|
|
| |
|
| |
增强WEB服务器IIS安全性的五个简单有效措施
Web服务在任何网络中都是最容易遭受攻击的。也许你正在使用最受欢迎的Web服务器,微软的网络信息服务器(IIS)。尽管最 近释放的IIS 6.0增强了安全性,但并不是万能的。你可以采取五个简单的措施使你的IIS 6.0更安全。
只使用IIS与商务需求相关的组件
IIS 6.0的改变之一就是,IIS只默认使用不可或缺的静态网页服务。注意保持这种配置,只开启你真正需要的服务。
严格限制分配给IUSR_systemname帐户的访问权限
运行在服务器上的许多应用程序都调用IUSR(互联网用户)帐户,代表未经许可的网络用户与系统进行交互。这实际上限制了这个帐户对服务器必需的操作的权限。
使用自动升级实时更新安全修补程序
尽管新版本比先前的版本在安全方面有显著的改进,如果历史重演(微软似乎经常如此),释放的6.0版很快就会因为安全原因有一个或更多的修补程序。使能自动升级保证你尽快收到修补程序。
…… |
|
Web应用服务器集群系统,是由一群同时运行同一个web应用的服务器组成的集群系统,在外界看来,就像是一个服务器一样。为了均衡集群服务器的负载,达到优化系统性能的目的,集群服务器将众多的访问请求,分散到系统中的不同节点进行处理。从而实现了更高的有效性和稳定性,而这也正是基于Web的企业应用所必须具备的特性。
一、计算WEB服务器负载量的两种方法
web应用服务器集群系统,是由一群同时运行同一个web应用的服务器组成的集群系统,在外界看来,就像是一个服务器一样。为了均衡集群服务器的负载,达到优化系统性能的目的,集群服务器将众多的访问请求,分散到系统中的不同节点进行处理。从而实现了更高的有效性和稳定性,而这也正是基于Web的企业应用所必须具备的特性。
高可靠性可以看作为系统的一种冗余设定。对于一个特定的请求,如果所申请的服务器不能进行处理的话,那么其他的服务器能不能对之进行有效的处理呢?对于一个高效的系统,如果一个Web服务器失败的话,其他的服务器可以马上取代它的位置,对所申请的请求进行处理,而且这一过程对用户来说,要尽可能的透明,使用户察觉不到!
稳定性决定了应用程序能否支持不断增长的用户请求数量,它是应用程序自身的一种能力。
…… |
|
双机热备集群服务器等必须注意的事项
web应用服务器集群系统,是由一群同时运行同一个web应用的服务器组成的集群系统,在外界看来,就像是一个服务器一样。为了均衡集群服务器的负载,达到优化系统性能的目的,集群服务器将众多的访问请求,分散到系统中的不同节点进行处理。从而实现了更高的有效性和稳定性,而这也正是基于Web的企业应用所必须具备的特性。
高可靠性可以看作为系统的一种冗余设定。对于一个特定的请求,如果所申请的服务器不能进行处理的话,那么其他的服务器能不能对之进行有效的处理呢?对于一个高效的系统,如果一个Web服务器失败的话,其他的服务器可以马上取代它的位置,对所申请的请求进行处理,而且这一过程对用户来说,要尽可能的透明,使用户察觉不到!
稳定性决定了应用程序能否支持不断增长的用户请求数量,它是应用程序自身的一种能力。稳定性是影响系统性能的众多因素的一种有效的测量手段,包括机群系统所能支持的同时访问系统的最大用户数目以及处理一个请求所需要的时间。
…… |
|
双机热备集群服务器等必须注意的事项
在进行双机热备、集群及高可用性软件产品的选择时,可按以下步骤进行:
1. 明确应用的方式与要求:
是双机方式还是多点集群?或者是目前使用双机、以后可能升级到集群?
