网站安全之系统与服务器安全管理

 Windows 2000 Server、Freebsd是两种常见的服务器。第一种是微软的产品,方便好用,但是,你必须要不断的patch它。Freebsd是一种优雅的操作系统,它简洁的内核和优异的性能让人感动。关于这几种操作系统的安全,每种都可以写一本书。我不会在这里对它们进行详细描述,只讲一些系统初始化安全配置。

Windows2000 Server的初始安全配置

Windows的服务器在运行时,都会打开一些端口,如135、139、445等。这些端口用于Windows本身的功能需要,冒失的关闭它们会影响到Windows的功能。然而,正是因为这些端口的存在,给Windows服务器带来诸多的安全风险。远程攻击者可以利用这些开放端口来广泛的收集目标主机信息,包括操作系统版本、域SID、域用户名、主机SID、主机用户名、帐号信息、网络共享信息、网络时间信息、Netbios名字、网络接口信息等,并可用来枚举帐号和口令。今年8月份和9月份,微软先后发布了两个基于135端口的RPCDCOM漏洞的安全公告,分别是MS03-026和 MS03-039,该漏洞风险级别高,攻击者可以利用它来获取系统权限。而类似于这样的漏洞在微软的操作系统中经常存在。

解决这类问题的通用方法是打补丁,微软有保持用户补丁更新的良好习惯,并且它的Windows2000SP4安装后可通过WindowsUpdate来自动升级系统补丁。另外,在防火墙上明确屏蔽来自因特网的对135-139和445、593端口的访问也是明智之举。

Microsoft的SQLServer数据库服务也容易被攻击,今年3月份盛行的SQL蠕虫即使得多家公司损失惨重,因此,如果安装了微软的SQLServer,有必要做这些事:1)更新数据库补丁;2)更改数据库的默认服务端口(1433);3)在防火墙上屏蔽数据库服务端口;4)保证 sa口令非空。

另外,在Windows服务器上安装杀毒软件是绝对必须的,并且要经常更新病毒库,定期运行杀毒软件查杀病毒。

不要运行不必要的服务,尤其是IIS,如果不需要它,就根本不要安装。IIS历来存在众多问题,有几点在配置时值得注意:1)操作系统补丁版本不得低于SP3;2)不要在默认路径运行WEB(默认是c:inetpubwwwroot);3)以下ISAPI应用程序扩展可被删掉:。 ida.idq.idc .shtm .shtml .printer。

Freebsd的初始安全配置

Freebsd在设计之初就考虑了安全问题,在初次安装完成后,它基本只打开了22(SSH)和25(Sendmail)端口,然而,即使是 Sendmail也应该把它关闭(因为历史上Sendmail存在诸多安全问题)。方式是编辑/etc/rc.conf文件,改动和增加如下四句:

sendmail_enable="NO"

sendmail_submit_enable="NO"

sendmail_outbound_enable="NO"

sendmail_msp_queue_enable="NO"

这样就禁止了Sendmail的功能,除非你的服务器处于一个安全的内网(例如在防火墙之后并且网段中无其他公司主机),否则不要打开Sendmail。

禁止网络日志:在/etc/rc.conf中保证有如下行:

syslogd_flags="-ss"

这样做禁止了来自远程主机的日志记录并关闭514端口,但仍允许记录本机日志。

禁止NFS服务:在/etc/rc.conf中有如下几行:

nfs_server_enable="NO"

nfs_client_enable="NO"

portmap_enable="NO"

有些情况下很需要NFS服务,例如用户上传图片的目录通常需要共享出来供几台WEB服务器使用,就要用到NFS。同理,要打开NFS,必须保证你的服务器处于安全的内网,如果NFS服务器可以被其他人访问到,那么系统存在较大风险。保证/etc/inetd.conf文件中所有服务都被注销,跟其他系统不同,不要由inetd运行任何服务。将如下语句加进/etc/rc.conf:

inetd_enable="NO"

所有对/etc/rc.conf文件的修改执行完后都应重启系统。

如果要运行Apache,请编辑httpd.conf文件,修改如下选项以增进安全或性能:

1) Timeout 300>Timeout 120

2) MaxKeepAliveRequests 256

3) ServerSignature on>ServerSignature off

4) Options IndexesFollowSymLinks行把indexes删掉(目录的Options不要带index选项)

5) 将Apache运行的用户和组改为nobody

6) MaxClients 150——>MaxClients 1500

(如果要使用Apache,内核一定要重新编译,否则通不过Apache的压力测试,关于如何配置和管理WEB服务器请见我的另一篇文章)

如果要运行FTP服务,请安装proftpd,它比较安全。在任何服务器上,都不要打开匿名FTP。

Windows 2000 Server和Freebsd两种服务器的安全配置就向大家介绍完了,希望大家已经掌握。

时间: 2024-08-03 14:11:29

网站安全之系统与服务器安全管理的相关文章

网站实时监控系统的设计与实现

监控|设计 摘 要: 本文提出了基于操作系统内核服务和多线程技术的网站实时监控系统,解决了以往监控系统不能及时恢复异常网页的问题.重点介绍了系统的传送控制部分和监控部分 关键词: 实时监控:多线程:API 引言 对网页监控比较成熟的技术是定时监控,即由用户设定时间间隔,系统按时对需监控的网页文件轮询一遍,来判断文件是否被非法删除或篡改.若发现,立即用备份盘上的备份文件进行恢复.这样的监控存在一个缺陷:被非法删除或篡改的网页不能得到及时的恢复. 本文介绍的网站实时监控系统创造性地利用操作系统内核提

