存保存请求数据,攻击者就可以发送一个超长请求使缓冲区溢出。 比如一些Perl编写的处理用户请求的网关脚本。 一旦缓冲区溢出,攻击者可以执行其恶意指令或者使系统宕机。 (3)被攻击者获得root权限的安全缺陷该安全缺陷主要是因为Apache服务器一般以root权限运行(父进程),攻击者会通过它获得root权限,进而控制整个Apache系统。 (4)恶意的攻击者进行“拒绝服务”(DoS)攻击的安全缺陷这个最新在6月17日发现的漏洞,它主要是存在于Apache的chunk encoding中,这是一个HTTP协议定义的用于接受web用户所提交数据的功能。 利用黑客程序可以对于运行在FreeBSD 4.5, OpenBSD 3.0 / 3.1, NetBSD 1.5.2平台上的Apache服务器均可进行有效的攻击.所有说使用最高和最新安全版本对于加强Apache Web服务器的安全是至关重要的。 请广大Apache服务器管理员去下载补丁程序以确保其WEB服务器安全!三、正确维护和配置Apache服务器虽然Apache服务器的开发者非常注重安全性,由于Apache服务器其庞大的项目,难免会存在安全隐患。 正确维护和配置Apache WEB服务器就很重要了。
发表评论