畢業(yè)論文:linux系統(tǒng)的web服務器架設

　LINUX系統(tǒng)中常見的有：CERN、NCSA、Apache三種方式，一般最常用的方法就是用Apache。此種方式特點明顯，配置簡明，具有最大的對系統(tǒng)兼容性，以下是用此方式配置基于Linux的WEB服務器的全過程。

成都創(chuàng)新互聯(lián)是專業(yè)的河東網(wǎng)站建設公司，河東接單;提供成都做網(wǎng)站、成都網(wǎng)站建設,網(wǎng)頁設計,網(wǎng)站設計,建網(wǎng)站,PHP網(wǎng)站建設等專業(yè)做網(wǎng)站服務;采用PHP框架,可快速的進行河東網(wǎng)站開發(fā)網(wǎng)頁制作和功能擴展;專業(yè)做搜索引擎喜愛的網(wǎng)站,專業(yè)的做網(wǎng)站團隊,希望更多企業(yè)前來合作!

一． Apache服務器慨述。

其特征是顯著的：可以運行于所有計算機平臺，自然包括UNIX/LINUX系統(tǒng)；集成代理服務器和Perl編程腳本；對用戶的訪問會話過程跟蹤；可對服務器日志定制；還支持虛擬主機及HTTP認證等等。再配合LINUX系統(tǒng)本身的強大，我們沒理由不選擇Apache。

二． 安裝Apache。

一般說來，所有Linux版本應該包含有此軟件包的安裝，如果你在安裝Linux系統(tǒng)沒有安裝此軟件包，可以從安裝光盤或是網(wǎng)站上找到其安裝文件（注意網(wǎng)上有兩種版本：一種是下載后需重新編譯的源代碼，一種是只需解壓就可使用的可執(zhí)行文件），然后執(zhí)行安裝即可。

1. 如果你下載的是可執(zhí)行文件包如：apache_1.2.4.e.tar.gz（當中的數(shù)字視你下載的版本而定，此為舉例），那這就相對簡單，比較適合對Linux編譯不熟悉的初級用戶，只需執(zhí)行：tar xvzf apache_1.2.3.4.tar.gz即可完成安裝。

2. 如果下載的是源代碼如：apache_1.2.4.rpm，則先用rpm –ivh apache_1.2.4.rpm安裝，然后在src目錄下執(zhí)行“./configure”;接著執(zhí)行“make”命令編譯Apache；接著將編譯好的可執(zhí)行文件復制到/etc/httpd/bin目錄下；再將Apache的配置文件：httpd.conf、access.conf 、srm.conf和mime.types復制到/etc/httpd/conf目錄下，才算完成安裝。

三． 配置Apache，實現(xiàn)WEB服務。

其實，到現(xiàn)在你的Linux已經(jīng)開始WEB服務了，你要做的只需將Linux系統(tǒng)連入互聯(lián)網(wǎng)，然后將主頁存放于“/home/httpd”目錄下即可。但為了讓此WEB服務器更有效率的工作，我們還需對其作些設置，具體需要配置的其實就是剛才復制的那4個文件。以下對其主要的兩個配置文件httpd.conf和access.conf作些說明：

1. httpd.conf.

此文件是主配置文件，主要用來設置服務器啟動的基本環(huán)境，也就是說它負責安排WEB服務器怎樣運行。其相關(guān)設置參數(shù)為：

ServerType　standalone/inetd：此選項作用就是指定以何種方式運行WEB服務器。其中standalone參數(shù)表示W(wǎng)EB服務進程以一個單獨的守候進程的方式在后臺偵聽是否有客戶端的請求，如果有就生成一個子進程來為其服務；其效率更高。主要是設置主服務器進程偵聽的特定端口地址，方法為：Port　[number] （缺省為80）。

而inetd模式相對standalone來說它更安全，此模式也是RedHat Linux運行Apache的默認方式。如果你的版本不是RedHat，則需在/etc/inetd.conf文件里加入以下一新行：httpd stream tcp nowait httpd /etc/httpd/bin/httpd –f /etc/httpd/conf/httpd.conf；然后在/etc/services文件里同樣添加一新行：httpd 80/tcp httpd即可。