垂直行业网站及业务系统的监控预警与态势感知平台搭建

随着信息化的发展,政府以及大型企业的对外宣传及服务.对内办公逐渐向Web上迁移,从而出现了众多的门户网站以及业务系统.随着这些网站及业务系统与政府.企业的形象及业务的不断融合,其重要程度也不断提升,尤其是在垂直行业中更为重要.因此,网站和业务系统也成为黑客的主要攻击目标.本文既是围绕垂直行业的门户网站及业务系统的安全建设展开.为了表达上的简洁,后文所提到的网站无特殊说明均是指广义上的网站--以http/https协议进行通信并使用浏览器进行访问的系统,既包含门户网站及业务系统. 垂直行业的网站有

谈新版豆瓣首页交互设计:复杂网站的标签系统

新版的豆瓣希望在架构上做一些调整,但是想得还不够透彻,并且在细节处理上还比较混乱.今天在新版的使用中又发现一个问题: [实际场景]====================================================用户在我的友邻广播中看见了一个朋友读了本书,点击书过去以后,上面的标签跳到了[豆瓣读书],但是差异很小,不明显.页面上的主导航变成了读书的导航. 用户发现整个页面都变了,刚才的导航条不见了.他很难在第一时间注意到上方的标签跳到了[豆瓣读书],因为太不明显了.两个主导

C#版的网站新闻发布系统

写这篇文章的时候首先要向bben_h 和jdxx表示感谢,是bben_h提出了C#中字符替换这个问题,jdxx很好的解决了这个问题,同时也使我想起以前做的一些程序(简单网站新闻发布系统),现在就把它奉献给大家,希望能对大家学习通过ADO.NET操作SqlServer数据库和DataGrid控制元件有些帮助.   数据库结构   数据库名:mydb,数据表名:news  news表结构  id(int 4) 递增ID  biaoti(nvarchar 50) 新闻标题  zhaizi(nvarch

网站被K怎么办之服务器篇

昨天集团旗下其他两个医院的网站被百度拔毛了,通知笔者火速写一个解决方案,于是笔者开始征集相关数据,试图对其进行分析,但征集未果,很多数据出现断裂,最后通过日志分析加上相关优化人员叙述初步估计是由于服务器的原因导致网站被K ,笔者给予以下解决方法. 两个拔毛的网站基本情况 两个被拔毛的网站原来放在两个不同的服务器上面,有一个服务器下面有个做六合彩的网站被K过,自从两个网站被拔毛后相关人员把两个网站放在了同一个服务器下面,百度对两个网站的爬去次数逐渐下降,而且返回大量200 0 0 ,以下是两个网站

实现网络VOD系统及服务器的先决条件

成功的VOD系统及服务器的先决条件: 1. 要设计好网络系统,以免发生网络交通阻塞. 2. 高性能的交换机与服务器.储存系统.备份系统.软件.系统设置和用户端设置的紧密结合. 3. 需要不间断地监控和调试网络环境.网络的使用.网络上设备和服务器的吞吐量. 4. 在没有灰尘和有空调的环境操作.每一台重要的服务器都要有带远程监控的UPS保护.要有地线及防雷设施. 5. 选择适当的RAID.RAID-0 到RAID-7,还有双层RAID.磁盘数量,单通道还是双通道. 6. SCSI或FC(光纤通道)的

在Linux系统的服务器上隐藏PHP版本号的方法

  这篇文章主要介绍了在Linux系统的服务器上隐藏PHP版本号的方法,有助于预防攻击者针对PHP详细版本的漏洞而发起的攻击,需要的朋友可以参考下 通常,大多数默认设置安装的web服务器存在信息泄露,这其中之一就是PHP.PHP 是如今流行的服务端html嵌入式语言(之一?).在如今这个充满挑战的时代,有许多攻击者会尝试发现你服务端的漏洞.因此,我会简单描述如何在Linux服务器中隐藏PHP信息. 默认上expose_php默认是开的.关闭"expose_php"参数可以使php隐藏它

Win7系统RPC服务器不可用怎么办?

  有时候我们想要在Netsh命令中添加IP地址或者安装打印机时,发现电脑会提示"RPC服务器不可用",这个问题虽然很常见,但是很多用户都不懂得怎么解决,那么当你遇到Win7系统RPC服务器不可用该怎么办呢?不懂的朋友,看看以下文章吧! 方法/步骤: 1.使用Netsh interface ip add 添加IP的时候出现下面的提示:RPC服务器不可用. 2.解决办法在这里开始:打开运行框;输入Services.msc命令. 3.来到服务器管理器,确认一下RPC服务是否开启状态.[Re

模板-求ireprot导致系统挂掉服务器内存溢出求高手指点

问题描述 求ireprot导致系统挂掉服务器内存溢出求高手指点 我用的ireport 制作的pdf模板最近在系统中时不时出现因为某个jasper文件导致系统挂掉,服务器内存被调用这个文件的一个进程占用完了但是再次在系统中打印预览这个文件又正常了.不存在数据量大的问题,求各位高手指点下可能是什么原因导致的!!