分享
 
 
 

七个维护服务器安全的技巧

王朝other·作者佚名  2006-12-16
窄屏简体版  字體: |||超大  

技巧一:从基本做起

我知道这听起来象是废话,但是当我们谈论网络服务器的安全的时候,我所能给你的最好的建议就是不要做门外汉.当黑客开始对你的网络发起攻击的时候,他们首先会检查是否存在一般的安全用5行代码就可干掉Windows XP/2000对.idq/.ida溢出攻击的分析我是如何黑掉PacketStorm论坛的Security Issues in Perl Scripts 构造特殊 FTP 请求导致 Squid Web Proxy Cache 拒绝服务漏洞跨站脚本执行漏洞详解lkm浅析非法格式信息报头导致Msn Messenger崩溃漏洞Linux上一些不安全的程序及其替代程序Nessus安全测试插件编写教程1相关链接共 205 篇','相关的链接')" href="http://www.safechina.net/article/showarticle.php?id=1004610491#"漏洞,然后才会考虑难度更加高一点的突破安全系统的手段.因此,比方说,当你服务器上的数据都存在于一个FAT的磁盘分区的时候,即使安装上世界上所有的安全软件也不会对你有多大帮助的.

因为这个原因,你需要从基本做起.你需要将服务器上所有包含了敏感数据的磁盘分区都转换成NTFS格式的.同样,你还需要将所有的反病毒软件及时更新.我建议你同时在服务器和桌面终端上运行反病毒软件.这些软件还应该配置成每天自动下载最新的病毒数据库文件.你还更应该知道,可以为Exchange Server安装反病毒软件.这个软件扫描所有流入的新型网络病毒“冰冷世界”开始流行白皮书:Red Hat日志文件系统-ext3 80端口web服务攻击痕迹perl脚本中的一些安全问题网络安全方面的专业词汇傲者TXT炸弹(标准版)IP地址从头说 网络保护和入侵探测产品SessionWall-3技术概览网络基础知识Back Orifice相关链接共 38 篇','相关的链接')" href="http://www.safechina.net/article/showarticle.php?id=1004610491#"电子邮件,寻找被感染了的附件,当它发现一个病毒时,会自动将这个被感染的邮件在到达用户以前隔离起来.

另一个保护网络的好方法是以用户待在公司里的时间为基础限定他们访问网络的时间.一个通常在白天工作的临时员工不应该被允许在临晨三点的时候访问网络,除非那个员工的主管告诉你那是出于一个特殊项目的需要.

最后,记住用户在访问整个网络上的任何东西的时候都需要分析进入Win2000后留下的足迹 SQL Server口令密码对照表看看破解者们是怎么样拿到密码的 Nimda/尼姆达蠕虫报告_update谈点我对初学者如何开始学习VC的看法 -- Bingle ASP漏洞及安全建议(safefan)一般入侵所需要的几个常用命令 怎样利用Perl CGI和LB5K的缺陷攻占远程服务器帐号安全(感谢Phoenix原创!)Win NT/2000的安全隐患相关链接共 186 篇','相关的链接')" href="http://www.safechina.net/article/showarticle.php?id=1004610491#"密码.必须强迫大家使用高强度的由大小写字母,数字和特殊字符组成的密码.在Windows NT Server资源包里有一个很好的用于这个任务的工具.你还应该经常将一些过期密码作废并更新还要要求用户的密码不得少于八个字符.如果你已经做了这所有的工作但还是担心密码的安全,你可以试一试从互联网下载一些黑客工具然后自己找出这些密码到底有多安全.

技巧二:保护你的备份

每一个好的网络管理员都知道每天都备份网络服务器并将磁带记录远离现场进行保护以防意外灾害.但是,安全的问题远不止是备份那么简单.大多数人都没有意识到,你的备份实际上就是一个巨大的安全漏洞.

