本文目录一览:
- 1、linux 服务器 如何进行安全检查?
- 2、如何测试服务器
- 3、服务器系统的安全从哪些方面进行测评?
- 4、web安全测试主要测试哪些内容?
- 5、如何进行WEB安全性测试
- 6、WEB服务器安全渗透性测试方案
linux 服务器 如何进行安全检查?
众所周知,网络安全是一个非常重要的课题,而服务器是网络安全中最关键的环节。linux被认为是一个比较安全的Internet服务器,作为一种开放源代码操作系统,一旦linux系统中发现有安全漏洞,Internet上来自世界各地的志愿者会踊跃修补它。然而,系统管理员往往不能及时地得到信息并进行更正,这就给黑客以可乘之机。相对于这些系统本身的安全漏洞,更多的安全问题是由不当的配置造成的,可以通过适当的配置来防止。服务器上运行的服务越多,不当的配置出现的机会也就越多,出现安全问题的可能性就越大。对此,下面将介绍一些增强linux/Unix服务器系统安全性的知识。 一、系统安全记录文件 操作系统内部的记录文件是检测是否有网络入侵的重要线索。如果您的系统是直接连到Internet,您发现有很多人对您的系统做Telnet/FTP登录尝试,可以运行"#more/var/log/secure greprefused"来检查系统所受到的攻击,以便采取相应的对策,如使用SSH来替换Telnet/rlogin等。 二、启动和登录安全性 1 #echo》/etc/issue 然后,进行如下操作: #rm-f/etc/issue #rm-f/etc/issue 三、限制网络访问 1(ro,root_squash) /dir/to/exporthost2(ro,root_squash) /dir/to/export是您想输出的目录,host是登录这个目录的机器名,ro意味着mount成只读系统,root_squash禁止root写入该目录。为了使改动生效,运行如下命令。 #/usr/sbin/exportfs-a 2"表示允许IP地址192允许通过SSH连接。 配置完成后,可以用tcpdchk检查: #tcpdchk tcpchk是TCP_Wrapper配置检查工具,它检查您的tcpwrapper配置并报告所有发现的潜在/存在的问题。 3.登录终端设置 /etc/securetty文件指定了允许root登录的tty设备,由/bin/login程序读取,其格式是一个被允许的名字列表,您可以编辑/etc/securetty且注释掉如下的行。 #tty1 #tty2 #tty3 #tty4 #tty5 #tty6 这时,root仅可在tty1终端登录。 4.避免显示系统和版本信息。 如果您希望远程登录用户看不到系统和版本信息,可以通过一下操作改变/etc/inetd.conf文件: telnetstreamtcpnowaitroot/usr/sbin/tcpdin.telnetd-h 加-h表示telnet不显示系统信息,而仅仅显示"login:" 四、防止攻击 1.阻止ping如果没人能ping通您的系统,安全性自然增加了。为此,可以在/etc/rc.d/rc.local文件中增加如下一行:
如何测试服务器
服务器测试方法
服务器测试方法分为两个大方面,性能测试与功能测试。
我们在性能测试方面采用了新的测试方法,主要分为文件测试、数据库性能测试与
Web
性能测试三个
方面。其中,文件性能与数据库性能采用美国
Quest
软件公司的
Benchmark Factory
负载测试和容量规划
软件,
Web
性能测试则使用了
Spirent
公司提供的
Caw WebAvalanche
测试仪。
一、性能测试
1
、文件性能测试方法
Benchmark Factory
软件能按照文件读写的关键指标定制事务。软件最大支持
1000
个虚拟客户。
本次测试环境包括
10
台配置为
PIII800/128MB
内存
/20G
硬盘以上的客户端,它们用来模拟虚拟用户。
控制台为配置是
PIII 850/128MB
内存
/40G
硬盘的
Acer
笔记本电脑。交换机为带有两个千兆
GBIC
接口、
24
个
10/100M
自适应端口的
Cisco 2950
,客户端与控制台通过
100M
网卡连到交换机上,被测服务器则通
过千兆光纤网卡与交换机相连接。
被测服务器均安装带
SP4
的
Windows
2000
Advanced Server
操作系统,在所有三项性能测试中都统一
RAID
级别为
5
。
在具体测试方案设置上,测试软件把决定文件读写操作的关键因素设定为:读
/
写、随机
/
顺序、操作
块大小、对象大小四个。在本次测试中,考虑到我们设有单独的数据库及
Web
测试项目,所以在文件测试
中,我们把目标确定为测试服务器基本的
I/O
性能,这主要由网络接口、系统带宽、磁盘子系统等几大部
分所决定。同时,从几部分的作用看,以大操作块读写大对象文件,小操作块读写小对象文件,较能反映
服务器最基本的
I/O
性能,即“大操作块读写大文件”对系统带宽、缓存的考察,以及“小操作块读写小
文件”对磁盘子系统、网络接口的考察。最终我们确定的四个事务是:
大文件顺序读写
(
操作块
8KB
,对象文件
