网络空间安全技术教学课件第3章-服务器技术

机械工业出版社《网络空间安全技术》第3章：服务器技术要点服务器操作系统三个开源Linux操作系统六大Web服务器Web服务器技术相关安全漏洞披露1服务器操作系统服务器操作系统可以实现对计算机硬件与软件的直接控制和管理协调。任何计算机的运行离不开操作系统，服务器也一样。服务器操作系统主要分为四大流派：WindowsServer、Netware、Unix、Linux。对服务器操作系统进行安全加固是减少脆弱性并提升系统安全的一个过程，其中主要包括：打上补丁消灭已知安全漏洞、去掉不必要的服务、禁止使用不安全账号密码登录、禁用不必要的端口等。1.1WindowsServerWindowsServer系统：1）优点：WindowsServer系统相对于其他服务器系统而言，极其易用，极大降低使用者的学习成本。2）缺点：WindowsServer系统对服务器硬件要求较高、稳定性不是很好。3）应用：WindowsServer系统适用于中、低档服务器中。WindowsServer系统安全加固：安全加固是企业安全中及其重要的一环，其主要内容包括账号安全、认证授权、协议安全、审计安全等。更多请参考书籍。1.2NetwareNetware系统：1）优点：Netware系统具有优秀的批量处理功能和安全、稳定的系统性能，且兼容DOS命令，支持丰富的应用软件，对无盘站和游戏有着较好的支持，对网络硬件要求较低。2）缺点：Netware系统操作大部分依靠手工命令实现，不够人性化；对硬盘识别最高只能达到1G，无法满足TB级数据的存储。3）应用：Netware系统适用于低档服务器，常运用在中小型企业、学校、游戏厅。Netware系统安全加固：1）NetWare的用户类型：网络管理员（通过设置用户权限来实现网络安全保护措施）、组管理员、网络操作员（FCONSOLE操作员，队列操作员、控制台操作员）、普通网络用户。2）NetWare的四级安全保密机制：注册安全性、用户信任者权限、最大信任者权限屏蔽、目录与文件服务3）NetWare操作系统的系统容错技术1.3UnixUnix系统：1）优点：Unix系统支持大型文件系统服务、数据服务应用，功能强大、稳定性和安全性能好。2）缺点：Unix系统操作主要以命令的方式进行，不容易掌握。3）应用：大型网站或是大型企、事业局域网中。Unix系统安全加固：系统安全加固包括的内容很多，以下举2个例子说明。1）关闭不必要的服务，比如收发邮件服务。

先关闭sendmail服务自动启动功能，使用root用户编辑/etc/rc.config.d/mailservs文件，把exportSENDMAIL_SERVER=1改为

