【www.shanpow.com--网络散文】
【一】:192.168.1.1 路由器设置密码步骤是什么
192.168.1.1 路由器设置密码步骤是什么? 路由器具有判断网络地址和选择IP路径的功能,它能在多网络互联环境中,建立灵活的连接,可用完全不同的数据分组和介质访问方法连接各种子网。路由器分本地路由器和远程路由器,本地路由器是用来连接网络传输介质的,如光纤、同轴电缆、双绞线;远程路由器是用来连接远程传输介质,并要求相应的设备,如电话线要配调制解调器,无线要通过无线接收机、发射机。
1、确认无线网已经连接,可以从状态栏里看出。
2、打开浏览器,输入路由器地址:正常是192.168.1.1。以你个人路由器地址为准。就可以进入路由器设置页面。
3、进去前会有登录提示,正常默认是账号为:admin,密码也是admin。
4、有些无线路由器里的设置在“无线设置”下的“无线安全设置”。有些路由器会在安全设置里。
5、进去无线安全设置,除了不设置密码的选项外,还出现3种加密方式:
1)WPA-PSK/WPA2-PSK——一般用户均选用这种模式,这种模式是比较安全,能够阻止一般偷网软件的攻击。
2)WPA/WPA2
3)WEP
6、设定自己的路由器密码,提醒下,大家要注意大小写。
7、设定自己的路由器密码,提醒下,大家要注意大小写。
最后,提醒各位,选择好的网络尤为重要,建议到广东电信网厅办理宽带,电信靠谱,报装送电影票,可免费提速到100M。
【二】:192.168.1.1路由器设置问题大全
初学者一定对看到192.168.1.1或192.168.0.1这很想知道,这样理解:192.168.*.*这一类型的都是内网地址。
常用于内部局域网,是Internet的保留地址, 用于内部私有网络
所谓内网地址是在局域网中使用的IP地址 .专业术语就是我们说的 A类地址 内部地址,非标准的。有关网关的定义:192.168.1.1是数据超出本网段去的第一站.
192.168.1.1或192.168.0.1只是局域网的一个IP(内部地址,网络中保留的地址),对于因特网还有一个唯一的IP于之对应.别混淆了.
工作局域网中可使用的IP有5类:
1.10.x.x.x
2.172.x.x.x
3.192.x.x.x
4.224.x.x.x
5.240.x.x.x
X可随意设置,范围1-254这5类地址是局域网专用保留地址,是不允许在互联网上出现的.
说到这里应该有个初步的了解了吧,这个一般是路由器的web管理网址。账号和密码根据路由器的品牌不同而不同。有admin admin
admin (空)root 123456等!
下面举出有关常用的"192.168.1.1或192.168.0.1" 路由默认的admin和password:
艾玛 701g 192.168.101.1 192.168.0.1 用户名:admin 密码:admin 用户名:SZIM 密码:SZIM 艾玛701H 192.168.1.1 10.0.0.2 用户名:admin 密码:epicrouter
实达2110EH ROUTER 192.168.10.1 用户名:user 密码:password 用户名:root 密码:grouter 神州数码/华硕: 用户名:adsl 密码:adsl1234 全向: 用户名:root 密码:root
普天: 用户名:admin 密码:dare
e-tek 用户名:admin 密码:12345
zyxel 用户名:anonymous 密码:1234
北电 用户名:anonymous 密码:12345
大恒 用户名:admin 密码:admin
大唐 用户名:admin 密码:1234
斯威特 用户名:root 密码:root 用户名:user 密码:user
中兴 用户名:adsl 密码:adsl831
1、全向QL1680 IP地址10.0.0.2,用户名:admin,密码:qxcomm1680, 管理员密码:qxcommsupport。 全向QL1880 IP地址192.168.1.1,用户名:root,密码:root 全向QL1688 IP地址10.0.0.2,用户名为admin;密码为qxcomm1688
2、TP-LINK TD-8800在IE输入192.168.1.1,户名admin,密码admin
3、合勤zyxel 642 在运行输入telnet 192.168.1.1 密码1234
4、Ecom ED-802EG 在IE输入192.168.1.1,用户名和密码都为root
5、神州数码6010RA,在IE输入192.168.1.1 用户名为ADSL,密码为ADSL1234
6、华为SmartAX MT800的初始IP是192.168.1.1,用户名和密码都为ADMIN,恢复默认配置的方法有两种,一种是连续按MODEM背后的RESET键三次,另一种是在配置菜单的SAVE&REBOOT里选择恢复默认配置。
7、伊泰克:IP:192.168.1.1 用户名:supervisor 密码:12345
8、华硕IP:192.168.1.1 用户名:adsl 密码:adsl1234
9、阿尔卡特 192.168.1.1 一般没有密码
10、同维DSL699E 192.168.1.1 用户名:ROOT 密码:ROOT
11、大亚DB102 192.168.1.1 用户名:admin 密码:dare 高级设置://192.168.1.1/doc/index1.htm
