服务器的安全防护

服务器的安全防护（精选12篇）

服务器的安全防护 篇1

服务器是整个电子商务活动中最关键的一个环节, 如果服务器的正常运行遭到破坏, 由此而导致的损失应该是最严重的。公司将无法进行WWW展示, 以往开展的电子商务活动也都无法进行。如果服务器上的数据也遭到破坏, 严重时甚至可能导致法律纠纷。

1 服务器的安全威胁

1.1 对WWW服务器的安全威胁

WWW服务器软件是用来响应HTTP请求进行页面传输的。基于严谨规范的研究程序, 在对资料进行大量收集、系统分析和反复检验后得到结果是扎根理论最大的特点。不依赖于既定的理论, 而是利用原始数据得到结果的过程能够使研究者对原始资料进行充分的利用, 并给予研究者足够的自由来控制研究中的部分变量, 充分发挥研究者的主观能动性, 从而提高研究的准确性、科学性、可验证性和信度。

1.2 对数据库的安全威胁

电子商务系统用数据库存储用户数据, 并可从WWW服务器所连的数据库中检索产品信息。关联式登录并不是要把范畴联系起来构建一个全面的理论框架, 只是要发展主范畴和副范畴。相较于开放式登录发展性质和维度, 关联式登录则发展范畴。核心式登录是指选择核心范畴, 把它系统地和其他范畴予以联系, 验证其间的关系, 并把概念尚未发展完备的范畴补充完整的过程。核心式登录的主要任务就是系统分析所有已被发现的概念类属, 然后从这些概念类属中选择一个能够统领其他所有范畴的“核心类属”, 接着继续分析那些与核心类属相关的目次类别。

2 服务器安全的防护

2.1 防火墙技术

防火墙技术是一种隔离技术, 是在两个网络通信时执行的一种访问控制, 它能最大限度地阻止网络中的黑客更改、复制、毁坏重要信息。

2.2 数据加密技术和用户授权访问控制技术

为了确保数据不会在设备上或传输过程中被非法窃取, 对网络传输数据加密是一个十分重要的安全措施。数据加密技术分为数据传输、数据存储、数据完整性鉴别和密钥管理技术等。数据传输加密技术能够准确判别该输人是否来自合法用户, 而用户授权访问控制技术主要实现密匙管理, 通过对密匙的产生、存储、传递、定期更换进行有效的控制, 实现网络通信信息的安全。

2.3 认证和身份鉴别机制

为了使网络具有是否允许用户存取数据的判别能力, 避免出现非法传送、复制或篡改数据等不安全现象, 网络需要采用认证和身份鉴别机制。编码技术实际就是对信息进行分类和识别的过程, 将不同的代码符号与基本信息单位组成一一对应的关系。从信息学的角度, 编码就是将信息的一种符号形式变换成另一种符号形式的特殊的信息处理过程。在信息系统中, 要处理大量不同的数据, 用自然语言来描述是不便于计算机处理的, 所以为了保证数据处理的正确率, 提高数据处理的速度, 就必须要编写一套合理、严格、科学的编码系统。

2.4 数据完整性保护

数据完整性是指数据在存储或传输过程中不被非法修改、破坏或丢失。首先, 网络会充分利用数据库管理系统提供的数据完整性的约束机制和各种输入数据的“引用完整性约束”设计, 确保数据完整、准确地输入和储存。其次, 决策树算法比其他算法能够更快地创建模型并且运用决策树算法创建的模型简洁明了, 非常容易读懂。从根节点到叶节点的每一条路径都可以代表一条规则, 所以通过决策树进行智能预测的效率也相当高。采用决策树模型可以发挥其预测性的作用, 将一级标题与二级标题可能出现的情况全部囊括, 生成可以理解的规则。

2.5 数字签名

数字签名技术是不对称加密算法的典型应用, 它的应用过程如下:发送数据时, 将发送的数据采用传统的加密方法 (如DES算法) 得到的密文和用来解码的密钥一起发送, 但发送的密钥本身必须用公开密钥密码算法的公开密钥PK加密, 到目的地后先令一个密钥SK来解开传统加密方法中的密钥, 再用该密钥解开密文。当编码建构为代码, 代码演化为研究对象具体化的范畴时, 研究就与经验世界相契合;当研究者构建出的分析框架, 可以解释发生了什么, 可以在固有的过程与构建的框架之间建立联系时, 就表明研究是相关的

2.6 权利管理与访问控制

权利管理和访问控制是系统必备的安全手段。系统根据合法的认证, 赋予某用户适当的操作权限, 却不能进行越权的操作。权利管理和访问控制一般采用角色管理办法, 针对系统需要定义各种角色, 如会计、财务等, 然后赋予他们不同的执行权利。

3 结论

从目前现状来说, 因特网上的Web应用大都存在着极大的安全隐患和风险, 需要从网络、Web服务器以及程序安全三方面着手以加强Web应用的安全。

摘要：服务器端病毒防护与客户端防护有许多共同之处, 二者都试图保护同一基本个人计算机环境。服务器是Web应用的灵魂, 服务器端的安全问题较之客户端而言有过之而无不及。两者的主要差异在于, 服务器端防护在可靠性和性能方面的预期级别通常高得多。此外, 鉴于许多服务器在组织基础结构中起到的特有作用, 通常需要制定专门的防护解决方案。本文主要探讨服务器的安全与防护。

关键词：服务器,安全,防护

参考文献

[1]陈敏华.个人信息安全与防护[J].信息与电脑 (理论版) , 2013, 03:67-68.

[2]崔利军.计算机通信网络安全与防护策略的几点思考[J].中国新技术新产品, 2013, 20:18-19.

[3]刘欣.浅谈计算机通信网络安全与防护策略[J].数字技术与应用, 2013, 10:208.

[4]胡颖.网络计算机安全与防护措施探析[J].电子技术与软件工程, 2013, 21:223.

服务器的安全防护 篇2

利用gpedit.msc(组策略)禁止目录执行某些文件。

首先:

运行-----输入 gpedit.msc ----计算机配置---windows 设置----安全设置↓

----软件限制策略(如果旁边没有什么东西。点右键创建一个策略)---其他规则----(点右键)新建立一个路径规则(p)，

如图1:

这样d:wwwroot目录就无法执行任何exe.bat.com文件了。 不管你是什么权限。即使是system都无法执行。

这样大大的提高了被使用exp提升权限的安全性。

当然这里提一个思路。 。大家都知道c:windowstemp是临时文件夹。 基本都是所有用户都可以写的。它是不需要执行权限的。

浅谈网站服务器的安全维护技巧 篇3

关键词：网站服务器;安全;维护技巧

中图分类号：TP393.05     文献标识码：A      文章编号：1006-8937（2016）26-0057-02

网站服务器是整个网络系统的“大脑”以及重中之重，其能否正常运行直接决定着整个网络系统能否正常运行，一旦出现问题可能会让整个网络系统崩塌。面对如今网站服务器的现状，一旦出现任何问题，都有可能造成个人信息财产的遗失，因此维护网站服务器的计算机安全是当下最重要的事，不但需要强化安全防范意识，同时也要具备相应的专业知识。

1  网站服务器的安全维护技巧

1.1  安装有效的杀毒软件， 及时检查防火墙是否允许     正常

杀毒软件以及防火墙是目前维护网站服务器计算机安全最基本的方式，大多数计算机的使用者都明白如何设置可靠的杀毒软件以及防火墙，因此，这是实施安全维护的前提，是网络设置不可或缺的工序，同样也是重要的屏障。特别要注意IP地址的加密以及保护，这严重关乎是否会泄露个人的资料，必须采取一定的保护手段，以免在这一环节出现差池，如图1所示。

1.2  及时备份系统资料

做好维护服务器安全的工作同样也需要未雨绸缪，因此，对服务器系统文件进行及时的备份也是不可或缺的。如果网站服务器遭受不明攻击，就可以确保重要信息不会缺失。然而，在备份系统文件时，也必须注意保护工作，尽可能在头脑清晰或者工作时实施备份，不然，虽然是为了保密进行备份，但是在这一环节由于个人原因导致数据泄露，这就得不偿失了。备份工作结束之后，也需要做好U盘的保密工作，不能百密一疏。

1.3  维护脚本的安全

维护网站服务器安全的众多工作中也包括维护脚本的安全，大多数黑客也会选择CGI程序以及PHP脚本作为攻击的对象，因此，也需要对脚本进行重点防护。具体操作如下：在网站服务器确定的初期，必须使参数的信任度维持在合理的范围，部分防火墙内部传达的参数是可信的，但是也会有些参数不是从内部传达出的，对于这些参数必须经过严格的讨论与分析，绝对不可以不经过任何处理就在网站服务器中使用，工作时必须全心全意，设计可靠的过滤体系，对非内部参数进行严格挑选，这样才可以增加脚本成品的可靠性，进行从源头上避免网站服务器被攻击。最后，也能够在设计交通的时候增加部分参考标准来衡量参数是否合格，把不合格的参数刷下来，增加脚本成品的质量。