exportSENDMAIL_SERVER=0。

然后

ps-ef|grepsendmail检查进程是否已经终止了，root用户执行

/sbin/init.d/sendmailstop关闭sendmail进程，root用户执行

/sbin/init.d/SnmpMasterstop关闭snmp服务。2）通过IP限制用户远程登录。

在etc下创建hosts.allow和hosts.deny文件，该文件完成主机访问权限控制。hosts.deny文件设置工作站拒绝的ip地址和服务范围。

hosts.allow文件设置工作站允许的ip地址和服务范围。1.4LinuxLinux系统：1）优点：Linux系统是开源系统，受到所有开发者的共同监督，已经是非常成熟的服务器系统，并且拥有着一套完整的权限机制，安全性与稳定性都很高。2）缺点：Linux系统操作需要一定时间的学习。3）应用：Linux系统适用于中、高档服务器中。Linux系统安全加固：对Linux系统进行安全加固，主要策略涉及到如下几点：取消所有服务器的root远程ssh登录，限制su-root的用户权限，同时ssh登录端口调整，外网ssh登录全部调整；调整密码过期时间和复杂度；调整网络泛洪、SYN等防攻击策略参数；清理服务器无效账户如lp、news等，调整系统关键目录权限；优化服务器连接数参数；日志管理：登录认证记录等。2三个开源Linux操作系统Linux有非常多的发行版本，从性质上划分，大体分为由商业公司维护的商业版本与由开源社区维护的免费发行版本。商业版本以Redhat为代表，开源社区版本则以Debian为代表。CentOS、Ubuntu、Debian三个Linux版本都是非常优秀的系统。2.1CentOSCentOS（CommunityEnterpriseOperatingSystem，中文意思是社区企业操作系统）是Linux发行版之一，它是来自于RedHatEnterpriseLinux依照开放源代码规定释出的源代码所编译而成。由于出自同样的源代码，因此有些要求高度稳定性的服务器以CentOS替代商业版的RedHatEnterpriseLinux使用。两者的不同，在于CentOS完全开源。很多网站站长一般都选择CentOS系统，CentOS去除很多与服务器功能无关的应用，系统简单但非常稳定，命令行操作可以方便管理系统和应用，并且有帮助文档和社区的支持。CentOS系统安全加固，更多请参考书籍：设置密码失效时间，强制定期修改密码，减少密码被泄漏和猜测风险：在/etc/login.defs中将PASS_MAX_DAYS参数设置为60-180之间。参数：PASS_MAX_DAYS90执行命令为：root:chage--maxdays90root2.2UbuntuUbuntuLinux是由南非人MarkShuttleworth创办的基于DebianLinux的操作系统，开于2004年10月公布Ubuntu的第一个版本(Ubuntu4.10WartyWarthog)。用户下载、使用、分享Ubuntu系统，以及获得技术支持与服务，无需支付任何许可费用。Ubuntu被视为一种传统的非洲民族理念，同时也被认为是南非共和国的建国准则之一，并且与非洲复兴的理想密切相关。该词源于祖鲁语和科萨语，它的核心理念是“人道待人”，“我的存在是因为大家的存在”，着眼于人们之间相互的忠诚与交流。Ubuntu系统安全加固，更多请参考书籍：1）删除系统不需要的默认账号：#userdellp#groupdellp#passwd–llp如果下面这些系统默认帐号不需要的话，建议删除。Lp、syncnews、uucp、games、bin、man2.3DebianDebian作为适合于服务器的操作系统，它比Ubuntu要稳定得多。可以说稳定得无与伦比了。Debian整个系统，只要应用层面不出现逻辑缺陷，基本上固若金汤，是个常年不需要重启的系统。Debian整个系统基础核心非常小，不仅稳定，而且占用硬盘空间小，占用内存小。但是由于Debian的发展路线，使它的帮助文档相对于CentOS略少，技术资料也少一些。Debian系统安全加固，更多请参考书籍：防止任何人都可以su为root

在/etc/pam.d/su中添加如下两行。authsufficient/lib/security/$ISA/pam_rootok.sodebugauthrequired/lib/security/$ISA/pam_wheel.sogroup=wheel2.采用最少服务原则

凡是不需要的服务一律注释掉。在/etc/inetd.conf中不需要的服务前加"#"。3六大Web服务器统计数据显示，超过80%的web应用程序和网站都是使用的开源Web服务器。目前最为流行的Web服务器有ApacheHTTPServer、IIS、GFE、Nginx、Lighttpd、Tomcat等。3.1ApacheHTTPServerApacheHTTPServer（简称Apache），是Apache软件基金会的一个开放源代码的网页服务器，可以在大多数电脑操作系统中运行，由于其具有的跨平台性和安全性，被广泛使用，是最流行的Web服务器端软件之一。它快速、可靠并且可通过简单的API扩展，Perl/Python解释器可被编译到服务器中，可以创建一个每天有数百万人访问的Web服务器。ApacheHTTPServer安全加固：更多请参考书籍隐藏Apache版本号，隐藏Apache的版本号及其它敏感信息。修改httpd.conf配置文件：ServerSignatureOffServerTokensProd3.2IISIIS（InternetInformationServices：互联网信息服务）是由微软公司提供的基于运行MicrosoftWindows的互联网基本服务。IIS是一种Web（网页）服务组件，其中包括Web服务器、FTP服务器、NNTP服务器和SMTP服务器，分别用于网页浏览、文件传输、新闻服务和邮件发送等方面，它使得在网络（包括互联网和局域网）上发布信息成了一件很容易的事。IIS安全加固：更多参考书籍1）停用或删除默认站点IIS安装后的默认主目录是“C:\inetpub\wwwroot”，为更好地抵抗踩点、刺探等攻击行为，应该更改主目录位置，禁用默认站点，新建立站点并进行安全配置。

