【正文】 ，攻擊者會通過它獲得 root 權限，進而控制整個 Apache 系統(tǒng)。 （2）緩沖區(qū)溢出的安全缺陷 該方法攻擊者利用程序編寫的一些缺陷，使程序偏離正常的流程。畢竟它是完全源代碼，Apache 服務器的安全缺陷主要是使用 HTTP 協(xié)議進行的拒絕服務攻擊(denial of service)、緩沖區(qū)溢出攻擊以及被攻擊者獲得 root 權限三缺陷和最新的惡意的攻擊者進行“拒絕服務”(DoS)攻擊。 接著要建立 檔案；內容應該如下： /opt/apachessl/conf/ SSLDisableSSLNoCAListSSLRandomFile file /var/tmp 1024SSLCacheServerPath /opt/apachessl/bin/gcacheSSLCacheServerPort logs/gcache_portSSLCacheServerRunDir /tmpSSLSessionCacheTimeout 15 別讓它的名稱嚇怕，對我而言，檔案這樣命名的原因很簡單：SSL 預設的 port 為 443，在這檔案中，你可以指定服務器等候指令(監(jiān)聽) 的 port ，以及服務器尋找保安證書的位置。/opt/apachessl/conf/ Include conf/Include conf/在 完成安裝 前，您需要建立連結，連結會在稍后啟動服務器時用到。 5. 數(shù)位憑證現(xiàn)在需要討論數(shù)字憑證的設定，可以用任何名稱代替下列范例的 server。 3. 為原始碼安裝修補程序要為原始碼安裝修補程序，先切換至 apache 目錄并執(zhí)行： ./FixPatch 現(xiàn)在所有東西應該已安裝修補程序了，F(xiàn)ixPatch 在找不到 openssl 時會停止執(zhí)行 script。1. 所需套件? apache () ? apache SSLencryption (+) ? patch ? openssl 所有套件都可以在 , 或 找到。這個指令還有其它的許多參數(shù)，用戶可以參考 Apache 的文檔。事件日志的設定，位于 檔案中。 Apache 支持 indexes 選項，您可以全局應用，也可以應用于每個單獨的28 / 40目錄。前一個容許 Apache 執(zhí)行到實際的文件或目錄（危險﹗）的符號連結；第二種選項指示 Apache 當且只有當擁有該連結的使用者識別數(shù)據(jù)與擁有實際文件的使用者識別數(shù)據(jù)相同時才執(zhí)行符號連結。將 symlink 應用于文件上并不是真的變更了文件的位置，而是建立了從原始文件到替代位置的一個符號連結。因此，一般而言，對 Web 服務器管理員規(guī)定的首要規(guī)則之一是要了解，服務器本身應該無權修改它提供的頁面。如果您負責管理（直接或間接）聯(lián)機至因特網(wǎng)的 Web 服務器，請確保服務器已經(jīng)存在單獨的使用者／群組賬戶，而且將 Web 服務器組態(tài)為在這些賬戶下執(zhí)行。. 絕對不要以 root 身份執(zhí)行守護程序 有經(jīng)驗的管理員無疑曾不止一次地聽到過以下告誡，但恐怕還得重復一下：千萬、千萬、千萬不要以 root 身份執(zhí)行 Web 服務器守護程序。執(zhí)行找到的與客戶端請求匹配的第一筆“allow from... ”語句。 Mutualfailure 關鍵詞沒有初始狀態(tài)：要與服務器聯(lián)機，客戶端必須經(jīng)容許而且不能被拒絕。order 偽指令可以采用三種格式中的其中一種： Order allow,deny Order deny,allow Order mutualfailure 注意：order 偽指令后面的關鍵詞之間沒有空格。這些偽指令可以采用兩種格式中的一種： allow | deny from addressexpression 或 allow | deny from env=environmentvariableaddressexpression 可以是下列之一：特殊關鍵詞 ALL，表示所有可能的主機；完整或部分網(wǎng)域名；完整或部分數(shù)字 IP 地址；網(wǎng)絡／網(wǎng)絡屏蔽對（例25 / 40如：）；或者 CIDR 地址規(guī)范（例如：）。 是純文字格式，該文件編制得非常完善，而且它是大多數(shù) Apache 的可組態(tài)行為的主要控制者。目前已在互聯(lián)網(wǎng)中占據(jù)了領導地位。有關 IIS 的其它信息，請訪問 TechNet： （英文）。有關擴展日志的信息，請參閱“Customizing W3C Extended Logging”，其網(wǎng)址為： （英文） 。