1.4  出台相关的安全政策

网站服务器全部的安全防护技巧的顺利实施都是依靠相关的安全政策的出台，这就要求相关领导必须具备强烈的安全防范意识，才可以将工作的重点落实到网站服务器安全方面，其次，定时开展相关安全意识的活动，让全体工作人员都了解维护网站服务器计算机安全的重要性，从基层做起，层层管理，保证所有工作人员以及使用工作程序都是符合规定的要求和标准。

1.5  改变视角实施全方位的系统维护

大多数管理者都是在网站服务器受到破坏之后才呼叫技术人员开展维修工作，却不知，这么做只是“亡羊补牢”，管理者必须在任何时间都要做到未雨绸缪，最简单也最高效的方法就是在对网站服务器实施维护的同时开拓视野，全方位深思，只有摸清黑客们的视角，才可以知道黑客的攻击的动机以及攻击区域，猜测攻击者将会攻击的系统以及实施攻击的方案，这样才能够提前修补漏洞，防范于未然。

网站服务器的技术人员也能够市场开展攻击与维护的模拟活动，假想攻击所处的网站服务器，从而发展出现的漏洞并采取科学的修补漏洞，有关的练习方案十分多，管理者必须针对不同的情况，选择最恰当的方案。

1.6  将工作的重点放在维护RAS服务器的安全方面

RAS服务器就是人们通常所说的远程访问，是计算机系统最多见功能，同时也是大多数人在平时工作中使用最多的一项功能，然而，最普遍的功能往往是黑客攻击的首要目标，往往是由于其十分便利，黑客就会十分容易发现计算机系统的安全漏洞。对于大多数攻击者来说，选择这一环节实施攻击的成功率是最高的，也是最简单的。原因就是攻击者只需要通过任意一个电话号码就可以使用RAS服务器进入到网站服务器的主机中，实施攻击，因此计算机的使用人员必须做好RAS服务器的维护工作，才能避免计算机被攻击。

其中关键的技巧就是对RAS服务器开通回叫功能，这种技巧广泛应用于再特定方位实施远程的状况，开通回叫功能之后，其具备在用户通过远程控制登录成功之后能够切断连接的功能，预先储存一个电话号码，RAS服务器就能够自动接通预先储存的号码与用户取得联系，这样能够有效避免攻击者通过RAS服务器攻击计算机，大大降低安全问题出现的概率。这种防护技巧十分简单，对绝大多数人员来说，是最容易操作也是最高效的维护方案，具体的流程，如图2所示。

1.7  设置合理的维护权限

如今，网站服务器在正常运行的时候都会开通以下三种服务，即FTP服务、流媒体服务以及传统的网站服务。同一个网站服务器同时开通三种服务，这就表明这三种服务是相互关联、协调工作的，无论其中谁受到了黑客的攻击，其余二者都会受到严重的影响，因此，网站服务器管理人员必须采取特定的手段降低这三种服务器相互之间的联系以及影响，让其尽可能独立运行，确保受到攻击时不会影响其余二者的运行，以免出现巨大的经济损失。

这里着重推荐安装NTFS的文件系统，其安全性远远大于我们广泛使用的FAT文件系统，其是专门为网络与磁盘配额以及文件加密等管理安全特性设计的磁盘格式，得到微软Windows.NET内核的系列操作系统的大力支持。在NTFS文件系统中，能够为所有的磁盘预留独立的访问权限，能够将储存的信息与服务器的数据分隔出来，这样就可以对计算机中的隐私信息实施全方位的保护，以免计算机遭受黑客攻击之后，黑客能够得到其想要的信息。

最后还需要将Windows2003服务器中全部的硬盘度变成NTFS分区，同时使用当中的特定的功能对这些分区实施有关的权限配置。如此操作，就可以高效合理的设计服务器权限维护工作，确保各个服务器之间不受干扰，保证网站服务器的安全运行。

2  结  语

由于网站服务器的计算机安全维护面临的困境，所以其安全性得到了广大技术人员的广泛关注。

首先，网站服务器的管理人员必须强化这方面工作的重要性，增加全体员工的安全防范意识，接下来，管理人员在日常与黑客斗争的过程中不断总结工作经验以及时常反省自身的不足之处，最后不仅需要做到未雨绸缪，设计出更加安全，更加可靠的网站服务器，同时还需要时刻整理自身的工作经验，讨论各种的应对技巧，有效降低网站服务器被黑客攻击的次数，维护网站服务器的计算机安全。

参考文献：

[1] 张铁志.网站服务器安全维护探讨[J].通讯世界，2015，（14）.

[2] 梁轲.网站服务器中存在的安全问题和解决办法[J].信息安全与技术，

2014，（05）.

服务器的安全防护 篇4

1. 安全问题

由于程控交换机机型多样, 从设备的接口类型上, 可将服务器的网络结构分为以太网方式和串口方式。其中, 以太网的连接方式, 是在程控交换机所提供的TCP/CP接口处, 通过以太网的方式与服务器相连接, 服务器多采用ZXJ10、CAC08等数据可操作系统。而串口方式连接, 主要是针对程控交换机系统所提供的X.25接口, 通过接口机连接DCN网络。在交换机内部系统中, 其使用的是基于UNIX操作系统如S1240等私有操作系统。

程控交换机的服务器, 为前台程控交换机与后台管理系统进行数据交互提供了最基本、最重要的平台, 它不仅要完成数据库的相关功能, 同时在维护中断与交换机之间起着重要的通信桥梁的作用。在一般企业装置中, 程控交换机服务器以及其相关设备主要通过能够支撑系统互联的数据通信网DCN连接。由于无法保证终端设备的安全性, 使整个数据通信网DCN处于十分危险的状态, 对交换机的安全运行造成了极大的安全隐患。特别是病毒发作时期, 其直接或间接造成的经济损失无可估量。根据相关的分析标准,

从操作系统安全级别分析, Windows操作系统与UNIX操作系统都属于C2级别, 而基于UNIX操作系统或UNIX操作系统的安全级别低于Windows操作系统。对系统的安全漏洞方面进行分析, 系统安全漏洞存在于每个操作系统。目前全球使用最广泛的操作系统Windows操作系统, 使用者及媒体越来越关注其系统安全漏洞, 同时, 在基于UNIX操作系统或UNIX操作系统中也存在着大量的安全漏洞, 比如UNIX系统补丁的不断出现。因此, 对于程控交换机服务器的终端和网络采取安全防护措施势在必行。

2. 安全防护方案

2.1 不使用通用防病毒软件

在一般家庭用户或企业中, 常采取的防病毒方案是在计算机上安装防病毒软件, 实现计算机的安全防护。但是如果电信级的交换设备使用时, 由于防病毒软件主要是用于杀毒而不是主动进行安全防护, 其缺陷十分明显。主要表现在:

第一, 在电信级的交换设备上使用防病毒软件, 如果没有对系统进行严格的测试, 其对设备带来的安全隐患及影响是无法估算的。特别是当系统软件进程与防病毒软件进程出现冲突时, 导致的局部数据丢失、话单丢失等事故, 将会带来严重的经济损失。

第二, 即便是通过严格测试的第三方防病毒软件, 因为此防病毒软件不能与交换软件进行定制更新, 面对新病毒的不断增加, 因而不能提供实际意义上的安全防护, 由于其占有了大量的系统资源, 对后台系统的处理性能也造成影响。当系统出现安全问题时, 容易出现软件提供商与设备商之间相互推诿的情况, 阻碍了问题处理进程。

第三, 对于现在的防火墙产品或防病毒软件, 其病毒特征码的更新周期一般保持在一周一次, 由于频繁的系统更新容易增加维护压力。如果保持一个月更新一次病毒特征码, 完成此项工序也至少需要两周半时间, 更新所占用的时间较长, 其病毒特征码也相对滞后了两周, 因而系统又面临着新的安全隐患。并且具有较高的维护成本, 十分不可取。

2.2 安全防护方案

面对日益突出的网络安全问题, 以服务器安全运行为出发点, 对单纯的杀毒、查毒防病毒方案进行改进, 采取了针对服务器系统安全防护方案。此方案并不是一个简单认证的防病毒软件, 二是根据系统安全领域内收集到的安全案例、并认真研究和分析了网上常见病毒、攻击等相关事件, 同时吸收了防火墙产品、防病毒软件等优点, 去其糟粕, 结合程控交换机服务器系统的自身特点, 而研制出来的安全防护方案, 效果十分显著。

(1) 程控交换机服务器硬盘监控服务。通过采用交换机服务器硬盘的监控系统, 当服务器出现故障时, 能够实现近端工作站、告警箱以及网管中心的远端工作站的直接告警, 让工作人员能够对服务器的硬盘挂账及时发现, 及时解决问题。同时, 采用此监控服务, 促进了服务器BAM的安全稳定运行, 对维护人员的工作量大大降低, 提高了工作效率。

(2) 程控交换机服务器系统联网备份服务。采用交换机服务器系统联网备份服务, 对于与交换机服务器保持正常网络连接的任何一台局域网中的计算机, 都能及时自动备份交换机服务器系统中重要的指定性文件, 同时还可以对指定的BAN中十分重要的数据进行自动备份。

