服务攻防实战：聚焦中间件安全，IIS、Apache、Tomcat、Nginx漏洞与弱口令防范‌

引言

在企业级应用中，IIS、Apache、Tomcat、Nginx 等中间件承担着前端请求转发、负载均衡、静态资源服务、应用部署等重任。一旦这些中间件存在漏洞或弱口令，攻击者即可绕过身份验证、获取敏感信息甚至全面接管服务器。本文将从常见漏洞与弱口令防范两大维度，结合代码示例与图解，带你快速掌握中间件安全实战要点。

一、中间件安全总体防御思路

1. 及时打补丁：关注官方安全通告，第一时间升级至最新稳定版本。
2. 最小化安装：仅启用必要模块/组件，减少攻击面。
3. 强密码策略：在所有管理接口、基本认证、用户数据库中施行强密码规则。
4. 访问控制：结合防火墙、WAF、IP 白名单限制管理端口访问。
5. 安全审计与监控：部署 IDS/IPS，定期渗透测试和日志审计。

二、IIS 漏洞与弱口令防范

1. 常见漏洞

• SMB 远程代码执行（如 MS17-010）
• 目录遍历（CVE-2017-7269）
• Windows 身份验证绕过

2. 防范要点

• 及时更新：通过 Windows Update 安装安全补丁。
• 关闭不必要功能：禁用 WebDAV、FTP 服务。
• 最小化角色：仅安装 Web Server (IIS) 角色，移除默认样例网站。

3. 弱口令防范

在 Windows 域或本地策略中开启复杂密码和最短长度策略。

# PowerShell：设置本地密码策略
Import-Module SecurityPolicyDsc

SecurityPolicyPasswordPolicy DefaultPasswordPolicy
{
  Complexity                = 'Enabled'
  MinimumPasswordLength     = 12
  PasswordHistorySize       = 24
  MaximumPasswordAgeDays    = 60
  MinimumPasswordAgeDays    = 1
}

图解：IIS 安全防御流程

[客户端] → 请求管理界面 → [IIS]
                      │
              ↳ 校验 Windows 凭据
                      │
         ┌────────────┴────────────┐
         │ 有效 → 访问管理面板       │ 无效 → 访问拒绝 (401)
         └─────────────────────────┘

三、Apache 漏洞与弱口令防范

1. 常见漏洞

• 路径穿越（CVE-2021-41773）
• 信息泄露：mod\_status、mod\_info 默认开启
• 内存溢出（如 HTTP/2 漏洞 CVE-2019-0211）

2. 防范要点

• 关闭不必要模块：

  # 只保留核心模块
  a2dismod status info autoindex
  systemctl restart apache2

• 最小权限运行：用非 root 用户启动服务。

3. 基本认证与强密码

使用 .htpasswd 管理用户，并在 .htaccess 中启用基本认证。

# 安装工具并生成用户
sudo apt-get install apache2-utils
htpasswd -c /etc/apache2/.htpasswd admin
# 系统会提示输入强密码，例如：P@ssw0rd!2025

# 在虚拟主机配置或 .htaccess 中启用
<Directory "/var/www/secure">
    AuthType Basic
    AuthName "Protected Area"
    AuthUserFile /etc/apache2/.htpasswd
    Require valid-user
</Directory>

图解：Apache 基本认证流程

[HTTP 请求 → /secure] 
     ↓
Apache 检查 .htpasswd
     ↓
401 Unauthorized 或 200 OK

四、Tomcat 漏洞与弱口令防范

1. 常见漏洞

• AJP Ghost（CVE-2020-1938）：AJP 协议反序列化
• 默认管理账号：admin/admin
• Manager 组件信息泄露

2. 防范要点

• 禁用 AJP 连接器：在 server.xml 注释或移除 AJP 段

  <!--
  <Connector port="8009" protocol="AJP/1.3" redirectPort="8443" />
  -->

• 最小化部署：移除 examples、docs、manager 组件（如不需要）。

3. 强化用户配置

编辑 conf/tomcat-users.xml，定义安全角色与强密码：

<tomcat-users>
  <!-- 强密码示例：S3rv!ceAdm1n#2025 -->
  <role rolename="manager-gui"/>
  <user username="svc_admin" password="S3rv!ceAdm1n#2025" roles="manager-gui"/>
</tomcat-users>

图解：Tomcat 管理访问控制

[浏览器访问 /manager/html]
     ↓
Tomcat 验证 tomcat-users.xml
     ↓
401 或 200

五、Nginx 漏洞与弱口令防范

1. 常见漏洞

• 缓冲区溢出（CVE-2019-20372）
• HTTP/2 漏洞
• 信息泄露：默认 stub_status、错误页面泄露路径

2. 防范要点

• 更新核心模块：使用官方稳定版或受信任发行版。
• 禁用不必要指令：移除 autoindex、server_tokens on。

http {
    server_tokens off;       # 禁止版本泄露
    autoindex off;           # 关闭目录列表
}

3. 基本认证与强密码

使用 htpasswd 与 auth_basic 模块：

# 安装 apache2-utils 并生成密码文件
htpasswd -c /etc/nginx/.htpasswd nginxadmin
# 输入强密码：Adm!nNg1nx#2025

# nginx.conf 片段
server {
    listen 80;
    server_name secure.example.com;

    location / {
        auth_basic           "Restricted";
        auth_basic_user_file /etc/nginx/.htpasswd;
        proxy_pass           http://backend;
    }
}

图解：Nginx 反向代理加认证

[客户端] → (auth_basic) → Nginx → 后端服务

六、综合防御与落地建议

1. 定期漏洞扫描：使用 Nessus、OpenVAS 等扫描工具。
2. 渗透测试：模拟攻防演练，发现链式漏洞。
3. 日志监控：ELK/EFK 集中日志，实时告警异常请求。
4. WAF 与 IPS：在边界部署 Web 应用防火墙，拦截常见 Web 攻击。
5. 备份与恢复：定期备份配置与数据，制定应急恢复方案。

结语

中间件安全不仅仅是单点补丁或密码策略，而是涵盖更新、部署、配置、认证、监控等多方面的系统化工程。希望本文通过漏洞剖析、代码示例与图解流程，让你对 IIS、Apache、Tomcat、Nginx 的安全防护有全面而清晰的理解，助力构建坚固的运维与开发环境。