服務(wù)器日志安全性 關(guān)于服務(wù)器日志的作用

如何保護(hù)IIS網(wǎng)站日志的安全

日志是系統(tǒng)安全策略的一個(gè)重要環(huán)節(jié)，確保日志的安全能有效提高系統(tǒng)整體安全性。

創(chuàng)新互聯(lián)建站專注為客戶提供全方位的互聯(lián)網(wǎng)綜合服務(wù)，包含不限于成都網(wǎng)站設(shè)計(jì)、成都做網(wǎng)站、牟定網(wǎng)絡(luò)推廣、微信小程序定制開(kāi)發(fā)、牟定網(wǎng)絡(luò)營(yíng)銷(xiāo)、牟定企業(yè)策劃、牟定品牌公關(guān)、搜索引擎seo、人物專訪、企業(yè)宣傳片、企業(yè)代運(yùn)營(yíng)等，從售前售中售后，我們都將竭誠(chéng)為您服務(wù)，您的肯定，是我們最大的嘉獎(jiǎng)；創(chuàng)新互聯(lián)建站為所有大學(xué)生創(chuàng)業(yè)者提供牟定建站搭建服務(wù)，24小時(shí)服務(wù)熱線：18980820575，官方網(wǎng)址：bm7419.com

1.修改IIS服務(wù)器日志的存放路徑

默認(rèn)情況下，IIS服務(wù)器的日志存放在%Windir%System32LogFiles，黑客當(dāng)然非常清楚，所以最好修改一下其存放路徑。

在“Internet服務(wù)管理器”中，右擊網(wǎng)站目錄，選擇“屬性”，在網(wǎng)站目錄屬性對(duì)話框的“Web站點(diǎn)”頁(yè)面中，在選中“啟用日志記錄”的情況下，點(diǎn)擊旁邊的[屬性]按鈕，在“常規(guī)屬性”頁(yè)面，點(diǎn)擊[瀏覽]按鈕或者直接在輸入框中輸入日志存放路徑即可。如圖11-39所示。

2.修改日志訪問(wèn)權(quán)限，設(shè)置只有管理員才能訪問(wèn)。如圖11-40所示。

如果要做虛擬主機(jī)服務(wù)，請(qǐng)選擇一個(gè)好的虛擬主機(jī)管理系統(tǒng)（像鄭州景安網(wǎng)絡(luò)），能夠?qū)IS服務(wù)器站點(diǎn)管理權(quán)限進(jìn)行方便的設(shè)置和對(duì)各個(gè)IIS服務(wù)器站點(diǎn)進(jìn)行實(shí)時(shí)監(jiān)控，還能還原到你所指定時(shí)間點(diǎn)時(shí)的網(wǎng)站程序。通過(guò)以上的這些安全設(shè)置，相信你的Web服務(wù)器安全性會(huì)得到較大改善。

如何保護(hù)Web服務(wù)器中日志安全？

Web日志記錄了web服務(wù)器接收處理請(qǐng)求，以及其運(yùn)行時(shí)的錯(cuò)誤等各種原始信息。通過(guò)對(duì)日志進(jìn)行統(tǒng)計(jì)、分析、綜合，就能有效地掌握服務(wù)器的運(yùn)行狀況，發(fā)現(xiàn)和排除錯(cuò)誤、了解客戶訪問(wèn)分布等，方便管理員更好地加強(qiáng)服務(wù)器的維護(hù)和管理。另外，Web日志也是判斷服務(wù)器安全的一個(gè)重要依據(jù)，通過(guò)其可以分析判斷服務(wù)器是否被入侵，并通過(guò)其可以對(duì)攻擊者進(jìn)行反向跟蹤等。因此，對(duì)于Web日志攻擊者往往以除之而后快。

