Yousri's Blog

       先前曾经简单介绍过在CentOS5.2下搭建实现DNS服务器，可查看这里

       现在就再简单大致记录介绍三款常用于检查测试调试DNS服务器搭建是否成功的工具吧～即Dig、Host、Nslookup，介绍：

      
Shell方式可以使用3种工具来查询DNS数据库：nslookup、dig和host，在BIND的软件发布中包括nslookup和dig。
Nslookup是这三个工具中最老的，而且总是随同BIND一起发布;dig是域信息的探索程序，最初由SteveHotz编写，后来
MichaelSawy针对BIND 9将它重新编写，它也和BIND一起发布;host由Eric
Wassenaar编写，是另一个开放源代码的工具，其特点是输出对用户很友好，功能是可检查区文件的语法。另外三者使用的解析器库不同：dig和
host使用BIND的解析器，而nslookup有其自身的解析器。

       （1）、Dig命令

Usage:  dig [@global-server] [domain] [q-type] [q-class] {q-opt}
            {global-d-opt} host [@local-server] {local-d-opt}
            [ host [@local-server] {local-d-opt} [...]]

      
以上是关于dig用法参数列表，可以通过man dig 或者 dig –h | more 查看其命令相应的帮助信息～ 参数可接IP
address或domain name来获得name server所提供的相关讯息，提供不同资料记录型态，例如A、MX…等等

      （2）、Host命令

[root@yanqx ~]$ host -h              
host: illegal option — h
Usage: host [-aCdlriTwv] [-c class] [-N ndots] [-t type] [-W time]
            [-R number] hostname [server]
       -a is equivalent to -v -t *
       -c specifies query class for non-IN data
       -C compares SOA records on authoritative nameservers
       -d is equivalent to -v
       -l lists all hosts in a domain, using AXFR
       -i IP6.INT reverse lookups
       -N changes the number of dots allowed before root lookup is done
       -r disables recursive processing
       -R specifies number of retries for UDP packets
       -t specifies the query type
       -T enables TCP/IP mode
       -v enables verbose output
       -w specifies to wait forever for a reply
       -W specifies how long to wait for a reply
       -4 use IPv4 query transport only
       -6 use IPv6 query transport only

       默认情况下，只是简单使用host+欲查询域名得到只是简单一些A记录或MX记录等，想了解全部信息需加上 –a 参数查看 如：

[root@yanqx ~]$ host qingxianyan.cn
qingxianyan.cn has address 74.220.219.76
qingxianyan.cn mail is handled by 0 qingxianyan.cn.

   （3）、Nslookup命令

       在linux或win下输
入nslookup命令后，会看到 > 提示符号，之后就可输入查询指令。一般会输入IP address或是domain
name来做反向及正向的解析。而nslookup不仅提供上述2种解析，亦像dig提供DNS中其它的资料记录型态，例如A、MX、NS…等等，可在提
示符号直接输入”?”来获得所有可以使用的参数或资料型态。

Commands:   (identifiers are shown in uppercase, [] means optional)
NAME            – print info about the host/domain NAME using default server
NAME1 NAME2     – as above, but use NAME2 as server
help or ?       – print info on common commands
set OPTION      – set an option
    all                 – print options, current server and host
    [no]debug           – print debugging information
    [no]d2              – print exhaustive debugging information
    [no]defname         – append domain name to each query
    [no]recurse         – ask for recursive answer to query
    [no]search          – use domain search list
    [no]vc              – always use a virtual circuit
    domain=NAME         – set default domain name to NAME
    srchlist=N1[/N2/.../N6] – set domain to N1 and search list to N1,N2, etc.
    root=NAME           – set root server to NAME
    retry=X             – set number of retries to X
    timeout=X           – set initial time-out interval to X seconds
    type=X              – set query type (ex. A,ANY,CNAME,MX,NS,PTR,SOA,SRV)
    querytype=X         – same as type
    class=X             – set query class (ex. IN (Internet), ANY)
    [no]msxfr           – use MS fast zone transfer
    ixfrver=X           – current version to use in IXFR transfer request
server NAME     – set default server to NAME, using current default server
lserver NAME    – set default server to NAME, using initial server
finger [USER]   – finger the optional NAME at the current default host
root            – set current default server to the root
ls [opt] DOMAIN [> FILE] – list addresses in DOMAIN (optional: output to FILE)
    -a          -  list canonical names and aliases
    -d          -  list all records
    -t TYPE     -  list records of the given type (e.g. A,CNAME,MX,NS,PTR etc.)
view FILE           – sort an ‘ls’ output file and view it with pg
exit            – exit the program

     参考资料：http://docsrv.sco.com/NET_tcpip/dnsC.nslook.html

written by Yousri \\ tags: dig, DNS, host, Linux, nslookup

一、确保你安装的是最新的补丁
         如果门是敞开的话，在窗户上加锁就毫无意义。同样道理，如果你没有打补丁，继续下面的操作就没有什么必要。
二、隐藏Apache的版本号及其它敏感信息
         默认情况下，很多Apache安装时会显示版本号及操作系统版本，甚至会显示服务器上安装的是什么样的Apache模块。这些信息可以为黑客所用，并且黑客还可以从中得知你所配置的服务器上的很多设置都是默认状态。
         这里有两条语句，你需要添加到你的httpd.conf文件中：

