【正文】 目錄和組件全都必須與主文件系統(tǒng)徹底隔離。 ? 因未正確組態(tài)服務器而導致的任何負面結果都限于 chroot 環(huán)境中。 ? 建立必需的 chroot 目錄結構。 ? 編輯 syslog 守護程序以反映所做的變更。寫下所提供的訊息，以便以后引言，或者簡單地將輸出重新導向至純文字文件（ldd /usr/local/apache/bin/d /root/apache_shared）。該結構的位置理論上可以是文件系統(tǒng)中的任何地方（理想情況下，為了安全性和維護，它應該駐留在一個單獨的分區(qū)）。您還需要下列系統(tǒng)鏈接庫來實作某些網絡功能和名稱解析： [rootthor root ] cp /lib/libnss_pat* /chroot/d/lib/[rootthor root ] cp /lib/libnss_dns* /chroot/d/lib/[rootthor root ] cp /lib/libnss_files* /chroot/d/lib/除了以上鏈接庫外，還要將 /etc/ 復制到 /chroot/d/etc 中；這是名稱解析必需的。 [rootthor root ] chattr +i /chroot/d/etc/*這確保沒有人（甚至 root）能夠編輯這些文件。找到 daemon syslog。只要您對于該“root”位置沒有做任何目錄變更，將 Apache 下移到 chroot 目錄樹中將不會影響服務器希望在其中找到各種組件的位置。 [rootthor root ] cp r /etc/ssl /chroot/d/etc/[rootthor root ] chmod 600 /chroot/d/etc/ssl/certs/[rootthor root ] chmod 600 /chroot/d//etc/ssl/certs/[rootthor root ] chmod 600 /chroot/d/etc/ssl/private/[rootthor root ] chmod 600 /chroot/d/etc/ssl/private/6. 復制任何必需的系統(tǒng)鏈接庫 37 / 40現在，找出確定共享鏈接庫下建立的清單，并將每個系統(tǒng)鏈接庫復制到 /chroot/d/lib。 [rootthor bin] useradd c Apache Server u 80 s /bin/false r d /home/d 2/dev/null ||:有關上面指令中使用的選項的解釋，請輸入 man useradd。 使用 ldd 指令，以列出給定程序的鏈接庫相關性。當完成時，“鎖定”組態(tài)文件。 以下將簡略列出建立 chroot 環(huán)境所需的步驟（假設您已安裝 Web 服務器并正在執(zhí)行它）： ? 建立 Web 服務器使用的所有共享鏈接庫相關性的清單。 chroot 安裝的優(yōu)缺點如下：? 如果 Web 服務器曾受到威脅，則攻擊者無法獲得對主文件系統(tǒng)的存取權；他們被局限在 chroot 禁錮目錄樹。 利用黑客程序可以對于運行在 FreeBSD , OpenBSD / , NetBSD 平臺上的 Apache 服務器均可進行有效的攻擊. 因此使用最高和最新安全版本對于加強 Apache Web 服務器的安全是至關33 / 40重要的。目前 Apache 服務器主要的安全缺陷有： （1）使用 HTTP 協(xié)議進行的拒絕服務攻擊(denial of service)的安全缺陷 這種方法攻擊者會通過某些手段使服務器拒絕對 HTTP 應答。 31 / 40 在 ssl .conf 中您會找到如 gcache 程序的位置，以及它使用的 port。 4. 安裝網頁服務器要安裝網頁服務器，您要執(zhí)行以下指令： ./configure prefix= INSTALLATIONSDESTINY 例如：/opt/apachessl make make install 網頁服務器現在已安裝好了。. HTTP SSLSSL (Secure Sockets Layer)提供 Web 傳輸的加密管道，目前已經廣為被接受與使用。如果使用者不能確定文件名，則建立索引將列出目錄的內容。 當在 Web 服務器的 DocumentRoot 文件系統(tǒng)內使用符號連結時，會伴隨許多安全性危險。Apache （及其27 / 40衍生產品）使用 DocumentRoot 偽指令來識別數據提供 Web 頁面的預設位置，并使用 ServerRoot 偽指令來確定 Apache 主要的程序文件、模塊和鏈接庫的根目錄駐留在哪里。在這個例子中， Order 偽指令首先拒絕，然后在隨后的所有偽指令中搜尋容許客戶端存取的 Allow 偽指令。所以，對于 Order allow,deny 語句，檢查所有 allow 偽指令，如果沒有確認的，則拒絕客戶端。但是，經驗豐富的管理員通常希望的不止是“非常完善的 ”的安全性；他們希望知道每個偽指令做些什么，它如何影響服務器的安全作業(yè)，以及如何作業(yè)所提供的偽指令或將偽指令更進一步地集中到唯一的環(huán)境中。24 / 40第 5 章. Apache Web 服務安全配置建議Apache 服務器是 Inter 網上應用最為廣泛的 Web 服務器軟件之一。有關此主題的詳細信息，請參閱“Enable Logging” ，其網址為： （英文） 。如需要，可以添加其它的域控制器。如果使用獨立的 DNS 服務器，則可能需要其它規(guī)則。這是必須的，因為在 MOM 服務器和 OnePoint 客戶端（向 MOM 控制臺提供報告的客戶端應用程序）之間存在大量的交互過程。如果需要提供更多的功能，則可能需要打開更多的端口。. 用 IPSec 過濾器阻斷端口Inter 協(xié)議安全性 (IPSec) 過濾器可為增強服務器所需要的安全級別提供21 / 40有效的方法。3. 更改默認的帳戶描述，以防止帳戶被輕易識別。許多惡意代碼的變種企圖使用內置的管理員賬戶來破壞一臺服務器。當添加 Administrator 賬戶時，請確信指定的是經過重命名的賬戶。該錯誤指出文件夾或文件的所有者不在“Local Administrators”組中，并且這個站點的日志將暫時失效，直到其所有者被添加到“Local Administrators”組中，或者現有的文件夾或文件被刪除。但是，應該注意，當啟用 ODBC 日志時，IIS 將禁用內核模式緩存。為限制日志的大小，應當對所記錄信息的內容進行仔細規(guī)劃?！澳_本和可執(zhí)行文件” — 允許在服務器上運行腳本和可執(zhí)行文件。要點：啟用“腳本源訪問”時，用戶可以查看敏感信息，例如用戶名和密碼。下表列舉了 IIS 支持的 Web 站點權限，并且提供了簡要描述，解釋如何為 Web 站點分配給定的權限。