一、攻擊者清除日志的常用伎倆 1、Web服務(wù)器系統(tǒng)中的日志 以WindowsServer 2003平臺(tái)的Web服務(wù)器為例，其日志包括：安全日志、系統(tǒng)日志、應(yīng)用程序日志、WWW日志、FTP日志等。對(duì)于前面的三類(lèi)日志可以通過(guò)“開(kāi)始→運(yùn)行”輸入eventvwr.msc打開(kāi)事件查看器進(jìn)行查看，WWW日志和FTP日志以log文件的形式存放在硬盤(pán)中。具體來(lái)說(shuō)這些日志對(duì)應(yīng)的目錄和文件為： (1).安全日志文件:C:WINDOWSsystem32configSecEvent.Evt (2).系統(tǒng)日志文件:C:WINDOWSsystem32configSysEvent.Evt (3).應(yīng)用程序日志文件:C:WINDOWSsystem32configAppEvent.Evt (4).FTP日志默認(rèn)位置:C:WINDOWSsystem32LogfilesMSFTPSVC1 (5).WWW日志默認(rèn)位置:C:WINDOWSsystem32LogfilesW3SVC12、非法清除日志 上述這些日志在服務(wù)器正常運(yùn)行的時(shí)候是不能被刪除的，F(xiàn)TP和WWW日志的刪除可以先把這2個(gè)服務(wù)停止掉，然后再刪除日志文件，攻擊者一般不會(huì)這么做的。系統(tǒng)和應(yīng)用程序的日志是由守護(hù)服務(wù)Event Log支持的，而它是沒(méi)有辦法停止的，因而是不能直接刪除日志文件的。攻擊者在拿下Web服務(wù)器后，一般會(huì)采用工具進(jìn)行日志的清除，其使用的工具主要是CL和CleanIISLog。 (1).利用CL徹底清除日志 這個(gè)工具可以徹底清除IIS日志、FTP日志、計(jì)劃任務(wù)日志、系統(tǒng)日志、安全日志等，使用的操作非常簡(jiǎn)單。 在命令下輸入“cl -logfiles 127.0.0.1”就可以清除Web服務(wù)器與Web和FTP和計(jì)劃任務(wù)相關(guān)的日志。其原理就是先把FTP、WWW、Task Scheduler服務(wù)停止再刪除日志，然后再啟動(dòng)三個(gè)服務(wù)。(圖2)celialin 該工具還可以選擇性地清除相應(yīng)的日志，比如輸入“cl -eventlog All”就會(huì)清除Web服務(wù)器中與系統(tǒng)相關(guān)的日志。另外，此工具支持遠(yuǎn)程清理，這是攻擊者經(jīng)常采用的方法。首先他們通過(guò)命令“netuse ipipc$ 密碼/user:用戶名”在本地和服務(wù)器建立了管理員權(quán)限的IPC管理連接，然后用“CL -LogFile IP”命令遠(yuǎn)程清理服務(wù)日志。(圖3)

