Category: 安全配置

【摘要】作为网管人员最担心Web服务器遭到攻击，一旦遭到攻击，网站的所有信息可能面目全非，直到整个Web系统全面瘫痪。因此，选择安全性能好的Web服务器软件尤其重要。作为Internet 上最流行的Web服务器软件，Apache的安全性经受了时间和市场的双重检验。取得了惊人的成功。了解Apache Server的特性，并进行合理的配置将是每一个站点管理维护或开发人员必须关
注的问题。

　　一、Apache 服务器的功能
　　
　　Apache Serve的前身是NCSA的httpd，曾经在1995年成为最为流行的万维网的服务器。因为强大的功能和灵活的设置及平台移植性，Apache Server取得了广泛的信赖。Apache Server的主要功能有：

　　1、支持最新的HTTP1.1协议（RFC2616）。
　　2、极强的可配置和可扩展性，充分利用第三方模快的功能。
　　3、提供全部的源代码和不受限制的使用许可（License）。
　　4、广泛应用于Windows 2000/NT/9x、Netware 5.x，OS/2 和UNIX家族极其他操作系统，所支持的平台多达17余种。
　　5、强大的功能，涵盖了用户的需求，包括：认证中的DBM数据库支持；错误和问题的可定制响应的目录导向功能；不受限的灵活的URL别名机制和重定向功能；虚拟主机（多宿主主机）支持多个域主页共存一台主机；超强的日志文件功能；利用站点的分析；拓展于维护等等。

　　正因为这些强大的优势，使Apache Server与其他的Web服务器相比，充分展示了高效、稳定及功能丰富的特点。Apache Server 已用于超过600万个Internet站点。

　　二、Apache 服务器的安全特性

　　作为最流行的Web服务器，Apache Server提供了较好的安全特性，使其能够应对可能的安全威胁和信息泄漏。

1、采用选择性访问控制和强制性访问控制的安全策略

　　从Apache 或Web的角度来讲，选择性访问控制DAC（Discretionary Access Control）仍是基于用户名和密码的，强制性访问控制MAC（Mandatory Access Control）则是依据发出请求的客户端的IP地址或所在的域号来进行界定的。对于DAC方式，如输入错误，那么用户还有机会更正，从新输入正确的的密码；如果用户通过不了MAC关卡，那么用户将被禁止做进一步的操作，除非服务器作出安全策略调整，否则用户的任何努力都将无济于事。

　　2、Apache 的安全模块

　　Apache 的一个优势便是其灵活的模块结构，其设计思想也是围绕模块（Modules）概念而展开的。安全模块是Apache Server中的极其重要的组成部分。这些安全模块负责提供Apache Server的访问控制和认证、授权等一系列至关重要的安全服务。

　　mod_access模块能够根据访问者的IP地址（或域名，主机名等）来控制对Apache服务器的访问，称之为基于主机的访问控制。

　　mod_auth模块用来控制用户和组的认证授权（Authentication）。用户名和口令存于纯文本文件中。mod_auth_db和mod_auth_dbm模块则分别将用户信息（如名称、组属和口令等）存于Berkeley-DB及DBM型的小型数据库中，便于管理及提高应用效率。

　　mod_auth_digest模块则采用MD5数字签名的方式来进行用户的认证，但它相应的需要客户端的支持。

　　mod_auth_anon模块的功能和mod_auth的功能类似，只是它允许匿名登录，将用户输入的E-mail地址作为口令。

　　SSL（Secure Socket Lager），被Apache所支持的安全套接字层协议，提供Internet上安全交易服务，如电子商务中的一项安全措施。通过对通讯字节流的加密来防止敏感信息的泄漏。但是，Apache的这种支持是建立在对Apache的API扩展来实现的，相当于一个外部模块，通过与第三方程序的结合提供安全的网上交易支持。

三、Apache服务器的安全配置

　　在前面的内容中提到过，Apache具有灵活的设置。所有Apache的安全特性都要经过周密的设计与规划，进行认真地配置才能够实现。Apache服务器的安全配置包括很多层面，有运行环境、认证与授权设置及建立安全的电子交易链接等。

