伺服器安全問題，一直是大多數站長很關心卻完全不知道該如何解決的。要不就是完全不設防的狀態存著僥倖心理在“裸奔”，要不就是花錢讓別人幫忙維護，還要確保找的人足夠可靠。其實系統本身帶有大量的安全工具和安全機制，只要合理的設定並利用他們，就可以防禦大部分基礎的攻擊。比如selinux、snort和honeynet。

統一集中化管理工具

大多數網際網路公司來說，伺服器的數量相對較大，很多單機的工具就不太合適。這時候可以使用統一集中化的管理工具，有效的簡化多臺伺服器的系統管理工作。Windows下可以用域，linux下可以用ldap，或者像Puppet、Func之類的工具。類似於木馬一樣，每一臺伺服器都裝一個agent。

最小許可權訪問控制策略

比如網路訪問控制，Windows可以使用IPSec、linux可以使用IPTABLES。針對遊戲伺服器，那麼除了遊戲埠，什麼都不要讓普通使用者訪問。而web應用就只開放80/443。檔案許可權控制，不要什麼都777，對應在WIndows平臺下，不要什麼都是Everyone完全控制。

補丁與反病毒

這是大家都比較信賴的方案，但補丁防不住0day漏洞，防毒軟體也可以用免殺繞過（雖然在HIPS的圍剿中正越來越難）。補丁和反病毒軟體是一個基礎必備卻並不能依賴的方案。Windows下可以用WSUS進行補丁的部署，Linux下需要透過統一集中化管理工具來推送。

監控體系

有了前面的設定伺服器的安全性已經相對較高，但並不是無法攻破的。如果被駭客攻破了，就需要有監控的方案。例如主機層面可以用HIPS（蜜罐屬於同一類方案）、網路層面可以用IPS。

基礎安全工具

如果伺服器已經或疑似被黑了，需要登入伺服器進行檢查。這時候需要使用檢查程式、埠、啟動項、隱藏檔案、ssdt/syscall之類基礎資訊的工具。大家熟悉的有sysintenal系列的所有工具，冰刃/Xuetr/Chkrootkit等

資訊保安預警

只有獲取最新的安全資訊，比如漏洞、補丁的及時更新，最新流行的攻擊技術和方式，上面的安全部署才是有效的。

別“裸奔”了！伺服器安全工具的使用