12、WST的RT1080 192.168.0.1 username:root password:root
13、WST的ART18CX 10.0.0.2 username:admin password:conexant username:user password:password
14、实达V3.2 root root V5.4 root grouter
15、泛德 admin conexant 16、东信Ea700 192.168.1.1用户名:空 密码:password
17、broadmax的hsa300a 192.168.0.1 username:broadmax password:broadmax
18、长虹ch-500E 192.168.1.1 username:root password:root
19、重庆普天CP ADSL03 192.168.1.1 username:root password:root
20、台湾突破EA110 RS232:38400 192.168.7.1 usernameSL pswSL
21、etek-td的ADSL_T07L006.0 192.168.1.1 User Name: supervisor Password: 12345 忘记密码的解决办法: 使用超级终端的Xmodem方式重写Vxworks.dlf,密码恢复成:12345 22、GVC的DSL-802E/R3A 10.0.0.2 username:admin password:epicrouter username:user password:password
23、科迈易通km300A-1 192.168.1.1 username: password:password 科迈易通km300A-G 192.168.1.1
username:root password:root 科迈易通km300A-A 192.168.1.1 username:root or admin password:123456
24、sunrise的SR-DSL-AE 192.168.1.1 username:admin password:0000 sunrise的DSL-802E_R3A 10.0.0.2 username:admin password:epicrouter username:user password:password 25、UTStar的ut-300R
192.168.1.1 username:root or admin password:utstar 这些都是一些ADSL设奋的出厂时的默认初始IP,用户名和密码,是要调试这些设奋时必须要知道的东西。 一般调试这些设奋有三种方法,一种是最常见的WEB方法,就是在浏览器中填入设奋的IP,如QX1680,就是在浏览器地址栏输入10.0.0.2,出现提示栏后,输入用户名admin,密码qxcommsupport,就可以管理员设置界面了。最常见和最简单的就是这种方法。 第二种方法就是用TELNET的方法,telnet IP,如早期的合勤642,方法telnet 192.168.1.1,然后输入密码1234,就可以进入全英文的字符界面了。 第三种方法就是用厂商自带的配置程序来进入配置界面,如CyberLink
6307/6309KG 它使用在随Cybrlink 6307/6309KG带的光盘中DSLCom.exe, 出厂时默认值:路由IP地址 :1 92.168.1.1密码 : stm,由于这种方法没有前两种方法方便,所以现在的低端产品比较少采用了。 绝大部分产品的调试都是要先通过产品自带的双绞线连接设奋后,把本机网卡的IP设置成跟该设奋同一网段,再进行配置,如设奋被改了默认的IP或者密码,大部分都可以通过复位来恢复出厂默认值。最常用也是最有用的方www.shanpow.com_192.168.1.1路由器设置流程。
法就是把设奋断电后,一直按住复位键,然后通电,持续一小段时间后就可以恢中达通CT-500 192.168.1.1 root/12345
26.中兴adsl841默认IP:192.168.1.1,UserName:admin,Password:private 成都天逸 用户名:admin 密码:epicrouter 上海中达 用户名:(随意) 密码:12345 各位用ADSL的朋友,在拿到ADSL猫后,应及时修改默认密码,以免被人所利用 ADSL MODEM初始地址及用户名密码大全 要调试这些设奋,要先把网卡的IP地址设置成跟这些ADSL设奋相同的网段
1、全向QL1680在IE浏览器的地址栏里面敲入IP地址10.0.0.2,的用户名是admin出厂时默认值:密码是qxcomm1680,管理员密码是 qxcommsupport
2、全向QL1880在IE浏览器的地址栏里面敲入IP地址192.168.1.1,的用户名是root出厂时默认值:密码是root
3、全向QL1688在IE浏览器的地址栏里面敲入IP地址10.0.0.2,用户名为admin;出厂时默认值:密码为qxcomm1688
4、CyberLink 6307/6309KG 它使用在随Cyberlink6307/6309KG带的光盘中DSLCom.exe, 出厂时默认值:路由IP地址 : 192.168.1.1密码 : stm
5、TP-LINK TD-8800在IE输入192.168.1.1,户名admin,密码admin.
