WEB服务器的配置和管理课件

WEB服务器的配置和管理四川大学

曾雪梅主要内容l

WEB平台简介l

IIS的安装l

IIS的虚拟目录配置l

IIS的站点配置l

IIS的安全配置l

常见问题分析（一）WEB平台简介IISl

Internet信息服务，简称IIS，由微软提供，部署在Windows操作系统上l

支持HTTP、FTP、SMTP、NNTPl

当今流行的Web服务器之一。支持html、asp、.net框架l

管理和配置简单Apachel

源于NCSAhttpd服务器，经过多次修改，成为世界上最流行的Web服务器软件之一l

开放源代码，现在由非盈利性组织的公司——Apache软件基金会维护l

简单、速度快、性能稳定，并可做代理服务器来使用l

几乎可以运行在所有的计算机平台上（Unix、Windows、Linux系统平台上）Tomcatl

一个免费的开放源代码的Web应用服务器l

是Apache软件基金会的Jakarta项目中的一个核心项目l

有了Sun的参与和支持，最新的Servlet和JSP规范总是能在Tomcat中得到体现l

Tomcat技术先进、性能稳定，而且免费，因而深受Java爱好者的喜爱l

支持html、JSP、Servlet网站建设经典组合l

ASP(ASP.NET)+ACCESSl

ASP(ASP.NET)+SQLSERVERl

PHP+MYSQLl

JSP+MYSQLWEB环境l

ASP(ASP.NET)环境ü

IISl

PHP环境ü

Apache（php）或者IIS+Apache+phpl

JSP环境ü

Apache(JSDK)

或者Apache+Tomcat（二）IIS的安装控制面板添加或删除程序添加或删除Windows组件IIS安装过程图IIS安装过程图打开IIS管理器图启用

Web

服务扩展默认情况下，IIS只为静态内容提供服务对ASP、ASP.net

的支持需要开启l

Web服务扩展l

ActiveServerPages：ASP脚本支持组件l

Internet数据连接器：通过.idc文件提供的动态内容支持l

WebDav发布：WebDAV扩展了HTTP1.1协议，使其支持Web内容的发布和管理l

在服务器端的包含文件：提供对.shtm、.shtml、和.stm文件的支持l

ASP.NET

:提供对.net的支持（三）IIS虚拟目录配置IIS虚拟目录l

虚拟目录l

若将web站点包含的文件放置在了其他主目录的驱动器上，或在其他计算机上，则必须创建虚拟目录将这些文件包含到你的web站点中。l

引入虚拟目录的优点及作用l

可以将数据分散到不同的磁盘或计算机上存储，提高安全性。注：为了提高安全性，应将目录设置到NTFS分区上l

可以避免使主目录空间达到极限l

当数据移动的时候不会影响Web站点的结构。ü

如果存放网站内容的文件夹发生变化，则只要将该虚拟目录重新指向到新的文件夹即可。虚拟目录的创建过程IIS虚拟目录创建过程图IIS虚拟目录创建过程图IIS虚拟目录创建过程图IIS虚拟目录创建过程图虚拟目录的访问虚拟目录访问权限说明l

读取：提供给用户读取网页的服务，也就是说客户端可以下载网页。l

如果Web服务器位于NTFS文件系统的驱动器上，则客户端能否下载网页还要取决于NTFS权限的设置。l

运行脚本(如:ASP)：允许客户端访问站点脚本文件（如：ASP）。l

配合读取权限，客户端可以访问脚本；l

配合写入权限，客户端可以修改脚本。虚拟目录访问权限说明（续）l

执行（如：ISAPI应用程序或CGI）：允许客户端执行ISAPI或CGI的应用程序。l

写入：允许客户端上载文件或者编辑改变网页内容。l

和读取的权限相同，客户端是否拥有写入的权限还要取决于NTFS权限。l

浏览：允许客户端浏览Web站点的目录。l

如果给客户端此权限，则当Web站点上没有启用默认文档，客户端输入的URL又没有指定文件名或目录的时候，页面将显示为此站点的目录列表。建议不要开放此权限。（四）IIS站点配置IIS站点IIS支持在同一台服务器上实现多个web站点。创建方法：l