    ServerSignature Off
    ServerTokens Prod

         ServerSignature出现在Apache所产生的像404页面、目录列表等页面的底部。ServerTokens目录被用来判断 Apache会在Server HTTP响应包的头部填充什么信息。如果把ServerTokens设为Prod，那么HTTP响应包头就会被设置成：

Server：Apache

         如果你非常想尝试其它事物，你可以通过编辑源代码改成不是Apache的其它东西，或者你可以通过下面将要介绍的mod_security实现。
三、确保Apache以其自身的用户账号和组运行
         有的Apache安装过程使得服务器以nobody的用户运行，所以，假定Apache和你的邮件服务器都是以nobody的账号运行的，那么通过Apache发起的攻击就可能同时攻击到邮件服务器，反之亦然。

    User apache
    Group apache

四、确保web根目录之外的文件没有提供服务
         我们不让Apache访问web根目录之外的任何文件。假设你的所以web站点文件都放在一个目录下（例如/web），你可以如下设置：

    Order Deny,Allow
    Deny from all
    Options None
    AllowOverride None
    Order Allow,Deny
    Allow from all

         注意，因为我们设置Opitins None 和AllowOverride None，这将关闭服务器的所有Option和Override。你现在必须明确把每个目录设置成Option或者Override。
五、关闭目录浏览
      你可以在Directory标签内用Option命令来实现这个功能。设置Option为None或者－Indexes。
         Options -Indexes
六、关闭includes
      这也可以通过在Directory标签内使用Option命令来实现。设置Option为None或者－Includes。
         Options -Includes
七、关闭CGI执行程序
         如果你不用CGI，那么请把它关闭。在目录标签中把选项设置成None或-ExecCGI就可以：
         Options -ExecCGI
八、禁止Apache遵循符号链接
         同上，把选项设置成None或-FollowSymLinks：
         Options -FollowSymLinks
九、关闭多重选项
         如果想关闭所有选项，很简单：
         Options None
         如果只想关系一些独立的选项，则通过将Options做如下设置可实现：
         Options -ExecCGI -FollowSymLinks -Indexes
十、关闭对.htaccess文件的支持
         在一个目录标签中实现：
         AllowOverride None
         如果需要重载，则保证这些文件不能够被下载，或者把文件名改成非.htaccess文件。比如，我们可以改成.httpdoverride文件，然后像下面这样阻止所有以.ht打头的文件：

    AccessFileName .httpdoverride
    Order allow,deny
    Deny from all
    Satisfy All

十一、运行mod_security
         Run mod_security是O’Reilly出版社出版的Apache Security一书的作者，Ivan Ristic所写的一个非常好用的一个Apache模块。可以用它实现以下功能：
         ·简单过滤
         ·基于过滤的常规表达式
         ·URL编码验证
         ·Unicode编码验证
         ·审计
         ·空字节攻击防止
         ·上载存储限制
         ·服务器身份隐藏
         ·内置的Chroot支持
         ·更多其它功能

十二、关闭任何不必要的模块
         Apache通常会安装几个模块，浏览Apache的module documentation，了解已安装的各个模块是做什么用的。很多情况下，你会发现并不需要激活那些模块。
         找到httpd.conf中包含LoadModule的代码。要关闭这些模块，只需要在代码行前添加一个#号。要找到正在运行的模块，可以用以下语句：

grep LoadModule httpd.conf

         以下模块通常被激活而并无大用：mod_imap,mod_include,mod_info,mod_userdir,mod_status,mod_cgi,mod_autoindex。

         网络上学习了解收集到的～当作收藏，这东西实用性因人而异，嗯。

written by Yousri \\ tags: Apache

        很多多论坛网站，都具备有上传附件的的功能，一般都会开放rar附件上传，并可能会保留原来文件名称，这从而可能导致一个很严重的问题，test.php.rar文件可能会被Apache当作php文件来执行，造成一定程度的安全隐患。
        如何测试? 当你将某个php程序文件后缀名修改成 test.php.rar，这时测试一下，还是按照PHP文件解析执行，Apache并不会认为这是一个rar文件，这是为什么呢？
        其实，因为每遇到一种后双重后缀名(如test.php.rar)的文件，Apache都会去conf/mime.types文件中检查最后一个后缀，如果最后一个后缀并没有在mime.types文件中定义，则使用前一个后缀来解释，因为在默认情况下,rar并未在mime.types中定义，故 Apache会使用php后缀来解释文件，这就是漏洞的原因所在吧。
        由此可知,如果使用test.jsp.aaa.rar则会很可能认为是jsp文件，如果修改成test.shtml.rar，则会识别成shtml文件。
        如果没有相应修改设置，不知道有多少网站可能存在这个问题? 如何杜绝这个隐患 ?
        修改Apache相应的配置文件httpd.conf文件内容：

    AddType application/rar .rar
    AddType application/x-compressed .rar
    AddType application/x-rar .rar
    AddType application/x-rar-compressed .rar
    AddType application/x-rar-compressed; application/x-compressed .rar
    AddType compressed/rar; application/x-rar-compressed .rar

        然后重新启动Apache服务
        针对Web管理员及Web程序开发者，如何更安全
        1.只允许上传指定后缀名的文件，当然，要禁止掉rar格式文件上传。(但这条往往行不通,一般的网站都需要上传rar文件)
        2.对上传后的文件名进行强制重命名，强制使用最后一个扩展名，如原始文件名为test.php.rar，上传后强制重命名为20090412.rar即可避免这个隐患
        ps：早期版本的phpcms、discuz等貌似存在这个漏洞

written by Yousri \\ tags: Apache, 漏洞