萬盛學電腦網

 萬盛學電腦網 >> 安全資訊防護 >> 網站主機安全之系統與服務器安全管理

網站主機安全之系統與服務器安全管理

   Windows 2000 Server、Freebsd是兩種常見的服務器。第一種是微軟的產品,方便好用,但是,你必須要不斷的patch它。Freebsd是一種優雅的操作系統,它簡潔的內核和優異的性能讓人感動。關於這幾種操作系統的安全,每種都可以寫一本書。我不會在這裡對它們進行詳細描述,只講一些系統初始化安全配置。
    Windows2000 Server的初始安全配置
    Windows的服務器在運行時,都會打開一些端口,如135、139、445等。這些端口用於Windows本身的功能需要,冒失的關閉它們會影響到Windows的功能。然而,正是因為這些端口的存在,給Windows服務器帶來諸多的安全風險。遠程攻擊者可以利用這些開放端口來廣泛的收集目標主機信息,包括操作系統版本、域SID、域用戶名、主機SID、主機用戶名、帳號信息、網絡共享信息、網絡時間信息、Netbios名字、網絡接口信息等,並可用來枚舉帳號和口令。今年8月份和9月份,微軟先後發布了兩個基於135端口的RPCDCOM漏洞的安全公告,分別是MS03-026和MS03-039,該漏洞風險級別高,攻擊者可以利用它來獲取系統權限。而類似於這樣的漏洞在微軟的操作系統中經常存在。
    解決這類問題的通用方法是打補丁,微軟有保持用戶補丁更新的良好習慣,並且它的Windows2000SP4安裝後可通過WindowsUpdate來自動升級系統補丁。另外,在防火牆上明確屏蔽來自因特網的對135-139和445、593端口的訪問也是明智之舉。
    Microsoft的SQLServer數據庫服務也容易被攻擊,今年3月份盛行的SQL蠕蟲即使得多家公司損失慘重,因此,如果安裝了微軟的SQLServer,有必要做這些事:1)更新數據庫補丁;2)更改數據庫的默認服務端口(1433);3)在防火牆上屏蔽數據庫服務端口;4)保證sa口令非空。
    另外,在Windows服務器上安裝殺毒軟件是絕對必須的,並且要經常更新病毒庫,定期運行殺毒軟件查殺病毒。
    不要運行不必要的服務,尤其是IIS,如果不需要它,就根本不要安裝。IIS歷來存在眾多問題,有幾點在配置時值得注意:1)操作系統補丁版本不得低於SP3;2)不要在默認路徑運行WEB(默認是c:\inetpub\wwwroot);3)以下ISAPI應用程序擴展可被刪掉:。ida.idq.idc .shtm .shtml .printer。
    Freebsd的初始安全配置
    Freebsd在設計之初就考慮了安全問題,在初次安裝完成後,它基本只打開了22(SSH)和25(Sendmail)端口,然而,即使是 Sendmail也應該把它關閉(因為歷史上Sendmail存在諸多安全問題)。方式是編輯/etc/rc.conf文件,改動和增加如下四句:
    sendmail_enable="NO"

copyright © 萬盛學電腦網 all rights reserved