ErrorLog：用來指定錯誤記錄的文件名稱和路徑。格式如：ErrorLog /var/httpd/error.log。

ServerRoot：用來指定將服務器的配置及日志文件存于何處。格式如：ServerRoot /etc/httpd。

Server Admin： 設置WEB管理員的E-Mail地址.格式如：Server Admin　XXX@XXXX點抗 。

2. srm.conf

這是Apache的資源配置文件，作用為告訴服務器你想在WWW站點上提供的資源及如何提供，其主要參數(shù)為：

DocumentRoot: 用來指定主文檔的地址。格式如：DocumentRoot /home/httpd/html。

DirectoryIndex：跟windows平臺的IIS設置一樣，用來指定首頁文件的名稱。大家都知道，首頁一般都以“index.html”或“index.htm”作為文件名。當設置為這兩種文件名之后，只要用戶發(fā)出WEB請求，即將調(diào)入以“index.html”或“index.htm”命名的主頁。格式如：DirecotryIndex index.html index.htm。

經(jīng)過以上簡單的配置后，你的WEB服務器已經(jīng)具備基本的功能了。接下來要做的就是重啟WEB服務，使剛才的配置生效，我們可以用以下命令來完成：

/etc/rc.d/init.d/httpd restart

最后，我們來看看基于Apache服務的安全方面。Apache服務器通過認證系統(tǒng)能控制哪些主機可以訪問某些特定的站點。具體來說，它通過兩種方式來實現(xiàn)：

一種是基于主機地址的認證，但由于目前大部分上網(wǎng)用戶使用的都是動態(tài)地址，因此此種方式并沒多少實際意義；

另一種方式是基于用戶名/口令的認證方式，不言而喻，此種方式更適合如今的網(wǎng)絡狀況，而對于具體的用戶名/口令認證實現(xiàn)。

web服務器安全設置

Web服務器攻擊常利用Web服務器軟件和配置中的漏洞，web服務器安全也是我們現(xiàn)在很多人關(guān)注的一點，那么你知道web服務器安全設置嗎?下面是我整理的一些關(guān)于web服務器安全設置的相關(guān)資料，供你參考。

web服務器安全設置一、IIS的相關(guān)設置

刪除默認建立的站點的虛擬目錄，停止默認web站點，刪除對應的文件目錄c:inetpub，配置所有站點的公共設置，設置好相關(guān)的連接數(shù)限制， 帶寬設置以及性能設置等其他設置。配置應用程序映射，刪除所有不必要的應用程序擴展，只保留asp，php，cgi，pl，aspx應用程序擴展。對于php和cgi，推薦使用isapi方式解析，用exe解析對安全和性能有所影響。用戶程序調(diào)試設置發(fā)送文本錯誤信息給客戶。

對于數(shù)據(jù)庫，盡量采用mdb后綴，不需要更改為asp，可在IIS中設置一個mdb的擴展映射，將這個映射使用一個無關(guān)的dll文件如C:WINNTsystem32inetsrvssinc.dll來防止數(shù)據(jù)庫被下載。設置IIS的日志保存目錄，調(diào)整日志記錄信息。設置為發(fā)送文本錯誤信息。修改403錯誤頁面，將其轉(zhuǎn)向到其他頁，可防止一些掃描器的探測。另外為隱藏系統(tǒng)信息，防止telnet到80端口所泄露的系統(tǒng)版本信息可修改IIS的banner信息，可以使用winhex手工修改或者使用相關(guān)軟件如banneredit修改。

對于用戶站點所在的目錄，在此說明一下，用戶的FTP根目錄下對應三個文件佳，wwwroot，database，logfiles，分別存放站點文件，數(shù)據(jù)庫備份和該站點的日志。如果一旦發(fā)生入侵事件可對該用戶站點所在目錄設置具體的權(quán)限，圖片所在的目錄只給予列目錄的權(quán)限，程序所在目錄如果不需要生成文件(如生成html的程序)不給予寫入權(quán)限。因為是虛擬主機平常對腳本安全沒辦法做到細致入微的地步。

