WEB服务器的配置和管理

WEB服务器的配置和管理四川大学曾雪梅zengxm@scu.edu.cn主要内容WEB平台简介IIS的安装IIS的虚拟目录配置IIS的站点配置IIS的安全配置常见问题分析（一）WEB平台简介IISInternet信息服务，简称IIS，由微软提供，部署在Windows操作系统上支持HTTP、FTP、SMTP、NNTP当今流行的Web服务器之一。支持html、asp、.net框架管理和配置简单源于NCSAhttpd服务器，经过多次修改，成为世界上最流行的Web服务器软件之一开放源代码，现在由非盈利性组织的公司——Apache软件基金会维护简单、速度快、性能稳定，并可做代理服务器来使用几乎可以运行在所有的计算机平台上（Unix、Windows、Linux系统平台上）ApacheTomcat一个免费的开放源代码的Web应用服务器是Apache软件基金会的Jakarta项目中的一个核心项目有了Sun的参与和支持，最新的Servlet和JSP规范总是能在Tomcat中得到体现Tomcat技术先进、性能稳定，而且免费，因而深受Java爱好者的喜爱支持html、JSP、Servlet网站建设经典组合ASP(ASP.NET)+ACCESSASP(ASP.NET)+SQLSERVERPHP+MYSQLJSP+MYSQLWEB环境ASP(ASP.NET)环境IISPHP环境Apache（php）或者IIS+Apache+phpJSP环境Apache(JSDK)或者Apache+Tomcat（二）IIS的安装IIS安装过程图控制面板添加或删除程序添加或删除Windows组件IIS安装过程图IIS安装过程图IIS安装过程图打开IIS管理器图图：IIS管理器IIS默认站点访问IIS默认站点访问启用Web服务扩展默认情况下，IIS只为静态内容提供服务对ASP、ASP.net的支持需要开启Web服务扩展ActiveServerPages：ASP脚本支持组件Internet数据连接器：通过.idc文件提供的动态内容支持WebDav发布：WebDAV扩展了HTTP1.1协议，使其支持Web内容的发布和管理在服务器端的包含文件：提供对.shtm、.shtml、和.stm文件的支持ASP.NET:提供对.net的支持（三）IIS虚拟目录配置IIS虚拟目录虚拟目录若将web站点包含的文件放置在了其他主目录的驱动器上，或在其他计算机上，则必须创建虚拟目录将这些文件包含到你的web站点中。引入虚拟目录的优点及作用可以将数据分散到不同的磁盘或计算机上存储，提高安全性。注：为了提高安全性，应将目录设置到NTFS分区上可以避免使主目录空间达到极限当数据移动的时候不会影响Web站点的结构。如果存放网站内容的文件夹发生变化，则只要将该虚拟目录重新指向到新的文件夹即可。IIS虚拟目录创建过程图虚拟目录的创建过程IIS虚拟目录创建过程图输入虚拟目录的别名IIS虚拟目录创建过程图IIS虚拟目录创建过程图输入网站内容的路径IIS虚拟目录创建过程图IIS虚拟目录创建过程图IIS虚拟目录创建过程图虚拟目录的访问虚拟目录的别名虚拟目录访问权限说明读取：提供给用户读取网页的服务，也就是说客户端可以下载网页。如果Web服务器位于NTFS文件系统的驱动器上，则客户端能否下载网页还要取决于NTFS权限的设置。运行脚本(如:ASP)：允许客户端访问站点脚本文件（如：ASP）。配合读取权限，客户端可以访问脚本；配合写入权限，客户端可以修改脚本。虚拟目录访问权限说明（续）执行（如：ISAPI应用程序或CGI）：允许客户端执行ISAPI或CGI的应用程序。写入：允许客户端上载文件或者编辑改变网页内容。和读取的权限相同，客户端是否拥有写入的权限还要取决于NTFS权限。