淺析Web服務器的安全與維護

摘 要：本文基于Windows2003服務器，介紹一些Web服務器的安全維護方法。

關鍵詞：Web服務器；安全維護

隨著信息技術的飛速發展，網站服務器面臨著越來越嚴峻的安全威脅，所以服務器的維護至關重要，稍有閃失即會使整個網絡陷入癱瘓。目前，惡意的網絡攻擊行為包括兩類：一是惡意的攻擊行為；另外一類是惡意的入侵行為。要保障網絡服務器的安全就要盡量使網絡服務器避免受這兩種行為的影響。

1 服務器的安全措施

提高服務器的安全意識，養成較好的計算機操作習慣。

⑴對網站及重要的數據庫文件進行定期備份，多個服務器之間相互備份。當一個服務器出現軟件或硬件故障時，另一個服務器可以用來作為臨時的替代。定期分析服務器日志，及時發現服務器軟件和硬件的異常以及攻擊者留下的蛛絲馬跡，以便及時對應。

⑵注意密碼的更改。服務器操作系統出廠時，一般都是開啟的默認狀態，多是些名字如guest的賬號，不要用administrator這類windows默認管理賬戶作為管理員賬戶。最好建立兩個及兩個以上的管理賬戶，并對他們進行嚴格的賬戶權限控制，不是必要情況下，不要將整個服務器予以授權。其次在設計密碼時，也要有一定的復雜性。由于暴力破解密碼的手段和速度越來越快，所以在設計密碼時，最好是字符、字母、特殊符號、數字等組合的十二位以上的字符串，并定期更改密碼防治破解。對于程序系統文件，密碼最好采用md5等算法加密后再存儲于數據庫。對數據庫設置密碼或采用其他工具加密，可以使得攻擊者在得到數據的情況下，也不能很輕易的就破解使用。

⑶盡量不用服務器瀏覽網頁，尤其是不可信任的網站，而且盡量避免與服務器不相關的軟件，尤其是一些黑客或黑客學習軟件或破解軟件。對于程序系統中的數據庫文件名最好摻雜一些特殊符號，成為較復雜不易猜中的文件名。同時將數據庫文件擴展名改成asp或asa，防止他人下載。

⑷做好服務分屬和保留地址。企業內的服務通常有DNS服務、FTP服務等，對于重要的不同的服務最好是分屬開來，實行單一化管理，避免多項服務對服務器造成影響，增加自身運行壓力。服務器要保留一部分地址只供服務器使用，將這些IP地址和服務器的MAC地址綁定，這樣就可以避免服務器地址被占用而造成服務中斷。

2 合理設置服務器的權限

大多時候，一臺服務器不僅運行了網站的應用，而且還會運行諸如FTP服務器和流媒體服務器之類的網絡服務。在同一臺服務器上使用多種網絡服務很可能造成服務之間的相互感染。也就是說，攻擊者只需要攻破其中一種服務，就可以運用這個服務平臺從內部攻擊其他服務，通常來說，從內部執行攻擊要比外部執行攻擊方便得多。

NTFS是微軟NT內核的系列操作系統支持的、一個特別為網絡和磁盤配額、文件加密等管理安全特性設計的磁盤格式。在NTFS文件系統里可以為任何一個磁盤分區單獨設置訪問權限，把敏感信息和服務信息分別放在不同的磁盤分區。這樣，即使黑客通過某些方法獲得服務文件所在磁盤分區的訪問權限，還需要想方設法突破系統的安全設置才能進一步訪問保存在其他磁盤上的敏感信息。為了實現這個安全需求，把服務器中所有的硬盤都轉換為NTFS分區。運用NTFS分區自帶的功能，合理為它們分配相關的權限。如為這三個服務配置不同的維護員賬戶，不同的賬戶只能對特定的分區與目錄執行訪問。如此一來，即使某個維護員賬戶失竊，攻擊者也只能訪問某個服務的存儲空間，而不能訪問其他服務的。這樣可以保障在黑客攻陷服務器后，也不會對網站服務器產生影響。

3 優化IIS設置

更改IIS日志路徑避免使用默認的缺省路徑，雖然默認的報錯信息給管理人員在檢查和修正網頁錯誤的時候帶來了極大的方便，但是同時也給伺機尋找asp程序漏洞的攻擊者提供了非常重要的信息。就算要使用默認的web站點，也要將IIS目錄與系統磁盤分開了再用。在配置應用程序映射時，只保留asp、cgi、php、pl應用擴展名，其他所有不必要的應用程序擴展都刪除。

4 維護腳本安全

實際工作中，許多網站服務器因為被攻擊而癱瘓都是由于不良的腳本造成的。攻擊者特別喜歡針對CGI程序或者PHP腳本實施攻擊。

通常來說，使用網站需要傳遞一些必要的參數可以分為兩類，一個是值得信任的參數，另外一類是不值得信任的參數。一般來說，來自防火墻內部的參數都是可靠的，值得信任的，而來自外部的參數基本上是不值得信任的。但是，并不是說不值得信任的參數或者來自防火墻外部的參數網站服務器都不采用，而是說，在網站服務器設計的時候，需要格外留心，采用這些不值得信任的參數的時候需要執行檢驗，看其是否正當，而不能向來自網站內部的參數那樣照收不誤。這會給網站服務器的安全帶來隱患，例如，攻擊者運用TELNET連接到80端口，就可以向CGL腳本傳遞不安全的參數。所以，在CGI程序編寫或者PHP腳本編輯的時候，不能讓其隨便接受陌生人的參數。在接受參數之前，要先檢驗提供參數的人或者參數本身的正當性。在程序或者腳本編寫的時候，可以預先參加一些判斷條件。當服務器認為提供的參數不準確的時候，及時通知維護員。這也可以幫助我們盡早發覺可能存在的攻擊者，并及時采取相應的防御措施。

[參考文獻]

[1]鈕超.淺談web服務器的安全[J].科技資訊，2010（5）.

[2]吳壽昆.校園網web服務器的安全配置及防范對策[J].創意與實踐，2008（12）.

[3]段衛平.淺談高校web服務器的安全設置[J].科技資訊，2007.