Web Service配置安全

一、Web Service

Web服务器是web应用的载体。

Web server的安全关注两点：

1、web server本身是否安全；

2、web server是否提供了可使用的安全功能；

二、Apache安全

1、  首先检查apache的module安装情况，根据“最小权限原则”，应该尽可能的减少不必要的module，对于要使用的module，则检查起对应版本是否存在已知的安全漏洞

2、  apache尽量不用以root身份或者admin身份运行。

3、  保护好apache log（比如实时地发送到远程的syslog到服务器上）

4、  Apache提供了一些配置参数，可以提供服务器性能，提供对抗DDOS功能的能力。（比如调小Timeout、KeepAliveTimeout值，增加MaxClients值，这些调整可能影响正常应用，请视情况而定，可参考官方文档http://httpd.apache.org/docs/trunk/misc/security_tips.html）

三、Nginx安全

Ngnix近年来出现的影响默认安装版本的高危漏洞比apache要多。

可参考官网问题列表：http://nginx.org/en/security_advisories.html

1、  多关注Nginx的漏洞信息，并及时将软件升级到安全的版本。

2、  Nginx与Apache最大区别：检查Apache安全时更多的关注Module的安全，而Nginx则需要注意软件本身的安全，及时升级软件版本。

3、  以单独的身份运行，与Apache一样

4、  Nginx的配置非常灵活，在对抗DDOC和CC攻击方面起到一定的缓解作用。

5、  Nginx配置中可以做一些简单的条件判断，比如客户端User-Agent具有什么特征，或者来自某个特定referer、IP等条件，响应动作可以是返回错误号，或进行重定向。

四、Tomcat远程命令执行

1、  建议删除tomcat后台，攻击者可以通过暴力破解等方式获取后台的访问权限。

2、  直接将tomcat用户添加为manager角色，而tomcat用户的密码很有可能是一个默认密码，这种配置违背了“最小权限原则”

五、IIS安全

IIS和APACHE是当今两大主流的web信息发布平台

创建一个安全可靠的web服务器，必须要实现windows系统和IIS的双重安全

1、  端口的安全设置。

通过配置windows系统防火墙实现端口安全配置

2、  驱动器及文件夹权限的设置。

防止asp类木马，一但网站被攻击，保证操作系统及网站文件之外的其他文件不受影响。

• 打开服务器各驱动器的属性对话框，在安全选项卡中设置系统驱动器及其他驱动器的权限，仅保留administrator组，SYSTEM及CREATOR OWNER用户对驱动器的安全控制权限
• 设置网站访问的用户。打开“控制面板—管理工具—本地用户和组--用户”，添加一个users组的用户test
• 设置网站所在文件夹的权限，除文件夹继承驱动器权限外，在文件夹属性的安全选项卡中，添加用户test，并将新建的用户test的权限设为完全控制。
• 设置网站的IIS身份认证。在网站的IIS身份认证中，将网站访问的匿名用户设置为test。同时设置网站的应用程序池，应用程序池高级设置中将应用程序池标识设置为test。

通过以上设置，如果网站受到攻击，比如被植入asp木马，因为网站的匿名用户是test，而这个用户仅对该网站的文件具备权限，入侵者就不能更改系统和其他文件，从而将危险性降至最低。

3、  设置网站的IPV4地址和域限制

若网站仅对部分用户开放，可以把网站的访问用户访问缩小，从而进一步增强IIS的安全性，比如可以允许172.17.1.1-172.17.1.254 IP段进行网站的访问。在网站的功能视图中，打开该网站ipv4地址和域限制，让后点击“添加允许条目”，在打开的“添加允许限制规则”对话框中，输入允许的IP地址范围。

4、  网站文件夹的安全设置。

在IIS面板左侧选中需要设置的文件夹uploadfiles，然后从右侧管理视图中点击“处理程序映射”图标，进入网站程序映射设置，然后点击“编辑功能权限”，对该上传文件夹只保留读取权限，点击“确定”即可。

5、  日志安全分析

在IIS平台使用过程中个，需要定期结合网站的访问日志进行安全性分析，充分利用IIS的相关设置来保护网站安全。