Windows 2000 Server、Freebsd是兩種常見的伺服器。第一種是微軟的產品,方便好用,但是,你必須要不斷的patch它。Freebsd是一種優雅的操作系統,它簡潔的核心和優異的效能讓人感動。關於這幾種作業系統的安全,每種都可以寫一本書。我不會在這裡對它們進行詳細描述,只講一些系統初始化安全配置。
Windows2000 Server的初始安全配置
Windows的伺服器在執行時,都會開啟一些埠,如135、139、445等。這些埠用於Windows本身的功能需要,冒失的關閉它們會影響到Windows的功能。然而,正是因為這些埠的存在,給Windows伺服器帶來諸多的安全風險。遠端攻擊者可以利用這些開放埠來廣泛的收集目標主機資訊,包括作業系統版本、域SID、域使用者名稱、主機SID、主機使用者名稱、帳號資訊、網路共享資訊、網路時間資訊、NetbiOS名字、網路介面資訊等,並可用來列舉帳號和口令。今年8月份和9月份,微軟先後釋出了兩個基於135埠的RPCDCOM漏洞的安全公告,分別是MS03-026和 MS03-039,該漏洞風險級別高,攻擊者可以利用它來獲取系統許可權。而類似於這樣的漏洞在微軟的作業系統中經常存在。
解決這類問題的通用方法是打補丁,微軟有保持使用者補丁更新的良好習慣,並且它的Windows2000SP4安裝後可透過WindowsUpdate來自動升級系統補丁。另外,在防火牆上明確遮蔽來自因特網的對135-139和445、593埠的訪問也是明智之舉。
Microsoft的SQLServer資料庫服務也容易被攻擊,今年3月份盛行的SQL蠕蟲即使得多家公司損失慘重,因此,如果安裝了微軟的SQLServer,有必要做這些事:1)更新資料庫補丁;2)更改資料庫的預設服務埠(1433);3)在防火牆上遮蔽資料庫服務埠;4)保證 sa口令非空。
另外,在Windows伺服器上安裝防毒軟體是絕對必須的,並且要經常更新病毒庫,定期執行防毒軟體查殺病毒。
不要執行不必要的服務,尤其是IIS,如果不需要它,就根本不要安裝。IIS歷來存在眾多問題,有幾點在配置時值得注意:1)作業系統補丁版本不得低於SP3;2)不要在預設路徑執行WEB(預設是c:inetpubwwwroot);3)以下ISAPI應用程式擴充套件可被刪掉:。 ida.idq.idc .shtm .shtml .printer。
Freebsd的初始安全配置
Freebsd在設計之初就考慮了安全問題,在初次安裝完成後,它基本只開啟了22(SSH)和25(Sendmail)埠,然而,即使是 Sendmail也應該把它關閉(因為歷史上Sendmail存在諸多安全問題)。方式是編輯/etc/rc.conf檔案,改動和增加如下四句:
sendmail_enable="NO"
sendmail_submit_enable="NO"
sendmail_outbound_enable="NO"
sendmail_msp_queue_enable="NO"
這樣就禁止了Sendmail的功能,除非你的伺服器處於一個安全的內網(例如在防火牆之後並且網段中無其他公司主機),否則不要開啟Sendmail。
禁止網路日誌:在/etc/rc.conf中保證有如下行:
syslogd_flags="-ss"
這樣做禁止了來自遠端主機的日誌記錄並關閉514埠,但仍允許記錄本機日誌。
禁止NFS服務:在/etc/rc.conf中有如下幾行:
nfs_server_enable="NO"
nfs_client_enable="NO"
portmap_enable="NO"
有些情況下很需要NFS服務,例如使用者上傳圖片的目錄通常需要共享出來供幾臺WEB伺服器使用,就要用到NFS。同理,要開啟NFS,必須保證你的伺服器處於安全的內網,如果NFS伺服器可以被其他人訪問到,那麼系統存在較大風險。保證/etc/inetd.conf檔案中所有服務都被登出,跟其他系統不同,不要由inetd執行任何服務。將如下語句加進/etc/rc.conf:
inetd_enable="NO"
所有對/etc/rc.conf檔案的修改執行完後都應重啟系統。
如果要執行Apache,請編輯httpd.conf檔案,修改如下選項以增進安全或效能:
1) Timeout 300>Timeout 120
2) MaxKeepAliveRequests 256
3) ServerSignature on>ServerSignature off
4) Options IndexesFollowSymLinks行把indexes刪掉(目錄的Options不要帶index選項)
5) 將Apache執行的使用者和組改為nobody
6) MaxClients 150——>MaxClients 1500
(如果要使用Apache,核心一定要重新編譯,否則通不過Apache的壓力測試,關於如何配置和管理WEB伺服器請見我的另一篇文章)
如果要執行FTP服務,請安裝proftpd,它比較安全。在任何伺服器上,都不要開啟匿名FTP。
Windows 2000 Server和Freebsd兩種伺服器的安全配置就向大家介紹完了,希望大家已經掌握。
網站安全之系統與伺服器安全管理
相關文章
- asp與網站安全的初步構想(1)——作業系統安全網站作業系統
- 安全防護密碼學之網站安全公司密碼學網站
- 網站安全體系建設網站
- 網站安全:dns汙染與dns劫持網站DNS
- 網站以及伺服器安全防範措施網站伺服器
- Tomcat的系統安全管理Tomcat
- 網站防黑客入侵的主機系統安全配置方法網站黑客
- 什麼是網站系統安全的滲透檢測?網站
- 香港網站以及伺服器安全防範措施網站伺服器
- 網際網路安全之數字簽名、數字證書與PKI系統
- NTP網路時間伺服器助力金融網路系統安全伺服器
- 如何做伺服器安全維護,網站安全維護怎麼做好伺服器網站
- 網站後臺管理系統網站
- 保護網站安全網站
- 高校網站安全分析網站
- 看雪安全網站網站
- 計算機網路之網路安全基礎-防火牆與入侵檢測系統計算機網路防火牆
- 網站Web伺服器安全防範的乾貨網站Web伺服器
- 【安全】Oracle 安全管理與審計(二)Oracle
- 網站安全滲透測試服務之discuz漏洞挖掘與利用網站
- JAVA安全之JAVA伺服器安全漫談Java伺服器
- 物理機伺服器系統安全加固方法伺服器
- 網站安全防護 什麼是session安全網站Session
- 網站安全---底成本的資料安全 (轉)網站
- 網站安全監控的方法講解,網站安全監控技術網站
- 程式碼伺服器安全管理伺服器
- 企業網路安全管理維護之探析
- 網站的安全漏洞網站
- 網站安全漏洞之SESSION防跨站攻擊獲取網站Session
- ORACLE之常用FAQ:ORACLE網路與安全Oracle
- 安全運維之:Linux系統賬戶和登入安全運維Linux
- 如何尋找網站安全公司來解決網站安全被入侵問題網站
- 亞信安全伺服器深度安全防護系統中標“世界最長”的城軌網路伺服器
- 如何建立完整的網路安全管理體系
- 網站安全公司講解資料安全風險分析網站
- 如何配置伺服器的系統服務安全伺服器
- 伺服器系統安全【10大注意事項】伺服器
- SSECMM在某通訊網路管理系統安全工程中的應用與實踐