　　1、Apache的安装配置和运行

　　（
1）以Nobody用户运行一般情况下，Apache是由Root 来安装和运行的。如果Apache Server进程具有Root用户特权，那么它将给系统的安全构成很大的威胁，应确保Apache Server进程以最可能低的权限用户来运行。通过修改httpd.conf文件中的下列选项，以Nobody用户运行Apache 达到相对安全的目的。

　　User nobody
　　Group# -1

　　(2) ServerRoot目录的权限

　　为了确保所有的配置是适当的和安全的，需要严格控制Apache 主目录的访问权限，使非超级用户不能修改该目录中的内容。Apache 的主目录对应于Apache Server配置文件httpd.conf的Server Root控制项中，应为：

　　Server Root …

原理篇

我们将从入侵者入侵的各个环节来作出对应措施一步步的加固windows系统.
加固windows系统.一共归于几个方面
1.端口限制
2.设置ACL权限
3.关闭服务或组件
4.包过滤
5.审计

我们现在开始从入侵者的第一步开始.对应的开始加固已有的windows系统.

1.扫描
这是入侵者在刚开始要做的第一步.比如搜索有漏洞的服务.
对应措施:端口限制
以下所有规则.都需要选择镜像,否则会导致无法连接
我们需要作的就是打开服务所需要的端口.而将其他的端口一律屏蔽

2.下载信息
这里主要是通过URL SCAN.来过滤一些非法请求
对应措施:过滤相应包
我们通过安全URL SCAN并且设置urlscan.ini中的DenyExtensions字段
来阻止特定结尾的文件的执行

3.上传文件
入侵者通过这步上传WEBSHELL,提权软件,运行cmd指令等等.
对应措施:取消相应服务和功能,设置ACL权限
如果有条件可以不使用FSO的.
通过 regsvr32 /u c:\\windows\\system32\\scrrun.dll来注销掉相关的DLL.
如果需要使用.
那就为每个站点建立一个user用户
对每个站点相应的目录.只给这个用户读,写,执行权限,给administrators全部权限
安装杀毒软件.实时杀除上传上来的恶意代码.
个人推荐MCAFEE或者卡巴斯基
如果使用MCAFEE.对WINDOWS目录所有添加与修改文件的行为进行阻止.

4.WebShell
入侵者上传文件后.需要利用WebShell来执行可执行程序.或者利用WebShell进行更加方便的文件操作.
对应措施:取消相应服务和功能
一般WebShell用到以下组件
WScript.Network
WScript.Network.1
WScript.Shell
WScript.Shell.1
Shell.Application
Shell.Application.1
我们在注册表中将以上键值改名或删除
同时需要注意按照这些键值下的CLSID键的内容
从/HKEY_CLASSES_ROOT/CLSID下面对应的键值删除

5.执行SHELL
入侵者获得shell来执行更多指令
对应措施:设置ACL权限
windows的命令行控制台位于\\WINDOWS\\SYSTEM32\\CMD.EXE
我们将此文件的ACL修改为
某个特定管理员帐户(比如administrator)拥有全部权限.
其他用户.包括system用户,administrators组等等.一律无权限访问此文件.

6.利用已有用户或添加用户
入侵者通过利用修改已有用户或者添加windows正式用户.向获取管理员权限迈进
对应措施:设置ACL权限.修改用户
将除管理员外所有用户的终端访问权限去掉.
限制CMD.EXE的访问权限.
限制SQL SERVER内的XP_CMDSHELL

7.登陆图形终端
入侵者登陆TERMINAL SERVER或者RADMIN等等图形终端,
获取许多图形程序的运行权限.由于WINDOWS系统下绝大部分应用程序都是GUI的.
所以这步是每个入侵WINDOWS的入侵者都希望获得的
对应措施:端口限制
入侵者可能利用3389或者其他的木马之类的获取对于图形界面的访问.
我们在第一步的端口限制中.对所有从内到外的访问一律屏蔽也就是为了防止反弹木马.
所以在端口限制中.由本地访问外部网络的端口越少越好.
如果不是作为MAIL SERVER.可以不用加任何由内向外的端口.
阻断所有的反弹木马.

