[ 登录 ][ 注册 ] 天极传媒: 比特网 | 天极网 | IT专家网 | IT商网 | 52PK游戏网 | 手机天极 | IT分众 |
您现在的位置: IT专家网 > 安全子站 > 评论分析

未雨绸缪:打造安全的LAMP平台四处方

作者: 阿林,  出处:IT专家网, 责任编辑: 张帅, 
2008-01-03 12:40
  LAMP是一个基于Linux、Apache、MySQL、PHP的开源Web开发平台,Apache HTTP服务器拥有极大的安全性,但简单的静态只读Web站点面临着各种危险;如今人们更多地开发动态的Web站点,这是否代表着一种进步呢……

  【IT专家网独家】LAMP是一个基于Linux、Apache、MySQL、PHP的开源Web开发平台,有时也将它作为Perl或Python替代性编程语言。Apache HTTP服务器拥有极大的安全性,至少在它运行在Linux或任何Unix类的操作系统上的时候是这样。不过简单的静态只读Web站点面临着各种危险;如今人们更多地开发动态的Web站点,这是否代表着一种进步呢?

  对于笔者而言,更喜欢过去那种简单的静态的HTML,因为即使浏览器的支持和站点质量像现在一样存在着问题,至少它们并没有因为运行那些臃肿的、低效的、错误百出的脚本而使系统陷于停顿甚至锁死整个系统。随着Linux的普及,我们再也不能对其安全自鸣得意了。

  由于Linux发行版本,如XAMMP和Ubuntu等,也由于PHP脚本语言的极大流行,现在安装一个LAMP并在一个晚上就建立一个动态的Web站点已经相当容易了。不过这种简易性并不一定是一件好事。任何一个Web管理人员都需要花点时间和能源来彻底地学习其LAMP。任何一个暴露在互联网下的服务器都需要对安全的额外关注,而动态的Web服务器尤甚,因为其更为复杂,其附带的损害更严重。

  近期有组织的犯罪对计算机的漏洞利用呈上升趋势,而恶意软件也仅是作为一个欺诈和窃取的途径而已。现在,它们进入你的系统一般并不是为了破坏,而是悄悄地窃取数据并将你的系统与世界范围内的僵尸网络联系起来。

  你可以采取的最重要一步是不要使用PHP。在你扔掉这个“烂苹果” 之前,请继续读下去。

  一、PHP=烦恼

  PHP(超文本预处理程序)是LAMP不安全链条中的罪魁祸首。它相对年轻,诞生于1997年,且仍在发展。PHP的问题分为三个方面:固有的缺陷、不健全的编码器、站点不打补丁或升级PHP。

  如果我们揭开PHP的盖头,发现的将不会是一个美人。它充满了混乱和不谐调的因素。其命名约定、语法、大小写敏感性都有矛盾。其内置函数基本上多余,相关文档资料少得可怜,因此你并不能确定哪一个函数的具体作用是什么。

  PHP看起来易于学习。在某种程度上,你可以在几小时内学会建立一个动态的Web站点。不过,要明确它的不安全因素并学会如何避免之可能要花费几年的时间。最常见的安全漏洞之一是非确认的输入—即所有的用户输入必须是不可信任的,不过PHP在这方面并没有什么得力的工具,因此你不得不编写自己的验证例程。

  在运用Apache的mod_php并以一个Apache模块的形式运行时,PHP继承了Apache进程的所有证书。因此,Apache可读写的全部内容也就是PHP可读写的内容,这也就意味着一次成功的PHP漏洞利用会直接导入到Apache中以及它所涉及到的所有内容。在一个简单站点上以单一用户运行mod_php没有什么问题,不过在一个共享的系统上以多用户运行它这简直就是一场噩梦,因为所有的脚本都运行在同样的Apache用户之下。一个可选方案是在suEXEC 或CGIWrap下运行PHP。这二者在一些健全的脚本语言下也可很好地运行,如Perl,Pythlon,Ruby。