6、合勤zyxel 642 在运行输入telnet 192.168.1.1 密码1234,一直按住机身后面的的RESET复位键然后开机,保持几十秒就可以恢复出厂默认 值。
7、Ecom ED-802EG 在IE输入192.168.1.1,用户名和密码都为root
8、神州数码6010RA,在IE输入192.168.1.1 用户名为ADSL,密码为ADSL1234
9、华为SmartAX MT800的初始IP是192.168.1.1,用户名和密码都为ADMIN,恢复默认配置的方法有两种,一种是连续按MODEM背后的RESET键三 次,另一种是在配置菜单的SAVE&REBOOT里选择恢复默认配置。
伊泰克 用户名:supervisor 密码:12345
华硕 用户名:adsl 密码:adsl1234
阿尔卡特 一般没有密码www.shanpow.com_192.168.1.1路由器设置流程。
同维DSL699E 用户名:ROOT 密码:ROOT
大亚DB102 用户名:admin 密码:dare 高级设置界面:
WST的RT1080 username:root password:root
WST的ART18CX username:admin password:conexant username:user password :assword 全向qxcomm1688 高端设置密码是:qxcommsuport
全向qxcomm1680 登陆ADSL的密码是:qxcomm1680
实达 V3.2 root root V5.4 root grouter
泛德 admin conexant
东信Ea700 用户名:空 密码:password
broadmax的hsa300a username:broadmax password:broadmax
长虹ch-500E username:root password:root
重庆普天CP ADSL03 username:root password:root
台湾突破EA110 RS232:38400 username SL psw SL
etek-td的ADSL_T07L006.0 User Name: supervisor Password: 12345 忘记密码的解决办法: 使用超级终端的Xmodem方式重写Vxworks.dlf,密码恢复成:12345
GVC的DSL-802E/R3A username:admin password:epicrouter username:user password assword
科迈易通km300A-1 username: password assword
科迈易通km300A-G username:root password:root
科迈易通km300A-A username:root or admin password:123456
sunrise的SR-DSL-AE username:admin password:0000
sunrise的DSL-802E_R3A username:admin password:epicrouter username:user password assword
UTStar的ut-300R username:root or admin password:utstar
这些都是一些ADSL设奋的出厂时的默认初始IP,用户名和密码,是要调试这些设奋时必须要知道的东西
【三】:192.168.1.1或192.168.0.1路由器常用密码大全
随着家庭电脑饿增加,现在很多朋友使用路由器,但有时候路由器不是我们买的或没有路由器说明文档了或路由器已经用了很长时间,密码忘记了。针对这个问题,下面学习啦小编就为大家介绍一下具体的解决方法吧,欢迎大家参考和学习。
问题:
192.168.1.1进入了路由器请问用户名和密码是多少? 我的路由器密码丢了,谢谢大家。
回答:
每个品牌的路由器的用户名和密码都是不同的!下面我帮你找的(很幸苦的!!,找自己的牌子吧!100分给我了!新年快乐!
下面的文章大家可以搜索下。最常用的用户名与密码,大家可以依次试试
用户名:admin 密码:admin
用户名:user 密码:password
用户名:root 密码:root
用户名:guest、密码:guest
如果之前修改过密码怎么办呢,不用怕我们可以让路由器恢复到原来的密码
如设备被改了默认的IP或者密码,大部分都可以通过复位来恢复出厂默认值。最常用也是最有用的方法就是通电后,一直按住复位键(reset/default),然后通电,持续一小段时间后就可以恢复出厂默认值了(一般就是所有的等都闪了一下,说明就行了,长点时间也不要紧)。
下面文字较多,小编提示可以CTRL+F 搜索下
每个品牌的路由器的用户名和密码都是不同的!下面我帮你找的(很幸苦的!!,找自己的牌子吧!
