Web服务器的安全和攻击防范 (三)

# rpcinfo -p www.example.server    program vers proto   port    100000    4   tcp    111  portmapper    100000    3   tcp    111  portmapper    100000    2   tcp    111  portmapper    100000    4   udp    111  portmapper    100000    3   udp    111  portmapper    100000    2   udp    111  portmapper

# /usr/sbin/kshowmount -e center2.sample-university.netExport list for center2.sample-university.net:/usr/lib/cobol       (everyone)/usr/sys/inst.images (everyone)/stadtinf            (everyone)/var/spool/mail      (everyone)/usr/lpp/info        (everyone)/usr/local           (everyone)/pd-software         (everyone)/u1                  (everyone)/user                (everyone)/fix                 (everyone)/u                   (everyone)/ora                 rzws01/install             (everyone)/ora-client          192.168.15.20

　　所有注明了“everyone”的目录都是向公众开放的，其中包括：保存了数百个用户邮件的“/var/spool/mail”目录，以及用户的主目录“/u”和“/u1”。另外“/usr/local”和“/usr/lib/cobol”也是允许写入的，这使得它很容易被安装上特洛伊木马。任何人都可以进入这个系统，且不会遇到什么值得一提的阻力。
[page]

私有数据的安全性

　　我们要讨论的第二类安全问题涉及到服务器公用目录下的私有数据。许多Web空间提供商提供的只有“Web空间”，它们会把用户FTP目录的根映射到Web服务器的根。也就是说，用户可以通过FTP以“/”访问服务器目录“/home/www/servers/www.customer.com/”，同时任何人可以通过URL“http://www.customer.com/”访问它，用FTP方式保存的“/password”文件可以通过URL“http://www.customer.com/password”访问。如果用户Web应用需要保存一些私有的、不能从Web访问的数据，则根本无法找到满足要求的位置。

　　许多Web商店把订单日志和调试输出写入一个或多个日志文件，或者用配置文件来保存密码和商品数据。如果这些数据保存到页面文档根目录之下，那么它们就有相应的URL而且可以通过Web访问。此时攻击者所要做的只是猜出这些文件的名字。只要了解了20种主流在线商店系统的默认设置并正确地识别出目标网站所用的系统，要猜出这些文件名字是相当简单的。

　　如果Web服务器既提供私有数据存储又提供公用页面目录，上述问题就不会再出现。例如在这些方案中，FTP根目录“/”映射到“/home/www/servers/www.customer.com/”，但页面文档的根目录却在它的下一级目录“/home/www/servers/www.customer.com/pages”，可以通过FTP以“/pages”形式访问。在这种目录配置下，用户可以另外创建和页面文档根目录平行的目录，然后把敏感数据放到这些目录中。由于这些目录可以通过FTP访问，但不能通过HTTP访问，所以它们是无法通过Web访问的。

　　如果系统没有采用上述根目录分离的目录结构，我们还有一种解决问题的办法，即在页面文档根目录下创建专用的私有数据存储目录，如“/shop”，然后在这个目录中创建.htaccess文件，通过.htaccess文件拒绝所有HTTP访问（适用于Apache服务器）：

$ cat /shop/.htaccessorder deny, allowdeny from all