Web服务器的安全和攻击防范(4)

使用网络监测器Ethereal（http://ethereal.zing.org/）可以分析网络传输。Ethereal能够跟踪TCP流，对于获知由telnet、ftp、pop3等协议传输的明文密码很有用。

用rpcinfo查询使用rpcinfo和showmount（对于Linux的某些版本，还可以使用kshowmount），你可以查询自己机器的sunrpc提供了哪些服务。如果NFS正在运行，就有可能从服务器获得已导出文件系统的清单。

# rpcinfo -p www.example.server    program vers proto   port    100000    4   tcp    111  portmapper    100000    3   tcp    111  portmapper    100000    2   tcp    111  portmapper    100000    4   udp    111  portmapper    100000    3   udp    111  portmapper    100000    2   udp    111  portmapper
　　可以看到，www.example.server的sunrpc服务开放了对外部机器的连接。这是没有必要的，我们可以安装带有访问控制的rpcbind程序或者配置防火墙阻断它。

　　由于NFS默认值极不合理，把文件系统完全不受保护地以可读写方式显露给外界就成了一种极为常见的错误。下面是一个实例：

# /usr/sbin/kshowmount -e center2.sample-university.netExport list for center2.sample-university.net:/usr/lib/cobol       (everyone)/usr/sys/inst.images (everyone)/stadtinf            (everyone)/var/spool/mail      (everyone)/usr/lpp/info        (everyone)/usr/local           (everyone)/pd-software         (everyone)/u1                  (everyone)/user                (everyone)/fix                 (everyone)/u                   (everyone)/ora                 rzws01/install             (everyone)/ora-client          192.168.15.20
　　所有注明了“everyone”的目录都是向公众开放的，其中包括：保存了数百个用户邮件的“/var/spool/mail”目录，以及用户的主目录“/u”和“/u1”。另外“/usr/local”和“/usr/lib/cobol”也是允许写入的，这使得它很容易被安装上特洛伊木马。任何人都可以进入这个系统，且不会遇到什么值得一提的阻力。