系統(tǒng)與服務(wù)器安全管理

Windows 2000 Server、Freebsd是兩種常見(jiàn)的服務(wù)器。第一種是微軟的產(chǎn)品，方便好用，但是，你必須要不斷的patch它。Freebsd是一種優(yōu)雅的操作系統(tǒng)，它簡(jiǎn)潔的內(nèi)核和優(yōu)異的性能讓人感動(dòng)。關(guān)于這幾種操作系統(tǒng)的安全，每種都可以寫(xiě)一本書(shū)。我不會(huì)在這里對(duì)它們進(jìn)行詳細(xì)描述，只講一些系統(tǒng)初始化安全配置。

超過(guò)10多年行業(yè)經(jīng)驗(yàn)，技術(shù)領(lǐng)先，服務(wù)至上的經(jīng)營(yíng)模式，全靠網(wǎng)絡(luò)和口碑獲得客戶(hù)，為自己降低成本，也就是為客戶(hù)降低成本。到目前業(yè)務(wù)范圍包括了：做網(wǎng)站、成都做網(wǎng)站，成都網(wǎng)站推廣，成都網(wǎng)站優(yōu)化，整體網(wǎng)絡(luò)托管，小程序設(shè)計(jì)，微信開(kāi)發(fā)，重慶APP軟件開(kāi)發(fā)，同時(shí)也可以讓客戶(hù)的網(wǎng)站和網(wǎng)絡(luò)營(yíng)銷(xiāo)和我們一樣獲得訂單和生意！

Windows2000 Server的初始安全配置

Windows的服務(wù)器在運(yùn)行時(shí)，都會(huì)打開(kāi)一些端口，如135、139、445等。這些端口用于Windows本身的功能需要，冒失的關(guān)閉它們會(huì)影響到Windows的功能。然而，正是因?yàn)檫@些端口的存在，給Windows服務(wù)器帶來(lái)諸多的安全風(fēng)險(xiǎn)。遠(yuǎn)程攻擊者可以利用這些開(kāi)放端口來(lái)廣泛的收集目標(biāo)主機(jī)信息，包括操作系統(tǒng)版本、域SID、域用戶(hù)名、主機(jī)SID、主機(jī)用戶(hù)名、帳號(hào)信息、網(wǎng)絡(luò)共享信息、網(wǎng)絡(luò)時(shí)間信息、Netbios名字、網(wǎng)絡(luò)接口信息等，并可用來(lái)枚舉帳號(hào)和口令。今年8月份和9月份，微軟先后發(fā)布了兩個(gè)基于135端口的RPCDCOM漏洞的安全公告，分別是MS03-026和 MS03-039，該漏洞風(fēng)險(xiǎn)級(jí)別高，攻擊者可以利用它來(lái)獲取系統(tǒng)權(quán)限。而類(lèi)似于這樣的漏洞在微軟的操作系統(tǒng)中經(jīng)常存在。

解決畝搭擾這類(lèi)問(wèn)題的通用方法是打補(bǔ)丁，微軟有保持用戶(hù)補(bǔ)丁更新的良好習(xí)慣，并且它的Windows2000SP4安裝后可通過(guò)WindowsUpdate來(lái)自動(dòng)升級(jí)系統(tǒng)補(bǔ)丁。另外，在防火墻上明確屏蔽來(lái)自因特網(wǎng)的對(duì)135-139和445、593端口的訪(fǎng)問(wèn)也是明智之舉。

Microsoft的SQLServer數(shù)據(jù)庫(kù)服務(wù)也容易被攻擊，今年3月份盛行的SQL蠕蟲(chóng)即使得多家公司損失慘重，因此，如果安裝了微軟的'SQLServer，有必要做這些事：1）更新數(shù)據(jù)庫(kù)補(bǔ)丁；2）更改數(shù)據(jù)庫(kù)的默認(rèn)服務(wù)端口（1433）；3）在防火墻上屏蔽數(shù)據(jù)庫(kù)服務(wù)端口；4）保證 sa口令非空。

另外，在Windows服務(wù)器上安裝殺毒軟件是絕對(duì)必須的，并且要經(jīng)常更新病毒庫(kù)，定期運(yùn)行殺毒軟件查殺病毒。

不要運(yùn)行不必要的服務(wù)，尤其是IIS，如果不需要它，就根本不要安裝。IIS歷來(lái)存在眾多問(wèn)題，有幾點(diǎn)在配置時(shí)值得注意：1）操作系統(tǒng)補(bǔ)丁版本不得低于SP3;2）不要在默認(rèn)路徑運(yùn)行WEB（默認(rèn)是c:inetpubwwwroot）；3）以下ISAPI應(yīng)用程序擴(kuò)展可被刪掉：。 ida.idq.idc .shtm .shtml .printer。