(3) 操作系统平台定制服务。采用操作系统平台定制服务, 主要是优化NT操作系统, 网络协议配置、安全优化SQL数据库、账号检查、硬盘、端口、规则优化、系统服务优化、设置注册表键值、访问控制权限以及目录或文件的访问权限等, 屏蔽服务器与外界接口, 给交换机服务器系统隐形的增加了一套防火墙, 对服务器协议信息、端口进行严格控制, 同时实时保护了账户、密码信息, 对计算机病毒以及黑客入侵服务器系统的机率进一步降低, 使服务器的安全防护能力进一步提高。

(4) 交换机增加应急工作站服务。此工作站实际是交换机BAM的物理备份, 在此工作站中, 安装了与服务器系统相同的MS SQL服务器数据库以及Windows NT系统, 能够对交换机服务器的局数据、话单的备份工作自动完成。应急工作站最好安装在交换机机房内, 当服务器出现故障后, 能对系统进行及时切换, 此时, 替换故障的服务器系统担任了一个临时的工作平台。

(5) 建立信息安全管理规范服务。服务器的安全运行不仅要具备优质的设备质量, 同时更需要对设备进行有效的维护管理, 因此建立一套科学的、实用性强的交换机服务器信息的安全管理规范十分必要。通过确立审计检查制度、安全问题处理、信息保密、计算机操作平台使用、账号管理等规范, 从制度流程上对交换机服务器进行安全防范, 尽量降低人为因素对交换机服务器系统的影响, 对交换机服务器的防病毒业务操作进一步规范和完善, 确保交换机服务器运行的安全稳定性。

3. 结语

相对于一般服务器防病毒、黑客等安全防护方案, 具有显著的优势和特点。采用以上安全防护方式, 不仅能够增强程控交换机服务器系统的防范黑客和病毒攻击的能力, 同时也大大降低了维护人员的维护压力, 降低了维护工作量、维护成本也相对减少, 提高了工作效率, 是一个技术领先、理念先进、具有可持续发展的全方位解决方案, 为抵御病毒冲击、黑客入侵, 提供了良好的防护措施。

摘要：随着计算机技术的不断发展, 通信设备的不断更新, 做好程控交换设备的安全防护工作十分重要。特别是对于程控交换机服务器的运行方面, 随着计算机病毒的不断入侵, 严重危害了其运行的安全稳定性, 因此, 对其服务器做好安全防护工作尤为重要。本文通过对程控交换机的安全防护等相关问题进行分析, 提出了程控交换机服务器相关的安全防护措施。

关键词：程控交换机,服务器,安全防护

参考文献

[1]张丹, 程控交换机故障诊断与维护研究[J].科技创新导报, 2008 (17) .

[2]孙莉萍, 试析程控交换机机房和设备的管理维护措施[J].企业导报, 2009 (3) .

[3]王蔚, 白永坤, 龙思朝, 浅谈程控交换机如何防雷[J].科技经济场, 2007 (8) .

[4]秦爱民, 浅谈程控交换机故障处理[J].科技创新与应用, 2011 (22) .

[5]刘春燕, 浅谈程控交换机的数据备份与恢复[J].重庆邮电学院学报 (自然科学版) , 2006 (z1) .

服务器的安全防护 篇5

通常情况下，我们特别关注特定主机的安全问题，却忘记了整体的网络安全设计。事实上，整个网络的安全设计问题还是与基于主机的安全有些区别的，在此我们不打算就这个问题展开讨论。

下面我们可以定义三种类型的服务器，当然根据你的实际需要，这些服务器可以进一步分类。

公共服务器，这是一种可以访问互联网的服务器。

登录服务器，这种服务器允许非超级用户登录。

其它服务器，如MySQL，内部LDAP或NFS服务器，这些服务器只能从内部网络到达。

根据我们定义的这些服务器，网络的总体布局和我们要运用的防火墙规则也就显而易见了。

问题是我们该如何管理这些服务器，保持其安全性。这是我们设计的难题之一，因为一个脆弱的设计可能就意味着灾难的降临。

从一个更高级的视点上来看，我们知道有些服务器要比其它服务器重要。一个或多个服务器需要被其它的服务器信任，这样才能保证自动化改变的发生。账号的创建，按照Tripwire 或Samhain方式对主机完整性的监视，甚至配置文件的备份都需要从某个服务器配置并维持，而这个服务器能够以根用户身份访问其它服务器。

这样一个服务器，我们或可称它为主服务器，只有超级用户账户可用于登录访问。超级用户的口令需要与其它服务器的口令不同，而且这个主服务器不应向外部世界提供服务。公共服务器的损害不应影响主服务器的安全。当一个表面上不重要的机器被损害时，一次 性质的登录会成为一个rootkit的一部分，这又会导致用户账户口令的暴露。这也就是sudo并非一个好主意的原因：它给你的用户口令根目录的访问权限。一个被损害的su可能会泄露根用户的口令，这也就是主服务器如此重要的原因。

主服务器应能够以SSH方式并以根用户的身份登录到所有其它的服务器，但只能通过SSH密钥进行。基于口令的根用户的登录绝对不要允许通过SSH进行。如果主服务器被危及到其安全性，那么其它任何一个服务器都会落得同样的下场，

因此，主服务器是一个堡垒，只运行SSH服务，并只与其它机器连接。配置文件的备份、主机完整性数据库等都可被存储在主服务器上。

可被公共访问的服务器是最为脆弱的，原因就在于它们运行的应用程序，但登录服务器也会引起问题，而且它们在许多其它方面也是很脆弱的。其用户，不管是开发人员还是学生、客户，都不太在乎安全问题。他们会运行心目中的任何可得到的应用程序，其中包括SQL服务器，基于PHP的WEB应用程序(只采用安全性很差的安全记录)，以及看起来有用的其它任何东西。为了防止未知用户通过这些程序的漏洞进入系统，你最好还是为你的操作系统安装最新的补丁程序。

为操作系统打补丁并不是可选的，更不是一件可掉以轻心的事情。必须要反复强调：在一个安全更新可用时，必须为所有的服务器及时更新。对于那些只在周末为UNIX服务器打补丁的用户来说，他们要承担一种严重的责任，因为具有恶意用心的人可以很轻松地获得根目录的访问，因为对于系统漏洞的恶意利用代码出现的速度是极快的。此外还有一些很新的恶意利用;这些都是十分可怕的事情。SELlinux或者一台正确配置的Unix计算机能够在防止恶意利用漏洞方面大有帮助。因此我们认为总体上的安全架构是最为关键的。

那些不安全的服务器可能允许用户登录。假定我们需要共享的home目录，要支持此处描述的环境可能会很困难。输出到不安全客户端的NFS共享需要仔细检查，特别是当开发人员或研究人员需要其机器上的根目录权限时。

既然NFS意味着无安全性，向一个未被控制的客户端授权访问NFS共享是相当可怕的。实质上，你必须假定在共享文件系统中的任何东西都可能被危及安全，因为在根用户可能会很轻易地SU到碰巧拥有文件的任何人那里。老的标准工作区是要将这些类型的共享移到其自有的分区中，而且将其共享给那些有害的客户端。AFS并不支持企业级特性，因此你最好不要采用它，而且它本身并不支持快照或兼容的ACL等。

我们可以对系统安全提出各种各样的最优方法和缺陷。从架构的视点来看，一般的观点是用两种方式将风险最小化：一是使其难于渗入，二是一旦进入系统，应难于扩散。通过采用恰如其分的监控，你应该能够快速地检测任何入侵并能阻止它。

不管你有300个还是3000个服务器，基本的原则都是相同的。这看起来简单，在配置一个新的或被破坏的服务器时却是最基本的。请记住：

在暴露的服务器上尽量地减少服务;

尽量地减少暴露的服务器的数量;

在给NFS客户端任何权限时需要极端小心;

浅谈服务器安全维护的几个技巧 篇6

【关键词】服务器；安全维护；技巧

服务器经常有一些不能随意公开的重要数据，尤其是我们气象部门的服务器，它保存的数据是预报员作出及时而准确的天气预报的重要工具，也是旗县气象局共享气象数据的基础。而在当今这个网络飞速发展的时代，服务器遭受的风险往往也特别大，越来越多的病毒、心怀不轨的黑客和一些商业间谍都将服务器当做目标，因此，维护服务器的安全刻不容缓。下面是我总结的几个简单的维护服务器安全的技巧。

1 从基本做起

从基本做起是最保险的方式。必须将服务器上含有机密数据的区域通通转换成NTFS格式；同时，防毒程序也必须按时更新，建议同时在服务器和桌面电脑上安装防毒软件，这些软件还应该设定成每天自动下载最新的病毒定义文件。另外，Exchange Server（邮件服务器）也应该安装防毒软件，这类软件可扫描所有寄进来的电子邮件，寻找被病毒感染的附件，若发现病毒，邮件就会马上被隔离，减低了使用者被感染的机会。

另一个保护网络的好方法是依上班时间来限定使用者登录网络的权限。例如，上白天班的职工不该有权限在三更半夜登录网络。

最后，存取網络上的任何数据皆须通过密码登录。强迫大家在设定密码时必须混用大小写字母、数字和特殊字符。此外，还应该定期更新密码且密码长度不得少于8个字符。若还是担心密码不安全，可尝试从网络上下载一些黑客工具，然后测试一下这些密码的安全度。