最常用的用户名与密码大全:
用户名:admin 密码:admin
用户名:user 密码:password
用户名:root 密码:root
用户名:guest、密码:guest
艾玛 701g
192.168.101.1/192.168.0.1
用户名:admin 密码:admin
用户名:SZIM 密码:SZIM
艾玛701H
192.168.1.1/10.0.0.2
用户名:admin 密码:epicrouter
实达2110EH ROUTER
192.168.10.1
用户名:user 密码:password
用户名:root 密码:grouter
神州数码/华硕:
用户名:adsl 密码:adsl1234
全向:
用户名:root 密码:root
普天:
用户名:admin 密码:dare
e-tek
用户名:admin 密码:12345
zyxel
用户名:anonymous 密码:1234
北电
用户名:anonymous 密码:12345
大恒
用户名:admin 密码:admin
大唐
用户名:admin 密码:1234
斯威特
用户名:root 密码:root
用户名:user 密码:userwww.shanpow.com_192.168.1.1路由器设置流程。
中兴
用户名:adsl 密码:adsl831
全向QL1680
IP地址10.0.0.2
用户名:admin,密码:qxcomm1680
管理员密码:qxcommsupport。
全向QL1880
IP地址192.168.1.1
用户名:root,密码:root
1、全向QL1688 IP地址10.0.0.2,用户名为admin;密码为qxcomm1688
2、TP-LINK TD-8800在IE输入192.168.1.1,户名admin,密码admin
3、合勤zyxel 642 在运行输入telnet 192.168.1.1 密码1234
4、Ecom ED-802EG 在IE输入192.168.1.1,用户名和密码都为root
5、神州数码6010RA,在IE输入192.168.1.1 用户名为ADSL,密码为ADSL1234
6、华为SmartAX MT800的初始IP是192.168.1.1,用户名和密码都为ADMIN,恢复默认配置的
方法有两种,一种是连续按MODEM背后的RESET键三次,另一种是在配置菜单的SAVE&REBOOT
里选择恢复默认配置。
7、伊泰克:IP:192.168.1.1 用户名:supervisor 密码:12345
8、华硕IP:192.168.1.1 用户名:adsl 密码:adsl1234
9、阿尔卡特 192.168.1.1 一般没有密码
10、同维DSL699E 192.168.1.1 用户名:ROOT 密码:ROOT
11、大亚DB102 192.168.1.1 用户名:admin 密码:dare 高级设置
://192.168.1.1/doc/index1.htm
12、WST的RT1080 192.168.0.1 username:root password:root
13、WST的ART18CX 10.0.0.2 username:admin password:conexant username:user
password:password
14、实达V3.2 root root V5.4 root grouter
15、泛德 admin conexant
16、东信Ea700 192.168.1.1用户名:空 密码:password
17、broadmax的hsa300a 192.168.0.1 username:broadmax password:broadmax
18、长虹ch-500E 192.168.1.1 username:root password:root
19、重庆普天CP ADSL03 192.168.1.1 username:root password:root
20、台湾突破EA110 RS232:38400 192.168.7.1 usernameSL pswSL
21、etek-td的ADSL_T07L006.0 192.168.1.1 User Name: supervisor
Password: 12345 忘记密码的解决办法: 使用超级终端的Xmodem方式重写Vxworks.dlf,密
码恢复成:12345 22、GVC的DSL-802E/R3A 10.0.0.2 username:admin
password:epicrouter username:user password:password
23、科迈易通km300A-1 192.168.1.1 username: password:password 科迈易通km300A-G
192.168.1.1 username:root password:root 科迈易通km300A-A 192.168.1.1
username:root or admin password:123456
24、sunrise的SR-DSL-AE 192.168.1.1 username:admin password:0000 sunrise的
DSL-802E_R3A 10.0.0.2 username:admin password:epicrouter username:user
password:password
25、UTStar的ut-300R 192.168.1.1 username:root or admin password:utstar 这些都是
一些ADSL设奋的出厂时的默认初始IP,用户名和密码,是要调试这些设奋时必须要知道的东
西。 一般调试这些设奋有三种方法,一种是最常见的WEB方法,就是在浏览器中填入设奋的
IP,如QX1680,就是在浏览器地址栏输入10.0.0.2,出现提示栏后,输入用户名admin,密
码qxcommsupport,就可以管理员设置界面了。最常见和最简单的就是这种方法。 第二种方
法就是用TELNET的方法,telnet IP,如早期的合勤642,方法telnet 192.168.1.1,然后输入
密码1234,就可以进入全英文的字符界面了。 第三种方法就是用厂商自带的配置程序来进入
配置界面,如CyberLink 6307/6309KG 它使用在随Cybrlink 6307/6309KG带的光盘中
DSLCom.exe, 出厂时默认值:路由IP地址 :1 92.168.1.1密码 : stm,由于这种方法没有
前两种方法方便,所以现在的低端产品比较少采用了。 绝大部分产品的调试都是要先通过
产品自带的双绞线连接设奋后,把本机网卡的IP设置成跟该设奋同一网段,再进行配置,如
设奋被改了默认的IP或者密码,大部分都可以通过复位来恢复出厂默认值。最常用也是最有
用的方法就是把设奋断电后,一直按住复位键,然后通电,持续一小段时间后就可以恢中达
通CT-500 192.168.1.1 root/12345
26.中兴adsl841默认IP:192.168.1.1,UserName:admin,Password:private
成都天逸 用户名:admin 密码:epicrouter
上海中达 用户名:(随意) 密码:12345
ADSL MODEM初始地址及用户名密码大全
要调试这些设奋,要先把网卡的IP地址设置成跟这些ADSL设奋相同的网段
1、全向QL1680在IE浏览器的地址栏里面敲入IP地址10.0.0.2,的用户名是admin出厂时默认
值:密码是qxcomm1680,管理员密码是 qxcommsupport
2、全向QL1880在IE浏览器的地址栏里面敲入IP地址192.168.1.1,的用户名是root出厂时默
认值:密码是root
3、全向QL1688在IE浏览器的地址栏里面敲入IP地址10.0.0.2,用户名为admin;出厂时默认
值:密码为qxcomm1688
4、CyberLink 6307/6309KG 它使用在随Cyberlink6307/6309KG带的光盘中DSLCom.exe,出
厂时默认值:路由IP地址 : 192.168.1.1密码 : stm
5、TP-LINK TD-8800在IE输入192.168.1.1,户名admin,密码admin.
