web服務(wù)器安全配置 web服務(wù)器安全配置怎么解決

iis的安裝及web服務(wù)器配置

服務(wù)器端所使用的軟件則主要是Windows平臺上的IIS以及主要應(yīng)用在Linux平臺上的Apache。

為鳳翔等地區(qū)用戶提供了全套網(wǎng)頁設(shè)計制作服務(wù)，及鳳翔網(wǎng)站建設(shè)行業(yè)解決方案。主營業(yè)務(wù)為成都網(wǎng)站設(shè)計、網(wǎng)站制作、鳳翔網(wǎng)站設(shè)計，以傳統(tǒng)方式定制建設(shè)網(wǎng)站，并提供域名空間備案等一條龍服務(wù)，秉承以專業(yè)、用心的態(tài)度為用戶提供真誠的服務(wù)。我們深信只要達到每一位用戶的要求，就會得到認(rèn)可，從而選擇與我們長期合作。這樣，我們也可以走得更遠(yuǎn)！

IIS(Internet Information Services)，Internet信息服務(wù)，是Windows Server系統(tǒng)中提供的一個服務(wù)組件，可以統(tǒng)一提供www、ftp、smtp服務(wù)。

Windows Server 2008 R2中的IIS版本為7.5，相比以前版本的IIS在安全性方面有了很大的改善。

下面我們新建一臺名為web的虛擬機來作為web服務(wù)器，為其分配IP地址192.168.1.5，將計算機名改為web，激活系統(tǒng)并加入到域，最后再創(chuàng)建快照。

首先仍是需要在【服務(wù)器管理器】中安裝“web服務(wù)器(IIS)”角色。

IIS 7.5被分割成了40多個不同功能的模塊，管理員可以根據(jù)需要定制安裝相應(yīng)的功能模塊，這樣可以使Web網(wǎng)站的受攻擊面減少，安全性和性能大大提高。所以，在“選擇角色服務(wù)”的步驟中我們采用默認(rèn)設(shè)置，只安裝最基本的功能模塊。

安裝完成后，可以通過【管理工具】中的【Internet信息服務(wù)(IIS)管理器】來管理IIS網(wǎng)站，可以看到其中已經(jīng)建好了一個名為“Default Web Site”的站點。

在客戶端計算機client1上打開IE瀏覽器，在地址欄輸入web服務(wù)器的IP地址即可以訪問這個默認(rèn)網(wǎng)站。

我們還可以在DNS服務(wù)器中為web服務(wù)器添加一條主機記錄，這樣就可以通過域名訪問默認(rèn)網(wǎng)站了。

其實只要對這個默認(rèn)網(wǎng)站稍作修改，就可以作為一個真實的網(wǎng)站來使用了。

在【IIS管理器】中，點擊默認(rèn)站點右側(cè)【操作】窗口中的“基本設(shè)置”，可以看到默認(rèn)站點的物理路這個路徑對應(yīng)的就是站點的主目錄。

主目錄就是網(wǎng)站的根目錄，保存著web網(wǎng)站的網(wǎng)頁、圖片等數(shù)據(jù)，是用來存放Web網(wǎng)站的文件夾，當(dāng)客戶端訪問該網(wǎng)站時，Web服務(wù)器自動將該文件夾中的默認(rèn)網(wǎng)頁顯示給客戶端用戶。

打開這個主目錄，可以看到里面已經(jīng)有一個名為iisstart.htm的網(wǎng)頁文件以及一張圖片，這也就是我們剛才所看到的默認(rèn)網(wǎng)站所顯示的網(wǎng)頁。

如果我們已經(jīng)制作好了一個網(wǎng)站，那么只要將網(wǎng)站的所有文件上傳到這個主目錄中即可。一個網(wǎng)站中的網(wǎng)頁文件非常多，必須得挑選其中的一個網(wǎng)頁作為網(wǎng)站的首頁，也就是用戶在輸入網(wǎng)站域名后所直接打開的網(wǎng)頁文件。

網(wǎng)站首頁在IIS中被稱為“默認(rèn)文檔”，在【IIS管理器】默認(rèn)站點的主窗口中，打開“默認(rèn)文檔”可以對其進行設(shè)置。

可以看到系統(tǒng)自帶有5種默認(rèn)文檔：Default.htm、Default.asp、Index.htm、Index.html、iisstar.htm。

