Web服务器安全配置

Web服务器为互联网用户提供服务的同时，也是黑客攻击的主要对象和攻入系统主机的主要通道。服务器安全配置包括主机系统的安全配置和Web服务器的安全配置两大部分。

这里的主机系统安全性，指的是应用在主机上且与服务器主要服务业务不相关的配置。

简单性 ：主机系统越简单，其安全性就越好。最好把不必要的服务从服务器上卸载掉。每个服务在提供给用户一个服务窗口的同时，也形成了攻击者进入系统的通道。

超级用户权限：尽量不要用超级用户来维护系统，以减少泄漏机会。除非非常必要，否则不给予用户超级权限。非专业的人员往往会因为操作上的疏忽而使用户权限被泄漏。

本地和远程访问控制：当用户使用服务器提供的服务时，验证其身份，并记录其行为。如果用户出现了破坏安全的行为，这些记录将是审核的重要依据。

审计和可审计性：平时对记录进行审计，在系统生成的大量审计记录中查找可疑的数据，来查找攻击者或恶意程序的踪迹。

可恢复性：配置实时或增量备份策略就是非常必要的，在紧急关头这可以使得服务器的关键数据得以保存，从而可以迅速恢复服务以减少损失，同时便于事后取证的进行，以追查入侵者。

对于Windows系统Web服务器安全配置，Windows的IIS(即Internet Information Server)的方便性和易用性，使它成为最受欢迎的Web服务器软件之一。但是，IIS的安全性却一直令人担忧。要构建一个安全的IIS服务器，必须从安装时就充分考虑安全问题。 注意不要将IIS安装在系统分区上、修改IIS的安装默认路径、打上Windows和IIS的最新补丁。

对于Unix系统，不以root运行web服务器；限制在Web服务器开账户，定期删除一些用户；对在Web服务器上开的账户，在口令长度及定期更改方面作出要求，防止被盗用。同时注意保护用户名、组名及相应的口令；尽量使FTP、MAIL等服务器与之分开，去掉ftp，sendmail，tftp，NIS， NFS，finger，netstat等一些无关的应用；定期查看服务器中的日志logs文件，分析一切可疑事件。在errorlog中出现rm、login、/bin/perl、/bin/sh等之类记录时，你的服务器可能已经受到了一些非法用户的入侵。

随着互联网的发展，Web已经成为人们钟爱的获取信息和互相交流的方式，随之而来的Web安全也成为近年来安全工作者的研究重点。应该强调的是，高质量的编程、健壮的程序设计、注重对系统的日常监控，从增强Web站点自身的健壮性方面来采取措施，往往更能取得显著效果。

学习计划安排

我一共划分了六个阶段，但并不是说你得学完全部才能上手工作，对于一些初级岗位，学到第三四个阶段就足矣~

这里我整合并且整理成了一份【282G】的网络安全从零基础入门到进阶资料包，需要的小伙伴可以扫描下方CSDN官方合作二维码免费领取哦，无偿分享！！！

如果你对网络安全入门感兴趣，

那么你需要的话可以点击这里网络安全重磅福利：入门&进阶全套282G学习资源包免费分享！

①网络安全学习路线
②上百份渗透测试电子书
③安全攻防357页笔记
④50份安全攻防面试指南
⑤安全红队渗透工具包
⑥HW护网行动经验总结
⑦100个漏洞实战案例
⑧安全大厂内部视频资源
⑨历年CTF夺旗赛题解析