高校Web系统安全防范

【 摘 要 】 Linux+Apache组合是开源环境下很广泛的Web服务器选择。文章从系统配置、第三方工具、应用程序配置和管理等几个方面对Linux环境下Web系统的安全做一些探讨。

【 关键词 】 Linux Web；安全；漏洞

The Security of University Website

Shi Shou-le

（Modern Education Technology Center of Anhui Medical University AnhuiHefei 230032）

【 Abstract 】 The combination of Linux + Apache is very extensive choice of Web server in open source environment. This article discussed the website security from the system configuration、the third party tools、application configuration and management aspects of the Linux environment.

【 Keywords 】 Linux Web; security; holes

1 引言

大学门户网站系统已经从简单信息平台，逐步演化为汇集远程教育、资源共享、招标采购、招生就业等功能的综合业务平台，有着日益广泛的影响力。众多高校门户网站被挂马、被篡改的案例告诉我们，Web系统安全是校园信息安全的重中之重。

Linux系统因为强大的面对网络应用的性能和丰富的功能，在Web服务器领域有着举足轻重的影响力。Linux是一种相对安全的操作系统，相对于Windows系统，这种安全除了来自于自身健壮性，还得益于其作为服务器操作系统的使用门槛以及PC桌面用户对其熟悉程度不高。作为开源系统，一旦有新的系统漏洞被发现，世界各地的开源志愿者就会积极踊跃地来及时修补它，然而相对于操作系统自身的漏洞，更多的威胁来自于系统和应用程序的配置缺陷以及管理上的漏洞。文章将对Linux系统下Web（Apache服务器）安全做一些探讨。

2 Linux系统安全

2.1 检测是否有入侵

如果Web服务器没有在出口做地址映射，而是直接连接到公网上，那么服务器就会有个固定的IP地址，通常会有许多非法用户尝试登录系统，查看 /var/log/secure可以得到相关信息。

2.2 口令安全

口令安全是系统安全的第一步，从理论上说没有破解不了的口令，只要有足够的资源和时间就可以做到，口令必须保证一定的复杂度并且自己能够记住，不能在任何地方写出来，特别是不能写在电子文档里，因为在PC系统里，很难做到干净的系统，这是享用一些盗版或免费软件大餐时所付出的代价，所以才有保密原则里的“上网不，不上网”。

2.3 禁止不必要的服务

设置/etc/xinetd.conf所有者为root，且权限为600。同时禁止作为Web服务器不必要的服务，如imap、login、shell、telnet、talk、ntalk、auth、etc 、finger、 pop-2、pop-3。

2.4 配置TCP-WRAPPERS

Linux默认允许所有的请求，在/etc/hosts.deny里放入ALL：ALL，然后将允许的请求放入/etc/hosts.allow，如sshd：10.10.10.10/255.255.255.0 allow.省略

允许IP地址为10.10.10.10/24和主机名allow.省略进行ssh连接。

2.5 禁ping

阻止系统响应任何ping包请求。如果没有人能接收到对系统的ping包回应，将大大增强站点的安全性。例如可以将echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all 加入到/etc/rc.d/rc.local里，以便系统每次启动自动加载，或者在iptables里加入规则：[root@ad]#iptables A INPUT P icmp j DROP。

2.6 只允许一个终端登录

/etc/securetty文件制定允许root登录的设备，它被/bin/login程序读取，其格式一般如下：

tty1

#tty2

#tty3

可以注释掉后面的几个，只留下一个。

2.7 禁用特别账号

禁用所有在安装系统和应用程序时默认添加并且在实际中不需要的账号，账号越多受到攻击的可能性越大，以下是作为Web站点一般不需要的账号：adm、lp、sync、shutdown、halt、mail,直接删除。如果不要sendmail服务器和服务，删除用户news、uucp、operator、games和组news、uucp、games；如果不用X Windows服务器和服务，删除用户gopher、ftp和组dip、ppusers、popusers；如果不用匿名FTP，删除用户ftp和组adm、lp、mail；如果不用pop服务器，删除组slipusers。同时用chattr命令给/etc/passwd、/etc/shadow、/etc/group、/etc/gshadow加上不可更改属性，如[root@ad]#chattr +i /etc/passwd。