在应用双机热备时,有多种应用模式,典型的包括主从、互备、多点集群三大类:主从模式是最标准、最简单的双机热备,即是目前通常所说的active/standby方式。它使用两台服务器,一台作为主服务器(Active),运行应用系统来提供服务。另一台作为备机,安装完全一样的应用系统,但处于待机状态(Standby)。当active服务器出现故障的时候,通过软件诊测(一般是通过心跳诊断)将standby机器激活,保证应用在短时间内完全恢复正常使用。
双机互备,在双机热备的基础上,两个相对独立的应用在两台机器同时运行,但彼此均设为备机,当某一台服务器出现故障时,另一台服务器可以在短时间内将故障服务器的应用接管过来,从而保证了应用的持续性。这种方式实际上是双机热备的一种应用。它避免了两个应用使用四台服务器分别实现双机热备。
但双机互备存在着性能瓶颈,即如果进行切换后,在一台服务器上就有同时运行两个应用,有可能负载过大。并且,有些情况下会有不止两台服务器对外提供服务。
…… |
|
双机热备集群服务器等必须注意的事项
在进行双机热备、集群及高可用性软件产品的选择时,可按以下步骤进行:
1. 明确应用的方式与要求:
是双机方式还是多点集群?或者是目前使用双机、以后可能升级到集群?
在应用双机热备时,有多种应用模式,典型的包括主从、互备、多点集群三大类:主从模式是最标准、最简单的双机热备,即是目前通常所说的active/standby方式。它使用两台服务器,一台作为主服务器(Active),运行应用系统来提供服务。另一台作为备机,安装完全一样的应用系统,但处于待机状态(Standby)。当active服务器出现故障的时候,通过软件诊测(一般是通过心跳诊断)将standby机器激活,保证应用在短时间内完全恢复正常使用。
双机互备,在双机热备的基础上,两个相对独立的应用在两台机器同时运行,但彼此均设为备机,当某一台服务器出现故障时,另一台服务器可以在短时间内将故障服务器的应用接管过来,从而保证了应用的持续性。这种方式实际上是双机热备的一种应用。它避免了两个应用使用四台服务器分别实现双机热备。
但双机互备存在着性能瓶颈,即如果进行切换后,在一台服务器上就有同时运行两个应用,有可能负载过大。并且,有些情况下会有不止两台服务器对外提供服务。
…… |
|
让虚拟主机免受FSO威胁
现在绝大多数的虚拟主机都禁用了ASP的标准组件:FileSystemObject,因为这个组件为ASP提供了强大的文件系统访问能力,可以对服务器硬盘上的任何文件进行读、写、复制、删除、改名等操作(当然,这是指在使用默认设置的WindowsNT/2000下才能做到)。但是禁止此组件后,引起的后果就是所有利用这个组件的ASP将无法运行,无法满足客户的需求。
如何既允许FileSystemObject组件,又不影响服务器的安全性(即:不同虚拟主机用户之间不能使用该组件读写别人的文件)呢?这里介绍本人在实验中获得的一种方法。(下文以Windows2000Server为例来说明)
在服务器上打开资源管理器,用鼠标右键点击各个硬盘分区或卷的盘符,在弹出菜单中选择“属性”,选择“安全”选项卡,此时就可以看到有哪些帐号可以访问这个分区(卷)及访问权限。默认安装后,出现的是“Everyone”具有完全控制的权限。点“添加”,将“Administrators”、“BackupOperators”、“PowerUsers”、“Users”等几个组添加进去,并给予“完全控制”或相应的权限,注意,不要给“Guests”组、“IUSR_机器名”这几个帐号任何权限。
…… |
|
让虚拟主机免受FSO威胁
现在绝大多数的虚拟主机都禁用了ASP的标准组件:FileSystemObject,因为这个组件为ASP提供了强大的文件系统访问能力,可以对服务器硬盘上的任何文件进行读、写、复制、删除、改名等操作(当然,这是指在使用默认设置的WindowsNT/2000下才能做到)。但是禁止此组件后,引起的后果就是所有利用这个组件的ASP将无法运行,无法满足客户的需求。
如何既允许FileSystemObject组件,又不影响服务器的安全性(即:不同虚拟主机用户之间不能使用该组件读写别人的文件)呢?这里介绍本人在实验中获得的一种方法。(下文以Windows2000Server为例来说明)
在服务器上打开资源管理器,用鼠标右键点击各个硬盘分区或卷的盘符,在弹出菜单中选择“属性”,选择“安全”选项卡,此时就可以看到有哪些帐号可以访问这个分区(卷)及访问权限。默认安装后,出现的是“Everyone”具有完全控制的权限。点“添加”,将“Administrators”、“BackupOperators”、“PowerUsers”、“Users”等几个组添加进去,并给予“完全控制”或相应的权限,注意,不要给“Guests”组、“IUSR_机器名”这几个帐号任何权限。
…… |
|
卡巴斯基的19种使用方法
一:卡巴安装前一定要完全卸载其它杀软.如果已经发生冲突,在正常的Windows环境下不能反安装任何一个杀软,这时需要进入安全模式下,进行反安装操作.卡巴6.0和瑞星有严重冲突[即使关闭瑞星的监控功能][金山也一样],具体表现在开机进入桌面后就死机!对于很多网友说的,卡巴杀毒后导致系统崩溃无法启动的情况,我也遇到过!个人感觉是病毒或者木马与系统文件产生关联.卡巴提示:无法清除,我都选择的是:删除.删除的过程中与病毒或木马有关联的系统文件也被一起删除,导致系统崩溃!有点宁可错杀1000,不可放过1个的感觉.几次系统崩溃后,我选择了在装完系统后,在系统无毒的情况下马上安装卡巴,再安装各种软件,上网!卡巴的保护功能还是不错的,这样病毒或木马就不是那么容易感染上,也就没有再出现系统崩溃的情况了!