其優(yōu)先級依次從高到低。作為網(wǎng)站首頁的Web文件必須使用上述5個名字中的一種，如果是使用的其它名字，則必須將其添加到文檔列表中。

下面在默認(rèn)網(wǎng)站的主目錄中，用記事本任意編輯一個名為Default.htm(注意D要大寫)的網(wǎng)頁文件，并隨意輸入一些內(nèi)容。然后在客戶端上訪問該網(wǎng)站，發(fā)現(xiàn)可以成功打開我們設(shè)置的首頁。

安全開發(fā)運維必備的Nginx代理Web服務(wù)器性能優(yōu)化與安全加固配置

為了更好的指導(dǎo)部署與測試藝術(shù)升系統(tǒng)nginx網(wǎng)站服務(wù)器高性能同時下安全穩(wěn)定運行,需要對nginx服務(wù)進行調(diào)優(yōu)與加固;

本次進行Nginx服務(wù)調(diào)優(yōu)加固主要從以下幾個部分：

本文檔僅供內(nèi)部使用，禁止外傳，幫助研發(fā)人員，運維人員對系統(tǒng)長期穩(wěn)定的運行提供技術(shù)文檔參考。

Nginx是一個高性能的HTTP和反向代理服務(wù)器，也是一個IMAP/POP3/SMTP服務(wù)器。Nginx作為負(fù)載均衡服務(wù)器, Nginx 既可以在內(nèi)部直接支持 Rails 和 PHP 程序?qū)ν膺M行服務(wù)，也可以支持作為 HTTP代理服務(wù)器對外進行服務(wù)。

Nginx版本選擇:

項目結(jié)構(gòu):

Nginx文檔幫助:

Nginx首頁地址目錄: /usr/share/nginx/html

Nginx配置文件:

localtion 請求匹配的url實是一個正則表達式:

Nginx 匹配判斷表達式:

例如,匹配末尾為如下后綴的靜態(tài)并判斷是否存在該文件, 如不存在則404。

查看可用模塊編譯參數(shù)：

http_gzip模塊

開啟gzip壓縮輸出(常常是大于1kb的靜態(tài)文件)，減少網(wǎng)絡(luò)傳輸;

http_fastcgi_module模塊

nginx可以用來請求路由到FastCGI服務(wù)器運行應(yīng)用程序由各種框架和PHP編程語言等?？梢蚤_啟FastCGI的緩存功能以及將靜態(tài)資源進行剝離，從而提高性能。

keepalive模塊

長連接對性能有很大的影響，通過減少CPU和網(wǎng)絡(luò)開銷需要開啟或關(guān)閉連接;

http_ssl_module模塊

Nginx開啟支持Https協(xié)議的SSL模塊

Linux內(nèi)核參數(shù)部分默認(rèn)值不適合高并發(fā),Linux內(nèi)核調(diào)優(yōu)，主要涉及到網(wǎng)絡(luò)和文件系統(tǒng)、內(nèi)存等的優(yōu)化，

下面是我常用的內(nèi)核調(diào)優(yōu)配置：

文件描述符

文件描述符是操作系統(tǒng)資源，用于表示連接、打開的文件，以及其他信息。NGINX 每個連接可以使用兩個文件描述符。

例如如果NGINX充當(dāng)代理時，通常一個文件描述符表示客戶端連接，另一個連接到代理服務(wù)器，如果開啟了HTTP 保持連接，這個比例會更低（譯注：為什么更低呢）。

對于有大量連接服務(wù)的系統(tǒng)，下面的設(shè)置可能需要調(diào)整一下：

精簡模塊:Nginx由于不斷添加新的功能，附帶的模塊也越來越多,建議一般常用的服務(wù)器軟件使用源碼編譯安裝管理;

(1) 減小Nginx編譯后的文件大小

(2) 指定GCC編譯參數(shù)

修改GCC編譯參數(shù)提高編譯優(yōu)化級別穩(wěn)妥起見采用 -O2 這也是大多數(shù)軟件編譯推薦的優(yōu)化級別。

GCC編譯參數(shù)優(yōu)化 [可選項] 總共提供了5級編譯優(yōu)化級別：

常用編譯參數(shù):

緩存和壓縮與限制可以提高性能

NGINX的一些額外功能可用于提高Web應(yīng)用的性能，調(diào)優(yōu)的時候web應(yīng)用不需要關(guān)掉但值得一提，因為它們的影響可能很重要。