2.8 禁止普通用户su到root

修改/etc/ssh/sshd.config文件，PermitRootLogin改成no，再重启ssh服务。[root@ad]#/etc/rc.d/sshd restart。

最后为避免仍有普通用户登陆后将权限提升到root的可能，将su命令属主改为root，将su命令的权限改为700。

2.9 开启Linux系统自带防火墙

以下命令依次为打开iptables，清空所有规则，输入输出链默认动作设置为DROP，再根据需要打开需要的端口（80），允许lookback，保存退出，重启生效

[root@ad]#chkconfig iptables on

[root@ad]#iptables F

[root@ad]#iptables P INPUT DROP

[root@ad]#iptables P OUTPT DROP

[root@ad]#iptables A INPUT P tcp ddport 80 j ACCEPT

[root@ad]#iptables A OUTPT P tcp sport 80 j ACCEPT

[root@ad]#iptables A INPUT i lo P all j ACCEPT

[root@ad]#iptables A OUTPT o lo P all j ACCEPT

[root@ad]#/etc/rc.d/init.d/iptables save

[root@ad]#Service iptables restart。

2.10 配置日志服务器

Linux使用syslogd作为日志监控进程，配置独立的日志服务器，记录包括Web服务器在内的众多日志信息，方便从众多日志记载中获得有价值信息，同时可以避免在系统遭入侵后，黑客删除痕迹，以作评估。

3 Apache服务器安全

合理地配置可以使Apache服务器免遭很多攻击。

3.1 打好补丁

及时升级系统或添加补丁，用最新最高版的安全版本对加强Apache服务器的安全至关重要。例如果将openssl升级到0.9.8e或者更高版本，伪造的密钥将渗透不到系统里去。

3.2 隐藏Apache的版本信息

软件的版本号对攻击者来说极有价值，黑客还可以从中知道哪些配置处于默认状态。去除版本号可以修改/etc/，如果没有，则会动态显示该目录的列表，从而暴露了Web站点的目录结构，因此可以通过修改httpd.conf，通过option指令禁止Apache使用目录索引，修改如下：[root@ad]#Options Indexes FolowSymLinks。

4 第三方设备防护

4.1 安全监测

网站的安全漏洞是受攻击的根源，可以通过升级程序以及依靠经验来保护系统，但是新的漏洞总在不断地被发现，靠人力手工来应付这种更新会很力不从心。另外现在的管理员面对的是越来越多的设备和系统，所以提前定期地对系统进行扫描，借助第三方设备尽早发现系统漏洞，采取措施，可以防患于未然。有一款行业领先的漏扫工具显得很有必要。

4.2 Web应用防火墙

传统边界防火墙只是针对一些底层（网络层、传输层）的信息进行阻断，它是以IP包五元组为基础的包过滤行为，Web应用防火墙用到的是应用层的访问控制列表，它面对的对象是网站的地址、网站的参数、整个网站互动过程中所提交的一些内容，包括HTTP协议报内容。由于Web应用防火墙对HTTP协议的完全认知，通过深度包检测技术（DPI），可以知道是否有攻击行为，IPS也只是做部分认知，不能做深层次的扫描，漏洞扫描工具是做到事前防范，Web应用防火墙则是做到在线防御。

5 落实管理制度

好的管理制度是网站安全必不可少的手段。这些制度包括密码维护、数据备份和恢复、数据容灾、网站安全应急预案、网站管理员培训等等。制度的制定通常都有章可循，更重要的是制度的落实和坚持。

6 结束语

网站安全已经变得非常重要，它关系到数据安全，关系到舆论影响，但是网站安全没有绝对可靠的方案，它是一项系统工程，需要从多个层面去关注。只有立体式多方位的防护，才可以保护我们的Web系统，或者在系统遭受攻击后可以做出科学评估和迅速恢复。

参考文献

[1] 吴应嘉. 基于Linux系统下的Web服务器安全探讨. 《网络天地》.

[2] 尹欣. Linux系统的安全性. 《Linux应用实例与技巧》,2001.

[3] linux.省略/techdoc/system/2007/03/23/953026/shtml.

[4] 何财发. 探析高校校园网络安全.《安全+》技术版, 2011年12期.

作者简介：

史寿乐（1977-），男，内蒙古科技大学，本科毕业，工学士，现任职于安徽医科大学现代教育技术中心；研究方向：信息安全。