开始->管理工具->Internet信息服务(IIS)管理器选择相应的站点，然后右键站点，选择停止或者删除。2）卸载不需要的IIS角色服务

通常下列角色可以删除：“默认文档”，“目录浏览”，“CGI”，“在服务器端的包含文件”。3.3GFEGFE（GoogleFrontEnd：谷歌前端服务器）。谷歌基础设施内部的服务需要通过谷歌前端服务（GFE）注册之后，才能运行于外部互联网上。GFE确保所有TLS连接必须使用正确的证书和安全策略，同时还能起到防御DoS攻击的作用。GFE对请求的转发使用了前述的RPC安全协议。实际上，任何通过GFE注册运行于互联网的内部服务都是敏捷的反向前端代理服务，该前端不仅能提供服务的DNS公共IP，还能起到DoS防御和TLS保护作用。3.4NginxNginx(enginex)是一个高性能的HTTP和反向代理web服务器，同时也提供了IMAP/POP3/SMTP服务。俄罗斯人IgorSysoev从2002年开始开发NGINX，并在2004年发布了第一个公开版本。NGINX的开发是为了解决C10K（C10K是如何处理1万个并发连接的简写）问题，目前，全球有超过30%的网站在使用它。Nginx作为负载均衡服务：Nginx既可以在内部直接支持Rails和PHP程序对外进行服务，也可以支持作为HTTP代理服务对外进行服务。Nginx安全加固：更多参考书籍1）禁止目录浏览

先备份nginx.conf配置文件，然后编辑配置文件，HTTP模块添加如下一行内容：

autoindexoff;保存，然后后重启nginx服务。2）隐藏版本信息

先备份nginx.conf配置文件，然后编辑配置文件，添加http模块中如下一行内容：

server_tokensoff;保存，然后后重启nginx服务。3.5LighttpdLighttpd是一个德国人领导的开源Web服务器软件，其根本的目的是提供一个专门针对高性能网站，安全、快速、兼容性好并且灵活的Web服务器环境。具有非常低的内存开销、CPU占用率低、效能好以及丰富的模块等特点。Lighttpd是众多开源轻量级的Web服务器中较为优秀的一个。支持FastCGI，CGI，Auth，输出压缩，URL重写，Alias等重要功能。Lighttpd安全加固：更多参考书籍强制定向到HTTPS，强制HTTP定向到HTTPS的部分配置。$HTTP["scheme"]=="http"{

$HTTP["host"]=~".*"{url.redirect=(".*"=>"https://%0$0")}}3.6TomcatApache只支持静态网页，但像PHP、CGI、JSP等动态网页就需要Tomcat来处理。Tomcat是由Apache软件基金会下属的Jakarta项目开发的一个Servlet容器，按照SunMicrosystems提供的技术规范，实现了对Servlet和JavaServerPage（JSP）的支持，并提供了作为Web服务器的一些特有功能，如Tomcat管理和控制平台、安全域管理和Tomcat阀等。Tomcat安全加固：更多参考书籍禁用tomcat默认帐号，打开conf/tomcat-user.xml文件，将以下用户注释掉：<!--