2 保护备份

大多数人都没有意识到备份本身就是一个巨大的安全漏洞。试想，大多数的备份工作多在晚上10点或11点开始，依数据多寡，备份完成后大概也是夜半时分了，很容易被有心人士趁机偷走备份磁盘而导致数据泄露。为防止这种情况发生，首先，可利用密码保护你的磁盘，若备份程序支持加密功能，还可以将数据进行加密；其次，将备份完成的时间定在早上进办公室的时间，即使有人半夜想溜进来偷走磁盘也无法读取那些损毁的数据。

3 使用RAS的回拨功能

Windows NT最酷的功能之一就是支持服务器远端存取（RAS），但这也是它的一个弱点，黑客可以很容易的通过RAS进入主机读取数据。不过你可以采取一些方法来保护RAS服务器的安全。

你所采用的技术主要端赖于远端存取者的工作方式。如果远端用户经常是从家里或是固定的地方上网，建议你使用回拨功能，它允许远端用户登录后即挂断，然后RAS服务器会拨出预设的电话号码接通用户，因为此电话号码已经预先在程序中了，黑客也就没有机会指定服务器回拨的号码了。

另一个办法是限定远端用户只能存取单一服务器。可以将用户经常使用到的数据复制到RAS服务器的一个特殊共用点上，再将远端用户的登录限制在一台服务器上。如此一来，即使黑客入侵主机，他们也只能在单一机器上作怪，可间接减少破坏程度。

还有一个方法就是在RAS服务器上使用另类网络协议。以TCP/IP协议当做RAS协议，利用TCP/IP协议本身的性质与接受程度，如此选择相当合理，但是RAS还支持IPX/SPX和NetBEUI协议，如果你使用NetBEUI当做RAS协议，黑客若一时不察铁定会被搞得晕头转向。

4 考虑工作站的安全问题

在服务器安全的文章里提及工作站安全感觉似乎不太搭边，但是，工作站正是进入服务器的大门，加强工作站的安全能够提高整体网络的安全性。对于初学者，建议在所有工作站上使用Windows 2000。Windows 2000是一个非常安全的操作系统，如果你没有Windows 2000，那至少使用Windows NT，如此你便能将工作站锁定，若没有权限，一般人将很难取得网络配置信息。

另一个技巧是限制使用者只能从特定工作站登录。还有一招是将工作站当做简易型的终端机（dumb terminal），或者说智慧型的简易终端机。换言之，工作站上不会存有任何数据或软件，当你将电脑当作dumb terminal使用时，服务器必须执行Windows NT 终端服务程序，而且所有应用程序都只在服务器上运作，工作站只能被动地接收并显示数据而已。这意味着工作站上只能安装最少的Windows版本和一份微软Terminal Server Client，这种方法应该是最安全的网络设计方案。

5 执行最新修补程序

微软内部有一组人力专门检查并修补安全漏洞，这些修补程序（补丁）有时会被收集成service pack（服务包）发布。服务包通常有两种不同版本：一个任何人都可以使用的40位的版本，另一个是只能在美国和加拿大发行的128位版本。128位的版本使用128位的加密算法，比40位的版本要安全得多。一个服务包有时得等上好几个月才发行一次，但是微软会定期将重要的修补程序发布在它的FTP站上，这些最新修补程序都尚未收录到最新一版的服务包里，因此建议经常去看看最新修补程序。但要注意的是，修补程序一定要按时间顺序来使用，若使用错乱可能导致一些文件的版本错误，也可能造成Windows当机。

6 颁布严格的安全政策

另一个提高安全性的方式就是制定强有力的安全策略，确保每一个人都了解并强制执行。若你使用Windows 2000 Server，你可以将部分权限授权给特定代理人而无须将全部的网管权利交出。即使你核定代理人某些权限，你依然可限制其权限大小，例如无法开设新的使用者账号、改变权限等。

7 仔细检查防火墙

最后一个技巧是仔细检查防火墙的设置。防火墙是网络规划中很重要的一部分，因为它能使公司电脑不受外界恶意破坏。首先，不要公布非必要的IP地址。你至少要有一个对外的IP地址，所有的网络通讯都必须经由此地址。如果你还有DNS注册的Web服务器或是电子邮件服务器，这些IP地址也要穿过防火墙对外公布。但是，工作站和其他服务器的IP地址则必须隐藏。此外，还可以查看所有的通讯端口，确定不常用的已经全数关闭。例如，TCP/IP port 80是用于HTTP流量烦人，不能堵掉这个端口，而port 81应该永远都用不着，所以就可以关掉。

8 总结

浅谈WEB服务器的安全 篇7

因为WEB服务器的安全不只是WEB服务及应用的安全, 也不只是服务器操作系统的安全, 而是两者紧密结合的有机整体所以我们可以分为两部分来具体工作。

1 服务器的安全措施

(1) 养成好的日常计算机操作习惯:服务器也是计算机的一种, 养成良好的计算机操作习惯是很有必要的。在平时的工作过程中, 做好打系统补丁, 升级杀毒软件, 定时杀毒等基本工作;避免服务器直接连接U盘、移动硬盘等存储设备。

(2) 密码安全。服务器操作系统安装初期有一部分账号默认状态为开启, 这些账号很多都是没用的, 比如guest账号。不要使用windows默认管理员帐户administrator做为管理账户, 同时在建立一两个管理员帐户, 以便不时之需, 但是这些帐户的权限要严格控制, 非必要时不要将整个服务器予以授权。鉴于暴力破解密码的手段和速度, 密码复杂度一定要高, 最好是字符、数字、字母、特殊符号等组合的十位以上的字符串。并定期更改密码防止破解。

(3) 系统安全。我们现阶段使用的服务器操作系统为Windows 2003 Enterprise Edition版。操作系统安装后, 要安装正版的服务器专用杀毒软件, 做到必要的安全防护。另外, 微软公司根据安全需求更新的系统补丁, 必须及时为服务器安装上。将可能由这些漏洞引起的安全问题, 及时扼杀在萌芽状态。

(4) 服务分属、数据管理、保留地址。

企业内的服务通常有DNS服务、邮件服务、OA服务、FTP服务等等。尽量做到重要的服务, 最好按照不同服务, 分属开来, 实行单一化。避免一台服务器提供多项服务造成相互影响, 增加服务器的自身运行压力。

数据的安全至关重要, 为保证数据的安全, 备份是必不可少的, 最好能做到增量备份, 每星期做全盘备份, 每个月检查数据备份是否完善。有条件的能够做到将数据定期制作成冗余光盘是最理想的。

服务器的地址要有完全不受控性和永久不被侵占性, 这就要保留一部分地址只供服务器使用。并将这些IP地址和服务器的MAC地址绑定。避免服务器地址被占用而造成服务中断。

2 WEB的安全

(1) IIS的相关设置。

不使用默认的Web站点, 如果使用也要将IIS目录与系统磁盘分开。

在IIS中展开网站, 找到正在使用的网站, 在其属性中配置所有站点的公共设置, 设置好相关的连接数限制, 带宽以及性能等。配置应用程序映射, 删除所有不必要的应用程序扩展, 只保留asp, php, cgi, pl应用程序扩展。设置IIS的日志保存目录, 调整日志记录信息。设置为发送文本错误信息。

更改IIS日志的路径, 避免使用默认的保存、缺省路径。

(2) My SQL安全设置。

由于服务器使用My SQL数据库, 因此My SQL数据库也有一些需要注意的安全设置。

密码策略。密码策略是所有安全配置的第一步, 很多数据库帐号的密码过于简单。对于sa更应该应该注意, 同时不要让sa帐号的密码写于应用程序或者脚本中。

安全的帐号策略。sa是既不能更改也不能删除的超级用户, 所以, 我们必须对这个帐号进行最强的保护。比如使用一个复杂的密码, 或者最好不要在数据库应用中使用sa帐号, 只有当没有其它方法登录到SQL Server实例 (例如, 当其它系统管理员不可用或忘记了密码) 时才使用sa。建议数据库管理员新建立一个拥有与sa一样权限的超级用户来管理数据库。

赋予普通用户update、Delete、alert、create、drop等权限的时候, 要限定到特定的数据库, 尤其要避免普通客户拥有对mysql数据库操作的权限。

检查mysql.user表, 取消不必要用户的shutdown_priv, reload_priv, process_priv和File_priv权限, 这些权限可能泄漏更多的服务器信息包括非mysql的其它信息。可以为mysql设置一个启动用户, 该用户只对mysql目录有权限。设置安装目录的data数据库的权限 (此目录存放了mysql数据库的数据信息) 。对于mysql安装目录给users加上读取、列目录和执行权限。