浏览：允许客户端浏览Web站点的目录。如果给客户端此权限，则当Web站点上没有启用默认文档，客户端输入的URL又没有指定文件名或目录的时候，页面将显示为此站点的目录列表。建议不要开放此权限。（四）IIS站点配置IIS站点IIS支持在同一台服务器上实现多个web站点。创建方法：利用多个IP地址建立多个网站；利用TCP连接端口建立多个网站；利用主机头名称建立多个网站；站点创建过程基于端口号:更改端口号，如：8080基于主机头：输入站点域名如：地址:输入网站IP地址三种方法的优缺点基于IP地址用户通过“地址/”的方式访问服务器需要配置多个IP地址不适合IP地址不足的情况基于端口用户通过“地址:端口号/”的方式访问只需要一个IP地址或域名用户需要记住每个web站点对应的端口号基于主机头（域名）用户通过“http://域名/”的方式访问每个站点需要一个域名需要在DNS服务器中将一台计算机的IP地址映射到多个域名站点的其它配置鼠标右键点击站点，如：“站点1”属性•同一个站点有多个域名•同一个站点有多个IP地址•同一个站点通过多个端口访问为同一站点增加访问方式站点的日志配置W3C扩展日志文件格式一个包含多个不同属性、可自定义的ASCII格式。可以记录对管理员来说重要的属性，可省略不需要的属性字段来限制日志文件的大小。各属性字段以空格分开。时间以UTC形式记录。（与本地时间相差8小时）ODBC日志记录格式用来记录符合开放式数据库连接（ODBC）的数据库（MicrosoftAccess或SQLServer）中一组固定的数据属性。必须指定要登录的数据库，并且设置数据库接收数据。四种日志格式NCSA公用日志文件格式美国国家超级计算技术应用中心公用格式，是一种固定的（不能自定义的）ASCII格式记录关于用户请求的基本信息，如远程主机名、用户名、日期、时间、请求类型、HTTP状态码和服务器发送的字节数。各属性字段以空格分开。时间记录为本地时间MicrosoftIIS日志文件格式固定的（不能自定义的）ASCII格式。IIS格式比NCSA公用格式记录的信息多。用逗号分开时间记录为本地时间。站点的日志配置建议不要使用默认的目录！更换一个记录日志的路径，同时设置日志访问权限，只允许管理员和SYSTEM为完全控制的权限。W3C扩展日志根据日志文件中记录的内容，便可得知访问该站点的用户的详细情况，如IP地址、所访问过的文件等，还可以查出有哪些人非法入侵过，并根据入侵情况来查询入侵者地址，或者加强网站的安全措施。设置站点的性能配置“主目录”选项卡权限权限脚本资源访问：允许用户访问文件源代码。如ASP脚本。建议不要勾选此项读取：允许用户读取或者下载文件或目录及其相关属性。必选项写入：允许用户将文件及其相关属性上载到服务器上已启用的目录中，或者更改可写文件的内容。目录浏览：允许用户看到该虚拟目录中的文件和子目录的超文本列表。如果禁用了目录浏览并且用户未指定文件名，那么Web服务器将在用户的Web浏览器中显示“禁止访问”错误消息。建议不要勾选此项记录访问：将IIS配置成在日志文件中记录对此目录的访问。只有启用了该网站的日志记录之后，才会记录访问情况。索引资源：允许Microsoft索引服务在网站的全文索引中包含该文件夹。应用程序池IIS6.0的一个全新概念应用程序池中的应用程序与其他应用程序被工作进程边界分隔，某个应用程序池中的应用程序不会受到其他应用程序池中应用程序所产生的问题的影响。工作进程隔离模式允许客户创建多个应用程序池应用程序池的创建输入应用程序池的名称，如：站点1应用程序池的指派执行权限：此选项确定该站点资源的许可的程序执行级别。“无”：可以限制只能访问静态文件，如HTML或图像文件。“纯脚本”：可以只允许运行纯脚本，而不运行可执行程序。