6、合勤zyxel 642 在运行输入telnet 192.168.1.1 密码1234,一直按住机身后面的的RESET
复位键然后开机,保持几十秒就可以恢复出厂默认 值。
7、Ecom ED-802EG 在IE输入192.168.1.1,用户名和密码都为root
8、神州数码6010RA,在IE输入192.168.1.1 用户名为ADSL,密码为ADSL1234
9、华为SmartAX MT800的初始IP是192.168.1.1,用户名和密码都为ADMIN,恢复默认配置的
方法有两种,一种是连续按MODEM背后的RESET键三 次,另一种是在配置菜单的SAVE&REBOOT
里选择恢复默认配置。
伊泰克
用户名:supervisor
密码:12345
华硕
用户名:adsl
密码:adsl1234
阿尔卡特
一般没有密码
同维DSL699E
用户名:ROOT
密码:ROOT
大亚DB102
用户名:admin
密码:dare
高级设置界面:
WST的RT1080
username:root
password:root
WST的ART18CX
username:admin
password:conexant
username:user
password :assword
全向qxcomm1688
高端设置密码是:qxcommsuport
全向qxcomm1680
登陆ADSL的密码是:qxcomm1680
实达
V3.2 root
root
V5.4 root
grouter
泛德
admin
conexant
东信Ea700
用户名:空
密码:password
broadmax的hsa300a
username:broadmax
password:broadmax
长虹ch-500E
username:root
password:root
重庆普天CP ADSL03
username:root
password:root
台湾突破EA110
RS232:38400
username SL
psw SL
etek-td的ADSL_T07L006.0
User Name: supervisor
Password: 12345
忘记密码的解决办法:
使用超级终端的Xmodem方式重写Vxworks.dlf,密码恢复成:12345
GVC的DSL-802E/R3A
username:admin
password:epicrouter
username:user
password assword
科迈易通km300A-1
username:
password assword
科迈易通km300A-G
username:root
password:root
科迈易通km300A-A
username:root or admin
password:123456
sunrise的SR-DSL-AE
username:admin
password:0000
sunrise的DSL-802E_R3A
username:admin
password:epicrouter
username:user
password assword
UTStar的ut-300R
username:root or admin
password:utstar
磊科
用户名:guest、密码:guest
这些都是一些ADSL设奋的出厂时的默认初始IP,用户名和密码,是要调试这些设奋时必须要知道的东西
一般调试这些设奋有三种方法,一种是最常见的WEB方法,就是在浏览器中填入设奋的IP,如QX1680,就是在 浏览器地址栏输入10.0.0.2,出现提示栏后,输入用户名admin,密码qxcommsupport,就可以管理员设置界面了。最常见和最简单的就是这种方法。
第二种方法就是用TELNET的方法,telnet IP,如早期的合勤642,方法telnet
192.168.1.1,然后输入密码1234,就可以进入全英文的字符界面了。
第三种方法就是用厂商自带的配置程序来进入配置界面,如CyberLink 6307/6309KG
它使用在随Cybrlink 6307/6309KG带的光盘中DSLCom.exe,
出厂时默认值:路由IP地址 :1 92.168.1.1密码 :
stm,由于这种方法没有前两种方法方便,所以现在的低端产品比较少采用了。
【四】:如何安全设置Apache Web服务器
Apache是世界使用排名第一的Web服务器软件。它可以运行在几乎所有广泛使用的计算机平台上,由于其跨平台和安全性被广泛使用,是最流行的Web服务器端软件之一。
但即使是这种服务器软件,也常常有攻击者会通过某些手段使服务器拒绝对http应答,这使Apache对系统资源(cup时间与内存)需求巨增,最终造成系统变慢甚至完全瘫痪,下面是学习啦小编整理的一些关于Apache Web服务器安全设置注意事项供你参考。
HTTP拒绝服务攻击
攻击者通过某些手段使服务器拒绝对http应答,这使Apache对系统资源(cup时间与内存)需求巨增,最终造成系统变慢甚至完全瘫痪,Apache服务器最大的缺点是,它的普遍性使它成为众矢之的,Apache服务器无时无刻不受到DoS攻击威胁,主要有下边几种
1.数据包洪水攻击
一种中断服务器或本地网络的方法是数据包洪水攻击,它通常使用internet控制报文协议(ICMP,属于网络层协议)包或是udp包,在最简单的形式下,这些攻击都是使服务器或网络负载过重,这意味这攻击者的网络速度必须比目标主机网络速度要快,使用udp包的优势是不会有任何包返回到黑客的计算机(udp效率要比tcp高17倍),而使用ICMP包的优势是攻击者能让攻击更加富与变化,发送有缺陷的包会搞乱并锁住受害者的网络,目前流行的趋势是攻击者欺骗服务器,让其相信正在受来自自身的洪水攻击.
