伺服器安全管理
伺服器中儲存的資訊越來越多,而且也越來越重要;為防止伺服器發生意外或受到意外攻擊,而導致大量重要的資料丟失,伺服器一般都會採用許多重要的安全保護技術來確保其安全,那麼你知道嗎?下面是小編整理的一些關於的相關資料,供你參考。
Linux和Solaris是另外兩種種常見的伺服器。Linux和Freebsd一樣,是免費的作業系統,它們都廣泛使用GNU***一個偉大的組織***的實用工具集,Linux容易上手,但不如Freebsd簡潔。Solaris是SUN的商用作業系統,關於SUNOS的文章在網上被貼得到處都是,但遺憾的是,它看起來並不快,而且,你也要經常對它打補丁。下面就讓我們看看這兩種伺服器的安全配置,以及伺服器的安全管理的內容。
的方法一、Linux的初始安全配置
Linux安裝完成後,預設會開啟一些不必要埠,執行netstat –angrepLISTEN命令看一下,會看到本機開啟的所有埠。除了必須的網路埠如SSH、FTP和WEB,其他埠都關閉。如果你不熟悉這些埠對應什麼程式,那麼請參看/etc/services檔案,裡面有埠和服務的對應列表。
在Redhat9.0預設安裝完成後,請進入/etc/rc2.d和/etc/rc3.d,將系統啟動時開啟的不必要服務都在這裡登出掉。這些服務通常包括sendmail、NFS、rpc等,登出的方法是將S打頭的相關服務檔案重新命名***注意不要命名為S或K打頭的其他檔案***。
例如將/etc/rc2.d/S80sendmail 改名為 X80sendmail
將/etc/rc3.d/S13portmap S14nfslock S28autofs S80sendmail改名為X13portmap X14nfslock X28autofs X80sendmail
RPC的安全問題歷來很多,請注意一定不要開啟111埠。
改完後需要重啟Linux伺服器。
如果你的Linux直接面對因特網,那麼可以配置它的防火牆來實現訪問控制。Linux2.4核心支援iptables,2.4以下支援ipchains,它們的語法差不多,都是很好的防火牆工具。例如,如果你只允許從因特網訪問SSH和WWW服務,那麼可將如下語句加進/etc/rc.d/rc.local檔案:
/sbin/iptables -F
/sbin/iptables -A INPUT -p tcp -d 211.96.13.* --dport 80 -ieth0-j ACCEPT
/sbin/iptables -A INPUT -p tcp -d 211.96.13.* --dport 22 -ieth0-j ACCEPT
/sbin/iptables -A INPUT -i eth0 -j DROP
說明:iptables–F重新整理iptables規則表,接下來兩條語句允許任何人訪問211.96.13.*這個地址的WWW和SSH服務,最後一條DROP語句將不符合規則的其他訪問過濾掉。這樣系統在啟動後即可自動執行防火牆規則。
通常在Freebsd或Linux上會執行Mysql資料庫服務,不要將資料庫服務埠***3306***暴露在防火牆之外。如果執行Apache,同樣要做如Freebsd的修改。
的方法二、Solaris的初始安全配置
關於Solaris的安全配置網上有一篇非常好的文章,叫做《The SolarisSecurityFAQ》,照著做就可以了。
1***禁止root從網路直接登陸:修改/etc/default/login檔案,確保CONSOLE=/dev/console被設定,該行只允許root從控制檯登陸。將root使用者加入/etc/ftpusers,保證root不可以遠端使用ftp。
2***禁止rlogin和rsh訪問:刪除/etc/hosts.equiv和/.rhosts檔案,從/etc/inetd.conf檔案裡註釋掉所有以r打頭的服務。
3*** 帳號控制:刪除、鎖定或註釋掉不必要的系統帳號,包括sys/uucp/nuucp/listen等
4*** 改變/etc目錄的訪問許可權:該目錄下檔案不應該對同組使用者可寫,執行:chmod –R g-w /etc ***不推薦***
5*** 在solaris2.5 以上版本的系統中,建立/etc/notrouter檔案來關閉solaris預設的路由轉發。
6*** 禁止automounter:刪除/etc/auto_*配置檔案,刪除/etc/init.d/autofs
7***禁止NFS服務:刪除/etc/dfs/dfstab,重新命名/etc/rc3.d/S15nfs.server,重新命名/etc/rc2.d/S73nfs.client***不要再以S打頭***
8*** 禁止rpc服務:重新命名/etc/rc2.d/S71RPC
9***修改/etc/inetd.conf檔案,註釋掉大部分不必要服務,只保留telnet和ftp服務,然後重啟inetd程序。
10*** 給系統打補丁:包括各版本Solaris通用補丁和單個補丁集合。
11*** 將如下三行加進/etc/init.d/inetinit檔案:
ndd -set /dev/ip ip_forward_directed_broadcasts 0
ndd -set /dev/ip ip_forward_src_routed 0
ndd -set /dev/ip ip_forwarding 0
這樣在系統啟動後就關閉了IP轉發和IP源路由。
的方法三、服務安全管理應做的事
是站點安全中最重要的一環,離開了管理,安全將變得不切實際。以下也許是Windows系統安全管理員每天應做的事:
1.檢查系統有無新增帳戶,並瞭解其來源及用途;檢視管理員組裡有無新增帳戶,該組的帳戶除系統最初設定外,以後不應該增加帳戶;
2. 在命令列狀態下,執行netstat –an命令檢視當前連線及開啟的埠,查詢可疑連線及可疑的埠;
3. 檢視“工作管理員”,查詢有無可疑的應用程式或後臺程序在執行,並觀察CPU及記憶體的使用狀態;
4. 執行登錄檔編輯器,查詢有無可疑的程式被加到windows的啟動項裡,並檢視有無新增的可疑服務;
5.使用Windows事件檢視器檢視“系統日誌”“安全日誌”和“應用程式日誌”,以發現有無可疑的事件或影響系統性能的事件;
6. 檢查共享目錄,不應有對所有使用者可寫的目錄存在;
7. 如果執行MicrosoftIIS,檢視C:\WINNT\system32\LogFiles\下的WEB伺服器日誌,以發現是否有試圖攻擊WEB的行為;
8. 不定期執行防毒軟體查殺病毒;
9. 經常瀏覽微軟的網站,保持伺服器的補丁同步更新,留意微軟釋出的安全公告。
看過文章“
1.如何提升伺服器安全等級
2.如何防護網路伺服器安全
3.如何維護網路伺服器安全
4.伺服器如何防攻擊
5.Windows伺服器的基礎安全加固方法
6.入侵伺服器的基礎知識
7.伺服器怎麼防攻擊
8.怎麼利用伺服器的DHCP維護區域網安全
9.怎麼設定網件PR2000為公共熱點安全模式
10.伺服器物理安全