8.擦除脚印
入侵者在获得了一台机器的完全管理员权限后
就是擦除脚印来隐藏自身.
对应措施:审计
首先我们要确定在windows日志中打开足够的审计项目.
如果审计项目不足.入侵者甚至都无需去删除windows事件.
其次我们可以用自己的cmd.exe以及net.exe来替换系统自带的.
将运行的指令保存下来.了解入侵者的行动.
对于windows日志
我们可以通过将日志发送到远程日志服务器的方式来保证记录的完整性.
evtsys工具(https://engineering.purdue.edu/ECN/Resources/Documents)
提供将windows日志转换成syslog格式并且发送到远程服务器上的功能.
使用此用具.并且在远程服务器上开放syslogd,如果远程服务器是windows系统.
推荐使用kiwi syslog deamon.

我们要达到的目的就是
不让入侵者扫描到主机弱点
即使扫描到了也不能上传文件
即使上传文件了不能操作其他目录的文件
即使操作了其他目录的文件也不能执行shell
即使执行了shell也不能添加用户
即使添加用户了也不能登陆图形终端
即使登陆了图形终端.拥有系统控制权.他的所作所为还是会被记录下来.

额外措施:
我们可以通过增加一些设备和措施来进一步加强系统安全性.
1.代理型防火墙.如ISA2004
代理型防火墙可以对进出的包进行内容过滤.
设置对HTTP REQUEST内的request string或者form内容进行过滤
将SELECT.DROP.DELETE.INSERT等都过滤掉.
因为这些关键词在客户提交的表单或者内容中是不可能出现的.
过滤了以后可以说从根本杜绝了SQL 注入
2.用SNORT建立IDS
用另一台服务器建立个SNORT.
对于所有进出服务器的包都进行分析和记录
特别是FTP上传的指令以及HTTP对ASP文件的请求
可以特别关注一下.

本文提到的部分软件在提供下载的RAR中包含
包括COM命令行执行记录
URLSCAN 2.5以及配置好的配置文件
IPSEC导出的端口规则
evtsys
一些注册表加固的注册表项.

实践篇

下面我用的例子.将是一台标准的虚拟主机.
系统:windows2003
服务:[IIS] [SERV-U] [IMAIL] [SQL SERVER 2000] [PHP] [MYSQL]
描述:为了演示,绑定了最多的服务.大家可以根据实际情况做筛减

1.WINDOWS本地安全策略 端口限制
A.对于我们的例子来说.需要开通以下端口
外->本地 80
外->本地 20
外->本地 21
外->本地 PASV所用到的一些端口
外->本地 25
外->本地 110
外->本地 3389
然后按照具体情况.打开SQL SERVER和MYSQL的端口
外->本地 1433
外->本地 3306
B.接着是开放从内部往外需要开放的端口
按照实际情况,如果无需邮件服务,则不要打开以下两条规则
本地->外 53 TCP,UDP
本地->外 25
按照具体情况.如果无需在服务器上访问网页.尽量不要开以下端口
本地->外 80
C.除了明确允许的一律阻止.这个是安全规则的关键.
外->本地 所有协议 阻止

2.用户帐号
a.将administrator改名,例子中改为root
b.取消所有除管理员root外所有用户属性中的
远程控制->启用远程控制 …

如果要加强Apache服务器的安全性，就应该检查CGI（公共网关接口）的使用。一个应用程序中的漏洞通常在用户接触数据库时的某个地方暴露出来，而这个地方正是CGI。它是Web服务器和外部程序之间的桥梁，用来告知这些程序该如何执行以满足浏览器的需求。CGI控制着两个方向的数据格式。它是一个协议，而不是一种语言，可以用很多方法来实现。

寻找安全漏洞

　　CGI脚本的一个大问题是服务器的默认设置很容易被利用。下面一些是最危险的：

1．以Web服务器用户运行。默认地，所有的 CGI脚本以相同的用户身份运行，即Web服务器本身。虽然这看起来像一个安全性的大敌，却是有意义的。CGI脚本控制着拥护和服务器之间的接口，因此这些脚本需要不同的文件访问权限。给所有的脚本以Web服务器本身的权限，然后再由管理员逐个程序来限制，这样的默认设置简单明了。问题是，管理员永远也完成不了这些限制工作。

2．脚本目录很容易被找到。导致脚本易于被访问和操纵。服务器上默认存放CGI脚本的目录是cgi-bin。如果黑客知道了脚本的位置，就等于拥有了打开宝藏库的钥匙。

3．扩展名众所周知。默认的，CGI脚本扩展名为.cgi。Apache服务器将所有扩展名为.cgi的文件都当作CGI来处理。如果整个服务器都这样通过扩展名来识别脚本而且不将脚本限制在某个目录中的话，黑客就可以运行未经授权的CGI脚本而不需要经过管理员的允许。

