×

服务器安全测试

服务器安全测试(服务器安全测试国标)

hacker hacker 发表于2022-06-01 06:02:19 浏览30 评论2

2人参与发表评论

本文导读目录:
1、如何测试服务器?
2、如何检查Linux系统服务器的安全性
3、linux 服务器 如何进行安全检查?
4、如何进行WEB安全性测试
5、web安全测试主要测试哪些内容?
6、如何测试服务器

如何测试服务器?

一、服务器测试方法分为两个大方面,性能测试与功能测试。

在性能测试方面采用了新的测试方法,主要分为文件测试、数据库性能测试与Web性能测试三个方面。其中,文件性能与数据库性能采用美国Quest软件公司的Benchmark Factory负载测试和容量规划软件,Web性能测试则使用了Spirent公司提供的Caw WebAvalanche测试仪。

如何检查Linux系统服务器的安全性

但由于该操作系统是一个多用户操作系统,黑客们为了在攻击中隐藏自己,往往会选择 Linux作为首先攻击的对象。那么,作为一名Linux用户,我们该如何通过合理的方法来防范Linux的安全呢?下面笔者搜集和整理了一些防范 Linux安全的几则措施,现在把它们贡献出来,恳请各位网友能不断补充和完善。 1、禁止使用Ping命令Ping命令是计算机之间进行相互检测线路完好的一个应用程序,计算机间交流数据的传输没有 经过任何的加密处理,因此我们在用ping命令来检测某一个服务器时,可能在因特网上存在某个非法分子,通过专门的黑客程序把在网络线路上传输的信息中途 窃取,并利用偷盗过来的信息对指定的服务器或者系统进行攻击,为此我们有必要在Linux系统中禁止使用Linux命令。在Linux里,如果要想使 ping没反应也就是用来忽略icmp包,因此我们可以在Linux的命令行中输入如下命令: echo 1 /proc/sys/net/ipv4/icmp_echo_igore_all 如果想恢复使用ping命令,就可以输入 echo 0 /proc/sys/net/ipv4/icmp_echo_igore_all2、注意对系统及时备份为了防止系统在使用的过程中发生以外情况而难以正常运行,我们应该对Linux完好的系统进 行备份,最好是在一完成Linux系统的安装任务后就对整个系统进行备份,以后可以根据这个备份来验证系统的完整性,这样就可以发现系统文件是否被非法修 改过。如果发生系统文件已经被破坏的情况,也可以使用系统备份来恢复到正常的状态。备份信息时,我们可以把完好的系统信息备份在CD-ROM光盘上,以后 可以定期将系统与光盘内容进行比较以验证系统的完整性是否遭到破坏。如果对安全级别的要求特别高,那么可以将光盘设置为可启动的并且将验证工作作为系统启 动过程的一部分。这样只要可以通过光盘启动,就说明系统尚未被破坏过。 3、改进登录服务器将系统的登录服务器移到一个单独的机器中会增加系统的安全级别,使用一个更安全的登录服务器 来取代Linux自身的登录工具也可以进一步提高安全。在大的Linux网络中,最好使用一个单独的登录服务器用于syslog服务。它必须是一个能够满 足所有系统登录需求并且拥有足够的磁盘空间的服务器系统,在这个系统上应该没有其它的服务运行。更安全的登录服务器会大大削弱入侵者透过登录系统窜改日志 文件的能力。 4、取消Root命令历史记录在Linux下,系统会自动记录用户输入过的命令,而root用户发出的命令往往具有敏感的 信息,为了保证安全性,一般应该不记录或者少记录root的命令历史记录。为了设置系统不记录每个人执行过的命令,我们可以在Linux的命令行下,首先 用cd命令进入到/etc命令,然后用编辑命令来打开该目录下面的profile文件,并在其中输入如下内容: HISTFILESIZE=0