下表提供了關于 NTFS 權限的一些建議，這些權限將應用于 IIS 服務器上不同的文件類型。NTFS 訪問權限應當與 Web 訪問權限協(xié)同使用，而不是取代 Web 權限。例如， 位于于 systemroot\System32 文件夾中。但是，這可能帶來一些安全性風險，因為當所有的擴展被啟用時，同時也啟用了您的環(huán)境下 IIS 服務器所不需要的功能，這樣 IIS 的受攻擊面就會增加。有關 IIS 組件位置和建議設置的指導，請參閱如何識別 Windows Server 2022 中的 IIS 組件。通過 MSBP 應用的安全設置為 IIS 服務器提供大量的增強安全性?！叭f維網發(fā)布服務 ”必須運行，以便讓 IIS 服務器通過 IIS 管理器提供網絡連通性和管理。因此，在本手冊所定義的全部三種環(huán)境下，針對 IIS 服務器的需要將 “HTTP SSL”設置配置為“自動”。如果想要在本手冊所定義的任何一種環(huán)境下12 / 40的 IIS 服務器上啟用這些服務，必須更改增量式 IIS 組策略。MSBP 設置確保了在企業(yè) IIS 服務器中統(tǒng)一配置正確的事件日志設置。當用戶帳戶同時適用兩種策略時，該設置將覆蓋“ 允許通過網絡訪問該計算機 ”設置。MSBP 設置可確保所有相關的安全審核信息都記錄在所有的 IIS 服務器上。Web 系統(tǒng)的日志目錄和文件屬于 Web 系統(tǒng)資源必須嚴格訪問權限。而對 Document Root 以及其下的目錄，亦應限制除 Web 服務 ID 使用者外，其余用戶均不具列出目錄內所有檔案之權限。8 / 40 服務安全設置. Web 系統(tǒng)資源保護Web 系統(tǒng)資源是指 Web 服務的所在目錄和文件。此外，必須針對 Web 應用服務的特點進行安全設置。1 / 40密 級：文檔編號：項目代號：中國移動 WEB 服務器安全配置手冊Version 中國移動通信有限公司二零零四年十二月2 / 40擬 制:審 核:批 準:會 簽:標準化:3 / 40版本控制版本號 日期 參與人員 更新說明分發(fā)控制編號 讀者 文檔權限 與文檔的主要關系1 創(chuàng)建、修改、讀取 負責編制、修改、審核2 批準 負責本文檔的批準程序3 標準化審核 作為本項目的標準化負責人，負責對本文檔進行標準化審核4 讀取5 讀取4 / 40目 錄第 1 章. 目的 ...................................................................6第 2 章. 范圍 ...................................................................6第 3 章. WEB 服務安全加固原則 ...................................................7. WEB主機平臺安全設置 ......................................................7. 主機安全標準加固規(guī)范 ............................................7. 用戶權限設置 ....................................................7. 事件日志設置 ....................................................7. 關閉非必要的服務和程序 ..........................................7. WEB服務安全設置 ..........................................................8. Web 系統(tǒng)資源保護 ................................................8. Web 服務權限設置 ................................................8. Web 服務訪問控制 ................................................8. 機密信息保護 ....................................................8. 日志設置 ........................................................9. 去除不必要的服務腳本 ............................................9第 4 章. IIS WEB 服務安全配置建議 ..............................................10. 審核策略設置 ............................................................10. 用戶權限分配 ............................................................10. 拒絕通過網絡訪問該計算機 .......................................10. 安全選項 ................................................................11. 事件日志設置 ............................................................11. 系統(tǒng)服務 ................................................................11. HTTP SSL.......................................................12. IIS Admin 服務 .................................................12. 萬維網發(fā)布服務 .................................................13. 其它安全設置 ............................................................13. 僅安裝必要的 IIS 組件 ..........................................14. 僅啟用必要的 Web 服務擴展 .............................