WEB服务器安全加固与检查

01.安全加固定义

什么是安全加固?
        安全加固是实现信息系统安全的关键环节。通过安全加固，将在信息系统的网络层、主机层、软件层、应用层等层次建立符合安全需求的安全状态，并以此作为保证网络信息系统安全的起点。
        安全加固是配置软件系统的过程，针对服务器操作系统、数据库及应用中间件等软件系统，通过打补丁、强化帐号安全、加固服务、修改安全配置、优化访问控制策略、增加安全机制等方法，堵塞漏洞及“后门”，提高其健壮性和安全性，增加攻击者入侵的难度，提升系统安全防范水平。
        Web服务器安全加固，按照安全防护基线对Web中间件进行配置，需要满足账号、口令、日志、授权和设备其他安全等5个方面的要求。

02.账号口令安全

账号安全加固

原则：对于采用静态口令认证技术的系统，口令长度至少8位，包括数字、大小写字母和特殊符号4类中至少3类。

原则：

1）应按照用户分配账号，避免不同用户间共享账号。避免用户账号和设备间通信使用的账号共享。

2）应删除或锁定与设备运行、维护等工作无关的账号。

03.授权安全

账号最小化授权原则

在设备权限配置能力内，根据用户的业务需要配置其所需的最小权限。

正确配置网站目录权限-目录浏览

        如果开启了目录浏览功能，攻击者可以遍历网站整个目录结构以及文件信息，存在较大风险。一般情况下，目录浏览功能不是必须的，应关闭。IIS默认关闭目录浏览，Apache、tomcat默认开启目录浏览。

正确配置网站目录权限-目录执行

目录执行：开启了执行权限的目录，运行web容器解析该目录下的脚本文件。

加固方法：通过权限限制，关闭上传目录可执行权限

原则：

目录有写入权限，一定不要分配执行权限

目录有执行权限，一定不要分配写入权限

网站上传目录和数据目录一般需要分配“写入”权限，但一定不要分配执行权限。

其他目录一般只分配“读取”和“记录访问”权限即可。

04.日志配置安全

日志记录的内容

日志记录的必要性

必要性：攻击方式的转型使得日志记录越来越重要，可作为攻击感知和事后溯源的重要依据。

日志配置安全

设备应配置日志功能，对用户登录进行记录，记录内容包括用户登录使用的账号，登录是否成功，登录时间，以及远程登录时，用户使用的IP地址。

IIS默认记录日志

Apache、tomcat默认不记录日志，需要配置

05.设备其他安全

信息泄露屏蔽--版本屏蔽

目的：隐藏服务版本号及其他敏感信息，提高攻击难度。

信息泄露屏蔽-错误页面重定向

目的：避免由于报错信息而引起的信息泄露，配置统一错误页面后，当服务端出错时或请求的页面不存在时，跳转至配置的统一错误页面。

HTTP异常请求

PUT：允许远程客户端以PUT方式直接向服务器提交数据（包括恶意数据）

DELET：允许远程客户端直接删除服务器端数据

MOV：允许远程客户端直接修改服务器端数据

默认配置隐患

IIS文件解析路径漏洞

.asa扩展解析隐患

.asp扩展解析隐患

.cdx扩展解析隐患

.cer扩展解析隐患

Apache默认解析

Apache对于文件名的解析式从后往前解析的，每遇到一种后双重后缀名的文件，Apache都会去conf/mime.types文件中检查最后一个后缀，如果最后一个后缀并没有在mime.types文件中定义，则使用前一个后缀来解释。因此存在文件上传绕过风险。