Googler

开源,自由,平等,共享,包容,沟通

2008年11月25日星期二

NO.002 - HFS.指南.让你的服务器更安全

作者: 龙震
 
  该文章是由关于 HFS 用户安全方面的。

  很多人问:运行该服务器软件是否安全?
  没有什么软件在网络上是 100% 安全的,但 HFS 本身就很安全。

  例如,在最近的版本中,当前没有任何已知的安全问题。
  HFS 是开源的,因此任何人都能够很简单地去检测它的缺陷(并且我们有很多专业级的用户)。

  尽管它不是被设计得极端健壮,但 HFS 非常稳定,它曾经在没有重启的情况下运行了好几个月(查阅论坛专题:http://www.rejetto.com/forum/viewtopic.php?t=3133)。

使你的 Windows 更安全

  在你担心 HFS 之前,你应该担心的是你的 Windows 系统。
  加强你的电脑的安全,看看下面的建议:

    a. 在 Windows Update 上保持系统更新。
    b. 使用较好并能更新的防火墙。
    c. 使用较好并能更新的反病毒软件。

  如果你遵从这些规则,那么风险将会很低。

关于奇怪的日志

  如果你在日志中看到可怕的大量请求,请不要担心。
  他们总是在寻找其它服务器软件熟悉的安全问题,而不是 HFS。
  此刻,我写在这里是表示目前还没有发现实际的安全问题。

HTTPS 和 SSL

  此刻本地并没有支持 HTTPS。
  同时,你可以使用 Stunnel 来尝试添加 HTTPS 支持。
  你可以在我们的论坛上阅读一些讨论详细的文章:http://www.rejetto.com/forum/index.php?topic=3083.0

  在 Windows 上使用免费的 HFS 和 Stunnel 进行简单安全的数据共享(短文)

    机会

  今天,分布广泛的电缆和 ADSL 网络接入为家庭用户提供了通往 Web 世界的永久连接。
  建立外部可访问的私有 Web 页面和文件共享服务显得更加必要。

  HFS 是一个为 Win32 平台准备的自由、开源的 HTTP 文件/Web 服务器,它使用起来非常简单,在家庭个人电脑上提供基于 Web 页面的文件上传或下载服务。
  它甚至可以从身边任何电脑的硬盘或 U 盘上提供服务,并且能够从有网络和无网络中提供定址可访问的能力。

    风险

  所有的 Web 服务器(不仅是 HFS)使用 HTTP 都有一些通见的弱点。

  HTTP 通信是使用简单的文本进行传输的,并且在 Web 服务器和客户端(浏览器)之间传输的每位数据都能够被在信道中的所有人拦截和阅读,同时传输数据到最终目的地。
  甚至用于保护 Web 服务器的加密用户名和密码,相对于未授权的访问也很容易被暴露。
  只有加密传输协议(HTTPS)能够在被嗅探的情况下,在服务器和客户端之间保护重要的私有数据。

  在加密传输的服务器和客户端之间,嗅探器依然能够看见哪个客户端 IP 与确定的 Web 服务器在可靠的时间内进行数据交换,但实际上却不可能解密传输的数据(只要嗅探器没有随机产生的私钥)。

  尽管大多数现在浏览器都能够处理已加密的通信,但 HFS 服务器只支持不安全的 HTTP。

    解决

  Stunnel - 一个自由、开源的多平台 SSL 隧道代理程序:“它被设计用来在远程客户端和本地(可启动的守护进程)或远程服务器进行 SSL 加密封套工作;它可以被用来在程序代码没有任何改动的情况下,向普通的后台程序(如 POP2、POP3、IMAP 服务器)添加 SSL 功能;Stunnel 使用 OpenSSL 或 SSLeay 库来进行加密。”

  意思是,Stunnel 可以被用来允许客户端请求和建立一个加密连接(HTTPS),尽管 Stunnel 和 HFS 服务器之间交换数据是无加密的(HTTP)。

  一个启用 HTTPS 的 HFS 服务器电脑的典型配置如下:

    a. Stunnel 允许来自任何 IP 在 443 端口的请求,这是 HTTPS 的默认端口。
    b. Stunnel 使用任意的空闲端口连接到 HFS(如 44300)。
    c. HFS 允许在一个已经被选择的端口进行请求,本例中是 44300。
    d. 来自客户端对于 HFS 的 44300 端口的直接请求将是被封锁的,除了来自 127.0.0.1(localhost)的,因为该端口是属于 Stunnel 的。
    e. HFS、Stunnel 和相关数据所属的 PC 和驱动器,相对于未授权的访问也是安全的。

  怎样使用 Stunnel 安装 SSL 加密的 HFS 服务器,并创建私钥和自签发的服务器证书

  (暂未提供)

  一些重要的提示

  (暂未提供)

有用的链接

  Windows Update:http://www.windowsupdate.com/
  免费防火墙:http://www.snapfiles.com/Freeware/security/fwfirewall.html
  免费反病毒软件:http://www.snapfiles.com/Freeware/security/fwvirus.html

补充说明

Stunnel 是一个程序,可以使用 OpenSSL 库对任意 TCP 会话进行加密。
它作为服务器运行在程序外部。
Stunnel 服务器主要执行两个功能:
  一、接收未加密的数据流,进行 SSL 加密,然后将其通过网络发送;
  二、对已进行 SSL 加密的数据流进行解密,并将其通过网络发送给另一个程序(该程序通常驻留在同一机器上,以避免本地网络上的窥探攻击)。
原版英文:http://www.rejetto.com/wiki/index.php/HFS:_Secure_your_server
 
标签:

没有评论:

发表评论

订阅: 博文评论 (Atom)