方法

用戶從腳本提升權(quán)限：

web服務器安全設置二、ASP的安全設置

設置過權(quán)限和服務之后，防范asp木馬還需要做以下工作，在cmd窗口運行以下命令：

regsvr32/u C:\WINNT\System32\wshom.ocx

del C:\WINNT\System32\wshom.ocx

regsvr32/u C:\WINNT\system32\shell32.dll

del C:\WINNT\system32\shell32.dll

即可將WScript.Shell, Shell.application, WScript.Network組件卸載，可有效防止asp木馬通過wscript或shell.application執(zhí)行命令以及使用木馬查看一些系統(tǒng)敏感信息。另法：可取消以上文件的users用戶的權(quán)限，重新啟動IIS即可生效。但不推薦該方法。

另外，對于FSO由于用戶程序需要使用，服務器上可以不注銷掉該組件，這里只提一下FSO的防范，但并不需要在自動開通空間的虛擬商服務器上使用，只適合于手工開通的站點?？梢葬槍π枰狥SO和不需要FSO的站點設置兩個組，對于需要FSO的用戶組給予c:winntsystem32scrrun.dll文件的執(zhí)行權(quán)限，不需要的不給權(quán)限。重新啟動服務器即可生效。

對于這樣的設置結(jié)合上面的權(quán)限設置，你會發(fā)現(xiàn)海陽木馬已經(jīng)在這里失去了作用!

web服務器安全設置三、PHP的安全設置

默認安裝的php需要有以下幾個注意的問題：

C:\winnt\php.ini只給予users讀權(quán)限即可。在php.ini里需要做如下設置：

Safe_mode=on

register_globals = Off

allow_url_fopen = Off

display_errors = Off

magic_quotes_gpc = On [默認是on，但需檢查一遍]

open_basedir =web目錄

disable_functions =passthru,exec,shell_exec,system,phpinfo,get_cfg_var,popen,chmod

默認設置com.allow_dcom = true修改為false[修改前要取消掉前面的;]

web服務器安全設置四、MySQL安全設置

如果服務器上啟用MySQL數(shù)據(jù)庫，MySQL數(shù)據(jù)庫需要注意的安全設置為：

刪除mysql中的所有默認用戶，只保留本地root帳戶，為root用戶加上一個復雜的密碼。賦予普通用戶updatedeletealertcreatedrop權(quán)限的時候，并限定到特定的數(shù)據(jù)庫，尤其要避免普通客戶擁有對mysql數(shù)據(jù)庫操作的權(quán)限。檢查mysql.user表，取消不必要用戶的shutdown_priv,reload_priv,process_priv和File_priv權(quán)限，這些權(quán)限可能泄漏更多的服務器信息包括非mysql的 其它 信息出去?？梢詾閙ysql設置一個啟動用戶，該用戶只對mysql目錄有權(quán)限。設置安裝目錄的data數(shù)據(jù)庫的權(quán)限(此目錄存放了mysql數(shù)據(jù)庫的數(shù)據(jù)信息)。對于mysql安裝目錄給users加上讀取、列目錄和執(zhí)行權(quán)限。

Serv-u安全問題：

安裝程序盡量采用最新版本，避免采用默認安裝目錄，設置好serv-u目錄所在的權(quán)限，設置一個復雜的管理員密碼。修改serv-u的banner信息，設置被動模式端口范圍(4001—4003)在本地服務器中設置中做好相關(guān)安全設置：包括檢查匿名密碼，禁用反超時調(diào)度，攔截“FTP bounce”攻擊和FXP，對于在30秒內(nèi)連接超過3次的用戶攔截10分鐘。域中的設置為：要求復雜密碼，目錄只使用小寫字母，高級中設置取消允許使用MDTM命令更改文件的日期。

更改serv-u的啟動用戶：在系統(tǒng)中新建一個用戶，設置一個復雜點的密碼，不屬于任何組。將servu的安裝目錄給予該用戶完全控制權(quán)限。建立一個FTP根目錄，需要給予這個用戶該目錄完全控制權(quán)限，因為所有的ftp用戶上傳，刪除，更改文件都是繼承了該用戶的權(quán)限，否則無法操 作文 件。另外需要給該目錄以上的上級目錄給該用戶的讀取權(quán)限，否則會在連接的時候出現(xiàn)530 Not logged in, home directory does not exist。比如在測試的時候ftp根目錄為d:soft，必須給d盤該用戶的讀取權(quán)限，為了安全取消d盤其他文件夾的繼承權(quán)限。而一般的使用默認的system啟動就沒有這些問題，因為system一般都擁有這些權(quán)限的。