<rolerolename="tomcat"/>

<rolerolename="role1"/>

<userusername="tomcat"password="tomcat"roles="tomcat"/>

<userusername="both"password="tomcat"roles="tomcat,role1"/>

<userusername="role1"password="tomcat"roles="role1"/>-->4Web服务器技术Web服务器技术主要包括服务器、CGI、Servlet、PHP、ASP、ASP.NET和JSP技术。服务器就包括服务器操作系统的选择。4.1PHPPHP即“超文本预处理器”，是一种通用开源脚本语言。PHP是在服务器端执行的脚本语言，与C语言类似，是常用的网站编程语言。PHP独特的语法混合了C、Java、Perl以及PHP自创的语法。利于学习，使用广泛，主要适用于Web开发领域。PHP原始为PersonalHomePage的缩写，后来更名为"PHP:HypertextPreprocessor"。自20世纪90年代国内互联网开始发展到现在，互联网信息几乎覆盖了人们日常活动所有知识范畴，并逐渐成为我们生活、学习、工作中必不可少的一部分。PHP安全设置：更多请参考书籍屏蔽PHP版本默认情况下PHP版本会被显示在返回头里，如：ResponseHeadersX-powered-by:PHP/7.2.0将php.ini中如下的配置值改为Offexpose_php=Off4.2JSPJSP（全称JavaServerPages）是由SunMicrosystems公司主导创建的一种动态网页技术标准。JSP部署于网络服务器上，可以响应客户端发送的请求，并根据请求内容动态地生成HTML、XML或其他格式文档的Web网页，然后返回给请求者。JSP技术以Java语言作为脚本语言，为用户的HTTP请求提供服务，并能与服务器上的其它Java程序共同处理复杂的业务需求。JSP安全设置：JSP安全中出现的像源代码暴露、远程程序执行等问题，主要通过在服务器软件网站下载安装最新的补丁来解决。4.3ASP/ASP.NETASP即ActiveServerPages，是Microsoft公司开发的服务器端脚本环境，可用来创建动态交互式网页并建立强大的web应用程序。当服务器收到对ASP文件的请求时，它会处理包含在用于构建发送给浏览器的HTML网页文件中的服务器端脚本代码。除服务器端脚本代码外，ASP文件也可以包含文本、HTML（包括相关的客户端脚本）和com组件调用。ASP/ASP.NET安全设置：1）保护WINDOWS：使用NTFS格式；选择安全的口令；重新设置管理员帐户，重新命名或重新建立；删除不必要的共享；设置ACL等。2）设置windows安全性使用微软提供的模板。3）在ASP.NET的web.config中使用URL授权；可以允许或拒绝。4）ASP.NET帐户缺省该用户只拥有本地USERS组的权限。4.4CGICGI（CommonGatewayInterface，公共网关接口）是Web服务器运行时外部程序的规范，按CGI编写的程序可以扩展服务器功能。CGI应用程序能与浏览器进行交互，还可通过数据API与数据库服务器等外部数据源进行通信，从数据库服务器中获取数据。格式化为HTML文档后，发送给浏览器，也可以将从浏览器获得的数据放到数据库中。CGI安全加固：使用最新版本的Web服务器，安装最新的补丁程序，正确配置服务器。按照帮助文件正确安装CGI程序，删除不必要的安装文件和临时文件。使用C编写CGI程序时，使用安全的函数。使用安全有效的验证用户身份的方法。验证用户的来源，防止用户短时间内过多动作。推荐过滤“&;`'\"|*?~<>;^()[]{}$\n\r\t\0#../”。4.5ServletServlet（ServerApplet）是JavaServlet的简称，称为小服务程序或服务连接器，用Java编写的服务器端程序，具有独立于平台和协议的特性，主要功能在于交互式地浏览和生成数据，生成动态Web内容。Servlet安全加固：更多参考书籍一般说来，Servlet会部署到Internet上，因此需要一些安全性的考虑。可以制定Servlet的安全模式，例如角色、访问控制、鉴权等。这些都可以用annotation或web.xml进行配置。5近期服务器技术相关安全漏洞披露漏洞号影响产品漏洞描述CNVD-2020-25576MicrosoftWindowsServer1803MicrosoftWindowsServer2019MicrosoftWindowsServer1903MicrosoftWindowsServer1909MicrosoftWindows和WindowsServer中存在提权漏洞，攻击者可通过登录到系统并运行特制的应用程序利用该漏洞在内核模式下运行任意代码。CNVD-2020-24063MicrosoftWindowsServer2016MicrosoftWindowsServer1803MicrosoftWindowsServer2019MicrosoftWindowsServer1903MicrosoftWindowsAdobeFontManagerLibrary中存在远程代码执行漏洞，该漏洞源于程序未正确处理特制的MM字体（一种AdobeType1PostScript格式），攻击者可借助特制的文档利用该漏洞以有限的权限在AppContainer沙盒上下文中执行代码。CNVD-2018-23882NovellNetware<6.5SP8NovellNetWare6.5SP8之前版本中的PKERNEL.NLM的CALLITRPC调用的处理存在栈缓冲区溢出漏洞。远程攻击者可利用该漏洞执行代码。CNVD-2020-28054LinuxLinuxkernelLinuxkernel（用于PowerPC处理器）中KVM的存在安全漏洞，该漏洞源于程序未能正确将虚拟机的状态和主机状态分离。攻击者可利用该漏洞造成拒绝服务。CNVD-2019-46764CentOSWeb