HISTSIZE=0当然,我们也可以直接在命令行中输入如下命令: ln -s /dev/null ~/.bash_history5、为关键分区建立只读属性Linux的文件系统可以分成几个主要的分区,每个分区分别进行不同的配置和安装,一般情况 下至少要建立/、/usr/local、/var和/home等分区。/usr可以安装成只读并且可以被认为是不可修改的。如果/usr中有任何文件发生 了改变,那么系统将立即发出安全报警。当然这不包括用户自己改变/usr中的内容。/lib、/boot和/sbin的安装和设置也一样。在安装时应该尽 量将它们设置为只读,并且对它们的文件、目录和属性进行的任何修改都会导致系统报警。 当然将所有主要的分区都设置为只读是不可能的,有的分区如/var等,其自身的性质就决定了不能将它们设置为只读,但应该不允许它具有执行权限。 6、杀掉攻击者的所有进程假设我们从系统的日志文件中发现了一个用户从我们未知的主机登录,而且我们确定该用户在这台 主机上没有相应的帐号,这表明此时我们正在受到攻击。为了保证系统的安全被进一步破坏,我们应该马上锁住指定的帐号,如果攻击者已经登录到指定的系统,我 们应该马上断开主机与网络的物理连接。如有可能,我们还要进一步查看此用户的历史记录,再仔细查看一下其他用户是否也已经被假冒,攻击者是否拥有有限权 限;最后应该杀掉此用户的所有进程,并把此主机的IP地址掩码加入到文件hosts.deny中。 7、改进系统内部安全机制我们可以通过改进Linux操作系统的内部功能来防止缓冲区溢出,从而达到增强Linux系 统内部安全机制的目的,大大提高了整个系统的安全性。但缓冲区溢出实施起来是相当困难的,因为入侵者必须能够判断潜在的缓冲区溢出何时会出现以及它在内存 中的什么位置出现。缓冲区溢出预防起来也十分困难,系统管理员必须完全去掉缓冲区溢出存在的条件才能防止这种方式的攻击。正因为如此,许多人甚至包括 Linux Torvalds本人也认为这个安全Linux补丁十分重要,因为它防止了所有使用缓冲区溢出的攻击。但是需要引起注意的是,这些补丁也会导致对执行栈的 某些程序和库的依赖问题,这些问题也给系统管理员带来的新的挑战。 8、对系统进行跟踪记录为了能密切地监视黑客的攻击活动,我们应该启动日志文件,来记录系统的运行情况,当黑客在攻 击系统时,它的蛛丝马迹都会被记录在日志文件中的,因此有许多黑客在开始攻击系统时,往往首先通过修改系统的日志文件,来隐藏自己的行踪,为此我们必须限 制对/var/log文件的访问,禁止一般权限的用户去查看日志文件。当然,系统中内置的日志管理程序功能可能不是太强,我们应该采用专门的日志程序,来 观察那些可疑的多次连接尝试。另外,我们还要小心保护好具有根权限的密码和用户,因为黑客一旦知道了这些具有根权限的帐号后,他们就可以修改日志文件来隐 藏其踪迹了。 9、使用专用程序来防范安全有时,我们通过人工的方法来监视系统的安全比较麻烦,或者是不周密,因此我们还可以通过专业 程序来防范系统的安全,目前最典型的方法为设置陷井和设置蜜罐两种方法。所谓陷井就是激活时能够触发报警事件的软件,而蜜罐(honey pot)程序是指设计来引诱有入侵企图者触发专门的报警的陷井程序。通过设置陷井和蜜罐程序,一旦出现入侵事件系统可以很快发出报警。在许多大的网络中, 一般都设计有专门的陷井程序。陷井程序一般分为两种:一种是只发现入侵者而不对其采取报复行动,另一种是同时采取报复行动。 10、将入侵消灭在萌芽状态入侵者进行攻击之前最常做的一件事情就是端号扫瞄,如果能够及时发现和阻止入侵者的端号扫瞄 行为,那么可以大大减少入侵事件的发生率。反应系统可以是一个简单的状态检查包过滤器,也可以是一个复杂的入侵检测系统或可配置的防火墙。我们可以采用诸 如Abacus Port Sentry这样专业的工具,来监视网络接口并且与防火墙交互操作,最终达到关闭端口扫瞄攻击的目的。当发生正在进行的端口扫瞄时,Abacus Sentry可以迅速阻止它继续执行。但是如果配置不当,它也可能允许敌意的外部者在你的系统中安装拒绝服务攻击。正确地使用这个软件将能够有效地防止对 端号大量的并行扫瞄并且阻止所有这样的入侵者。 11、严格管理好口令前面我们也曾经说到过,黑客一旦获取具有根权限的帐号时,就可以对系统进行任意的破坏和攻 击,因此我们必须保护好系统的操作口令。通常用户的口令是保存在文件/etc/passwd文件中的,尽管/etc/passwd是一个经过加密的文件, 但黑客们可以通过许多专用的搜索方法来查找口令,如果我们的口令选择不当,就很容易被黑客搜索到。因此,我们一定要选择一个确保不容易被搜索的口令。另外,我们最好能安装一个口令过滤工具,并借用该工具来帮助自己检查设置的口令是否耐得住攻击。

linux 服务器 如何进行安全检查?