Freebsd的初始安全配置

Freebsd在設(shè)計(jì)之初就考慮了安全問(wèn)題，在初次安裝完成后，它基本只打迅旦開(kāi)了22（SSH）和25（Sendmail）端口，然而，即使是 Sendmail也應(yīng)該把它關(guān)閉（因?yàn)闅v史上Sendmail存在諸多安全問(wèn)題）。方式是編輯/etc/rc.conf文件，改動(dòng)和增加如下四句：

sendmail_enable="NO"

sendmail_submit_enable="NO"

sendmail_outbound_enable="NO"

sendmail_msp_queue_enable="NO"

這樣就禁止了Sendmail的功能，除非你的服務(wù)器處于一個(gè)安全的內(nèi)網(wǎng)（例如在防火墻之后并且網(wǎng)段中無(wú)其他公司主機(jī)），否則不要打開(kāi)Sendmail。

禁止網(wǎng)絡(luò)日志：在/etc/rc.conf中保證有如下行：

syslogd_flags="-ss"

這樣做禁止了來(lái)自遠(yuǎn)程主機(jī)的日志記錄并關(guān)閉514端口，但仍允許記錄本機(jī)日志。

禁止NFS服務(wù)：在/etc/rc.conf中有如下幾行：

nfs_server_enable="NO"

nfs_client_enable="NO"

portmap_enable="NO"

有些情況下很需要NFS服務(wù)，例如用戶(hù)上傳圖片的目錄通常需要共享枝畢出來(lái)供幾臺(tái)WEB服務(wù)器使用，就要用到NFS。同理，要打開(kāi)NFS，必須保證你的服務(wù)器處于安全的內(nèi)網(wǎng)，如果NFS服務(wù)器可以被其他人訪(fǎng)問(wèn)到，那么系統(tǒng)存在較大風(fēng)險(xiǎn)。保證/etc/inetd.conf文件中所有服務(wù)都被注銷(xiāo)，跟其他系統(tǒng)不同，不要由inetd運(yùn)行任何服務(wù)。將如下語(yǔ)句加進(jìn)/etc/rc.conf：

inetd_enable="NO"

所有對(duì)/etc/rc.conf文件的修改執(zhí)行完后都應(yīng)重啟系統(tǒng)。

如果要運(yùn)行Apache，請(qǐng)編輯httpd.conf文件，修改如下選項(xiàng)以增進(jìn)安全或性能：

1） Timeout 300Timeout 120

2） MaxKeepAliveRequests 256

3） ServerSignature onServerSignature off

4） Options IndexesFollowSymLinks行把indexes刪掉（目錄的Options不要帶index選項(xiàng)）

5） 將Apache運(yùn)行的用戶(hù)和組改為nobody

6） MaxClients 150——MaxClients 1500

（如果要使用Apache，內(nèi)核一定要重新編譯，否則通不過(guò)Apache的壓力測(cè)試，關(guān)于如何配置和管理WEB服務(wù)器請(qǐng)見(jiàn)我的另一篇文章）

如果要運(yùn)行FTP服務(wù)，請(qǐng)安裝proftpd，它比較安全。在任何服務(wù)器上，都不要打開(kāi)匿名FTP。

Windows 2000 Server和Freebsd兩種服務(wù)器的安全配置就向大家介紹完了，希望大家已經(jīng)掌握。

服務(wù)器的安全包括哪些方面?

服務(wù)器安全包括如下幾個(gè)方面：

1、物理安全：服務(wù)器的硬盤(pán)，電源，主板，賴(lài)以維持服務(wù)器正常工作的硬件，都是需要進(jìn)行定期維護(hù)確保安全的，只有保證這些硬件的絕對(duì)安全才能保證我們的服務(wù)器能正常運(yùn)行。

2、軟件安全：軟件安全包括系統(tǒng)安全，服務(wù)安全，漏洞安全，密碼安兄汪攔全，網(wǎng)絡(luò)安全

①、系統(tǒng)安全：系統(tǒng)本身是有很多一般都是比較安全的只要我們打好足夠的補(bǔ)丁，但是系統(tǒng)文件我們創(chuàng)建好的網(wǎng)站目錄權(quán)限，系統(tǒng)盤(pán)的關(guān)鍵位置例如temp的位置的權(quán)限設(shè)置。

②、服務(wù)安全：注冊(cè)表和服務(wù)項(xiàng)一定要仔細(xì)進(jìn)行檢查嚴(yán)禁遠(yuǎn)程修改。

③、密碼羨胡安全：對(duì)于弱密碼要立即進(jìn)行修改，密碼強(qiáng)度要有數(shù)字加英文以及特殊符號(hào)進(jìn)行整改

④、網(wǎng)絡(luò)安全：防cc，抗doss是我們服務(wù)器安全很常見(jiàn)的問(wèn)題了。也是防止木馬病毒的入侵的必要的手段。

⑤、資源安全：進(jìn)行資陵含源監(jiān)控保證資源不被篡改入侵是針對(duì)服務(wù)器一項(xiàng)很重要的安全措施能夠及時(shí)幫助我們找出被篡改的資源，以及進(jìn)行告警來(lái)幫助我們更好的管理服務(wù)器安全。

