《基于LAMP的WEB服务器安全架构.docx》由会员分享,可在线阅读,更多相关《基于LAMP的WEB服务器安全架构.docx(7页珍藏版)》请在第一文库网上搜索。
1、安全技术随着网络技术和电子商务模式的发展,WEB服务已经成为互联网核心服务技术之一,针对WEB应用的攻击也在迅猛增长,主要有病毒、木马、匿名访问、拒绝服务、滥用数据库权限等攻击手段1,2,如图1所示。采用1AMP平台进行WEB服务器安全配置,则可以更有效的防范和阻止攻击,减少攻击造成的损失,让WEB服务器在安全的环境下正常工作。1 1AMP平台1.1 1AMP组成1AMP(1inux+Apache+MySQ1+Per1PHPPython是目前国际最常用的Web框架3,4,该框架包括:1inUX操作系统,Apache网络服务器,MySQ1数据库,Per1、PHP或者Python编程语言,本文所述
2、采用的是PHP语言。1.2 1AMP平台WEB服务器工作原理1AMP平台的WEB服务器,即在安装1inux操作系统的服务器上,配备ApacheWEB服务器、MySQ1数据库服务器以及PHP解释程序,服务器运行时客户端所有的http请求,都由1inux操作系统转发至Apache服务器处理,如果请求静态页面,则将目录下存放的静态页面返回给客户端浏览器;如果请求动态页面,则转至PHP应用服务器,根据需要通过PHP程序连接或者操作数据库,并将PHP服务器解释生成的静态页面返回给客户端,如图2所示。2构建基于1AMP的安全架构构建WEB服务为安全架构,要从多方面入手,在进行1AMP安全配置的基础上,建立
3、软硬件防火墙、服务器监控与日志分析、遵循安全编码规范、建立入侵检测系统和入侵防御系统、采用网页防篡改机制等渚B是有效的的入侵防御手段,本文提出的基于1AMP的WEB服务器安全架构如下图所示。3基于1AMP的WEB服务器安全配置1.3 1inUX系统安全策略1inUX操作系统1inUX内核提供了经典的Unix自主访问控制(root用户、用户ID安全机制,在配置Web服务器之前要进行文件系统及访问权限、用户和账号管理等系统加固,主要包括下面内容:(1设置BIOS密码,防止更改系统启动顺序;(2设置grub启动口令,防止通过编辑grub参数修改root密码;(3增设启动1I1O口令,增加系统的安全性
4、;(4取消普通用户的控制台访问权限;(5禁止SU(SubstituteUSer成为root用户;(6编辑rc.1oca1文件,隐藏操作系统的版本信息;。拒绝回复ping命令,提高服务器安全性;(8对系统的所有用户设置进程和内存等资源限制,防止DoS攻击;(9禁止所有操作系统启用的不需要的账号,防止攻击;(10经常更新及安装系统补丁。1.4 Apache服务器安全配置(1在Apache服务器建立ServerRootsDocumentRootsScripA1ias、CustomIog和EiTOMOg等四个专用目录存放文件。(2为APaChe服务器使用专门的用户和用户组,以保证叩ache服务器的安全
5、,避免使用nobody用户和nogroup用户组来进行服务器的管理。(3设置服务器文件的访问权限,在认证配置文件auth_basic.conf或httpd.conf内设置禁止非法用户读取文件。(4减少CG1风险,CGI脚本的漏洞是Web服务器的首要安全隐患,在服务器运行期间应使用基于1AMP的WEB服务器安全架构张麦玲王鸿铭(平顶山工业职业技术学院河南平顶山467001摘要:本文分析了网络系统中WEB服务器面临的安全威胁,提出了基于1AMP平台的WEB服务器安全架构,通过对1inUX操作系统、APaChC服务器、MYSQ1和PHP的安全策略配置,以及构建Snort入侵检测系统、netfi1te
6、r/iptab1es防火墙和Cacti监控系统,实现了对WEB服务器的全方位安全防护。关键词:1AMPWEB服务器安全架构防火墙中图分类号:TP393.092文献标识码:A文章编号:1007-9416(201401-0188-02基金项目:河南省高等学校青年骨干教师资助计划项目2012GGJS-235作者简介:张麦玲,女,1981年出生,河南卫辉人、硕士学位、讲师,ZJ.研究方向为网络安全和数据挖掘。图1WEB服务器安全威胁示意图图21AMP工作原理图3基于1AMP的WEB服务器安全架构下转第190页安全技术I1I分析的入侵检测系统组成如图2:其中,行为分析主要是构建基于聚类相关算法的玩两个政
7、策行为的检测模式。规则库是入侵规则的保存库,为入侵检测提供依据。特征提取则是通过对日志记录中的数据记录进行分析,产生相关的规则,并将这些规则转化为符合入侵规则语法的入侵检测规则,将其新增到规则库之中。数据包采集是通过一定的工具抓获网络数据包。数据包分析则是解码和分析所抓获的数据包,并将分析的结果存储到所指定的数据结构中。预处理模块则是通过相关的预处理函数来对解码后的数据包进行数据匹配之前的预处理。预检测则是通过聚类分析模块的模式来对数据进行初步的筛选,从中过滤掉正常的网络数据包。系统检测模块,则是将数据包和规则库中的规则进行对比检测,进行判定。数据训练阶段则主要包括有以下的步骤:(1对网上数据