要理解这是为什么,试想一下,大多数的备份工作都是在大约晚上10:00或是11:00的时候开始的.整个备份的过程通常是在半夜的时候结束,这取决于你有多少数据要备份.现在,想象一下,时间已经到了早晨四点,你的备份工作已经结束.但是,没有什么东西能够阻止一些人偷走你磁带记录上的数据并将它们在自己家中或是你竞争对手办公室里的一台服务器上恢复它们.

不过,你可以阻止这种事情的发生.首先,可以通过密码保护你的磁带并且如果你的备份程序支持加密功能,你还可以加密这些数据.其次,你可以将备份程序完成工作的时间定在你早晨上班的时间.这样的话,即使有人前一天半夜想要溜进来偷走磁带的话,他们也会因为磁带正在使用而无法得逞.如果窃贼还是把磁带弹出来带走的话,磁带上的数据也就毫无价值了.

技巧三:对RAS使用回叫功能

Windows NT最酷的功能之一就是对服务器进行远程访问(RAS)的支持.不幸的是,一个RAS服务器对一个企图进入你的系统的黑客来说是一扇敞开的大门.黑客们所需要的一切只是一个电话号码,有时还需要一点耐心,然后就能通过RAS进入一台主机了.但你可以采取一些方法来保证RAS服务器的安全.

你所要使用的技术将在很大程度上取决于你的远程用户如何使用RAS.如果远程用户经常是从家里或是类似的不太变动的地方呼叫主机,我建议你使用回叫功能,它允许远程用户登录以后切断连接.然后RAS服务器拨通一个预先定义的电话号码再次接通用户.因为这个号码是预先设定了的,黑客也就没有机会设定服务器回叫的号码了.

另一个可选的办法是限定所有的远程用户都访问单一的服务器.你可以将用户通常访问的数据放置在RAS服务器的一个特殊的共享点上.你于是可以将远程用户的访问限制在一台服务器上,而不是整个网络.这样,即使黑客通过破坏手段来进入主机,那么他们也会被隔离在单一的一台机器上,在这里,他们造成的破坏被减少到了最小.

最后还有一个技巧就是在你的RAS服务器上使用出人意料的协议.我知道的每一个人都使用伪造IP包,禁止TCP连接嗅探器检测工具和对策(感谢Phoenix提供!!)使用xinetdDOS下常用网络相关命令解释IP地址从头说 常见IP碎片攻击详解高级扫描技术及原理介绍通过NetBIOS入侵 10个针对分布式拒绝服务攻击有关的快速补救措施后门,隐藏通道及HTTP(S)相关链接共 162 篇','相关的链接')" href="http://www.safechina.net/article/showarticle.php?id=1004610491#"TCP/IP协议作为RAS协议.考虑到TCP/IP协议本身的性质和典型的用途,这看起来象是一个合理的选择.但是,RAS还支持IPX/SPX和NetBEUI协议.如果你使用NetBEUI作为你RAS的协议,你确实可以迷惑一些不加提防的黑客.

技巧四:考虑工作站的安全问题

在一个关于服务器安全的文章里谈论工作站的安全看起来很奇怪.但是,工作站正是通向服务器的一个端口.加强工作站的安全能够提高整个网络的安全性.对于初学者,我建议在所有的工作站上使用Windows 2000.Windows 2000是一个非常安全的操作系统.如果你并不想这样做,那么至少使用Windows NT.你可以锁定工作站,使得一些没有安全访问权的人想要获得网络配置信息变得困难或是不可能.

另一个技术是控制哪个人能够访问哪台工作站.例如,有一个员工叫Bob,并且你已经知道他是一个麻烦制造者.显然,你不想Bob能够在午餐的时候打开他朋友的电脑或是差上他自己的笔记本然后黑掉整个系统.因此,你应该使用工作组用户管理程序还修改Bob的帐号以便他只能从他自己的电脑(并且是在你指定的时间内)登录.Bob远不太可能从他自己的电脑上攻击网络,因为他知道别人可以将他追查出来.