(2).利用CleanIISLog選擇性地清理IIS日志 比如攻擊者通過(guò)Web注入方式拿下服務(wù)器，這樣他的入侵痕跡(IP地址)都留在了IIS日志里。他們利用該工具只把其在IIS日志中的IP地址進(jìn)行清除，這樣就不會(huì)讓對(duì)方管理員起疑心。 在命令中執(zhí)行“CleanIISLog . IP”就可以清除IIS日志中有關(guān)該IP的連接記錄同時(shí)保留其它IP記錄。如果管理做了防范，比如更改了IIS日志的路徑，攻擊者在確定了日志的路徑后，也可以通過(guò)該工具進(jìn)行清除，其操作是，在命令行下執(zhí)行“CleanIISLog IIS日志路徑 IP地址”來(lái)清除指定IIS路徑的IP記錄。(圖4)二、打造日志服務(wù)器保護(hù)日志 通過(guò)上面的演示可以看到，如果將服務(wù)器的日志保存在本地是非常不安全的。而且，如果企業(yè)中的服務(wù)器非常多的話，查看日志會(huì)非常麻煩?；谝陨峡紤]，打造專門(mén)的日志服務(wù)器，即有利于服務(wù)器日志的備份又有利用于集中管理。 筆者的做法是，搭建一個(gè)FTP服務(wù)器用來(lái)日志的集中和備份，可以在服務(wù)器中通過(guò)專門(mén)的工具或者計(jì)劃任務(wù)來(lái)實(shí)現(xiàn)日志的自動(dòng)上傳備份。這部分內(nèi)容比較簡(jiǎn)單，筆者就不演示了。其實(shí)不僅可以將服務(wù)器日志備份到專門(mén)的日志服務(wù)器上，日志服務(wù)器還可以實(shí)現(xiàn)網(wǎng)絡(luò)設(shè)備的日志備份。 以路由器為例，首先在其上進(jìn)行設(shè)置，指定記錄日志的服務(wù)器，最后通過(guò)FTP協(xié)議將日志數(shù)據(jù)傳輸?shù)紽TP服務(wù)器上。搭建FTP服務(wù)器可以利用IIS的FTP或者Serv-u，但是筆者覺(jué)得IIS的FTP在權(quán)限分配上不夠方便，而Serv-u有漏洞太多，因此推薦TYPSoft FTP。 1、架設(shè)日志服務(wù)器 TYPSoft FTP是綠色軟件，下載解壓后雙擊ftpserv.exe文件，啟動(dòng)typsoft fip主程序。啟動(dòng)后，點(diǎn)擊主界面菜單中的“設(shè)定→用戶”，建立新賬戶log。接著在用戶界面中設(shè)置log賬號(hào)所對(duì)應(yīng)的用戶密碼和日志保存的目錄，最后點(diǎn)擊“保存”按鈕使設(shè)置生效，這樣日志服務(wù)器就架好了。(圖5)2、日志服務(wù)器的指定 當(dāng)搭建好日志服務(wù)器后，只需要到相應(yīng)的網(wǎng)絡(luò)設(shè)置中通過(guò)SYSLOG或LOG命令指定要保存日志的服務(wù)器地址即可，同時(shí)加上設(shè)置好的賬戶名和密碼即可完成傳輸配置工作。下面筆者就以Cisco6509設(shè)備上配置及指定日志服務(wù)器為例。 正常登錄到設(shè)備上然后在全局配置模式下輸入logging 192.168.1.10，它的意思是在路由器上指定日志服務(wù)器地址為192.168.1.10。接著輸入logging trap，它的意思是設(shè)置日志服務(wù)器接收內(nèi)容，并啟動(dòng)日志記錄。trap后面可以接參數(shù)0到7，不同級(jí)別對(duì)應(yīng)不同的情況，可以根據(jù)實(shí)際情況進(jìn)行選擇。如果直接使用logging trap進(jìn)行記錄的話是記錄全部日志。配置完畢后路由交換設(shè)備可以發(fā)送日志信息，這樣在第一時(shí)間就能發(fā)現(xiàn)問(wèn)題并解決。日志服務(wù)器的IP地址，只要是能在路由交換設(shè)備上ping通日志服務(wù)器的IP即可，不一定要局限在同一網(wǎng)段內(nèi)。因?yàn)镕TP屬于TCP/IP協(xié)議，它是可以跨越網(wǎng)段的。(圖6) 總結(jié)：本文從攻擊者的角度解析對(duì)Web日志的刪除和修改，目的是讓大家重視服務(wù)器日志的保護(hù)。另外，搭建專門(mén)的日志服務(wù)器不僅可以實(shí)現(xiàn)對(duì)日志的備份，同時(shí)也更利用對(duì)日志的集中管理。

怎么確認(rèn)服務(wù)器的安全性？

1、及時(shí)更新最新最全補(bǔ)丁:即使服務(wù)器沒(méi)有連接到互聯(lián)網(wǎng),仍然要保證軟件系統(tǒng)的更新,你可以通過(guò)網(wǎng)絡(luò)上的另一個(gè)服務(wù)器運(yùn)行服務(wù)器更新策略服務(wù)來(lái)完成。如果服務(wù)器不聯(lián)網(wǎng)不實(shí)際的話,那么應(yīng)該確保更新設(shè)置為自動(dòng)下載并應(yīng)用補(bǔ)丁。

2、定時(shí)檢查工作:定時(shí)檢查服務(wù)器的網(wǎng)絡(luò)連接狀況、定時(shí)檢查服務(wù)器操作系統(tǒng)運(yùn)行狀況、定時(shí)檢查服務(wù)器系統(tǒng)日志、定時(shí)檢查磁盤(pán)剩余空間已確保有充足的空間存儲(chǔ)數(shù)據(jù)。