紧密封装起来
　　CGI脚本嵌入在Web应用程序中，带着用户直接进入服务器内部，在这里脚本拥有权限，能够访问服务器资源，恶意的用户会滥用这些权限。但是你可以在此增加一层保护层，办法是将CGI脚本封装隔离起来，从而使CGI脚本、应用程序以及用户无法利用服务器的设置缺陷。封装器可以拥有访问CGI脚本所必须的权限和资源，这样黑客最多只能拥有封装器的权限和资源，而不是脚本本身。

SuEXEC可以解决大多数问题

　　Switch User for Exec（suEXEC）是一个用来对付很多CGI危险的管理工具。它允许服务器管理员以用户而不是Web服务器用户身份运行CGI脚本。一个用户的程序将以其ID运行。使用CGI脚本的应用程序就能被限制在它们特定的用户环境下。

　　这就解决了权限问题。你已经有效地创建了一个封装，将用户与系统root权限隔离起来。另外，每次有脚本运行时，suEXEC包装器都将检查其安全性，动态验证程序调用、用户、文件位置和权限，以及所有由管理员定义的东西。

启用suEXEC

　　从1.2版开始，suEXEC成为Apache的一部分。1.3.x版本以后，它的启用成为Apache配置的一部分内容，键入以下命令：

enable-suexec

指定名字和路径（区别于用户路径）也很简单：

suexec-

caller=USERNAME

suexec-docroot=DIR (default is htdocs)

　　你可以设置其他参数来加强用户ID的安全性。这包括设置合法的文件路径、用户ID限制以及合法的用户根目录。更多请参考文档说明。

其它CGI包装器

　　一个名为FastCGI的基于库的包装器也是一种选择。它更像一个对付黑客面向程序员的工具而不是一个管理员工具。FastCGI扩展了CGI规范，提供了包含安全I/O方法的程序插件。这就允许开发者可以将使用其他方法来加强CGI脚本安全性，例如调整内存段的使用以防其被误用。

　　CGIWrap在Web服务器和可执行程序之间建立了一个附加层，它与suEXEC在很多方面相似，例如以非Web服务器用户身份运行CGI脚本。它也在每个脚本运行时进行安全性检查。

使用别名

　　可以通过为脚本目录起晦涩难懂的名字来阻止恶意用户查询CGI脚本。除了cgi-bin目录，服务器不会执行其它目录下的CGI脚本。但是使用别名，就可以隐藏它。在配置文件httpd.conf中这样做：

ScriptAlias� /cgi-bin/� \”/alternate_directory/cgi-bin/\”

　　这就使得服务器将这个替换目录中的文件作为CGI脚本对待，而正常情况下服务器只认cgi-bin目录下的文件。当然要确保限制用户访问这个目录，否则用户能够通过root权限将自己的CGI脚本放进这个目录，而服务器还会允许其执行。

名字包含什么意思

　　另一个CGI默认设置是服务器被动地假定任何CGI脚本（例如，扩展名为.cgi的文件）在所有Web服务器可以访问的目录下都是可以使用的。（这种情况只在已经启用了用这种方式鉴别CGI脚本的处理器才会出现，设置于httpd.conf。）

　　使CGI在特定目录执行比在整个服务器中都可以执行要容易。只需为每个可以执行脚本的目录的Options添加ExecCGI就行。这样，就为特定用户和程序限制了CGI脚本的I/O和资源分配。记住这种功能是一把双刃剑，粗心大意的使用会给黑客入侵提供有效的途径，如同正确使用可以阻止他们一样。

第一部分 Unix历史与发展

1.1 UNIX简介
UNIX 已有数十年的历史，在这期间，它的改变即使没有上亿次，也有数百万次了，有成千上万的个人和公司实现了上千种不同的版本，有上百万系统管理员在从微型嵌入式系统到超级 计算机上都安装过它。无可争论，没有两个实际的UNIX操作系统是完全相同的。