2.磁盘攻击
这是一种很不道德的攻击,它不仅影响计算机的通信,还破坏其硬件,伪造的用户请求利用写命令攻击目标计算机硬盘,让其超过极限,并强制关闭,结局很悲惨.
3.路由不可达
通常DoS攻击,集中在路由器上,攻击者首先获得控制权并操纵目标机器,当攻击者能更改路由表条目时候,会导致整个网络无法通信,这种攻击很阴险,隐蔽,因为网络管理员需要排除的网络不通原因很多,其中一些原因需要详细分辨.
4.分布式拒绝服务攻击
这也是最具有威胁的DDoS攻击,名称很容易理解,简单说就是群欧,很多客户机同时单条服务器,你会发现你将伤痕累累,Apache服务器特别容易受到攻击,无论是DDos还是隐藏来源的攻击,因为Apache无处不在,特别是为Apache特意打造的病毒(特选SSL蠕虫),潜伏在许多主机上,攻击者通过病毒可以操纵大量被感染的机器,对特定目标发动一次浩大的DDoS攻击,通过将蠕虫散播到大量主机,大规模的点对点攻击得以进行,除非你不提供服务,要不然几乎无法阻止这样的攻击,这种攻击通常会定位到大型的网站上.
5.缓冲区溢出
这种攻击很普遍,攻击者利用CGI程序编写一些缺陷程序偏离正常的流程,程序使用静态的内存分配,攻击者就可以发送一个超长的请求使缓冲区溢出,比如,一些perl编写的处理用户请求的网关脚本,一但缓冲区溢出,攻击者就可以执行恶意指令.
6.非法获取root权限
如果Apache以root权限运行,系统上一些程序的逻辑缺陷或缓冲区溢出漏洞,会让攻击者很容易在本地系统获取linux服务器上的管理者权限,在一些远程情况下,攻击者会利用一些以root身份执行的有缺陷的系统守护进程来取得root权限,或利用有缺陷的服务进程漏洞来取得普通用户权限,以远程登陆,进而控制整个系统.
这边这些都是服务将会遇到的攻击手段,下边来说,如何打造安全的Apache服务器,如果你能遵守下边这些建议,那么你将得到一台相对安全的apache服务器.
一:勤打补丁
你必须要相信这个是最有用的手段,缓冲区溢出等漏洞都必须使用这种手段来防御,勤快点相信对你没有坏处,在http:fix,security bug fix的字样,做为负责任的管理员要经常关注相关漏洞,及时升级系统添加补丁.使用最新安全版本对加强apache至关重要.
二:隐藏和伪装Apache的版本
打乱攻击者的步骤,给攻击者带来麻烦,相信是管理员愿意看到的.软件的漏洞信息和版本是相关的,在攻击者收集你服务软件信息时候给与迷惑是个不错的选择,何况版本号,对攻击者来说相当与GPS定位一样重要,默认情况,系统会把apache版本模块都显示出来(http返回头),如果列举目录的话,会显示域名信息(文件列表正文),去除Apache版本号的方法是修改配置文件,找到关键字,修改为下边:
ServerSignature off
ServerTokens prod 通过分析web服务器类型,大致可以推测操作系统类型,win使用iis,linux普遍apache,默认的Apache配置里没有任何信息保护机制,并且允许目录浏览,通过目录浏览,通常可以得到类似"apache/1.37 Server at apache.linuxforum.net Port 80"或"apache/2.0.49(unix)PHP/4.3.8"的信息,通过修改配置文件中的ServerTokens参数,可以将Apache的相关信息隐藏起来,如果不行的话,可能是提示信息被编译在程序里了,要隐藏需要修改apache的源代码,然后重新编译程序,以替换内容:
编辑ap_release.h文件,修改
"#define AP_SERVER_BASEPRODUCT""Apache"""
为
"#define AP_SERVER_BASEPRODUCT""Microsoft-IIS/5.0""
编辑os/unix/os.h文件,修改
"#define PLATFORM""Unix"""
为
"#define PLATFORM"'Win32"
修改完成后,重新编译,安装apache,在修改配置文件为上边做过的,再次启动apache后,用工具扫描,发现提示信息中已经显示为windows操作系统了顺便说下,现在这个论坛,就有点不太讲究,这是论坛错误的返回信息,看了有点汗地感觉,Apache/2.2.8(Ubuntu)DAV/2 SVN/1.4.6 mod_ssl/2.2.8 OpenSSL/0.9.8g Server at forum.ubuntu.org.cn Port 80这个等于告诉恶意用户很多有用信息,虽然说不算开了门,但等于被告诉了门在那里,还是相当危险的.