最后，此腳本被配置為不分發(fā)其創(chuàng)建的 IPSec 策略。如果環(huán)境中有 MOM，應當在腳本中指定相應的 MOM 服務器 IP 地址。必須修改此 .cmd 文件，以使其包含您所在環(huán)境中域控制器的 IP 地址。但是，在執(zhí)行這些過濾器之前必須進行測試，以核實服務器保持了必要的功能和性能。這樣一來，管理員便可以執(zhí)行遠程管理。如果需要更高級別的安全性，則可以配置 OnePoint 客戶端的過濾操作，從而協(xié)調 IPSec 和 MOM 服務器。為了提高 IIS 服務器的可靠性和可用性，22 / 40您需要為環(huán)境中的所有域控制器添加更多規(guī)則。由于在域成員和域控制器之間有大量的交互，尤其是 RPC 和身份驗證通信，在 IIS 服務器和全部域控制器之間，您應該允許所有的通信。上表介紹了服務器要想完成特定角色的功能所應該打開的基本端口。有關使用 IPSec 過濾器的詳細信息，請參閱模塊其它成員服務器強化過程。. 保護服務帳戶的安全除非絕對必須，否則不要讓服務運行在域帳戶的安全上下文中。注意：可以通過組策略重命名內置的管理員帳戶。2. 在每個服務器上使用不同的名稱和密碼。SID 是唯一能確定網(wǎng)絡中每個用戶、組、計算機帳戶以及登錄會話的值。不應更改此設置。這不包括操作系統(tǒng)使用的內置帳戶 LOCAL SYSTEM、LOCAL SERVICE 或 NETWORK SERVICE。如果 Administrators 安全組添加了以下任何一個拒絕訪問的用戶權限，您必須在本地登錄以更正該錯誤。但是，有些帳戶和安全組不能被包括在模板內，因為它們的安全標識符 (SID) 對于單個的 Windows 2022 域是特定的。當 IIS 日志按默認設置存儲在 IIS 服務器中時，只有服務器管理員有權訪問它們。存放數(shù)以百計的站點的 IIS 服務器通過啟用集中的二進制日志來改善日志性能。IIS 日志可以配置為使用其它幾種 ASCII 或開放數(shù)據(jù)庫連接 (ODBC) 文件格式。為改善服務器性能，日志文件應當存儲到系統(tǒng)卷以外的條帶集或條帶集/鏡像磁盤卷上。IIS 日志可被用來了解那些內容最受歡迎，確定信息瓶頸，或者用作協(xié)助攻擊事件調查的資源。18 / 40可以為每個站點或應用程序創(chuàng)建單獨的日志。執(zhí)行 以下選項確定用戶運行腳本的級別：“無” — 不允許在服務器上運行腳本和可執(zhí)行文件。目錄瀏覽 用戶可以查看文件列表和集合。腳本源訪問包括腳本的源代碼。在默認情況下，該權限為選中狀態(tài)。與 NTFS 權限不同，Web 站點權限影響試圖訪問 IIS 服務器站點的每個人。表 5：NTFS 權限文件類型 建議的 NTFS 權限CGI 文件（.exe、.dll、.cmd、.pl ） Everyone（執(zhí)行）Administrators（完全控制）System（完全控制）腳本文件 (.asp) Everyone（執(zhí)行）Administrators（完全控制）System（完全控制）包含文件（.inc 、 .shtm、.shtml） Everyone（執(zhí)行）Administrators（完全控制）System（完全控制）靜態(tài)內容（.txt、.gif、.jpg、.htm、.html）Everyone（只讀）Administrators（完全控制）System（完全控制）. 設置 IIS Web 站點權限IIS 將檢查 Web 站點權限，以確定在 Web 站點中可能發(fā)生的操作類型，17 / 40例如允許腳本源訪問或允許文件夾瀏覽。匿名帳戶包括內置“Guest”帳戶、 “Guests”組和“IIS Anonymous”帳戶。Web 權限則影響所有訪問站點或應用程序的用戶。. 設置 NTFS 權限Windows Server 2022 將檢查 NTFS 文件系統(tǒng)的權限,以確定用戶或進程對特定文件或文件夾具有的訪問權限類型。首先， 的權限已經(jīng)作為 Windows Server 2022 基礎結構的一部分進行了重設，從而將對它的訪問限制在很有限的用戶群中。將這些文件和文件夾放置到 IIS 服務器的一個專用磁盤卷 — 不包含操作系統(tǒng)的磁盤卷 — 有助于防止目錄遍歷攻擊。僅啟用在您的 IIS 服務器環(huán)境下運行的站點和應用軟件所必需的 Web 服務擴展，通過最大限度精簡服務器的功能，可以減少每個 IIS 服務器的受攻擊面，從而增強了安全性。這些擴展包括 、SSI、WebDAV 和 FrontPage Server Extensions。通過 IIS 服務器提供的功能來產生或擴展的任何動態(tài)內容，都是通過使用 Web 服務擴展來實現(xiàn)的。