　　UNIX”一词是属于Open Group的一个商标，该组织是一个要求符号得到正确归属的国际 协会。在这数十年当中，该标识已经被冲淡到没有具体含义。虽然如此，Open Group仍发布 了“The Single UNIX Specification”，这可以在http://www.UNIX-systems.org/online. html上看到。

　　“Unix”是双关语，表示名字Multics，它最初被写作“Unics”，表示UNiplexed Information and Computing System。“Unix”和“UNIX”在如今都被广泛使用。曾经有一段时间，Dennis Ritchie试图宣布用小写版本，因为“UNIX”不是开头字母组成。

　　许多运行Linux等类似UNIX系统的人认为他们运行的是UNIX。正式UNIX系统和非正式UNIX系统通常被认为属于一类—-不论是书中、媒介、网上还是社会公认。

　　按照UNIX FAQ的定义，UNIX是“一个用C语言编写的操作系统，它有层次文件系统并集成了文件和设备I/O，其系统调用接口包括fork ( )和pipe ( )等服务，用户界面包括cc、troff、grep、awk等工具和一个被选择的shell”。可以再加一些，UNIX为多任务提供一致的方式，并内置有创建、同步和终止进程的操作，它可在不同种类计算机间进行移植。

1.2 UNIX发展与历史
1969年，Ken Thompson、Dennis Ritchie和其他一些人在AT&T贝尔实验室开始进行一个“little-used PDP-7 in a corner”的工作，它后来成为UNIX。10年里，UNIX在AT&T的发展经历了数个版本。V4（1974）用C语言重写，这成为系统间操作系统可移植性的一个里程碑。V6（1975）第一次在贝尔实验室以外使用，成为加州大学伯克利分校开发的第一个UNIX版本的基 础。

贝尔实验室继续在UNIX上工作到80年代，有1983年的System …

Win2003 Server的安全性较之Win2K确实有了很大的提高，但是用Win2003 Server作为服务器是否就真的安全了？如何才能打造一个安全的个人Web服务器？下面我们简单介绍一下……

　　一、Windows Server2003的安装

　　1、安装系统最少两需要个分区，分区格式都采用NTFS格式

　　2、在断开网络的情况安装好2003系统

　　3、安装IIS，仅安装必要的 IIS 组件（禁用不需要的如FTP 和 SMTP 服务）。默认情况下，IIS服务没有安装，在添加/删除Win组件中选择“应用程序服务器”，然后点击“详细信息”，双击Internet信息服务(iis)，勾选以下选项：

　　Internet 信息服务管理器；

　　公用文件；

　　后台智能传输服务 (BITS) 服务器扩展；

　　万维网服务。

　　如果你使用 FrontPage 扩展的 Web 站点再勾选：FrontPage 2002 Server Extensions

　　4、安装MSSQL及其它所需要的软件然后进行Update。

　　5、使用Microsoft 提供的 MBSA（Microsoft Baseline Security Analyzer） 工具分析计算机的安全配置，并标识缺少的修补程序和更新。下载地址：见页末的链接

　　二、设置和管理账户

　　1、系统管理员账户最好少建，更改默认的管理员帐户名（Administrator）和描述，密码最好采用数字加大小写字母加数字的上档键组合，长度最好不少于14位。

　　2、新建一个名为Administrator的陷阱帐号，为其设置最小的权限，然后随便输入组合的最好不低于20位的密码

　　3、将Guest账户禁用并更改名称和描述，然后输入一个复杂的密码，当然现在也有一个DelGuest的工具，也许你也可以利用它来删除Guest账户，但我没有试过。 …

编前:本文全面细致的介绍了在Linux下加固apache+php+mysql的方法，通过仔细阅读本文,你可以快速掌握安全配置apache,php,和mysql的方方面面，还有chroot这个前沿而强悍的技术，依靠这些知识，完全可以让你的WWW服务器在层出不穷的SQL注射(SQL Injection)和CSS跨站脚本攻击(Cross Site Script)中屹立不倒。

从动网的几个漏洞到独孤剑客的网站被黑，脚本攻击闹的沸沸扬扬，可见它在网络攻击中终于显现出他的重要性了。由于程序开发人员无意或有意的不小心，用Perl、PHP、ASP等编写的脚本就会出现这样或那样的错误，轻则导致泄露路径，重则导致整个服务器被攻陷甚至蔓延到整个网络。难道我们就非得把所用的脚本读N遍，认真的分析？我相信不是人人都有这等功力的，就算有这样的功力也不会枉费那么多的时间和精力。
你可能会问：“我既想用网上免费的程序，又不想因此受到重创。难道就没有一个两全的办法？”

