computer 版 (精华区)

发信人: Aug (如风), 信区: network
标  题: CGI的安全<转载> (3)
发信站: 听涛站 (Tue Mar 14 15:55:18 2000), 转信

1-2. 保护你的服务器

  编写安全的CGI脚本的第一步要确定你安全并正确的配置了你的Web服务器。
如果你的Web服务器并不可靠，那即使你再仔细编写你的CGI脚本也是没有用的,
人们仍然可以闯入你的计算机。而且，正确的配置你的Web服务器能够减小糟糕
的CGI程序所带来的可能的危害。

More:选择一个安全的Web服务器

  在不同的平台有数不清的Web服务器可供使用。如果可能的话，自我确定一个
产品是否安全是很困难的，你将不得不依靠公司的信誉和口头承诺。
  检查你的选择。在你拥有了一个Web服务器的列表之后，看一下每个产品的有
效期以及目前有多少人使用它。越老的并且经常使用的Web服务器，有关的安全
方面的bug越有可能被发现并修补。如果源码是开放的，并且你有时间和专门技
术，自己从头至尾看一下源文件，看看能否找到潜在的漏洞。阅读网络中不同的
新闻组对该产品以及作者和发行人的评论。著名的公司或作者会很快的通知用户
其产品的任何问题。阅读各个组织（如CIAC(Computer Incident Advisory
Capability)和CERT)有关安全方面的警告信息。

  检查所有的服务器组件并确定你是否真的需要所有组件的特性。越复杂、功能
越强大的服务器，越有可能存在未被发现的安全问题。确定你的服务器支持日志
功能，这样你可以跟踪安全问题或其它故障的原因。

  有一个对付意外事件的计划。如果发现安全漏洞，要随时准备升级或者替换你
的Web服务器。关注新版本的发行和新闻组中有关你的Web服务器的信息。尽量使
用Web服务器最新的非测试的版本。

  不必担心免费的服务器。关于开发源码使服务器更安全或者相反有争论。如果
服务器的源码不公开，安全漏洞将更难发现。如果源码公开，那么，理论上，漏
洞将很快被发现，公开并得到修补。

在增强服务器的安全性时，应该有三个目的：

A.配置你的程序使它只能提供你指定的服务。
B.不到必要的时候不暴露任何信息。
C.如果系统遭到入侵，最大限度地减少损坏。

  我知道的有关你的计算机的信息越多，我就越有机会闯入你的计算机。例如，
如果我知道哪个目录或者文件夹存储了你的所有的敏感的、私有的信息，这样，
我将进入你的系统获取全部访问权缩小至只是获得某个目录的权限（通常是更
容易了）。或者，如果我可以访问你的服务器配置文件或源码或者是你的CGI
脚本，那我可以很容易的浏览它们来寻找安全漏洞。如果你的系统有漏洞，你
不想让别人轻易知道，你必须在别人之前发现它们。

--
※ 修改:．Aug 于 Mar 14 15:56:44 修改本文．[FROM: 匿名天使的家]
※ 来源:．听涛站 cces.net．[FROM: 匿名天使的家]