Web安全技术与防火墙（上）

　　Ｃ、如何在WEB上提高系统安全性和稳定性

　　web服务器安全预防措施：

　　〔1〕限制在web服务器开帐户，定期删除一些断进程的用户。

　　〔2〕对在web服务器上开的帐户，在口令长度及定期更改方面作出 要求， 防止被盗用。

　　〔3〕尽量使ftp, mail等服务器与之分开，去掉 ftp,sendmail,tftp,NIS, NFS，finger,netstat等一些无关的应用。

　　〔4〕在web服务器上去掉一些绝对不用的shell等之类解释器，即当 在你的 cgi的程序中没用到perl时，就尽量把perl在系统解释器中删除 掉。

　　〔5〕定期查看服务器中的日志logs文件，分析一切可疑事件。在 errorlog 中出现rm, login, /bin/perl, /bin/sh 等之类记录时，你的 服务器可能有受到 一些非法用户的入侵的尝试。

　　〔6〕设置好web服务器上系统文件的权限和属性，对可让人访问的 文档分配 一个公用的组如：www，并只分配它只读的权利。把所有的 HTML文件归属WWW组， 由WEB管理员管理WWW组。对于WEB的配置文件仅对 WEB管理员有写的权利。

　　〔7〕有些WEB服务器把WEB的文档目录与FTP目录指在同一目录时， 应该注意 不要把FTP的目录与CGI-BIN指定在一个目录之下。这样是为了 防止一些用户通过 FTP上在一些尤如PERL或SH之类程序并用WEB的 CGI-BIN去执行造成不良后果。

　　〔8〕通过限制许可访问用户IP或DNS如：

　　在NCSA中的access.conf中加上：

　　< Directory /full/path/to/directory >

　　< Limit GET POST >

　　order mutual-failure

　　deny from all

　　allow from 168.160.142. abc.net.cn

　　< /Limit >

　　< /Directory >

　　这样只能是以域名为abc.net.cn或IP属于168.160.142的客户访问 该WEB服务 器。对于CERN或W3C服务器可以这样在httpd.conf中加上：

　　Protection LOCAL-USERS {

　　GetMask @(*.capricorn.com, *.zoo.org, 18.157.0.5)

　　}

　　Protect /relative/path/to/directory/* LOCAL-USERS

　　〔9〕WINDOWS下HTTPD

　　1)Netscape Communications Server for NT