众所周知,网络安全是一个非常重要的课题,而服务器是网络安全中最关键的环节。linux被认为是一个比较安全的Internet服务器,作为一种开放源代码操作系统,一旦linux系统中发现有安全漏洞,Internet上来自世界各地的志愿者会踊跃修补它。然而,系统管理员往往不能及时地得到信息并进行更正,这就给黑客以可乘之机。相对于这些系统本身的安全漏洞,更多的安全问题是由不当的配置造成的,可以通过适当的配置来防止。服务器上运行的服务越多,不当的配置出现的机会也就越多,出现安全问题的可能性就越大。对此,下面将介绍一些增强linux/Unix服务器系统安全性的知识。 一、系统安全记录文件 操作系统内部的记录文件是检测是否有网络入侵的重要线索。如果您的系统是直接连到Internet,您发现有很多人对您的系统做Telnet/FTP登录尝试,可以运行"#more/var/log/secure greprefused"来检查系统所受到的攻击,以便采取相应的对策,如使用SSH来替换Telnet/rlogin等。 二、启动和登录安全性 1 #echo》/etc/issue 然后,进行如下操作: #rm-f/etc/issue #rm-f/etc/issue 三、限制网络访问 1(ro,root_squash) /dir/to/exporthost2(ro,root_squash) /dir/to/export是您想输出的目录,host是登录这个目录的机器名,ro意味着mount成只读系统,root_squash禁止root写入该目录。为了使改动生效,运行如下命令。 #/usr/sbin/exportfs-a 2"表示允许IP地址192允许通过SSH连接。 配置完成后,可以用tcpdchk检查: #tcpdchk tcpchk是TCP_Wrapper配置检查工具,它检查您的tcpwrapper配置并报告所有发现的潜在/存在的问题。 3.登录终端设置 /etc/securetty文件指定了允许root登录的tty设备,由/bin/login程序读取,其格式是一个被允许的名字列表,您可以编辑/etc/securetty且注释掉如下的行。 #tty1 #tty2 #tty3 #tty4 #tty5 #tty6 这时,root仅可在tty1终端登录。 4.避免显示系统和版本信息。 如果您希望远程登录用户看不到系统和版本信息,可以通过一下操作改变/etc/inetd.conf文件: telnetstreamtcpnowaitroot/usr/sbin/tcpdin.telnetd-h 加-h表示telnet不显示系统信息,而仅仅显示"login:" 四、防止攻击 1.阻止ping如果没人能ping通您的系统,安全性自然增加了。为此,可以在/etc/rc.d/rc.local文件中增加如下一行:

如何进行WEB安全性测试

安全性测试

产品满足需求提及的安全能力

n 应用程序级别的安全性,包括对数据或业务功能的访问,应

用程序级别的安全性可确保:在预期的安全性情况下,主角

只能访问特定的功能或用例,或者只能访问有限的数据。例

如,可能会允许所有人输入数据,创建新账户,但只有管理

员才能删除这些数据或账户。如果具有数据级别的安全性,

测试就可确保“用户类型一” 能够看到所有客户消息(包括

财务数据),而“用户二”只能看见同一客户的统计数据。

n 系统级别的安全性,包括对系统的登录或远程访问。

系统级别的安全性可确保只有具备系统访问权限的用户才能

访问应用程序,而且只能通过相应的网关来访问。

安全性测试应用

防SQL漏洞扫描

– Appscan

n防XSS、防钓鱼

– RatProxy、Taint、Netsparker

nget、post - 防止关键信息显式提交

– get:显式提交

– post:隐式提交

ncookie、session

– Cookie欺骗

web安全测试主要测试哪些内容?