web服務器安全設置五、數(shù)據(jù)庫服務器的安全設置

對于專用的MSSQL數(shù)據(jù)庫服務器，按照上文所講的設置TCP/IP篩選和IP策略，對外只開放1433和5631端口。對于MSSQL首先需要為sa設置一個強壯的密碼，使用混合身份驗證,加強數(shù)據(jù)庫日志的記錄,審核數(shù)據(jù)庫登陸事件的”成功和失敗”.刪除一些不需要的和危險的OLE自動存儲過程(會造成 企業(yè)管理 器中部分功能不能使用),這些過程包括如下:

Sp_OAcreate Sp_OADestroy Sp_OAGetErrorInfo Sp_OAGetProperty

Sp_OAMethod Sp_OASetProperty Sp_OAStop

去掉不需要的注冊表訪問過程,包括有:

Xp_regaddmultistring Xp_regdeletekey Xp_regdeletevalue

Xp_regenumvalues Xp_regread Xp_regremovemultistring

Xp_regwrite

去掉其他系統(tǒng)存儲過程，如果認為還有威脅，當然要小心drop這些過程，可以在測試機器上測試，保證正常的系統(tǒng)能完成工作，這些過程包括：

xp_cmdshell xp_dirtree xp_dropwebtask sp_addsrvrolemember

xp_makewebtask xp_runwebtask xp_subdirs sp_addlogin

sp_addextendedproc

在實例屬性中選擇TCP/IP協(xié)議的屬性。選擇隱藏 SQL Server 實例可防止對1434端口的探測,可修改默認使用的1433端口。除去數(shù)據(jù)庫的guest賬戶把未經(jīng)認可的使用者據(jù)之在外。 例外情況是master和 tempdb 數(shù)據(jù)庫,因為對他們guest帳戶是必需的。另外注意設置好各個數(shù)據(jù)庫用戶的權(quán)限，對于這些用戶只給予所在數(shù)據(jù)庫的一些權(quán)限。在程序中不要用sa用戶去連接任何數(shù)據(jù)庫。網(wǎng)絡上有建議大家使用協(xié)議加密的，千萬不要這么做，否則你只能重裝MSSQL了。

如何保證Web服務器安全？

一、在代碼編寫時就要進行漏洞測試。

二、對Web服務器進行持續(xù)的監(jiān)控。

三、設置蜜罐，將攻擊者引向錯誤的方向。

四、專人對Web服務器的安全性進行測試。

在Web服務器的攻防戰(zhàn)上，這一個原則也適用。筆者建議，如果企業(yè)對于Web服務的安全比較高，如網(wǎng)站服務器上有電子商務交易平臺，此時最好設置一個專業(yè)的團隊。他們充當攻擊者的角色，對服務器進行安全性的測試。這個專業(yè)團隊主要執(zhí)行如下幾個任務。　

一是測試Web管理團隊對攻擊行為的反應速度。如可以采用一些現(xiàn)在比較流行的攻擊手段，對自己的Web服務器發(fā)動攻擊。當然這個時間是隨機的。預先Web管理團隊并不知道?，F(xiàn)在要評估的是，Web管理團隊在多少時間之內(nèi)能夠發(fā)現(xiàn)這種攻擊的行為。這也是考驗管理團隊全天候跟蹤的能力。一般來說，這個時間越短越好。應該將這個時間控制在可控的范圍之內(nèi)。即使攻擊最后沒有成功，Web管理團隊也應該及早的發(fā)現(xiàn)攻擊的行為。畢竟有沒有發(fā)現(xiàn)、與最終有沒有取得成功，是兩個不同的概念。

二是要測試服務器的漏洞是否有補上。畢竟大部分的攻擊行為，都是針對服務器現(xiàn)有的漏洞所產(chǎn)生的?，F(xiàn)在這個專業(yè)團隊要做的就是，這些已發(fā)現(xiàn)的漏洞是否都已經(jīng)打上了安全補丁或者采取了對應的安全措施。有時候我們都沒有發(fā)現(xiàn)的漏洞是無能為力，但是對于這些已經(jīng)存在的漏洞不能夠放過。否則的話，也太便宜那些攻擊者了。