另一个技术是将工作站的功能限定为一个哑终端,或者,我没有更好的词语来形容,一个"聪明的"哑终端.总的来说,它的意思是没有任何数据和应用程序驻留在独立的工作站上.当你将计算机作为哑终端使用的时候,服务器被配置成运行Windows NT UNIX防止非法用户注册的技术Windows 2000 的通用的SIDs 七个维护服务器安全的技巧NT/2000提升权限的方法小结 Windows2000安全检查清单DameWare NT Utilities,比3389更强大的GUI控制!也谈终端方式登录的日志记录解析进程不能访问网络资源 Microsoft Windows 终端服务错误地址漏洞 Win2K Server入侵监测相关链接共 15 篇','相关的链接')" href="http://www.safechina.net/article/showarticle.php?id=1004610491#"终端服务程序,而且所有的应用程序物理上都运行在服务器上.所有送到工作站的东西都不过是更新的屏幕显示而已.这意味着工作站上只有一个最小化的Windows版本和一份微软终端服务程序的客户端.使用这种方法也许是最安全的网络设计方案.

使用一个"聪明"的哑终端就是说程序和数据驻留在服务器上但却在工作站上运行.所有安装在工作站上的是一份Windows拷贝以及一些指向驻留在服务器上的应用程序的图标.当你点击一个图标运行程序时,这个程序将使用本地的资源来运行,而不是消耗服务器的资源.这比你运行一个完全的哑终端程序对服务器造成的压力要小得多.

技巧五:使用流行的补丁程序

微软雇佣了一个程序员团队来检查安全漏洞并修补它们.有时,这些补丁被捆绑进一个大的软件包并作为服务包(service pack)发布.通常有两种不同的补丁程序版本:一个任何人都可以使用的40位的版本和一个只能在美国和加拿大使用的128位的版本.128位的版本使用128位的加密算法,比40位的版本要安全得多.如果你现在还在使用40位的服务包并且生活在美国或是加拿大,我强烈建议你下载128位的版本.

有时一个服务包的发布也许要等上好几个月--很明显的,当一个大的安全漏洞被发现的时候,只要有可能修补它,你就不想再等下去.好在你并不需要等待.微软定期将重要的补丁程序发布在它的FTP站点上.这些热点补丁程序是自上一次服务包发布以后被公布的安全修补程序.我建议你经常查看热点补丁.记住你一定要按逻辑顺序使用这些补丁.如果你以错误的顺序使用它们,结果可能导致一些文件的版本错误,Windows也可能停止工作.

技巧六:使用一个强有力的安全政策

要提高安全性,另一个你可以做的工作就是制定一个好的,强有力的安全策略.确保每一个人都知道它并知道它是强制执行的.这样的一个政策需要包括对一个在公司机器上下载未授权的软件的员工的严厉惩罚.

如果你使用Windows 2000 Server,你就有可能指定用户特殊的使用解析进程不能访问网络资源 UNIX系统编程常用库函数说明菜鸟操(四)(bfctx原创)SQL Server安全规划 数据完整性检测工具:Tripwire菜鸟XXX客快速入门防火墙功能指标详解Ikonboard 存在Cookie 变量未过滤漏洞mysql安全问题(匿名用户)的一点心得Nmap网络安全扫描器说明(2)相关链接共 195 篇','相关的链接')" href="http://www.safechina.net/article/showarticle.php?id=1004610491#"权限来使用你的服务器而不需要交出管理员的控制权.一个好的用法就是授权人力资源部来删除和禁用一个帐号.这样,人力资源部就可以在一个行将走人的员工知道自己将被解雇以前就删除或是禁用他的用户帐号.这样,不满的员工就不会有机会来搅乱公司的系统了.同时,使用特殊用户权限,你就可以授予这种删除和禁用帐号权限并限制创建用户或是更改许可等这些活动的权限了.