3、磁盤(pán)陣列:就是把2個(gè)或2個(gè)以上的物理硬盤(pán)組合成1個(gè)邏輯硬盤(pán),極大的提高了數(shù)據(jù)的穩(wěn)定性和傳輸速度。同時(shí)安全性也有了非常高的保障。服務(wù)器硬盤(pán)的發(fā)展目前已達(dá)到每秒10000轉(zhuǎn)左右,在運(yùn)行當(dāng)中,一點(diǎn)細(xì)小的故障都有可能造成硬盤(pán)物理?yè)p壞,所以一般服務(wù)器都采用Raid磁盤(pán)陣列存儲(chǔ),加強(qiáng)服務(wù)器硬盤(pán)的容錯(cuò)功能。其中任意一個(gè)硬盤(pán)發(fā)生故障時(shí),仍可讀出數(shù)據(jù)。

4、除了做磁盤(pán)陣列外,對(duì)于一些十分重要的數(shù)據(jù)要實(shí)時(shí)進(jìn)行備份,利用專業(yè)備份軟件,定期定時(shí)做相對(duì)完善的備份方案。

5、數(shù)據(jù)備份記錄也好做好,以便恢復(fù)時(shí)使用。記錄里面應(yīng)包含:備份時(shí)間點(diǎn)、備份保存、備份方法、備份工具、操作人員、備份完成時(shí)間、備份檢測(cè)、備份開(kāi)始時(shí)間。

6、刪除不必要的軟件:在你服務(wù)器上的那些肯定不需要的軟件如Flash、Silverlight、Java.安裝這些軟件只會(huì)給黑客增加攻擊的機(jī)會(huì)。你可以從服務(wù)器中刪除沒(méi)用的軟件應(yīng)用

怎樣提高服務(wù)器安全性

1、系統(tǒng)漏洞的修復(fù)

安裝好的系統(tǒng)都會(huì)有系統(tǒng)漏洞需要進(jìn)行補(bǔ)丁，一些高危漏洞是需要我們及時(shí)補(bǔ)丁的, 否則黑客容易利用漏洞進(jìn)行服務(wù)器攻擊。

2、系統(tǒng)賬號(hào)優(yōu)化

我們服務(wù)器的密碼需要使用強(qiáng)口令，同時(shí)有一些來(lái)賓賬戶例如guest一定要禁用掉。

3、目錄權(quán)限優(yōu)化

對(duì)于不需要執(zhí)行與寫(xiě)入權(quán)限的服務(wù)器我們要進(jìn)行權(quán)限修改，確保不把不該出現(xiàn)的的權(quán)限暴露給攻擊者讓攻擊者有機(jī)可趁。

例如我們的windows文件夾權(quán)限，我們給的就應(yīng)該盡可能的少，對(duì)于用戶配置信息文件夾，不要給予everyone權(quán)限。

4、數(shù)據(jù)庫(kù)優(yōu)化

針對(duì)數(shù)據(jù)密碼和數(shù)據(jù)庫(kù)端口訪問(wèn)都要進(jìn)行優(yōu)化，不要將數(shù)據(jù)庫(kù)暴露在公網(wǎng)訪問(wèn)環(huán)境。

5、系統(tǒng)服務(wù)優(yōu)化

去除一些不必要的系統(tǒng)服務(wù)，可以優(yōu)化我們系統(tǒng)性能，同時(shí)優(yōu)化系統(tǒng)服務(wù)可以提升系統(tǒng)安全性。

6、注冊(cè)表優(yōu)化

注冊(cè)表優(yōu)化可以提升網(wǎng)絡(luò)并發(fā)能力，去除不必要的端口，幫助抵御snmp攻擊，優(yōu)化網(wǎng)絡(luò)，是我們優(yōu)化服務(wù)器不可缺少的環(huán)節(jié)。

7、掃描垃圾文件

垃圾文件冗余可能會(huì)造成我們的服務(wù)器卡頓，硬盤(pán)空間不足，需要我們定期進(jìn)行清理。

當(dāng)前題目：服務(wù)器日志安全性 關(guān)于服務(wù)器日志的作用
文章來(lái)源：http://bm7419.com/article14/dohpjge.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供定制開(kāi)發(fā)、域名注冊(cè)、網(wǎng)站排名、虛擬主機(jī)、網(wǎng)站導(dǎo)航、網(wǎng)站改版

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來(lái)源： 創(chuàng)新互聯(lián)