二:一定记得把卡巴"自我保护"小勾选上,防止恶意代码修改卡巴!默认是选上了的,最好不要修改.
三:在第一次装完卡巴后进行全盘扫描[此段时间可能会长点],在以后的扫描时,可以对我们确认安全的文件[如:电影,游戏]不扫描,这样可以大大节省扫描时间.方法:设置——保护——信任区域——排除标记——添加——就可以选择你认为安全的文件了.卡巴扫描压缩包也是相当耗时的.
四:在还原系统或重
…… |
|
最近不少朋友及客户的服务器遇到arp欺骗攻击,造成站点被挂木马.由于是采用ARP技术欺骗,所以主机并没入侵,在服务器里查看网页源码也是没任何挂马代码,但是网站在访问时候却全部被挂马!
开始我也不懂这就是网络传说中的ARP欺骗,后来查了下资料才知道这就是ARP欺骗.ARP欺骗我们要先从ARP工作原理讲起.
我们先熟悉下ARP,大学计算机网络基础课学过,ARP就是地址解析协议.OSI参考模型里将整个网络通信的功能划分为七个层次.由低到高分别是:物理层、链路层、网络层、传输层、会议层、表示层、应用层.第四层到第七层主要负责互操作性,第一层到三层则用于创造两个网络设备间的物理连接.
而ARP欺骗就是一种用于会话劫持攻击中的常见手法.地址解析协议(ARP)利用第2层物理MAC地址来映射第3层逻辑IP地址,如果设备知道了IP地址,但不知道被请求主机的MAC地址,它就会发送ARP请求.ARP请求通常以广播形式发送,以便所有主机都能收到.
在电信一般接终端的交换机都是2层交换机,交换原理是通过ip寻找对应的mac网卡地址,由于TCP/IP协议决定了只会通过mac寻址到对应的交换机的物理端口,所以才会遭到arp欺骗攻击.
友情链接:
…… |
|
攻击者如此青睐Web攻击的一个重要原因是它可以损害一些无辜的站点,并用于感染大量的受害者。事实证明,Web服务器已经被证明是互联网络中的“软柿子”,攻击者们可以充分利用之。这种攻击的唯一受害者就是用户,因为正是用户在浏览受到危害的网站时会将自己暴露给恶意代码。然而,除了用户之外,还有两个受害人,即网站的所有者和管理员。
在近半年来的SQL注入攻击中,这一点尤其明显,在其中,后端数据库可能被恶意代码感染。清理这种攻击的后遗症是很痛苦的,有许多案例证明,清理数据库之后,几小时后会再次遭受攻击。最佳的方法是预防,从一开始就想方设法避免遭受攻击。
在此,笔者只是总结几条技巧,站点所有者和管理员可以遵循之,便可以将遭受攻击的机会最小化。
制定最佳方法
SQL注入攻击并不是新东西,攻击者们掌握这项技巧已经有许多年了。近些日子,许多网站发表了一些文章提供了一些资源,帮助开发人员编写安全代码。安全管理人员应当制定一些通用的安全方法,下面给出三点建议。一、建立参数化的存储进程,二、最少特权连接,三、仅对所有的存储进程授权“运行”许可,四、仅对应用程序域组授予许可。
除了一开始就注意安全地开发应用程序,对现有的应用程序实施评估是很重要的,这包括对第三方的应用程序。
…… |
|
首页 上一页 下一页 尾页 页次:1/2页 10篇日志/页 转到: | | |
|