针对windows主机，我们可以使用IISLockdown,SecureIIS之类的

针对*nix主机给大家提出两个方案，一个就是给apache装上mod-security模块，另外一个办法就是把LAMP放置在一个chroot jail环境中。当然，最强的还是把两个方案结合在一起咯
下面，让我们一起来分享这两个方案
前提：我们只需要有普通的linux操作经验，包括vi的使用等

首先，我们先弄清楚几个概念

什么是Debian:一个完全自由的Linux操作系统，他最令我心仪的就是他的apt包管理工具，让你安装或者升级软件无忧！如果你是CERNET用户的话，推荐你到电子科大http://debian.ustc.edu.cn或者我的网站http://secu.zzu.edu.cn升级，CHINANET用户可以在http://mirror.gennkbone.org升级

什么是LAMP:就是Linux Apache MySQL Php的缩写，几乎是最强的架站组合

什么是chroot:是change root的缩写，就是把一个进程守护程序限制在某个特定的root环境中执行，这个被chroot了的程序几乎接近无法访问任何超出了这个root的任何文件或空间，这个root目录（也就是下面我们说到的jail）包含了执行进程守护程序所需要的所有文件，在你正确配置之后，绝大多数的入侵者是不可能跳出jail而接触到外面的文件的。这样我们就可以最大限度的限制入侵者保护自己。

本文主要涉及到的软件

makejail http://www.floc.net/makejail/
是一个自动把建立jail所需要的程序放到jail内的软件，使用python编写,他有debian和openbsd的版本

Zend Performance Suit http://www.zend.com
Zend公司开发的一套给PHP加速的东西，包括一个代码优化器(optimizer)和一个加速器(accelerator)

,还有cache功能,很好使的，有了他，php程序跑起来就跟飞一样！可以申请30天试用版本的，如果你觉得好用的话就买下来吧

mod-security http://www.modsecurity.org/
他是apache的一个模块，他有请求过滤，日志审计等功能，可以防止SQL Injection，跨站脚本攻击，很不错的一个模块

OK，动手
我们假设我们手头上有一个装好的debian woody，并且已经正确设置了了apt源

二话不说，先升级到debian sarge,也就是testing版本，我觉得这个版本还是不错的，因为他的软件比较新，而且有security支持，最主要这个版本的软件列表包含makejail这个软件

首先su到root升级系统并安装apache,php,mysql,gd
更新apt源，我在教育网，所以使用中科大的apt源debian.ustc.edu.cn速度很快
[root@debian /]apt-get update (如图update.jpg)
再更新所有软件包
[root@debian /]apt-get dist-upgrade(如图upgrade.jpg)

[root@debian /]apt-get install apache php4 php4-gd2 php4-mysql mysql-server mysql-client
并且把extension=gd.so和extension=mysql.so加到php.ini中
你的系统就已经装上了apache-1.3.27,php-4.1.2,mysql-4.0.13
这样一个基本的LAMP就起来了，简单吧。
再加一个系统用户，这个用户是我们等会chroot要用的
[root@debian /]adduser –home /chroot/apache –shell /dev/null –no-create-home –system –group chrapax

接着我们编辑httpd.conf文件并做一些修改，删除多余的apache模块并激活php模块

[root@debian /]vi …

第三部分 常见Unix安全设置方案

3.1 Solaris 系列
3.1.1 PROM OpenBoot 和物理安全
3.1.1.1 OpenBoot安全级别

none ：不需要任何口令。所有OpenBoot设置都可以修改，任何人只要物理接触到主控台，就可以完全控制。command：除了boot和go之外所有命令都需要口令。full：除了go命令之外所有命令都需要口令。

3.1.1.2 改变OpenBoot安全级别
首先使用eeprom security-password 命令设置OpenBoot口令，然后在root登入状态使用eeprom security-mode=command命令改变安全级别为command或在OK状态：ok setenv security-mode=command的密码保护来实现。