  现在有数不清的站点仍在运行PHP3和PHP4,还有更多的站点从来没有打过安全补丁或进行程序的缺陷修正。PHP5早在2004年就已发布,而PHP3在1998年发布。是的,这有点儿愚蠢甚至不安全,不过更新到更新的PHP版本几乎总是需要重大的代码重写。更可笑的是Apache、PHP、MySQL总是冲突;你不得不同时使用恰当的、兼容的版本,否则它们就不能一起运行。对于简易的全新的安装,我们有很多选择,如XAMMP 和Ubuntu的 LAMP程序包都是不错的产品。不过,在你设法升级你的系统而它们不能保持同步时,真正可笑的事情也会接踵而至。

  依照笔者的粗浅的观点,你最好不要采用Perl, Python 或 Ruby。因其需要依赖于过时的、不安全的LAMP安装,所以主机服务也就臭名昭著。因此,请检查如下站点链接:http://www.webhostingtalk.com/,它可以帮助你找到一个合适的Web主机服务。

共2页。 1 2 :
  • 本文关键词:

网友评论

笔名 
请您注意:遵守国家有关法律、法规,尊重网上道德,承担一切因您的行为而直接或间接引起的法律责任。    IT专家网友拥有管理笔名和留言的一切权利。

邮件订阅


    • 解析Windows密码安全问题(第三部分)评论
      在前两部分文章中,我们讨论了Windows密码政策的问题以及它是如何在Active Directory环境被控制等问题,大家应该还记得在默认情况下密码政策和相关的设置位于默认域策略中(Default Domain Policy)。另外同样探讨了可以使用哪些技术破获windows密码,以及每种攻击方式的限制问题。那么,在本文中,我们将讨论如何让windows密码变得更加安全,以及如何能够解决在前两部分文章中出现的所有问题。本文将涉及Windows2002/2003/2008Active Directory默认安装带来的可能性以及其他能够整体提高密码安全的技术。
    • IDC创新和安全白皮书:合作或竞争评论
      业务创新是业务发展战略非常重要的一部分,并而日益成为公司保持竞争优势的决定性因素。由于创新的战略重要性,导致了我们越来越关注信息安全机制在抑制甚至扼杀业务创新方面起到的作用。IDC认为公司不仅是需要找到业务创新和有可能扼杀这种创新的信息安全机制,而且需要在这两者之间找到一个简洁的平衡来满足自己的业务需求。成功的企业能够在商业竞争中占有优势,是因为他们懂得去合理的利用两者使之成为一种具有杠杆作用的机制,而其它的企业只是单单强调其中的一个。
    • 预防企业数据丢失的6种最佳实践评论
      根据“私有权清算中心”(一家非赢利性消费者信息和倡导组织)的统计,自2005年1月以来,有将近2200万条记录遭到破坏。数据失窃和丢失案件数量惊人,这不仅是因为安全入侵事件正在以惊人的速度持续增长,数据丢失引发的财产损失事件也同样在飞速增加。根据美国政府的估计,所谓的“企业数据丢失”在去年使商业界损失了近1050亿美元。根据波尼蒙研究所(Ponemon Institute)的统计,仅仅内部人士导致的数据受损一项,每年给商业界造成的损失为平均每家公司3-4百万美元。产业分析公司Gartner集团估计,恢复数据的开销可以达到每条破坏记录150美元之高——这一数字还没有包括重拾客户信任和重建品牌价值、可能的罚款以及法律诉讼代理费的资金投入。在企业数据丢失案件有增无减的同时,公司也正在不断搜集更多数据,以求优化商业流程,改善客户服务,以及提升与合作伙伴的关系。更多的数据转化为相关数据在整个企业中数量不断增多的信息系统之间更广泛的传播。其结果就是——随着公司内外越来越多的用户获得接入系统的权限,敏感数据遭到破坏的风险也在不断增大。
    • RSA白皮书:管理银行的信息风险评论
      信息是银行的基础,但直到现在,金融机构还往往满足于以业务封闭式的方式管理风险。然而,行业的压力促使银行开始对这种战略展开思考。