Web Service配置安全

一、Web Service

Web伺服器是web應用的載體。

Web server的安全關注兩點：

1、web server本身是否安全；

2、web server是否提供了可使用的安全功能；

二、Apache安全

1、  首先檢查apache的module安裝情況，根據“最小權限原則”，應該盡可能的減少不必要的module，對于要使用的module，則檢查起對應版本是否存在已知的安全漏洞

2、  apache盡量不用以root身份或者admin身份運作。

3、  保護好apache log（比如實時地發送到遠端的syslog到伺服器上）

4、  Apache提供了一些配置參數，可以提供伺服器性能，提供對抗DDOS功能的能力。（比如調小Timeout、KeepAliveTimeout值，增加MaxClients值，這些調整可能影響正常應用，請視情況而定，可參考官方文檔http://httpd.apache.org/docs/trunk/misc/security_tips.html）

三、Nginx安全

Ngnix近年來出現的影響預設安裝版本的高危漏洞比apache要多。

可參考官網問題清單：http://nginx.org/en/security_advisories.html

1、  多關注Nginx的漏洞資訊，并及時将軟體更新到安全的版本。

2、  Nginx與Apache最大差別：檢查Apache安全時更多的關注Module的安全，而Nginx則需要注意軟體本身的安全，及時更新軟體版本。

3、  以單獨的身份運作，與Apache一樣

4、  Nginx的配置非常靈活，在對抗DDOC和CC攻擊方面起到一定的緩解作用。

5、  Nginx配置中可以做一些簡單的條件判斷，比如用戶端User-Agent具有什麼特征，或者來自某個特定referer、IP等條件，響應動作可以是傳回錯誤号，或進行重定向。

四、Tomcat遠端指令執行

1、  建議删除tomcat背景，攻擊者可以通過暴力破解等方式擷取背景的通路權限。

2、  直接将tomcat使用者添加為manager角色，而tomcat使用者的密碼很有可能是一個預設密碼，這種配置違背了“最小權限原則”

五、IIS安全

IIS和APACHE是當今兩大主流的web資訊釋出平台

建立一個安全可靠的web伺服器，必須要實作windows系統和IIS的雙重安全

1、  端口的安全設定。

通過配置windows系統防火牆實作端口安全配置

2、  驅動器及檔案夾權限的設定。

防止asp類木馬，一但網站被攻擊，保證作業系統及網站檔案之外的其他檔案不受影響。

• 打開伺服器各驅動器的屬性對話框，在安全頁籤中設定系統驅動器及其他驅動器的權限，僅保留administrator組，SYSTEM及CREATOR OWNER使用者對驅動器的安全控制權限
• 設定網站通路的使用者。打開“控制台—管理工具—本地使用者群組--使用者”，添加一個users組的使用者test
• 設定網站所在檔案夾的權限，除檔案夾繼承驅動器權限外，在檔案夾屬性的安全頁籤中，添加使用者test，并将建立的使用者test的權限設為完全控制。
• 設定網站的IIS身份認證。在網站的IIS身份認證中，将網站通路的匿名使用者設定為test。同時設定網站的應用程式池，應用程式池進階設定中将應用程式池辨別設定為test。

通過以上設定，如果網站受到攻擊，比如被植入asp木馬，因為網站的匿名使用者是test，而這個使用者僅對該網站的檔案具備權限，入侵者就不能更改系統和其他檔案，進而将危險性降至最低。

3、  設定網站的IPV4位址和域限制

若網站僅對部分使用者開放，可以把網站的通路使用者通路縮小，進而進一步增強IIS的安全性，比如可以允許172.17.1.1-172.17.1.254 IP段進行網站的通路。在網站的功能視圖中，打開該網站ipv4位址和域限制，讓後點選“添加允許條目”，在打開的“添加允許限制規則”對話框中，輸入允許的IP位址範圍。

4、  網站檔案夾的安全設定。

在IIS面闆左側選中需要設定的檔案夾uploadfiles，然後從右側管理視圖中點選“處理程式映射”圖示，進入網站程式映射設定，然後點選“編輯功能權限”，對該上傳檔案夾隻保留讀取權限，點選“确定”即可。

5、  日志安全分析

在IIS平台使用過程中個，需要定期結合網站的通路日志進行安全性分析，充分利用IIS的相關設定來保護網站安全。