簡單示例:

1) 永久重定向

例如，配置 http 向 https 跳轉(zhuǎn) (永久)

nginx配置文件指令優(yōu)化一覽表

描述:Nginx因為安全配置不合適導(dǎo)致的安全問題,Nginx的默認(rèn)配置中存在一些安全問題,例如版本號信息泄露、未配置使用SSL協(xié)議等。

對Nginx進行安全配置可以有效的防范一些常見安全問題，按照基線標(biāo)準(zhǔn)做好安全配置能夠減少安全事件的發(fā)生,保證采用Nginx服務(wù)器系統(tǒng)應(yīng)用安全運行;

Nginx安全配置項：

溫馨提示: 在修改相應(yīng)的源代碼文件后需重新編譯。

設(shè)置成功后驗證:

應(yīng)配置非root低權(quán)限用戶來運行nginx服務(wù),設(shè)置如下建立Nginx用戶組和用戶，采用user指令指運行用戶

加固方法:

我們應(yīng)該為提供的站點配置Secure Sockets Layer Protocol (SSL協(xié)議)，配置其是為了數(shù)據(jù)傳輸?shù)陌踩?，SSL依靠證書來驗證服務(wù)器的身份，并為瀏覽器和服務(wù)器之間的通信加密。

不應(yīng)使用不安全SSLv2、SSLv3協(xié)議即以下和存在脆弱性的加密套件(ciphers), 我們應(yīng)該使用較新的TLS協(xié)議也應(yīng)該優(yōu)于舊的,并使用安全的加密套件。

HTTP Referrer Spam是垃圾信息發(fā)送者用來提高他們正在嘗試推廣的網(wǎng)站的互聯(lián)網(wǎng)搜索引擎排名一種技術(shù)，如果他們的垃圾信息鏈接顯示在訪問日志中，并且這些日志被搜索引擎掃描，則會對網(wǎng)站排名產(chǎn)生不利影響

加固方法:

當(dāng)惡意攻擊者采用掃描器進行掃描時候利用use-agent判斷是否是常用的工具掃描以及特定的版本,是則返回錯誤或者重定向;

Nginx支持webdav，雖然默認(rèn)情況下不會編譯。如果使用webdav，則應(yīng)該在Nginx策略中禁用此規(guī)則。

加固方法: dav_methods 應(yīng)設(shè)置為off

當(dāng)訪問一個特制的URL時，如"../nginx.status"，stub_status模塊提供一個簡短的Nginx服務(wù)器狀態(tài)摘要,大多數(shù)情況下不應(yīng)啟用此模塊。

加固方法：nginx.conf文件中stub_status不應(yīng)設(shè)置為：on

如果在瀏覽器中出現(xiàn)Nginx自動生成的錯誤消息，默認(rèn)情況下會包含Nginx的版本號,這些信息可以被攻擊者用來幫助他們發(fā)現(xiàn)服務(wù)器的潛在漏洞

加固方法: 關(guān)閉"Server"響應(yīng)頭中輸出的Nginx版本號將server_tokens應(yīng)設(shè)置為：off

client_body_timeout設(shè)置請求體（request body）的讀超時時間。僅當(dāng)在一次readstep中，沒有得到請求體，就會設(shè)為超時。超時后Nginx返回HTTP狀態(tài)碼408(Request timed out)。

加固方法：nginx.conf文件中client_body_timeout應(yīng)設(shè)置為：10

client_header_timeout設(shè)置等待client發(fā)送一個請求頭的超時時間（例如：GET / HTTP/1.1）。僅當(dāng)在一次read中沒有收到請求頭，才會設(shè)為超時。超時后Nginx返回HTTP狀態(tài)碼408(Request timed out)。

加固方法：nginx.conf文件中client_header_timeout應(yīng)設(shè)置為：10

keepalive_timeout設(shè)置與client的keep-alive連接超時時間。服務(wù)器將會在這個時間后關(guān)閉連接。

加固方法：nginx.conf文件中keepalive_timeout應(yīng)設(shè)置為：55

send_timeout設(shè)置客戶端的響應(yīng)超時時間。這個設(shè)置不會用于整個轉(zhuǎn)發(fā)器，而是在兩次客戶端讀取操作之間。如果在這段時間內(nèi)，客戶端沒有讀取任何數(shù)據(jù)，Nginx就會關(guān)閉連接。