试一试免费的TechProGuild吧! 如果你觉得这篇文章有用,可以看看TechRepublic的TechProGuild注册资源,它提供有深度的技术文章,覆盖了一些IT的主题,包括Windows服务器和客户端平台,IA64 地址模式和保护Trusted Data Integrity Auditing看看破解者们是怎么样拿到密码的 DoS?七个维护服务器安全的技巧Solaris又有安全新漏洞 通过NetBIOS入侵 学习Linux网络编程(1) BIND 8 exploit 木马程序简析 网络配置文件快速解读相关链接共 136 篇','相关的链接')" href="http://www.safechina.net/article/showarticle.php?id=1004610491#"Linux,疑难解答问题,和数字网络项目的难点,以及NetWare.拥有一个TechProGuild的帐户,你还可以在线阅读流行的IT工业书籍的全

技巧七:反复检查你的互联网安全问题:调制解调器的不安全如何隐藏你的踪迹互联网安全标准安全扫描浅谈Nmap网络安全扫描器说明(2)SMTP协议原始命令码和工作原理Back Orificenmap的D.o.S攻击Nessus安全测试插件编写教程2TCP Chargen DoS攻击及其对策相关链接共 103 篇','相关的链接')" href="http://www.safechina.net/article/showarticle.php?id=1004610491#"防火墙

我们的最后一个技巧包括仔细检查你防火墙的设置.你的防火墙是网络的一个重要部分因为它将你公司的计算机同互联网上那些可能对它们造成损坏的蛊惑仔们隔离开来.

你首先要做的事情是确保防火墙不会向外界开放超过必要的任何IP地址.你总是至少要让一个IP地址对外界可见.这个IP地址被使用来进行所有的互联网通讯.如果你还有DNS注册的Web服务器或是电子邮件服务器,它们的IP地址也许也要通过防火墙对外界可见.但是,工作站和其他服务器的IP地址必须被隐藏起来.

你还可以查看端口列表验证你已经关闭了所有你并不常用的端口地址.例如,TCP/IP 端口80用于HTTP通讯,因此你可能并不想堵掉这个端口.但是,你也许永远都不会用端口81因此它应该被关掉.你可以在Internet上找到每个端口使用用途的列表.

结论

服务器的安全问题是一个大问题.你不希望紧要的数据被病毒或是黑客破坏或是被一个可能用这些数据来对付你的人窃取.在本文中,我介绍了7个你应该在下一次安全审查中注意的地方.

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
2023年上半年GDP全球前十五强
 百态   2023-10-24
美众议院议长启动对拜登的弹劾调查
 百态   2023-09-13
上海、济南、武汉等多地出现不明坠落物
 探索   2023-09-06
印度或要将国名改为“巴拉特”
 百态   2023-09-06
男子为女友送行,买票不登机被捕
 百态   2023-08-20
手机地震预警功能怎么开?
 干货   2023-08-06
女子4年卖2套房花700多万做美容:不但没变美脸,面部还出现变形
 百态   2023-08-04
住户一楼被水淹 还冲来8头猪
 百态   2023-07-31
女子体内爬出大量瓜子状活虫
 百态   2023-07-25
地球连续35年收到神秘规律性信号,网友:不要回答!
 探索   2023-07-21
全球镓价格本周大涨27%
 探索   2023-07-09
钱都流向了那些不缺钱的人,苦都留给了能吃苦的人
 探索   2023-07-02
倩女手游刀客魅者强控制(强混乱强眩晕强睡眠)和对应控制抗性的关系
 百态   2020-08-20
美国5月9日最新疫情:美国确诊人数突破131万
 百态   2020-05-09
荷兰政府宣布将集体辞职
 干货   2020-04-30
倩女幽魂手游师徒任务情义春秋猜成语答案逍遥观:鹏程万里
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案神机营:射石饮羽
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案昆仑山:拔刀相助
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案天工阁:鬼斧神工
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案丝路古道:单枪匹马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:与虎谋皮
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:李代桃僵
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:指鹿为马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:小鸟依人
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:千金买邻
 干货   2019-11-12
 
推荐阅读
 
 
 
>>返回首頁<<
 
靜靜地坐在廢墟上,四周的荒凉一望無際,忽然覺得,淒涼也很美
© 2005- 王朝網路 版權所有