8、进行采集,并对采集的数据包进行标准化的处理,处理之后的数据则为训练集数据;(2行为分析模块对训练数据进行分析,将其分为正常行为与异常行为两种模式类,并加入到对应的数据库中。在数据挖掘中,关联分析、序列分析以及聚类分析很多时候并不是单独使用的,基本上都将多种方法融合到一起进行使用。例如特征提取模块之中就可以根据具体的情况来选择合适的分析方法,只有多种方法融合到一起使用才可以有效的减少误报警与漏报警的情况,使得入侵检测具有准确的检测能力。参考文献1常滨.数据挖掘技术在网络入侵检测中的应用J科技致富向导,2013(3:25,129.2王祥斌.数据挖掘技术在入侵检测系统中的应用研究J.计算机测量与控制
9、,2012(2:321-323,348.3蒋嶷川,田盛丰.数据挖掘在入侵检测系统中的应用J.计算机工,2011,4(2:21-25.图1基于事件关联分析的入侵检测系统组成图2基于聚类分析的入侵检测系统组成OPtiOn命令禁止其使用。(5使用SS1技术提高网站的安全性能。1.5 PHP安全配置(1默认的php.ini没有打开安全模式,在PHP执行网页时使用“safmode=on”打开php的安全模式。(2为限制用户只能访问网站目录,使用OPeIVbaSedir选项控制PHP脚本只能访问指定的目录,如指定OPen_basedir=D:/usr/www。(3为了防止黑客获取服务器中PhP版本的信息,
10、关闭PHP版本信息在http头中的泄漏。(4设置magic_quotes_gpc=On,1k.SQ1注入攻击。1.6 MySQ1安全配置(1修改root用户口令,删除空口令;(2删除默认数据库和数据库用户;(3更改MySQ1默认管理员帐号;(4加密存储密码信息;(5禁止远程连接数据库;(6限制连接用户的数量;(7禁止MySQ1对本地文件存取;(8数据库文件的安全;(9使用chroot方式来控制MySQ1的运行目录。4基于1AMP的WEB服务器应用层防护4.1 搭建SnOrt入侵检测系统Snort是一个强大的轻量级的网络入侵检测系统,它snort有三种工作模式:Sniff(嗅探、1og(数据包记
11、录、ids(网络入侵检测,能够检测各种不同的攻击方式.对攻击进行实时报警。此外,Snort具有很好的扩展性和可移植性(这个软件遵循通用公共许可证GP1,所以只要遵守GP1的任何组织和个人都可以自由使用。SnOrt具有实时流量分析和日志IP网络数据包的能力,能够快速地检测网络攻击,及时地发出报警“4.2 配置netfi1ter/iptab1es防火墙netfi1ter/iptab1es1inux系统提供的一个非常优秀的防火墙工具,它完全免费、功能强大、使用灵活、占用系统资源少,可以对经过的数据进行非常细致的控制,如防止同步包洪水、防止各种端口扫描以及防止Ping洪水攻击等,是建立1imIX平台下
12、安全服务器的最佳方案。4.3 使用Cacti监控Web服务器Caeti是一套基于PHP、MySQ1、SNMP及RDTOO1开发的网络流量监测图形分析工具。通过snmpget来获取数据,使用RRDtoo1绘画图形,可以指定每一个用户能查看树状结构、host以及任何一张图,还可以与1DAP结合进行用户验证,除了基本的Snmp流量跟系统资讯监控外,Cacti也可外挂Scripts及加上Temp1ates来作出各式各样的监控图。5结语1AMP具有通用、跨平台、高性能、低价格的优势,已成为企业搭建网站的首选平台,因而本文针对WEB服务器安全威胁,提出了基于1AMP三层架构的WEB服务器安全架构,包括1A
13、MP各系统的安全加固及应用层防护,保障了服务器运行的安全性。参考文献1邹海东.基于1AMP的信息管理系统设计与实现D.华中科技大学,2009.桑一梅.基于1AMP的高性能Web服务器的架构J.电脑学习,2010(12.3孙杨,陈桂芬,李新磊,姜健,刘帅,陈谦.基于虚拟化技术构建1AMP框架的Web服务发布平台J.农业网络信息,2011(06.王晓姝1AMP网站架构方案与实施J.软件导刊,2013(1.上接第188页由万万数据1J1JWanfanodata文献链接基于1AMP的WEB服务器安全架构作者:张麦玲,王鸿铭作者单位:平顶山工业职业技术学院河南平顶山467001刊名:数字技术与应用英文刊名:Digita1Techno1ogyandApp1ication年港(期:2014(1引用本文格式:张麦玲.王鸿铭基于1AMP的WEB服务器安全架构期刊论文卜数字技术与应用2014(1
免费区 