3.1.2 文件系统的安全

3.1.2.1 基础知识
文件系统是unix系统安全的核心。在unix中，所有的事物都是文件。Unix中的基本文件类型有正规文件、目录、特殊文件、链接、Sockets等等。这些不同类型的文件以一个分层的树结构进行组织，以一个叫\”root\”的目录为起始位置(\”/\”)。整个就是一个文件系统。每个文件对应一个\”i节点\”，\”i节点\”包括UID(文件拥有者)、GID(文件所在组)、模式(文件的权限)、文件大小、文件类型、ctime(\”i节点\”上次修改时间)、mtime(文件上次修改时间)、atime(文件
上次访问时间)、nlink(链接数)。它表示了文件的基本属性。

大家注意到，\”/\”下有很多的目录，那么这些目录是干什么的呢？下面简要介绍一下目录结构。如下：

/bin 用户命令的可执行文件
/dev 特殊设备文件
/etc 系统执行文件、配置文件、管理文件，主要是配置文件
/home 用户起始目录
/lib 引导系统以及在root文件系统中运行命令所需的共享库文件
/lost+found 与特定文件系统断开连结的丢失文件
/mnt …

第四部分 总结

没有绝对安全的网络系统，网络信息对抗是一个长期的研究课题，安全问题是多种多样，且随着时间技术的变化而变化，而黑客的侵入手段也随之不断变化，所以安全防护也是非常重要的，保持清醒正确的认识，同时掌握最新的安全问题情况，再加上完善有效的安全策略，是可以阻止大部分的网络入侵，从而保持最小程度的经济损失。

第五部分 附录

5.1 Free BSD系列

FreeBSD 是一个非常安全的操作系统。也正因为它的 source code 是可以免费的取得,这个 OS 长久以来不断的有人改进加强。尽管 FreeBSD 一出厂就非常安全, 但是仍然有更多加强安全性的措施,这份 HOW-TO 会教你一些步骤, 以更加强你机器的整体安全。

5.1.1 网络

5.1.1.1 inetd (Inet Daemon)
网络在系统安全上扮演了一个很重要的角色。FreeBSD 的根基是有着内建网络功能, 且具有最稳最快的 TCP/IP stacks 的 4.4BSD。这个 stack 支持了非常多的协议像是telnet, ftp, talk, rsh 等… …

三、常见Unix安全设置方案-2.Linux系列

3.2 Linux 系列
3.2.1物理安全
3.2.1.1 BIOS安全，设定引导口令
禁止从软盘启动，并且给BIOS加上密码。每次启动的时候都手工检查一下BIOS，这样可以提高系统的安全性。禁止从软盘启动，可以阻止别人用特殊的软盘启动你的计算机；给BIOS加上密码，可以防止有人改变BIOS的参数，比如：允许从软盘启动或不用输入口令就可以引导计算机。

3.2.1.2 安全策略
有一点很重要而且必须指出的是：如果你不知道要保护什么，那么更本没有办法保证系统的安全。所以必须要有一个安全策略，基于这样的一个策略才可以决定哪些东西允许别人访问，哪些不允许。如何制定一个安全策略完全依赖于你对于安全的定义。下面的这些问题提供一些一般性的指导方针：

1）如何定义保密的和敏感的信息？
2）重点防范
3）远程用户有必要访问你的系统吗？
4）系统中有保密的或敏感的信息吗？
5）如果这些信息被泄露给你的竞争者和外面的人有什么后果？
6）口令和加密能够提供足够的保护吗？
7）你想访问Internet吗？
8）你允许系统在Internet上有多大的访问量？
8） 如果发现系统被黑客入侵了，下一步该怎么做？

这个列表很短，真正的安全策略可能包含比这多得多的内容。可能你要做的第一件是：评估一下自己的偏执程度。任何一个安全策略多少都有一定程度的“偏执”：确定到底在多大程度上相信别人，包括内部的人和外部的人。安全策略必须在允许用户合理地使用可以完成工作所必须的信息和完全禁止用户使用信息之间找到平衡点。这个平衡点就是由系统策略决定的。

3.2.1.3 口令
这章的Linux安全概要就从口令的安全开始讲起。许多人都把所有的东西保存在计算机上，防止别人查看这些信息的方法就是用口令把计算机保护起来。没有什么东西是绝对安全的。与常识相反的是：无法破解的口令是不存在的。只要给足时间和资源，所有的口令都能用社会工程(译者注：原文是social engineering，找不出更好的翻译，大致的意思是用社会和心理学的知识，而不是用纯粹的技术手段)或强行计算的方法猜出来。