80% 500KB
、
20% 1MB)
大文件随机读写
(
操作块
8KB
,对象文件
80% 500KB
、
20% 1MB)
小文件随机读
(
操作块
1KB
,对象文件
80% 1KB
、
10% 10KB
、
10% 50KB)
小文件顺序写
(
操作块
1KB
,对象文件
80% 1KB
、
10% 10KB
、
10% 50KB)
每个事务的用户数均以固定步长逐渐增加,
最大可增加到
1000
个虚拟用户。
其中,
“大文件顺序读写”
事务的用户数按照
40
的步长从
1
可增加到
400
个
(
测试至强服务器
)
或
200
个
(
测试
TUALATIN
服务器
)
,其
他事务则将用户数按照
100
的步长从
1
增加至
1000
。我们期望得到其在不同用户数时被测服务器的性能表
现。总体上其走势及峰值反映了该服务器的性能。每项事务均运行三次,每次之间被测服务器进行重启,
最终结果为三次平均值。
2
、数据库性能测试方法
“乘机安全小贴士”安全出行要重视
数据库性能测试同样使用了
Benchmark Factory
软件,测试环境如同文件性能测试。测试时,在被测
服务器上安装
SQL Server 2000
使用企业版。首先在被测服务器上创建新的数据库,通过使用
Benchmark
Factory
预定义的
Database Spec
项目向数据库中创建表,装载数据。在服务器端创建以
CPU
计算为主的
存储过程,通过
10
台客户机模拟用户、按照
40
个虚拟用户的步长递增到
400
个用户,执行该存储过程。
结果是以获得的每秒事务数
(TPS)
衡量服务器的数据库事务处理能力。
整个测试分为三次,
每次之间重新启
动被测服务器,最终取三次平均值作为评价结果。
3
、
Web
性能测试方法
Web
性能测试工具是由
Spirent
公司提供的
Caw WebAvalanche
。
WebAvalanche
模拟实际的用户发出
HTTP
请求,
并根据回应给出具体的详细测试结果。
它有以下特点:
能够模拟成百上千的客户端对服务器发
出请求
;
能够模拟真实的网络应用情况,
比如网站在高峰期的访问量应该是动态的维持,
有新客户端的加入,
同时也有原客户的离去,
访问量不是固定不变的
;
可以产生
20000
个连接
/
秒请求量,
足以满足测试的需要
;
测试项目丰富,有访问请求的成功失败数,有
URL
和页面的响应时间,有网络流量数,还有
HTTP
和
TCP
协
议的具体情况。
测试时,被测服务器与
WebAvalanche
上都装有千兆光纤网卡,两网卡通过光纤直接连接。监控端
(
配
置为
PIII 1GHz/128M
内存
/20G
硬盘
)
安装了带
SP4
的
Windows 2000 Server,
该监控端与
WebAvalanche
通
过交叉线直连。在监控端通过
Web
浏览器配置
WebAvalanche
,在被测服务器安装了
SQL Server 2000
企业
版,并用微软的
IIS
建立了
Web
服务器。
测试分为静态性能与动态性能两部分。主要是因为在实际的
Web
应用中,有的站点静态内容居多,提
供的服务也绝大多数是静态的,
因此,
他们就会特别的关心服务器静态性能
;
同样,
有的站点提供的服务交
互性的内容居多,他们就会更关心服务器的动态性能。
被测网站中页面大小及静态、动态页面所占比例均参照实际网站得出,整个网站静态、动态页面所占
比例是
70%
和
30%
,使用的动态页面类型为
ASP
。请求页面样本的文件大小分布比例与整个网站的相同。
静态性能测试模拟发出的均是静态页面请求。在测试动态性能时,动态页面的访问请求占
20%
,其余
80%
为静态页面请求。我们根据实际的
Web
服务器一天中的运行情况建立了一个服务器页面请求模型,该
模型由
4
个阶段组成,第一阶段是预热阶段,
WebAvalanche
发出的请求量由
慢慢上升到
200;
第二阶段
是逐步加压阶段,请求量逐步累加到最大值
8200;
第三阶段是动态维持阶段
;
第四阶段是下降阶段,请求量
由最大值迅速下降为
。其中,最大请求量略大于实际服务器能够提供的事务处理量。
被测服务器的静态与动态测试分别测试三遍,每遍之间被测服务器和测试仪均重启,结果取三次的平
均值。由此可见,此服务器测试方法立志于最终结果的准确性。
二、功能测试
在功能测试方面,我们对被测服务器的可扩展性、可用性以及可管理性进行了综合评价,其中可扩展
性包括硬盘、
PCI
槽以及内存等的扩展能力,可用性包括对热插拔、冗余设备
(
如硬盘、电源、风扇、网卡
等
)
的支持,可管理性则指的是服务器随机所带的管理软件。
我们在对服务器进行总体评价时,综合了性能、功能和价格三方面因素,依据《网络世界》所做的用
户调查结果,分别给予不同权重,性能占
50%
,功能占
40%
,而价格则占
10%
。在分析性能时,数据库性能
占其中的
50%
,而文件性能占
30%
,
Web
性能占
20%
。
综上所述,这种全新的服务器测试方法更够更准确更直接的对服务器进行测试,而且数据更加精确。
希望能给又需要的读者朋友带来一定的帮助
。
谢谢采纳。
服务器系统的安全从哪些方面进行测评?