關(guān)于維護(hù)服務(wù)器安全的7個(gè)技巧？

1、從基本做起，及時(shí)安裝系統(tǒng)補(bǔ)丁

不論是Windows還是Linux，任何操作系統(tǒng)都有漏洞，及時(shí)的打上補(bǔ)丁避免漏洞被蓄意攻擊利用，是服務(wù)器安全最重要的保證之一。

2、設(shè)置賬號(hào)和密碼保護(hù)

賬號(hào)和密碼保護(hù)可以說(shuō)是服務(wù)器系統(tǒng)的第一道防線(xiàn)，目前網(wǎng)上大部分對(duì)服務(wù)器系統(tǒng)的攻擊都是從截獲或猜測(cè)密碼開(kāi)始。一旦黑客進(jìn)入了系統(tǒng)，那么前面的防衛(wèi)措施幾乎就失去了作用，所以對(duì)服務(wù)器系統(tǒng)管理員的賬號(hào)和密碼進(jìn)行管理是保證系統(tǒng)安全非常重要的措施。

3、安裝和設(shè)置防火墻

現(xiàn)在有許多基于硬件或軟件的防火墻，很多安全廠商也都推出了相關(guān)的產(chǎn)品。對(duì)服務(wù)器安全而言，安裝防火墻非常必要。防火墻對(duì)于非法訪(fǎng)問(wèn)具有很好的預(yù)防作用，但是安裝了防火墻并不等于服務(wù)器安全了。在安裝防火墻之后，你需要根據(jù)自身的網(wǎng)絡(luò)環(huán)境，對(duì)防火墻進(jìn)行適當(dāng)?shù)呐渲靡赃_(dá)到最好的防護(hù)效果。

4、定期對(duì)服務(wù)器進(jìn)行備份

為防止不能預(yù)料的系統(tǒng)故障或用戶(hù)不小心的非法操作，必須對(duì)系統(tǒng)進(jìn)行安全備份。除了則兄蠢對(duì)全系統(tǒng)進(jìn)行每月一次的備份外，還應(yīng)對(duì)修改過(guò)的數(shù)據(jù)進(jìn)行每周一次的備份。同時(shí)，應(yīng)該將修改過(guò)的重要系統(tǒng)文件存放在不同服務(wù)器上，以便出現(xiàn)系統(tǒng)崩潰時(shí)塵虧(通常是硬盤(pán)出錯(cuò))，可以及時(shí)地將系統(tǒng)恢復(fù)到正常狀態(tài)。

5、安裝網(wǎng)絡(luò)殺毒軟件

現(xiàn)在網(wǎng)絡(luò)上的病毒非常猖獗，這就需要在網(wǎng)絡(luò)服務(wù)器上安裝網(wǎng)絡(luò)版的殺毒軟件來(lái)控制病毒傳播，同時(shí)，在網(wǎng)絡(luò)殺毒軟件的使用中，必須要定期或及時(shí)升級(jí)殺毒軟件，并且每天自動(dòng)更新病毒庫(kù)。

6、監(jiān)測(cè)系統(tǒng)日志

通過(guò)運(yùn)行系統(tǒng)日志程序，系統(tǒng)會(huì)記錄下所有用戶(hù)使用系統(tǒng)的情形，包括最近登錄時(shí)間、使用的賬號(hào)、進(jìn)行的活動(dòng)等。日志程序會(huì)定期生成報(bào)表，通過(guò)對(duì)報(bào)表進(jìn)行分析，你可以知道是否有異常現(xiàn)象。

7、關(guān)閉不需要的服務(wù)和端口

服務(wù)器操作系統(tǒng)孫陪在安裝時(shí)，會(huì)啟動(dòng)一些不需要的服務(wù)，這樣會(huì)占用系統(tǒng)的資源，而且也會(huì)增加系統(tǒng)的安全隱患。對(duì)于一段時(shí)間內(nèi)完全不會(huì)用到的服務(wù)器，可以完全關(guān)閉;對(duì)于期間要使用的服務(wù)器，也應(yīng)該關(guān)閉不需要的服務(wù)，如Telnet等。另外，還要關(guān)掉沒(méi)有必要開(kāi)的TCP端口。

標(biāo)題名稱(chēng)：關(guān)于服務(wù)器的安全管理 關(guān)于服務(wù)器的安全管理論文
網(wǎng)站路徑：http://vcdvsql.cn/article46/ddpiieg.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供微信小程序、定制開(kāi)發(fā)、網(wǎng)站制作、靜態(tài)網(wǎng)站、搜索引擎優(yōu)化、云服務(wù)器

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶(hù)投稿、用戶(hù)轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話(huà)：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來(lái)源： 創(chuàng)新互聯(lián)