通过社会工程或其它方法获得服务器的口令是最简单和最流行的入侵服务器的方法。决大多数的技术支持人员很容易获得其他用户的口令，因为用户的安全意识很差而且很轻易就相信自己的同事，特别是帮助自己解决问题的人。有很多登记在案的成功入侵就是因为一些别有用心的人利用安全管理上的松懈而获得成功的。有时候，在特定的时间在特定的地点，上级或老板对员工喊话就有可能泄露机密，导致可怕的后果。

因为破解口令是一项很耗时间和资源的工作，所以应该使得口令文件难于破解，这样即使黑客获取了口令文件也不能轻易破解。作为一个系统管理员，自己在每个周末运行一下口令破解程序，是保证系统安全的好方法。这有利于尽早地发现和替换那些很容易被猜出来的口令。而且，还要有一个好的口令检查机制，在用户选择新口令或改变旧口令的时候，来排除那些有安全隐患的口令。那些字典里的单词、或者全是大写或全是小写的以及没有包含数字或特殊字符的字符串是不能用来做口令的。我建议用下面的规则选择有效的口令：

口令至少要有6个字符，最好包含一个以上的数字或特殊字符。
口令不能太简单，所谓的简单就是很容易猜出来，也就是用自己的名字，电话号码、生日、职业或者其它个人信息作为口令。
口令必须是有有效期的，在一段时间之后就要更换口令。
口令在这种情况下必须作废或者重新设定：如果发现有人试图猜测你的口令，而且已经试过很多次了。

安装完Linux系统之后默认的最小口令长度为5。这就是说一个新的用户可以访问服务器，那么他的口令必须多于5字符。但是这样是不够安全的，最好口令的长度能够大于8。可以强制用户使用8个字符以上的口令。编辑“/etc/login.defs”文件，把最小口令长度由5改成8。

找到PASS_MIN_LEN 5 这一行，改为：PASS_MIN_LEN 8 。“login.defs”是很重要的配置文件。可以在这个文件中设定一些其它的安全策略，比如：口令的有效期。

3.2.1.4 root帐号
“root”帐号是Unix系统中享有特权的帐号。“root”帐号是不受任何限制和制约的。因为系统认为root知道自己在做些什么，而且会按root说的做，不问任何问题。因此，可能会因为敲错了一个命令，导致重要的系统文件被删除。用root帐号的时候，要非常非常小心。因为安全原因，在不是绝对必要的情况下，不要用root帐号登录。特别要注意的是：不在自己的服务器上的时候，千万不要在别的计算机上用“root”登录自己的服务器。这是非常非常
非常糟糕的一件事。

3.2.1.5 加密 …

1. 最新补丁包和适用的补丁
打SQL Server 7.0 Service Pack 3 (SP3)
在情况允许的情况下建议ip sokets不要使用1433端口。

2. 访问控制列表
对于sa和用户的帐号使用加强密码。
去掉数据库中的guest用户
检查所以不需要sa权限的存储过程和扩展存储过程访问权限。

3. 口令加密机制
为使SQL Server安全，Microsoft推荐使用Windows Integrated Security。在Windows Integrated Security模式口令不再被存储，同时你的Windows Domain sign-on被用作数据库服务器的安全标识。在这种模式下，SQL用户将与Windows用户帐号相联系，而不必创建专门的SQL用户ID.

4. 空数据造成的拒绝服务漏洞

打SQL Server 7.0 Service Pack 3 (SP3)

5. MSDE扩展存储过程缓冲区漏洞
NSFOCUS建议您暂时禁止使用这些有问题的扩展存储过程,
xp_peekqueue (xpqueue.dll)
xp_printstatements (xprepl.dll)
xp_proxiedmetadata (xprepl.dll)
xp_SetSQLSecurity (xpstar.dll)
xp_displayparamstmt(xprepl.dll)
xp_enumresultset(xprepl.dll)
xp_showcolv (xprepl.dll)
xp_updatecolvbm (xprepl.dll)

6. 缓存连接漏洞
打Intel SQL Server 7.0 patch (s70996i.exe)