(3) Serv-u安全问题。

此外, 我们的服务器上为了一些工作的需要还架设了FTP, 也应该针对FTP可能引起的一些安全问题采取相关的措施。

安装程序时避免采用默认安装目录, 设置好serv-u目录所在的权限, 设置一个复杂的管理员密码。

更改默认的服务端口号, 做好相关安全设置:包括检查匿名密码, 禁用反超时调度等。

3 日常的运行和维护

适当的安全措施实施后, 接下来就是日常的运行与维护, 发现问题及时处理, 保证网站健康全面的运行。最常用的日常维护可按以下步骤进行。

定时检查服务器状态。打开进程管理器, 查看服务器性能, 观察CPU和内存使用状况。查看是否有CPU和内存占用过高等异常情况, 查找有无可疑的应用程序或后台进程在运行。

留意系统帐号。打开计算机管理, 展开本地用户和组选项, 查看组选项, 查看administrators组是否添加有新帐号, 检查是否有克隆帐号。

查看当前端口开放情况。使用开始运行里的netstat-an命令, 查看当前的端口连接情况, 尤其是注意与外部连接着的端口情况, 看是否有未经允许的端口与外界在通信。如有, 立即关闭该端口并记录下该端口对应的程序并记录, 将该程序转移到其他目录下存放以便后期分析。

检查系统服务。运行services.msc, 检查处于已启动状态的服务, 查看是否有新加的未知服务并确定服务的用途。

查看相关日志。运行eventvwr.msc, 检查系统中的相关日志记录。及时排除服务器运行中出现的错误。

4 结语

服务器的安全高效管理 篇8

1 服务器磁盘阵列的配置

1.1 配置磁盘阵列的重要性

磁盘阵列可以提高数据存取的效率。硬盘其实就好像是一个盒子, 其内部空间很大, 但是出入口很小。当要把大量数据保存在这个盒子里的时候, 只有通过这个小小的盒子来保存数据。其存取的效率明显不是很高。但是, 如果采用磁盘阵列的话, 当系统向硬盘中写入数据的时候, 会先把大块的数据分割成多个小区快, 并同时写到不同的硬盘中。这就好像在一个盒子中开了多个出入孔, 同时往这个孔中加入数据一样, 可以提高硬盘的写入速度。同理, 在读取的时候, 也可以同时从不同的硬盘中读取, 提高数据读取的速度。所以磁盘阵列可以成倍提高数据的存储效率。为此, 在一些服务器上部署磁盘阵列, 可以提高服务器的应用性能。

磁盘阵列可以整合多块硬盘。一块硬盘用着用着, 突然空间不够了。此时该如何处理呢?其实, 管理员不需要更换硬盘。而是可以把多个小容量的硬盘整合起来, 组合成一个容量比较大的虚拟硬盘。因为磁盘阵列操作起来, 就好像跟一块硬盘一样, 所以不会给用户的工作带来不利的影响。所以把多块闲置的硬盘利用磁盘阵列组合成一块虚拟硬盘, 是解决磁盘容量不足的一个不错的方法。

磁盘阵列可以提供比较高的安全性。当硬盘中的数据存储发生错误时, 磁盘阵列技术能够利用现有的信息对损坏的数据进行自动修复。磁盘阵列会产生一个校验码。这个校验码会存放在不同的磁盘上。当某块磁盘突然出现损坏时, 磁盘阵列技术就可以利用这个校验码来恢复损坏磁盘的数据。

1.2 如何配置RAID磁盘阵列

服务器开机后可以根据提示信息进入配置RAID界面, 如图1所示。

RAID是通过磁盘阵列与数据条块化方法相结合, 以提高数据可用率的一种结构。RAID可分为RAID级别1到RAID级别6, 通常称为RAID 0、RAID 1、RAID 2、RAID 3、RAID 4、RAID 5、RAID6。每一个RAID级别都有自己的强项和弱项, “奇偶校验”定义为用户数据的冗余信息, 当硬盘失效时, 可以重新产生数据。

RAID 0并不是真正的RAID结构, 没有数据冗余。RAID 0连续地分割数据并并行地读/写于多个磁盘上, 因此具有很高的数据传输率。但RAID 0在提高性能的同时, 并没有提供数据可靠性, 如果一个磁盘失效, 将影响整个数据.因此RAID 0不可应用于需要数据高可用性的关键应用。

RAID 1通过数据镜像实现数据冗余, 在两对分离的磁盘上产生互为备份的数据。RAID 1可以提高读的性能, 当原始数据繁忙时, 可直接从镜像拷贝中读取数据。RAID 1是磁盘阵列中费用最高的, 但提供了最高的数据可用率。当一个磁盘失效, 系统可以自动地交换到镜像磁盘上, 而不需要重组失效的数据。

RAID 2同RAID 3类似, 两者都是将数据条块化分布于不同的硬盘上, 条块单位为位或字节。然而RAID 2使用称为“加重平均纠错码”的编码技术来提供错误检查及恢复。这种编码技术需要多个磁盘存放检查及恢复信息, 使得RAID 2技术实施更复杂。因此, 在商业环境中很少使用。

不同于RAID2, RAID 3使用单块磁盘存放奇偶校验信息。如果一块磁盘失效, 奇偶盘及其他数据盘可以重新产生数据。如果奇偶盘失效, 则不影响数据使用。RAID 3对于大量的连续数据可提供很好的传输率, 但对于随机数据, 奇偶盘会成为写操作的瓶颈。

RAID 4也同样将数据条块化并分布于不同的磁盘上, 但条块单位为块或记录。RAID 4使用一块磁盘作为奇偶校验盘, 每次写操作都需要访问奇偶盘, 成为写操作的瓶颈。

RAID 5没有单独指定的奇偶盘, 而是交叉地存取数据及奇偶校验信息于所有磁盘上。在RAID5上, 读/写指针可同时对阵列设备进行操作, 提供了更高的数据流量。RAID 5更适合于小数据块, 随机读写的数据。对于RAID 5来说, 大部分数据传输只对一块磁盘操作, 可进行并行操作。在RAID 5中有“写损失”, 即每一次写操作, 将产生四个实际的读/写操作, 其中两次读旧的数据及奇偶信息, 两次写新的数据及奇偶信息。

RAID 6与RAID 5相比, 增加了第二个独立的奇偶校验信息块。两个独立的奇偶系统使用不同的算法, 数据的可靠性非常高。即使两块磁盘同时失效, 也不会影响数据的使用。但需要分配给奇偶校验信息更大的磁盘空间, 相对于RAID 5有更大的“写损失”。RAID 6的写性能非常差, 较差的性能和复杂的实施使得RAID 6很少使用。

正如其名字一样RAID 0+1是RAID 0和RAID 1的组合形式, 也称为RAID 10。它在提供与RAID 1一样的对数据100%备份的同时, 也提供了与RAID 0近似的存储性能, 因此存储成本高。RAID 10的特点使其特别适用于既有大量数据需要存取, 同时又对数据安全性要求严格的领域, 如银行、金融、商业超市、仓储库房、各种档案管理等。

在实际应用中, 配置RAID0最少需要两块硬盘, 存储空间不会损失但安全性较低, 不会防止数据丢失;配置RAID1需要偶数块硬盘, 实际存储空间要损失一半;配置RAID5需要三块以上的硬盘, 如果使用三块硬盘配置RAID5则会损失一块硬盘的存储空间, 如果使用三块以上硬盘配置则损失的硬盘空间要大于一块硬盘;配置RAID10至少需要4块硬盘, 实现既高速又安全的目的;RADI4可应用在NAS存储系统中;大型工程上还可能用到RAID50和RAID53。

2 服务器ILO与远程桌面的区别

iLO全名是Integrated Lightsout, 它是某些型号服务器上集成的远程管理端口, 它能够允许用户基于不同的操作系统从远端管理服务器, 实现虚拟存取和控制, 从而进行智能型基础构架和管理。HP的iLO是目前同配置不加卡情况下管理最好的。iLO是一组芯片, 内部是vxworks的嵌入操作系统, 在服务器的背后有一个标准RJ45口对外连接交换机或者带外管理的交换机。iLO有自己的处理器, 存储和网卡, 默认网卡配置是DHCP, 也可以将地址设置为静态。

2.1 HP iLO端口的配置

系统开机自检时, 按照提示信息 (一般为F8) 进入iLO的设置界面。如图2所示。

(1) 进入iLO的设置:在菜单File下的“Set Defaults”是将所有的设置恢复为出厂值。

(2) 在菜单Network选项中配置网络:可设置为动态和静态两种, 如果设为静态, 必须将DHCP设置为disable;DNS在服务器前面板的卡片中。

(3) 在菜单User选项中可以添加、删除、更改远程访问User的密码、权限等。

(4) 在菜单Settings的选项设置Keyboard的属性等, 一般都为默认。

(5) 菜单About为iLO的firmware version固件版本, 序列号等一些信息。

2.2 iLO界面能提供的控制

在管理终端的IE输入配置好的地址即可进行访问。iLO界面除了报告一些硬件信息之外, 主要提供了三大类控制。

就是类似pc anywhere的远程控制, 但是和软件的控制不一样, 它是完全硬件级的, 比如服务器没有操作系统, 或者硬盘损坏, 或者重新启动, 都可以完整的进行控制, 所以除非更换被管理服务器的硬件, 正常的操作都可以用iLO来做, 根本不用进入机房, 当然要在保证网络通畅的条件下。