加固方法：nginx.conf文件中send_timeout應(yīng)設(shè)置為：10

GET和POST是Internet上最常用的方法。Web服務(wù)器方法在RFC 2616中定義禁用不需要實現(xiàn)的可用方法。

加固方法:

limit_zone 配置項限制來自客戶端的同時連接數(shù)。通過此模塊可以從一個地址限制分配會話的同時連接數(shù)量或特殊情況。

加固方法：nginx.conf文件中l(wèi)imit_zone應(yīng)設(shè)置為：slimits $binary_remote_addr 5m

該配置項控制一個會話同時連接的最大數(shù)量，即限制來自單個IP地址的連接數(shù)量。

加固方法：nginx.conf 文件中 limit_conn 應(yīng)設(shè)置為: slimits 5

加固方法：

加固方法:

解決辦法:

描述后端獲取Proxy后的真實Client的IP獲取需要安裝--with-http_realip_module，然后后端程序采用JAVA(request.getAttribute("X-Real-IP"))進行獲取;

描述: 如果要使用geoip地區(qū)選擇,我們需要再nginx編譯時加入 --with-http_geoip_module 編譯參數(shù)。

描述: 為了防止外部站點引用我們的靜態(tài)資源，我們需要設(shè)置那些域名可以訪問我們的靜態(tài)資源。

描述: 下面收集了Web服務(wù)中常規(guī)的安全響應(yīng)頭, 它可以保證不受到某些攻擊,建議在指定的 server{} 代碼塊進行配置。

描述: 為了防止某些未備案的域名或者惡意鏡像站域名綁定到我們服務(wù)器上, 導(dǎo)致服務(wù)器被警告關(guān)停，將會對業(yè)務(wù)或者SEO排名以及企業(yè)形象造成影響，我們可以通過如下方式進行防范。

執(zhí)行結(jié)果:

描述: 有時你的網(wǎng)站可能只需要被某一IP或者IP段的地址請求訪問，那么非白名單中的地址訪問將被阻止訪問, 我們可以如下配置;

常用nginx配置文件解釋：

(1) 阿里巴巴提供的Concat或者Google的PageSpeed模塊實現(xiàn)這個合并文件的功能。

(2) PHP-FPM的優(yōu)化

如果您高負(fù)載網(wǎng)站使用PHP-FPM管理FastCGI對于PHP-FPM的優(yōu)化非常重要

(3) 配置Resin on Linux或者Windows為我們可以打開 resin-3.1.9/bin/httpd.sh 在不影響其他代碼的地方加入:-Dhttps.protocols=TLSv1.2, 例如

原文地址:

Windows 的Web服務(wù)器配置方法介紹

Windows 2003的Web服務(wù)器配置方法介紹

Windows 2003的'Web服務(wù)器配置方法

日，筆者將學(xué)校服務(wù)器的操作系統(tǒng)升級為Windows Server 2003，在Web服務(wù)器的配置過程中發(fā)現(xiàn)了許多與Windows 2000 Server的不同之處。為了同行少走彎路，現(xiàn)將配置中應(yīng)注意的問題簡單總結(jié)如下:

Windows Server 2003 中Internet 信息服務(wù)(IIS) 升級為IIS 6.0，其安全性更高。默認(rèn)情況下，Windows Server 2003沒有安裝IIS 6.0，要通過控制面板來安裝。具體做法為:

1. 進入“控制面板”。

2. 雙擊“添加或刪除程序”。

3. 單擊“添加/刪除 Windows 組件”。

4. 在“組件”列表框中，雙擊“應(yīng)用程序服務(wù)器”。

5. 雙擊“Internet 信息服務(wù)(IIS)”。

6. 從中選擇“萬維網(wǎng)服務(wù)”及“文件傳輸協(xié)議(FTP)服務(wù)”。

7. 雙擊“萬維網(wǎng)服務(wù)”，從中選擇“Active Server Pages” 及“萬維網(wǎng)服務(wù)”等。

安裝好IIS后，接著設(shè)置Web服務(wù)器，具體做法為:

1. 在“開始”菜單中選擇“管理工具→Internet信息服務(wù)(IIS)管理器”。

2. 在“Internet 信息服務(wù)(IIS)管理器”中雙擊“本地計算機”。

3. 右擊“網(wǎng)站”，在dan出菜單中選擇“新建→網(wǎng)站”，打開“網(wǎng)站創(chuàng)建向?qū)А薄?/p>

4. 依次填寫“網(wǎng)站描述”、“IP 地址”、“端口號”、“路徑”和“網(wǎng)站訪問權(quán)限”等。最后，為了便于訪問還應(yīng)設(shè)置默認(rèn)文檔(Index.asp、Index.htm)。

上述設(shè)置和Windows 2000 Server網(wǎng)站設(shè)置基本相同，但此時Web服務(wù)還僅適用于靜態(tài)內(nèi)容，即靜態(tài)頁面能正常瀏覽，常用Active Server Pages(ASP)功能沒有被啟用。所以還應(yīng)在“Internet 信息服務(wù)(IIS)管理器”的“ Web 服務(wù)擴展”中選擇允許“Active Server Pages”。

另外，還應(yīng)注意如果Web服務(wù)主目錄所在分區(qū)是NTFS格式，而ASP網(wǎng)頁有寫入操作時(如用到新聞后臺管理功能的)，要注意設(shè)置寫入及修改權(quán)限。 ;

CentOs web服務(wù)器安全防范經(jīng)驗總結(jié)

1.禁用ROOT權(quán)限登錄。(重要)

2.安全組收縮不使用的端口，建議除443/80以及ssh登錄等必要端口外全部關(guān)閉。

3.防火墻收縮不使用的端口，建議除443/80以及ssh登錄端口外全部關(guān)閉。

4.更改ssh默認(rèn)端口22

5.除登錄USER，禁止其他用戶su到root進程，并且ssh開啟秘鑰及密碼雙層驗證登錄。(重要)

6.限制除登錄USER外的其他用戶登錄。

7.安裝DenyHosts，防止ddos攻擊。

8.禁止系統(tǒng)響應(yīng)任何從外部/內(nèi)部來的ping請求。

9.保持每天自動檢測更新。

10.禁止除root之外的用戶進程安裝軟件及服務(wù)，如有需要則root安裝，chown給到用戶。

11.定時給服務(wù)器做快照。

12.更改下列文件權(quán)限：

13.限制普通用戶使用特殊命令，比如wget，curl等命令更改使用權(quán)限，一般的挖礦程序主要使用這幾種命令操作。

1.nginx進程運行在最小權(quán)限的子用戶中，禁止使用root用戶啟動nginx。(重要)

2.配置nginx.conf，防范常見漏洞：

1.禁止root權(quán)限啟動apache服務(wù)！禁止root權(quán)限啟動apache服務(wù)！禁止root權(quán)限啟動apache服務(wù)！重要的事情說三遍！因為這個問題被搞了兩次。

2.改掉默認(rèn)端口。

3.清空webapps下除自己服務(wù)外的其他文件，刪除用戶管理文件，防止給木馬留下后門。

4.限制apache啟動進程su到root進程以及ssh登錄，限制啟動進程訪問除/home/xx自身目錄外的其他文件。

5.限制apache啟動進程操作刪除以及編輯文件，一般a+x即可。

1.關(guān)閉外網(wǎng)連接，與java/php服務(wù)使用內(nèi)網(wǎng)連接。

2.在滿足java/php服務(wù)的基礎(chǔ)上，新建最小權(quán)限USER給到服務(wù)使用，禁止USER權(quán)限訪問其他項目的庫。

3.root密碼不要與普通USER相同。

4.建議使用云庫，云庫具備實時備份，動態(tài)擴容，數(shù)據(jù)回退等功能，減少操作風(fēng)險。

1.關(guān)閉外網(wǎng)連接，只允許內(nèi)網(wǎng)交互，基本這個做了之后就已經(jīng)穩(wěn)了。

2.禁止root權(quán)限啟動，運行在普通用戶進程里。

3.更改默認(rèn)端口。

4.添加登錄密碼。

以上是自己做的防范手段，不成熟見解，有一些方案待驗證，不定時更新，歡迎大佬補充！

分享名稱：web服務(wù)器安全配置 web服務(wù)器安全配置怎么解決
文章來源：http://muchs.cn/article0/ddcgiio.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供虛擬主機、網(wǎng)站排名、網(wǎng)站內(nèi)鏈、手機網(wǎng)站建設(shè)、微信小程序、App開發(fā)

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)