1、来自服务器本身及网络环境的安全,这包括服务器系统漏洞,系统权限,网络环境(如ARP等)专、网属络端口管理等,这个是基础。

2、来自WEB服务器应用的安全,IIS或者Apache等,本身的配置、权限等,这个直接影响访问网站的效率和结果。

3、网站程序的安全,这可能程序漏洞,程序的权限审核,以及执行的效率,这个是WEB安全中占比例非常高的一部分。

4、WEB Server周边应用的安全,一台WEB服务器通常不是独立存在的,可能其它的应用服务器会影响到WEB服务器的安全,如数据库服务、FTP服务等。

如何测试服务器

服务器测试方法

服务器测试方法分为两个大方面,性能测试与功能测试。

我们在性能测试方面采用了新的测试方法,主要分为文件测试、数据库性能测试与

Web

性能测试三个

方面。其中,文件性能与数据库性能采用美国

Quest

软件公司的

Benchmark Factory

负载测试和容量规划

软件,

Web

性能测试则使用了

Spirent

公司提供的

Caw WebAvalanche

测试仪。

一、性能测试

1

、文件性能测试方法

Benchmark Factory

软件能按照文件读写的关键指标定制事务。软件最大支持

1000

个虚拟客户。

本次测试环境包括

10

台配置为

PIII800/128MB

内存

/20G

硬盘以上的客户端,它们用来模拟虚拟用户。

控制台为配置是

PIII 850/128MB

内存

/40G

硬盘的

Acer

笔记本电脑。交换机为带有两个千兆

GBIC

接口、

24

10/100M

自适应端口的

Cisco 2950

,客户端与控制台通过

100M

网卡连到交换机上,被测服务器则通

过千兆光纤网卡与交换机相连接。

被测服务器均安装带

SP4

Windows

2000

Advanced Server

操作系统,在所有三项性能测试中都统一

RAID

级别为

5

在具体测试方案设置上,测试软件把决定文件读写操作的关键因素设定为:读

/

写、随机

/

顺序、操作

块大小、对象大小四个。在本次测试中,考虑到我们设有单独的数据库及

Web

测试项目,所以在文件测试

中,我们把目标确定为测试服务器基本的

I/O

性能,这主要由网络接口、系统带宽、磁盘子系统等几大部

分所决定。同时,从几部分的作用看,以大操作块读写大对象文件,小操作块读写小对象文件,较能反映

服务器最基本的

I/O

性能,即“大操作块读写大文件”对系统带宽、缓存的考察,以及“小操作块读写小

文件”对磁盘子系统、网络接口的考察。最终我们确定的四个事务是:

大文件顺序读写

(

操作块

8KB

,对象文件

80% 500KB

20% 1MB)

大文件随机读写

(

操作块

8KB

,对象文件

80% 500KB

20% 1MB)

小文件随机读

(

操作块

1KB

,对象文件

80% 1KB

10% 10KB

10% 50KB)

小文件顺序写

(

操作块

1KB

,对象文件

80% 1KB

10% 10KB

10% 50KB)

每个事务的用户数均以固定步长逐渐增加,

最大可增加到

1000

个虚拟用户。

其中,

“大文件顺序读写”

事务的用户数按照

40

的步长从

1

可增加到

400

(

测试至强服务器

)

200

(

测试

TUALATIN

服务器

)

,其

他事务则将用户数按照

100

的步长从

1

增加至

1000

。我们期望得到其在不同用户数时被测服务器的性能表

现。总体上其走势及峰值反映了该服务器的性能。每项事务均运行三次,每次之间被测服务器进行重启,

最终结果为三次平均值。

2

、数据库性能测试方法

“乘机安全小贴士”安全出行要重视

数据库性能测试同样使用了

Benchmark Factory

软件,测试环境如同文件性能测试。测试时,在被测

服务器上安装

SQL Server 2000

使用企业版。首先在被测服务器上创建新的数据库,通过使用

Benchmark

Factory

预定义的

Database Spec

项目向数据库中创建表,装载数据。在服务器端创建以

CPU

计算为主的

存储过程,通过

10

台客户机模拟用户、按照

40

个虚拟用户的步长递增到

400

个用户,执行该存储过程。

结果是以获得的每秒事务数

(TPS)