利用多个IP地址建立多个网站；l

利用TCP连接端口建立多个网站；l

利用主机头名称建立多个网站；站点创建过程三种方法的优缺点l

基于IP地址l

用户通过“地址/”的方式访问l

服务器需要配置多个IP地址l

不适合IP地址不足的情况l

基于端口l

用户通过“地址:端口号/”的方式访问l

只需要一个IP地址或域名l

用户需要记住每个web站点对应的端口号l

基于主机头（域名）l

用户通过“http://域名/”的方式访问l

每个站点需要一个域名l

需要在DNS服务器中将一台计算机的IP地址映射到多个域名站点的其它配置鼠标右键点击站点，如：“站点1”

属性为同一站点增加访问方式•

同一个站点有多个域名•

同一个站点有多个IP地址•

同一个站点通过多个端口访问站点的日志配置四种日志格式l

W3C扩展日志文件格式l

一个包含多个不同属性、可自定义的ASCII格式。可以记录对管理员来说重要的属性，可省略不需要的属性字段来限制日志文件的大小。l

各属性字段以空格分开。l

时间以UTC形式记录。（与本地时间相差8小时）l

ODBC日志记录格式l

用来记录符合开放式数据库连接（ODBC）的数据库（MicrosoftAccess或SQLServer）中一组固定的数据属性。l

必须指定要登录的数据库，并且设置数据库接收数据。l

NCSA公用日志文件格式l

美国国家超级计算技术应用中心公用格式，是一种固定的（不能自定义的）ASCII格式l

记录关于用户请求的基本信息，如远程主机名、用户名、日期、时间、请求类型、HTTP状态码和服务器发送的字节数。l

各属性字段以空格分开。l

时间记录为本地时间l

MicrosoftIIS日志文件格式l

固定的（不能自定义的）ASCII

格式。l

IIS格式比NCSA公用格式记录的信息多。l

用逗号分开l

时间记录为本地时间。站点的日志配置建议不要使用默认的目录！更换一个记录日志的路径，同时设置日志访问权限，只允许管理员和SYSTEM为完全控制的权限。根据日志文件中记录的内容，便可得知访问该站点的用户的详细情况，如IP地址、所访问过的文件等，还可以查出有哪些人非法入侵过，并根据入侵情况来查询入侵者地址，或者加强网站的安全措施。设置站点的性能配置“主目录”选项卡权限权限l

脚本资源访问：允许用户访问文件源代码。如ASP

脚本。建议不要勾选此项l

读取：允许用户读取或者下载文件或目录及其相关属性。必选项l

写入：允许用户将文件及其相关属性上载到服务器上已启用的目录中，或者更改可写文件的内容。l

目录浏览：允许用户看到该虚拟目录中的文件和子目录的超文本列表。ü

如果禁用了目录浏览并且用户未指定文件名，那么Web服务器将在用户的Web浏览器中显示“禁止访问”错误消息。ü

建议不要勾选此项l

记录访问：将

IIS配置成在日志文件中记录对此目录的访问。只有启用了该网站的日志记录之后，才会记录访问情况。l

索引资源：允许Microsoft索引服务在网站的全文索引中包含该文件夹。应用程序池l

IIS6.0的一个全新概念l

应用程序池中的应用程序与其他应用程序被工作进程边界分隔，某个应用程序池中的应用程序不会受到其他应用程序池中应用程序所产生的问题的影响。l

工作进程隔离模式允许客户创建多个应用程序池应用程序池的创建输入应用程序池的名称，如：站点1l

执行权限：此选项确定该站点资源的许可的程序执行级别。ü

“无”：可以限制只能访问静态文件，如HTML或图像文件。ü

“纯脚本”：可以只允许运行纯脚本，而不运行可执行程序。ü

“脚本和可执行文件”：允许应用程序在此目录中运行，其中包括映射到脚本引擎的应用程序和Windows二进制文件（.dll和

.exe文件）站点默认首页的配置常见默认首页：Index.htmIndex.htmlIndex.aspIndex.aspxDefautl.htmDefault.htmlDefault.aspDefault.aspx（五）IIS的安全配置几个方面的安全配置l