操作系统、数据库、中间件、应用软件安全性、服务器所在网络环境安全性。这是主要的。
辅助的还有物理安全性、管理及安全存储这几个方面。
web安全测试主要测试哪些内容?
1、来自服务器本身及网络环境的安全,这包括服务器系统漏洞,系统权限,网络环境(如ARP等)专、网属络端口管理等,这个是基础。
2、来自WEB服务器应用的安全,IIS或者Apache等,本身的配置、权限等,这个直接影响访问网站的效率和结果。
3、网站程序的安全,这可能程序漏洞,程序的权限审核,以及执行的效率,这个是WEB安全中占比例非常高的一部分。
4、WEB Server周边应用的安全,一台WEB服务器通常不是独立存在的,可能其它的应用服务器会影响到WEB服务器的安全,如数据库服务、FTP服务等。
如何进行WEB安全性测试
安全性测试
产品满足需求提及的安全能力
n 应用程序级别的安全性,包括对数据或业务功能的访问,应
用程序级别的安全性可确保:在预期的安全性情况下,主角
只能访问特定的功能或用例,或者只能访问有限的数据。例
如,可能会允许所有人输入数据,创建新账户,但只有管理
员才能删除这些数据或账户。如果具有数据级别的安全性,
测试就可确保“用户类型一” 能够看到所有客户消息(包括
财务数据),而“用户二”只能看见同一客户的统计数据。
n 系统级别的安全性,包括对系统的登录或远程访问。
系统级别的安全性可确保只有具备系统访问权限的用户才能
访问应用程序,而且只能通过相应的网关来访问。
安全性测试应用
防SQL漏洞扫描
– Appscan
n防XSS、防钓鱼
– RatProxy、Taint、Netsparker
nget、post - 防止关键信息显式提交
– get:显式提交
– post:隐式提交
ncookie、session
– Cookie欺骗
WEB服务器安全渗透性测试方案
WebRavor是在深入研究分析WEB应用系统中典型安全漏洞及流行攻击技术的基础上,由国内顶尖团队开发的一款WEB应用安全评估产品。研发及测试时间历经4年,经过10万多个真实系统的测试,是目前业界最强悍的专注于WEB应用安全弱点的评估工具。
弱点扫描
WebRavor具有自动遍历整个WEB架构的深度扫描功能,自动分析应用系统的代码,当发现了存在弱点的代码后,会根据不同数据库的特点尝试进行数据获取,用事实证明漏洞的存在。
扫描结果准确,误报和漏报率低;
多种扫描方式(主/被动、按层次、嗅探模式等);
WebRavor支持两种扫描模式,不仅可以全自动地进行主动扫描,还可以在用户的干预下进行被动模式的扫描,
以便对一些复杂表单和应用进行全面检测;
支持任何基于开放协议的应用系统(WEB、ERP、SSL等);
应用系统的开发语言无关性,全黑盒测试;
高效的爬行引擎,不仅能分析全部的URL,甚至对复杂的JavaScript分析都能够达到95%以上。
证据收集
对检测的弱点进行证据收集,
自动识别数据类型,获取数据库名称和连接的用户名称;
可以获取整个数据库结构及数据,并且具有智能查询功能;
支持绝大多数主流数据库;
证据具有不可抵赖性;
独有弱点验证机制,使误报率接近于“0“
WebRavor还提供了高效、可靠的渗透测试框架,可以根据需要自行定制渗透测试方法,在框架的支持下进行检测; 根据发现的弱点提供多种渗透测试策略; 将繁琐的工作简单化、公式化、流程化; 可以自行扩展,支持任何复杂的策略逻辑关系定义; 作为一些实例,目前提供了一些常见的测试手段和0—Day。