衡量服务器的数据库事务处理能力。

整个测试分为三次,

每次之间重新启

动被测服务器,最终取三次平均值作为评价结果。

3

Web

性能测试方法

Web

性能测试工具是由

Spirent

公司提供的

Caw WebAvalanche

WebAvalanche

模拟实际的用户发出

HTTP

请求,

并根据回应给出具体的详细测试结果。

它有以下特点:

能够模拟成百上千的客户端对服务器发

出请求

;

能够模拟真实的网络应用情况,

比如网站在高峰期的访问量应该是动态的维持,

有新客户端的加入,

同时也有原客户的离去,

访问量不是固定不变的

;

可以产生

20000

个连接

/

秒请求量,

足以满足测试的需要

;

测试项目丰富,有访问请求的成功失败数,有

URL

和页面的响应时间,有网络流量数,还有

HTTP

TCP

议的具体情况。

测试时,被测服务器与

WebAvalanche

上都装有千兆光纤网卡,两网卡通过光纤直接连接。监控端

(

置为

PIII 1GHz/128M

内存

/20G

硬盘

)

安装了带

SP4

Windows 2000 Server,

该监控端与

WebAvalanche

过交叉线直连。在监控端通过

Web

浏览器配置

WebAvalanche

,在被测服务器安装了

SQL Server 2000

企业

版,并用微软的

IIS

建立了

Web

服务器。

测试分为静态性能与动态性能两部分。主要是因为在实际的

Web

应用中,有的站点静态内容居多,提

供的服务也绝大多数是静态的,

因此,

他们就会特别的关心服务器静态性能

;

同样,

有的站点提供的服务交

互性的内容居多,他们就会更关心服务器的动态性能。

被测网站中页面大小及静态、动态页面所占比例均参照实际网站得出,整个网站静态、动态页面所占

比例是

70%

30%

,使用的动态页面类型为

ASP

。请求页面样本的文件大小分布比例与整个网站的相同。

静态性能测试模拟发出的均是静态页面请求。在测试动态性能时,动态页面的访问请求占

20%

,其余

80%

为静态页面请求。我们根据实际的

Web

服务器一天中的运行情况建立了一个服务器页面请求模型,该

模型由

4

个阶段组成,第一阶段是预热阶段,

WebAvalanche

发出的请求量由

慢慢上升到

200;

第二阶段

是逐步加压阶段,请求量逐步累加到最大值

8200;

第三阶段是动态维持阶段

;

第四阶段是下降阶段,请求量

由最大值迅速下降为

。其中,最大请求量略大于实际服务器能够提供的事务处理量。

被测服务器的静态与动态测试分别测试三遍,每遍之间被测服务器和测试仪均重启,结果取三次的平

均值。由此可见,此服务器测试方法立志于最终结果的准确性。

二、功能测试

在功能测试方面,我们对被测服务器的可扩展性、可用性以及可管理性进行了综合评价,其中可扩展

性包括硬盘、

PCI

槽以及内存等的扩展能力,可用性包括对热插拔、冗余设备

(

如硬盘、电源、风扇、网卡

)

的支持,可管理性则指的是服务器随机所带的管理软件。

我们在对服务器进行总体评价时,综合了性能、功能和价格三方面因素,依据《网络世界》所做的用

户调查结果,分别给予不同权重,性能占

50%

,功能占

40%

,而价格则占

10%

。在分析性能时,数据库性能

占其中的

50%

,而文件性能占

30%

Web

性能占

20%

综上所述,这种全新的服务器测试方法更够更准确更直接的对服务器进行测试,而且数据更加精确。

希望能给又需要的读者朋友带来一定的帮助

谢谢采纳。

群贤毕至

访客
拥嬉倥絔 拥嬉倥絔2022-06-01 06:31:51 | 回复 Caw WebAvalanche测试仪。一、性能测试1、文件性能测试方法Benchmark Factory软件能按照文件读写的关键指标定制事务。软件最大支持1000个虚拟客户。本次测试环境包括
丑味败骨 丑味败骨2022-06-01 13:33:28 | 回复 器均安装带SP4的Windows 2000 Advanced Server操作系统,在所有三项性能测试中都统一RAID级别为5。在具体测试方案设置上,测试软件把决定文件读写操作的关键因素设定为:读/