防mdb文件被恶意下载l

屏蔽服务器返回的错误信息l

站点IP限制l

访问权限设置l

IIS的备份和还原防mdb文件被恶意下载l

问题：Asp＋Access站点

数据库位置：/data/db.mdbhttp://mydomain/data/db.mdb在IE浏览器输入以上URL，数据库可以被下载l

解决办法l

方法一ü

修改数据库的扩展名为aspü

缺陷：如果asp文件被批量挂马，数据库无法恢复l

方法二ü

数据库名前加“#”l

方法三ü

使用ODBC数据源l

方法四ü

增加对mdb的应用程序映射增加对mdb的应用程序映射屏蔽服务器返回的错误信息l

问题l

大量的攻击都是基于服务器返回的脚本错误信息，如sql注入攻击News.aps?id=23正常页面News.aps?id=23’错误页面

从这个错误提示能看出下面几点：1.

网站使用的是Access数据库，通过JET引擎连接数据库，而不是通过ODBC。2.

程序没有判断客户端提交的数据是否符合程序要求。3.

该SQL语句所查询的表中有一名为ID的字段。l

解决办法l

屏蔽服务器返回的错误信息注：这个方法不能从根本上解决sql注入问题站点IP限制l

问题l

某个站点只需要对给定范围的主机访问l

或者禁止给定范围的主机访问站点l

解决方法l

IP限制设置IP地址限制添加一系列将被拒绝访问的计算机添加一系列将被授权访问的计算机访问权限设置问题：l

服务器上配置多个站点，一个站点被攻击，往往会影响服务器上的其它站点l

解决办法l

定期扫描站点漏洞，及时修补相应的漏洞l

设置合理的访问权限环境：l

两个站点：站点1、站点2l

站点1存在漏洞，被上传了asp木马l

没有进行权限设置之前，利用站点1的漏洞可以攻击站点2。访问权限设置的步骤1.

创建用户组webgroup2.

为每个站点分别创建系统用户，属于webgroup用户组。并分别为这些用户创建复杂的口令。3.

修改匿名访问使用的帐户为新添加的用户，并正确输入用户的密码4.

修改站点目录的NTFS权限，仅保留system用户和新添加的用户演示删除不需要的用户权限，只留下Administrator和SYSTEM继承父目录的权限，在删除时的提示信息更改匿名访问的用户若站点存放在Windows2003服务器的E盘l