虚拟电源, 模拟所有的电源开关动作, 比如按住不放, 按住就放等。

虚拟介质, 可以将pc或者笔记本上的光驱、软驱通过LAN, 虚拟给被管理的服务器。这个主要是用来安装操作系统, 或者传输数据, 打补丁之类的。

服务器的远程桌面是通过远端的PC, 利用交换机或路由器连接到服务器上, 是软件级的。

3 服务器硬盘故障原因及注意事项

在巡机过程中, 可能会遇到一台或几台服务器的硬盘频繁损坏的情况, 具体现象为硬盘指示灯由绿色变为橙黄色闪烁。硬盘出现坏道要及时更换, 否则会很快扩散。

在日常维护中除了正确地开关主机电源、定期磁盘扫描、防震、防病毒、做好机房清洁散热工作外, 还应注意以下问题。

(1) 电压不稳对电脑的影响很大

尤其对硬盘的影响更大。如果电压不稳, 则硬盘的转速就不会稳定, 这样会影响硬盘的寿命。电压不稳的原因有两点, 一是计算机中使用的电源质量不好, 另外就是供电电压不稳。如果是前者, 请换用质量好的电源, 如果是后者, 需要配置稳压电源或者配置UPS电源。

(2) 硬盘使用环境的湿度不要太低

对于硬盘来说并不是十分怕潮——其上均为贴片元件, 而且接插件部分均已做处理, 并不会受到氧化威胁。但如果湿度过低很容易产生静电, 实验证明机房相对湿度为30%, 静电电压可达5000V, 相对湿度为20%, 静电电压可达10000V, 相对湿度5%时, 静电电压可达20000V, 在相对湿度很低的环境下, 硬盘容易损坏。

总之, 科学有效的管理加上标准化的检修维护周期, 不但能够延长服务器的使用寿命, 降低维护成本维护人员的工作量, 更有利于服务器在采编播等工作环节中发挥其不可替代的作用。

摘要：本文结合工作实际, 介绍了服务器磁盘阵列的配置情况, 并说明了服务器硬盘故障原因和注意事项。

浅析Web服务器的安全与维护 篇9

关键词：Web服务器,安全维护

随着信息技术的飞速发展, 网站服务器面临着越来越严峻的安全威胁, 所以服务器的维护至关重要, 稍有闪失即会使整个网络陷入瘫痪。目前, 恶意的网络攻击行为包括两类:一是恶意的攻击行为;另外一类是恶意的入侵行为。要保障网络服务器的安全就要尽量使网络服务器避免受这两种行为的影响。

1 服务器的安全措施

提高服务器的安全意识, 养成较好的计算机操作习惯。

⑴对网站及重要的数据库文件进行定期备份, 多个服务器之间相互备份。当一个服务器出现软件或硬件故障时, 另一个服务器可以用来作为临时的替代。定期分析服务器日志, 及时发现服务器软件和硬件的异常以及攻击者留下的蛛丝马迹, 以便及时对应。

⑵注意密码的更改。服务器操作系统出厂时, 一般都是开启的默认状态, 多是些名字如g uest的账号, 不要用administrator这类windows默认管理账户作为管理员账户。最好建立两个及两个以上的管理账户, 并对他们进行严格的账户权限控制, 不是必要情况下, 不要将整个服务器予以授权。其次在设计密码时, 也要有一定的复杂性。由于暴力破解密码的手段和速度越来越快, 所以在设计密码时, 最好是字符、字母、特殊符号、数字等组合的十二位以上的字符串, 并定期更改密码防治破解。对于程序系统文件, 密码最好采用md5等算法加密后再存储于数据库。对数据库设置密码或采用其他工具加密, 可以使得攻击者在得到数据的情况下, 也不能很轻易的就破解使用。

⑶尽量不用服务器浏览网页, 尤其是不可信任的网站, 而且尽量避免与服务器不相关的软件, 尤其是一些黑客或黑客学习软件或破解软件。对于程序系统中的数据库文件名最好掺杂一些特殊符号, 成为较复杂不易猜中的文件名。同时将数据库文件扩展名改成asp或asa, 防止他人下载。

⑷做好服务分属和保留地址。企业内的服务通常有DNS服务、FTP服务等, 对于重要的不同的服务最好是分属开来, 实行单一化管理, 避免多项服务对服务器造成影响, 增加自身运行压力。服务器要保留一部分地址只供服务器使用, 将这些IP地址和服务器的MAC地址绑定, 这样就可以避免服务器地址被占用而造成服务中断。

2 合理设置服务器的权限

大多时候, 一台服务器不仅运行了网站的应用, 而且还会运行诸如FTP服务器和流媒体服务器之类的网络服务。在同一台服务器上使用多种网络服务很可能造成服务之间的相互感染。也就是说, 攻击者只需要攻破其中一种服务, 就可以运用这个服务平台从内部攻击其他服务, 通常来说, 从内部执行攻击要比外部执行攻击方便得多。

NTFS是微软NT内核的系列操作系统支持的、一个特别为网络和磁盘配额、文件加密等管理安全特性设计的磁盘格式。在NTFS文件系统里可以为任何一个磁盘分区单独设置访问权限, 把敏感信息和服务信息分别放在不同的磁盘分区。这样, 即使黑客通过某些方法获得服务文件所在磁盘分区的访问权限, 还需要想方设法突破系统的安全设置才能进一步访问保存在其他磁盘上的敏感信息。为了实现这个安全需求, 把服务器中所有的硬盘都转换为NTFS分区。运用NTFS分区自带的功能, 合理为它们分配相关的权限。如为这三个服务配置不同的维护员账户, 不同的账户只能对特定的分区与目录执行访问。如此一来, 即使某个维护员账户失窃, 攻击者也只能访问某个服务的存储空间, 而不能访问其他服务的。这样可以保障在黑客攻陷服务器后, 也不会对网站服务器产生影响。

3 优化IIS设置

更改IIS日志路径避免使用默认的缺省路径, 虽然默认的报错信息给管理人员在检查和修正网页错误的时候带来了极大的方便, 但是同时也给伺机寻找asp程序漏洞的攻击者提供了非常重要的信息。就算要使用默认的web站点, 也要将IIS目录与系统磁盘分开了再用。在配置应用程序映射时, 只保留asp、cgi、php、pl应用扩展名, 其他所有不必要的应用程序扩展都删除。

4 维护脚本安全

实际工作中, 许多网站服务器因为被攻击而瘫痪都是由于不良的脚本造成的。攻击者特别喜欢针对CGI程序或者PHP脚本实施攻击。

通常来说, 使用网站需要传递一些必要的参数可以分为两类, 一个是值得信任的参数, 另外一类是不值得信任的参数。一般来说, 来自防火墙内部的参数都是可靠的, 值得信任的, 而来自外部的参数基本上是不值得信任的。但是, 并不是说不值得信任的参数或者来自防火墙外部的参数网站服务器都不采用, 而是说, 在网站服务器设计的时候, 需要格外留心, 采用这些不值得信任的参数的时候需要执行检验, 看其是否正当, 而不能向来自网站内部的参数那样照收不误。这会给网站服务器的安全带来隐患, 例如, 攻击者运用TELNET连接到80端口, 就可以向CGL脚本传递不安全的参数。所以, 在CGI程序编写或者PHP脚本编辑的时候, 不能让其随便接受陌生人的参数。在接受参数之前, 要先检验提供参数的人或者参数本身的正当性。在程序或者脚本编写的时候, 可以预先参加一些判断条件。当服务器认为提供的参数不准确的时候, 及时通知维护员。这也可以帮助我们尽早发觉可能存在的攻击者, 并及时采取相应的防御措施。

参考文献

[1]钮超.浅谈web服务器的安全[J].科技资讯, 2010 (5) .[1]钮超.浅谈web服务器的安全[J].科技资讯, 2010 (5) .

[2]吴寿昆.校园网web服务器的安全配置及防范对策[J].创意与实践, 2008 (12) .[2]吴寿昆.校园网web服务器的安全配置及防范对策[J].创意与实践, 2008 (12) .