三:建立安全的目录结构apache服务器包括四个目录结构
ServerRoot #保存配置文件,二进制文件与其他服务器配置文件
DocumentRoot #保存web站点内容,包括HTML文件和图片等
ScripAlias #保存CGI脚本
Customlog #保存日志
Errorlog #保存错误日志
建议的目录结构为,以上四种目录相互独立并且不存在父子逻辑关系
注:
ServerRoot目录只能为root用户访问
DocumentRoot目录应该能够被管理web站点内容的用户访问和使用apache服务器的apache用户与组访问
ScripAlias目录应该只能被CGI开发人员和apache用户访问
Customlog和Errorlog只能被root访问
下边是一个安全目录结构的事例:
+-------/etc/
|
| +----/http (ServerRoot)
| +----/logs (Customlog和Errorlog)
|
+-------var/
|
| +---/cgi-bin(ScripAlias)
| +---/html(DocumentRoot)
这样的目录结构是比较安全的,因为目录之间独立,某个目录权限错误不会影响到其他目录
四:为apache使用专门的用户与组
按照最小特权的原则,需要给apache分配一个合适的权限,让其能够完成web服务.
注:最小特权原则是系统安全中最基本的原则之一,限制使用者对系统及数据进行存取所需要的最小权限,保证用户可以完成任务,同时也确保被窃取或异常操作所造成的损失.
必须保证apache使用一个专门的用户与组,不要使用系统预定的帐户,比如nobody用户与nogroup组,因为只有root用户可以运行apache,DocumentRoot应该能够被管理web站点内容的用户访问和使用apache服务器的apache用户与组访问,例如,希望"test"用户在web站点发布内容,并且可以以httpd身份运行apache服务器,可以这样设定:
groupadd webteam
usermod -G webteam test
chown -R httpd.webteam /
chmod -R 2570 /
只有root能访问日志,推荐这样的权限
chown -R root.root /etc/logs
chown -R 700 /etc/logs
五:web目录的访问策略
对于可以访问的web目录,要使用相对保守的途径进行访问,不要让用户查看任何目录索引列表
禁止使用目录索引:
apache在接到用户对一个目录的访问时,会查找DirectoryIndex指令指定的目录索引文件,默认为index.html,如果该文件不存在,那么apache会创建动态列表为用户显示该目录的内容,这样就会暴露web站点结构,因此需要修改配置文件禁止显示动态目录索引,修改httpd.conf
Options -Indexes FollowSymLinks
Options指令通知apache禁止使用目录索引,FollowSymLinks表示不允许使用符号连接.
禁止默认访问:
要的安全策略必须要禁止默认访问的存在,只对指定的目录开放权限,如果允许访问/var/
Order deny,allow
Allow from all
禁止用户重载:
为了禁止用户对目录配置文件(htaccess)进行重载(修改),可以这样设定
AllowOverride None
六:apache服务器访问控制
apache的access.conf文件负责设置文件的访问权限,可以实现互联网域名和ip地址的访问控制,如允许192.168.1.1到192.168.1.254的主机访问,可以这样设定
order deny,allow
deny from all
allow from pair 192.168.1.0/255.255.255.0
七:apache服务器的密码保护
.htaccess文件是apache上的一个设置文件,它是一个文本文件,.htaccess文件提供了针对目录改变配置的方法既通过在一个特定的文档目录中放置一个包含一个或多个指令的文件(.htaccess文件),以作用于此目录和子目录.
.htaccess的功能包括设置网页密码,设置发生错误时出现的文件,改变首业的文件名(如,index.html),禁止读取文件名,重新导向文件,加上MIME类别,禁止目录下的文件等.