“脚本和可执行文件”：允许应用程序在此目录中运行，其中包括映射到脚本引擎的应用程序和Windows二进制文件（.dll和.exe文件）站点默认首页的配置常见默认首页：Index.htmIndex.htmlIndex.aspIndex.aspxDefautl.htmDefault.htmlDefault.aspDefault.aspx（五）IIS的安全配置几个方面的安全配置防mdb文件被恶意下载屏蔽服务器返回的错误信息站点IP限制访问权限设置IIS的备份和还原防mdb文件被恶意下载问题：Asp＋Access站点数据库位置：/data/db.mdb在IE浏览器输入以上URL，数据库可以被下载解决办法方法一修改数据库的扩展名为asp缺陷：如果asp文件被批量挂马，数据库无法恢复方法二数据库名前加“#”方法三使用ODBC数据源方法四增加对mdb的应用程序映射增加对mdb的应用程序映射屏蔽服务器返回的错误信息问题大量的攻击都是基于服务器返回的脚本错误信息，如sql注入攻击增加sql注入的反馈页面正常页面错误页面从这个错误提示能看出下面几点：1.网站使用的是Access数据库，通过JET引擎连接数据库，而不是通过ODBC。2.程序没有判断客户端提交的数据是否符合程序要求。3.该SQL语句所查询的表中有一名为ID的字段。News.aps?id=23News.aps?id=23’解决办法屏蔽服务器返回的错误信息注：这个方法不能从根本上解决sql注入问题站点IP限制问题某个站点只需要对给定范围的主机访问或者禁止给定范围的主机访问站点解决方法IP限制设置IP地址限制添加一系列将被拒绝访问的计算机添加一系列将被授权访问的计算机访问权限设置问题：服务器上配置多个站点，一个站点被攻击，往往会影响服务器上的其它站点解决办法定期扫描站点漏洞，及时修补相应的漏洞设置合理的访问权限环境：两个站点：站点1、站点2站点1存在漏洞，被上传了asp木马没有进行权限设置之前，利用站点1的漏洞可以攻击站点2。访问权限设置的步骤1.创建用户组webgroup2.为每个站点分别创建系统用户，属于webgroup用户组。并分别为这些用户创建复杂的口令。3.修改匿名访问使用的帐户为新添加的用户，并正确输入用户的密码4.修改站点目录的NTFS权限，仅保留system用户和新添加的用户演示删除不需要的用户权限，只留下Administrator和SYSTEM继承父目录的权限，在删除时的提示信息去掉选项前的“√”删除其它用户之后更改匿名访问的用户输入该用户的密码若站点存放在Windows2003服务器的E盘E:\的权限：Administrators全部（该文件夹，子文件夹及文件）system全部（该文件夹，子文件夹及文件）“E:\站点1”的权限：Administrators全部（该文件夹，子文件夹及文件）system全部（该文件夹，子文件夹及文件）vhost1全部（该文件夹，子文件夹及文件）IIS的备份和还原许多虚拟站点，每个站点的配置不同；服务器迁移，如何快速实现IIS的配置？如果配置错误，如何快速恢复IIS的备份输入备份配置的文件名选择备份文件的存放路径备份文件IIS的还原（六）常见问题分析常见问题提示访问被禁止提示找不到文件如何提高FSO组件的安全性？为什么Windows2003的IIS6.0不能上传超过200K的文件？SQL注入问题现象提示无权限访问弹出对话框，请求输入用户名和密码解决办法检查身份验证方法匿名、基本验证检查文件授权、用户权限Internet来宾用户或指定用户是否具有访问权限上传文件存放目录是否具有写权限用户对数据库文件是否具有写权限1.访问被禁止2.找不到文件现象提示文件不存在网页图片没有正常显示解决方法检查网页上文件的路径，再到服务器上查看对应的路径下文件是否存在检查网页上链接地址是否正确3.如