您應該僅啟用 Web 站點和應用程序所需的必要 IIS 組件和服務。這些步驟不能通過組策略完成，而14 / 40應該在所有的 IIS 服務器上手動執(zhí)行。但是，在該過程中必須謹慎，以確保在您的環(huán)境中將每個 IIS 服務器的受攻擊面降至最小。組策略還可以防止管理員無意中禁用該服務。因此，在本手冊所定義的全部三種環(huán)境下，我們針對 IIS 服務器的需要將“IIS Admin 服務”設置配置為“ 自動” ?！癐IS Admin 服務 ”必須運行，以便讓 IIS 服務器能夠提供 Web、FTP 、NNTP 以及 SMTP 服務。您可以使用組策略來保護和設置服務的啟動模式，只允許服務器管理員訪問這些設置，從而防止未經(jīng)授權或惡意的用戶配置或操作該服務。SSL 是建立加密通信渠道的一種開放標準，以防止諸如信用卡號等關鍵信息被中途截獲。注意：MSBP 禁用了幾種其它的 IIS 相關服務。有關 MSBP 的詳細信息，請參閱請參閱 Windows 2022/2022 安全配置手冊中建立服務器安全基準部分。在本手冊所的定義的三種環(huán)境中，IIS 服務器的安全選項通過 MSBP 來配置。在建立服務器安全基準中，本手冊建議將 Guests 組包含在被分配了該權限的用戶和組列表中，以提供最大可能的安全性?！熬芙^通過網(wǎng)絡訪問該計算機” 設置決定了哪些用戶不能通過網(wǎng)絡訪問該計算機。有關 MSBP 的詳細信息，請參閱 Windows 2022/2022 安全配置手冊中建立服務器安全基準部分。10 / 40第 4 章. IIS Web 服務安全配置建議在本手冊定義的三種環(huán)境下，IIS 服務器的審核策略設置通過 MSBP 來配置。. 去除不必要的服務腳本檢查 Web 系統(tǒng)使用的服務腳本，如 CGI，Perl 等。如果 Web 服務器具有機密的信息內容，為了保護機密信息的傳輸安全，必須在 Web 系統(tǒng)中配置 SSL 1289 / 40位加密功能，這能夠有效保護用戶客戶端與 Web 服務器之間的數(shù)據(jù)安全傳輸，防止信息網(wǎng)絡竊取。. Web 服務訪問控制Web 服務系統(tǒng)提供配置文件對訪問用戶進行限制。目的是防止 Web 服務程序對系統(tǒng)機密信息的讀寫操作，從而造成對信息的泄漏或者破壞。這些 Web 系統(tǒng)資源應該屬于 Web 管理員擁有。如果需要使用網(wǎng)絡服務，如 FTP 協(xié)助 Web 服務內容管理，必須嚴格按照 FTP 服務器加固規(guī)范進行安全設置，并且嚴格限制用戶權限。禁止普通用戶通過網(wǎng)絡登陸到主機系統(tǒng)。首先，作為接受廣泛用戶網(wǎng)絡訪問的 Web 應用服務器，必須設置成為安全的堡壘主機，按照主機平臺加固規(guī)范對 Web 服務器平臺的操作系統(tǒng)進行安全設置，關閉所有非必要的網(wǎng)絡服務、應用程序和系統(tǒng)組件等；其次，對于 HTTP Web 服務進行安全設置，包括服務資源權限設置、用戶帳號設置、遠程管理安全設置、日志設置等。為了提高中國移動企業(yè) Web 服務的安全性，降低由于 Web 服務配置不規(guī)范而造成的安全風險，特針對中國移動企業(yè)的重要典型 Web 服務提出了規(guī)范的配置安全加固建議。Web 應用服務是互聯(lián)網(wǎng) WWW 應用的重要基礎，在中國移動企業(yè)范圍內安裝和使用了大量的各種 Web 服務應用。Web 服務器的加固方法包括了兩個層面的工作，這就是平臺安全配置和HTTP Web 服務安全配置。. 用戶權限設置清晰的區(qū)分并定義主機管理員、Web 應用服務管理員以及 Web 應用開發(fā)人員的帳號，并明確的定義其訪問 Web 應用服務器的方式。. 關閉非必要的服務和程序主機系統(tǒng)應關閉所有非必要的服務，例如 SMTP、 FTP、DNS 等。 Web 系統(tǒng)資源應該安裝在獨立的目錄或者文件系統(tǒng)中。. Web 服務權限設置此項是限制 Web 服務程序對于系統(tǒng)資源的訪問權限。對于 Web 服務程序方式的系統(tǒng)，嚴格控制 Web 服務程序對系統(tǒng)目錄和文件的執(zhí)行、讀寫權限。. 機密信息保護Web 系統(tǒng)必須具備 SSL 的安全加密機制。日志必須保存指定時間，以備系統(tǒng)審計和安全分析之用。另外，對于正式上線的 Web 服務器，亦應移除所有相關的支持檔案與范例檔案，以避免惡意人員利用范例檔案入侵。本手冊中定義的三種環(huán)境中的 IIS 服務器的大多數(shù)用戶權限分配都是通過 MSBP 配置的。因此，必須手動添加它們。通過給其它組配置該用戶