E:\的权限：l

Administrators全部（该文件夹，子文件夹及文件）l

system全部（该文件夹，子文件夹及文件）l

“E:\wwwsite\站点1”的权限：l

Administrators全部（该文件夹，子文件夹及文件）l

system全部（该文件夹，子文件夹及文件）l

vhost1全部（该文件夹，子文件夹及文件）IIS的备份和还原l

许多虚拟站点，每个站点的配置不同；l

服务器迁移，如何快速实现IIS的配置？l

如果配置错误，如何快速恢复IIS的备份输入备份配置的文件名选择备份文件的存放路径IIS的还原（六）常见问题分析常见问题l

提示访问被禁止l

提示找不到文件l

如何提高FSO组件的安全性？l

为什么Windows2003

的

IIS6.0

不能上传超过200K

的文件？l

SQL注入问题1.访问被禁止l

现象l

提示无权限访问l

弹出对话框，请求输入用户名和密码l

解决办法l

检查身份验证方法ü

匿名、基本验证l

检查文件授权、用户权限ü

Internet来宾用户或指定用户是否具有访问权限ü

上传文件存放目录是否具有写权限ü

用户对数据库文件是否具有写权限2.找不到文件l

现象l

提示文件不存在l

网页图片没有正常显示l

解决方法l

检查网页上文件的路径，再到服务器上查看对应的路径下文件是否存在l

检查网页上链接地址是否正确3.如何提高FSO组件的安全性？l

什么是FSO?l

ASP提供的文件系统访问能力l

可以对服务器硬盘上的任何文件进行读、写、复制、删除、改名等操作asp里调用组件的方式通常是

set对象名=server.createobject("progid")<%@

language=vbscript%><%set

fs=server.createobject("scripting.filesystemobject")%>l

FSO组件存在的问题l

因为权限控制的问题，很多虚拟主机服务器的fso反而成为这台服务器的一个公开的后门。l

很多主机都遭受过FSO木马的侵扰。l

禁用FSO组件后，所有利用这个组件的ASP程序将无法运行，无法满足客户的需求。l

禁用FSO组件的方法用regsrv32/uc:\windows\system\scrrun.dll(win98路径)来注销该组件。此方法过于狠毒，属于同归于尽的方法，大家都没得用，是下招l

提高FSO组件安全性的方法一通过修改注册表中的progid值从而达到禁用该组件的方法在

开始-运行中敲入regedit,然后找到hkey_classes_root\scripting.filesystemobject，更改该progid的值，如改成scripting.filesystemobject8。<%@

language=vbscript%><%set

fs=server.createobject("scripting.filesystemobject8")%>还是用原来的调用方法的结果：服务器对象

错误'asp

0177

:

800401f3'server.createobject

失败/aspimage/testfile2.asp,

行3800401f3l提高FSO组件安全性的方法二设置站点和目录的权限，将IIS用户执行写操作的范围限制到尽可能小4.

如何解除FSO上传程序小于200k限制？先在服务里关闭IIS

admin

service服务，找到Windows＼System32＼Inesrv目录下的Metabase.XML并打开5.SQL注入问题l

什么是sql注入(SQLInjection)l

程序没有对用户输入数据的合法性进行判断，使应用程序存在安全隐患。l

用户可以提交一段数据库查询代码，根据程序返回的结果，获得某些他想得知的数据.l

危害l

数据库被篡改l

网页被篡改l

获得服务器的登录账号l

…SQL注入原理http://=49http://=49’在链接末尾增加单引号“‘”MicrosoftJETDatabaseEngine

错误'80040e14'

从这个错误提示能看出下面几点：1.网站使用的是Access数据库，通过JET引擎连接数据库，而不是通过ODBC。2.程序没有判断客户端提交的数据是否符合程序要求。字符串的语法错误

在查询表达式

'ID=49''中。3.该SQL语句所查询的表中有一名为ID的字段。/showdetail.asp，行8SQL注入的原理：就是从客户端提交特殊的代码，从而收集程序及服务器的信息，从而获取你想到得到的资料。判断能否进行sql注入①

http://=49②

http://=49

and

1=1③

http://=49

and

1=2这就是经典的1=1、1=2测试法可以注入的表现：

①

正常显示（这是必然的，不然就是程序有错误了）

②

正常显示，内容基本与①相同

③

提示BOF或EOF（程序没做任何判断时）、或提示找不到记录（判断了rs.eof时）、或显示内容为空（程序加了onerrorresumenext）判断数据库类型及注入方法http://=49anduser>0可以从Access和SQLServer和区别入手Access和

SQLServer都有自己的系统表，比如存放数据库中所有对象的表，ü

Access是在系统表[msysobjects]中，但在Web环境下读该表会提示“没有权限”，ü

SQLServer是在表[sysobjects]中，在Web环境下可正常读取。http://=49

and

(select

count(*)

from

sysobjects)>0http://=49

and

(select

count(*)

from

msysobjects)>0SQL注入一般步骤ID=49这类注入的参数是数字型，SQL语句原貌大致如下：Select

*

from

表名where

字段=49注入的参数为ID=49And[查询条件]，即是生成语句：Select

*

from

表名where

字段=49

and

[查询条件]搜索时