注:.htaccess是一个完整的文件名,不是***.htaccess或其他格式,在/abc目录下放置一个.htaccess文件,那么/abc与它的子目录都会被这个文件影响,但/index.html不会被影响.
.htaccess的建立和使用比较复杂点,如果感兴趣的朋友可以回帖发问,这里就不具体写出来了,这种保护要比某些程序实现的保护安全,那种方法可以通过被猜测方法获取密码,用.htaccess很难被破解,但文本方式的验证会比较慢,对少量用户没影响,但对大量用户就必须使用带数据模块的验证了,这需要编译源代码时候开启模块,默认是不开启的.
八:让apache运行在"监牢"中
"监牢"的意思是指通过chroot机制来更改某个软件运行时所能看到的根目录,简单说,就是被限制在指定目录中,保证软件只能对该目录与子目录文件有所动作,从而保证整个服务器的安全,即使被破坏或侵入,损伤也不大.
以前,unix/linux上的daemon都是以root权限启动的,当时,这是一件理所当然的事情,像apache这样的服务器软件,需要绑定到80端口上来监听请求,而root是唯一有这种权限的用户,随着攻击手段和强度的增加,这样会使服务器受到相当大的威胁,一但被利用缓冲区溢出漏洞,就可以控制整个系统.现在的服务器设计通常以root启动,然后进程放弃root权限,改为某个低级的帐号运行.这种方式显然会降低对系统的危害,但攻击者还是会寻找漏洞提升权限,即使无法获得root权限,也可以删除文件,涂改主页等.
为了进一步提高系统安全性,linux内核引入chroot机制,chroot是内核中的一个系统调用,软件可以通过调用函数库的chroot函数,来更改某个进程所能见到的跟目录,比如,apache软件安装在/usr/local/httpd目录,以root启动apache,这个root权限的父进程会派生数个以nobody权限运行的子进程,父进程监听80端口,然后交给某个子进程处理,这时候子进程所处的目录续承父进程,即/usr/local/httpd目录,但是一但目录权限设定错误,被攻击的apache子进程可以访问/usr/local,/usr,/tmp甚至整个文件系统,因为apache进程所处的跟目录仍然是整个文件系统的跟目录,如果可以用chroot将apache限制在/usr/local/httpd/下,那么apache所存取的文件都被限制在/usr/local/httpd下,创建chroot监牢的作用就是将进程权限限制在文件目录树下,保证安全.
如果自己手动apache的监牢,将是很烦琐和复杂的工作,需要牵扯到库文件,这里可以使用jail包来简化监牢的实现jail的官方网站为:有兴趣可以逛逛这里也不写出具体的创建过程稍微麻烦.
九:apache服务器防范Dos
apache服务经常会碰到Dos攻击,防范的主要手段是通过软件,apahce Dos Evasive Maneuvers Module来实现的,它是一款mod_access的代替软件,可以对抗DoS攻击,该软件可以快速拒绝来自相同地址对同一URL的重复请求,通过查询内部一张各子进程的哈希表来实现,可以到网址:
十:减少CGI和SSI风险
CGI脚本的漏洞已经成为WEB服务器的首要安全隐患,通常是程序编写CGI脚本产生了许多漏洞,控制CGI的漏洞除了在编写时候注意对输入数据的合法检查,对系统调用的谨慎使用等因素外,首先使用CGI程序所有者的ID来运行这些程序,即使被漏洞危害也仅限于该ID能访问的文件,不会对整个系统带来致命的危害,因此需要谨慎使用CGI程序.
1.3版的apache集成了suEXEC程序,可以为apache提供CGI程序的控制支持,可以把suEXEC看做一个包装器,在Apache接到CGI程序的调用请求后,把这个请求交给suEXEC来负责完成具体调用,并从suEXEC返回结果,suEXEC可以解决一些安全问题,但会影响速度,如果是对安全性要求很高时候,建议使用suEXEC,此外还有一个软件CGIWrap,它的安全性要高与suEXEC.
减少SSI脚本风险,如果用exec等SSI命令运行外部程序,也会存在类似CGI脚本风险,除了内部调试程序时,应使用:
option命令禁止其使用:
Option IncludesNOEXEC
十一:使用ssl加固Apache
使用具有SSL功能的服务器,可以提高网站敏感页的安全性能,SSL工作与TCP/IP协议和HTTP协议之间,SSL可以加密互联网上传递的数据流,提供身份验证,在线购物而不必担心别人窃取信用卡信息,在基于电子商务和基于web邮件的地方非常重要.SSL的应用相对还是比较麻烦的,有需要的话,可以发贴或查看资料.