服务器的安全防护 篇10

目前互联网海量信息存在的时代, 在校园网、企业网等局域网内存在着大量的数据, 因此必须拥有一个安全、稳定的文件服务器去共享这些大量数据资源。Linux的Samba服务器已被广泛地应用于局域网文件服务器, Samba服务器使SMB协议 (后期SMB经过开发, 可以直接运行于TCP/IP协议上) 运行在Net BIOS协议上, 并且使用Windows的Net BEUI协议让Unix/Linux服务器, 可以实现不同操作系统之间文件的安全共享以及打印机的访问等。本文阐述了Samba文件服务器搭建的主要过程, 并自编脚本以方便实现Samba服务器的日常管理, 根据网络环境的特点设置防火墙以实现服务器的安全配置策略。

2 服务器功能框架结构

Samba服务是实现Linux平台上的文件和打印机共享的服务, 属于应用层服务。它主要是通过SMB (Server Message Block, 服务信息块) 协议来提供服务, SMB使用Net BIOS API实现面向连接的协议, 通过虚电路按照请求——响应方式为Windows客户程序和服务提供通信机制。S M B协议以客户端/服务器为架构。S M B服务器提供文件系统、打印服务和其他网络资源, 以响应来自SMB客户端的请求。S M B客户端连接S M B服务器器可以使用协议有T C P/IP, Net BEUI等, 连接成功后, SMB客户端即可使用SMB命令, 客户端应用程序可以在各种网络环境下读、写服务器上的文件, 以及对服务器程序提出服务请求。此外通过SMB协议, 应用程序还可以访问远程服务器端的文件和打印机等资源。

3 过程与实现

Samba的配置更改主要通过修改其主配置文件smb.conf来完成, 该文件由全局设置和共享定义两部分组成。文件更改后不会立刻生效, 用户需要重启服务或执行相应的命令重新载入配置文件使之生效。Samba用户由smbpasswd命令进行管理, 添加Samba用户前, 系统中须存在有同名的操作系统用户。使用Samba的用户映射功能, 可以实现更灵活和安全的用户管理。

3.1 服务器的搭建

(1) smb.conf配置文件。smb.conf是Samba的主要配置文件, 它主要由两部分组成, 包括全局设置 (Global setting) 和共享定义 (Share Definitions) 。其中全局设置定义了对影响整个Samba系统运行的全局选项, 用于设置整个系统的规则。共享定义中则是对系统中的共享资源进行定义, 该部分可以由多个段组成, 其中常见的包括:用户主目录段、共享目录段和打印机段, 每个段中可以再定义详细的共享选项;

(2) 全局设置选项。smb.conf文件中的全局选项用于设置整个系统的规则, 其设置会影响整个Samba系统的运行, 包括Samba服务器的Net BIOS名称、工作组名称、服务器的说明信息等。

(3) 共享选项。smb.conf配置文件的共享部分可以由多个段组成, 每个段中可以设置各自独立的共享选项。其中常用的共享段有3种, 包括共享目录段、用户主目录段和打印机段。

(4) 配置文件的生效与验证。与大部分程序配置文件一样, smb.conf文件被修改后并不会立刻生效, 而是需要重启Samba服务。在这之前, 可以使用Samba所提供的testparm命令来验证文件的格式是否正确。

(5) Samba用户管理。Samba的用户是操作系统用户联系在一起的, 在创建Samba用户前, 必须先添加一个与之同名的操作系统用户, 也就是说Samba的用户必须是操作系统中已经存在的用户, 但两者的口令可以不相同。Samba用户是通过smbpasswd命令进行管理, 该命令存放在“/bin”目录中。

3.2 脚本的编写

在linux系统中添加系统用户、samba用户及设置samba共享目录每个步骤都不难, 但分开来执行时却是一个繁琐的过程。为了提高samba服务器的管理效率与智能化, 特意编写了一个脚本, 在这个脚本中除了使用特有的命令, 还使用了管线命令、数据流重导向、判断循环语句、函数, 用于方便、快速地添加samba用户, 及建立共享文件。

用于添加系统用户、samba用户、共享目录的交互式脚本关键代码如下:

3.3 防火墙的设置

任何一个安全的网络或服务器都需要一个根据自身特点所建立的一个防火墙来保护自己。在samba服务器上设置防火墙功能 (可根据IP、mac地址) 拒绝特定客户端的访问, 防止Ddos攻击, 拒绝对特定端口的访问等功能。有时你的防火墙可能会把服务器的端口封掉, 所以在启Samba服务之前, 首先将防火墙设置中Samba所用到的端口进行开放, 端口为139, 445。

4 结语

本文解决了samba服务器搭建过程中的关键技术、安全性配置。主要是通过权限管理 (分配不同的用户不同的权限与不同的目录访问权限) 、防火墙的设置及自编脚本的方式来实现的。本设计的创新之处在于自编脚本以实现对samba服务器的日常方便管理及防火墙脚本的编写达到安全性的要求。但整个设计中还存在着不足, 如防火墙的编写不够完善, 脚本的功能还不够智能等, 下一步将对服务器进一步优化。

摘要：本文阐述了Samba文件服务器搭建的主要过程, 并自编脚本以方便实现Samba服务器的日常管理, 根据网络环境特点设置防火墙以实现服务器的安全配置策略。

关键词：Linux服务器Samba脚本

参考文献

[1]余柏山.linux系统管理与网络管理[M].北京:清华大学出版社, 2010.

[2]沈立等.Samba Black Book.Samba技术内幕[M].北京:机械工业出版社, 2008.

[3]李文池.服务器配置与管理 (Windows) [M].北京:清华大学出版社, 北京交通大学出版社, 2010.

[4]张勤.Linux服务器配置全程实录.北京:人民邮电出版社, 2012.

浅谈服务器安全维护 篇11

1.外围的硬件安全防御措施，如防火墙、入侵检测系统、路由系统等。尤其是防火墙在安全系统中扮演保安的角色，可以很大程度上保证来自网络的非法访问以及数据流量攻击，如拒绝服务攻击。入侵检测系统是扮演监视器的角色，监视服务器出入口，非常智能地过滤掉那些带有入侵和攻击性质的访问。但防火墙的安全策略要及时地更新升级，以防止新的入侵技术。

2.操作系统环境配置。第一，选用英文操作系统，中文版的Bug比英文版多得多，而中文版的补丁比英文版的发布得晚。第二，采用NTFS文件格式。NTFS是微软Windows NT内核的系列操作系统支持的、一个特别为网络和磁盘配额、文件加密等管理安全特性设计的磁盘格式。在NTFS文件系统里，可以为任何一个磁盘分区单独设置访问权限。把敏感信息和服务信息分别放在不同的磁盘分区。即使黑客通过某些方法获得服务文件所在磁盘分区的访问权限，还需要想方设法突破系统的安全设置，才能进一步访问到保存在其他磁盘上的敏感信息。第三，关闭不必要的服务，Windows系统有很多默认的服务其实是没必要开的，甚至可以说是危险的，比如默认的共享远程注册表访问（Remote Registry Service），系统很多敏感的信息都是写在注册表里的。第四，开启事件日志，开启日志服务虽然说对阻止黑客的入侵并没有直接的作用，但是通过日志服务记录黑客的行踪，可以分析入侵者在系统上到底做过什么手脚，给系统到底造成了哪些破坏及隐患，黑客到底在系统上留下了什么样的后门，服务器到底还存在哪些安全漏洞，等等。第五，服务器的远程管理，很多人都喜欢用server自带的远程终端，但对于外网开放的服务器来说就要谨慎了。自己能用，黑客也可以用，所以应该采取一些防护措施了。一是用证书策略来限制访问者，给TS配置安全证书，客户端访问需要安全证书。二是限制能够访问服务器终端服务的IP地址。三是可以在前两者的基础上再把默认的3389端口改一下。当然也可以用其他的远程管理软件，如pcanywhere。

3.软件安全措施。如安装杀毒软件、防火墙软件和反流氓软件。WIN2K3和vista系统自带的防火墙功能还不够强大，建议打开防火墙功能的同时，还需要安装优秀的软件防火墙保护系统。对于为互联网提供服务的服务器而言，软件防火墙的安全级别设置为最高，然后仅仅开放提供服务的端口，其他的一律关闭；对于服务器上所有要访问网络的程序，防火墙都会给予提示是否允许访问，根据情况对系统升级，杀毒软件自动升级等，有必要访问外网的程序加到防火墙允许访问列表。那些反向连接型的木马就会被防火墙阻止，这样至少系统多了一些安全性的保障，给hacker入侵就多一些阻碍。对于现在闹得很凶的流氓软件建议使用360卫士，定期升级可防木马和流氓软件。对于应用软件要及时打好补丁，修补所有已知的漏洞，未知的就没法修补了。养成良好的习惯，经常关注网络上发布的最新漏洞补丁和最新的病毒信息。经常查看服务器系统是否打好了最新的补丁，论坛程序是否还有漏洞，因为每一个漏洞几乎都是致命的。系统开了哪些服务，服务器开了哪些端口，目前开的这些服务中有没有可以被黑客利用的漏洞，检查自己的系统中是否存在这些漏洞，并经常了解当前黑客攻击的手法。

4.做好系统和数据备份。要做到“有备无患”，以防数据突然丢失或系统遭到破坏。作好服务器数据和系统备份，如使用ghost、做raid磁盘阵列。

服务器的安全防护 篇12

随着互联网和信息技术的高速发展,人们的学习、生活和工作等各个方面依赖于网络的程度也越来越大。这使网络服务器系统的负载也不断增大,而采用大容量的服务器来代替原系统的方法会导致巨大的开销,基于这种情况,网络服务器的集群技术就此诞生,该技术将一组服务器通过一定的形式组织在一起,生成单一的服务器镜像从而提供了强大的服务能力,为网络服务器系统容量不断扩充提供了良好的途径。目前,Linux操作系统由于其基于GPL开放源代码的免费的操作系统从成本和技术来讲更容易实现集群系统,因而一般所讨论的服务器集群技术都基于Linux系统。

2. 基于Linux的集群系统概述

使用Linux集群主要有以下几个优点:

(1)Linux操作系统具有很高的安全及稳定性。其中安全性应用最为广泛。相对于Linux而言,Windows系列在安全性方面漏洞很多,互联网上受到攻击的主机大部分是Windows系统,这根本的原因在于Windows不提供源码,整个系统就像一个“黑盒子”,所以对它的安全性难以估量或者进一步增强。而Linux系统则是一个开放的系统,企业和个人可以通过修改Linux源代码进一步增强其安全性。因此出于安全的考虑,国家重要政府部门的计算机将不允许使用微软新操作系统“Windows 2000”而改用Linux,同时一些政府也通过网络进一步提升“Linux”平台的稳定性。

Linux系统比windows系统具有更高稳定性的原因在于Linux的内核要比Windows内核稳定,而且Linux的用户态和核心态的隔离性比Windows NT更胜一筹。因此,在运行大型的应用程序或安装大量的应用程序时,Linux作为一种类UNIX的操作系统现在基本上已经达到或超过了某些UNIX版本的稳定性和性能,它也可广泛应用于高端系统。

(2)较高的服务性能。Linux的网络服务优于Windows网络服务。这个是采用Linux作为Web服务器最大的优势。

(3)出众的性价比。基于x86的体系构架价格比RISC小型机和工作站低出几倍甚至十几倍,同时Linux操作系统软件也可以在网上免费下载或者通过很少的花费来获得。

(4)集群易于构建。Linux系统可以容易地通过集群系统的均衡负载功能动态分配每一次不带状态的访问需求。

(5)良好的扩展性能。在访问量增大的情况下,Linux系统能够较方便地增加主机,同时在访问量减少的情况下减少主机。

(6)良好的资产保护。Linux对服务器要求不高,因此,企业同样可以将淘汰不用的计算机作为Web服务器加入集群。

(7)Linux内核本身对Web服务的不断优化。在v2.6内核中,又增加了数项Web服务优化策略。新的操作系统内核采用了名为NPTL(Native POSIX Thread Library)的线程库从而使得Linux在同一时刻最多可以同时运行50个线程,为多线程应用程序在SMP环境中带来很大的性能提高,使得Web服务及JAVA应用等超重量级的多线程企业级应用程序能够更好地运行。同时,在大型SMP环境下,0(1)调度程序通过改善大量进程的吞吐率提高了Linux的扩展性和整体上的性能,在任务和CPU数目巨大时可以很好地扩展,具有很强的“亲合力”,以避免任务在CPU之间反复移动。

综上所述,基于Linux构建的服务集群具有价格低廉,性能较高,扩展强等诸多优势,适合企业建立门户网站以及构建服务体系构架所采用。

3. Linux内核安全性分析

Linux内核是现今覆盖面最广的一体化内核,它可看作是Linux系统的心脏,由各种模块和子系统集合组成。这些模块和子系统包括驱动程序、协议以及其它部件,它们通过API编程接口粘合在内核周围,然后由API编程接口提供调用内核的标准方法。内核中心的基本功能是调度、内存管理、虚拟文件系统和资源分配。Linux领先的主要领域之一是其网络协议的实现,基于网络套接字的Linux模型是和Unix标准相兼容的,特定设计及实现的Linux内核系统使得Apache的应用更加有效,更好地成为Web服务器的首选。

此外,Linux 2.4中对先前版本的网络协议有很多更新,包括新的驱动、Bug修补及现有驱动的新增功能等。Linux 2.4完全重写了网络层,内核整个子系统被重新设计,能在多处理器上更稳定地运行,还消除了很多可能的崩溃。Linux是唯一完全和IPv4定义一致的操作系统,Linux 2.4有引以自豪的IPv4实现,且比以前的版本更易升级。在实际应用中,防火墙的安全机制主要是Netfilter机制。而Netfilter是Linux2.4中新型的协议分析和数据包处理框架,它具有抽象性和通用化等特征。在Netfilter框架基础上,系统还构造了一个非常精简、高效、易于扩展的数据包处理体系Iptables,Iptables克服了以往Ipfwadzn和Ipchains的一些弊病,为构筑防火墙和进一步开发安全系统提供扩展和支持。Netfilter在每种网络协议(IPv4,IPv6等)中定义一套钩子函数(hooks),钩子函数在数据报流过协议栈的几个关键点时被调用。在关键点上,协议栈把数据报和钩子函数的标号作为参数调用Netfilter框架。内核任何模块可以对每种协议的一个或多个钩子进行注册挂接,当某个数据包被传递给Netfilter框架时,内核能检测是否有任何模块对该协议和钩子函数进行注册。若有注册则调用该模块注册时使用的回调函数,这样这些模块就有机会检查(修改)该数据包、丢弃该数据包或指示Netfilter将该数据包传入用户空间队列。排队的数据包被传递给用户空间异步进行处理,用户进程能检查数据包,修改数据包,甚至可以重新将该数据包通过离开内核的同一个钩子函数注入到内核中。在Netfilter框架结构中,内核在每个检查点以数据包协议和hook号为参数调用执行Netfilter,内核程序注册监听每个协议的不同hook。当内核模块参与IP层中对数据包处理时,调用Netfilter中钩子函数的注册函数,注册内核模块的数据包处理函数,并在钩子函数链表中记录下此模块中的包处理函数指针。IP层在数据包处理过程中,会检查相应的钩子函数链表中是否有钩子函数注册,如果存在注册的钩子函数监听这种协议的数据包,便调用此函数,并根据该函数处理结果,决定是继续完成IP层中的后续处理过程,还是丢弃此数据包中断数据包的传输。如果不存在注册的钩子函数,则继续完成IP层的后续处理。Netfilter在hook点对应的函数中调用宏NF HOOK,它检测相应的钩子函数链表是否为空,如不为空则调用注册的钩子函数。其定义如下:

Netfilter在hook点处完成IP层与防火墙间切换对数据包的处理权,IPv4中共定义了5个hook:PREROUTING、POSTROUTING、INPUT、FORWARD、OUTPUT。当数据通过IP协议栈时根据路由表流经相应hook点,将控制转移权移交给注册在此hook点的内核模块函数,当数据从函数返回时其控制权再返回给IP层。

4. 集群的安全探讨

基于以上对Linux集群技术和Linux内核的安全探讨,可以看出Linux服务器集群的安全主要为以下两个方面:

(1)负载均衡技术。负载均衡(Load Balancing,LB)是集群安全运行的基石,也是首先需要考虑的对象。对于Web服务来说,各任务在集群多台计算机间合理地分配,使得各台计算机运行负载基本相同是十分关键的,对于集群这样一个基于任务转发的系统中,某一时刻的集群中的各台主机间的任务有轻有重。平衡各计算机之间的负载是任务分配与调度的一个主要目标,它能够提高整个系统的性能。为了改善系统的性能,通过在多台计算机之间合理地分配负载,使各台计算机的负载基本均衡,这种计算能力共享的形式,通常被称为负载平衡或负载均分。让来看这样两个概念,一个是“负载均衡”(Load Balancing),要达到的目标是使各台计算机之间的负载基本均衡;另一个是“负载均分”(Load Sharing),负载均分需要达到的状况较为简单,仅仅是集群中各台计算机的负载的重新分配。由于在集群中,每台计算机都有可能充当集群管理者的角色,也有可能仅是简单地对集群交给的任务进行执行,输出结果。因此,必须要在此采用负载均衡的集群负载分配策略。

(2)系统的安全策略。系统安全策略及其部署是网关系统能否有效运用的关键因素,网关系统所保护的网络的安全性取决于其安全策略的正确应用与否,安全策略的设置实施及其查询效率都会直接影响到网关系统的运行效果,因而如何恰当地给系统配置好相应的系统安全策略是集群系统研究的重要内容之一。系统安全策略的研究与部署分别从系统层次和用户层次两个方面实施,系统安全策略的实施和应用是在系统内部数据处理分析的过程当中执行。具体来说,对应于系统内部处理模块的所有子功能模块,系统内部都有其对应的各种安全策略部署。对应于系统内部数据处理部分的数据获取与监控模块,数据过滤与分析模块,地址转换模块,透明代理模块,连接跟踪模块,负载均衡模块等,在系统中都有其相应的数据结构和系统策略表。系统安全策略部署,实质上是由一系列系统安全规则组成,其内容包括:

{源IP地址,目的IP地址,协议类型,协议相关内容,策略动作}

为了实现统一的安全策略管理,防止策略之间的相互冲突,系统安全策略部署采用中心策略控制管理,所有子功能模块的安全策略在增加、修改、删除时受制于系统中心安全策略的控制管理。系统安全策略框架图如图1所示。

图中系统首先在基于状态连接的基础上对数据进行状态检测并与数据过滤分析策略匹配,然后再根据策略匹配结果以决定是否调用地址转换安全策略及负载均衡系统策略。状态连接是基本的系统安全策略,也是系统内部数据处理各子功能模块安全策略实施的基础,各子功能模块分别定义了与其功能相对应的安全策略数据结构,安全策略以数据表的形式存储在系统内核的存储空间。系统内部数据处理模块状态连接安全策略在系统中被定义为一个多元组:

{规则号,源地址,目的地址,协议类型,协议相关内容,时间戳,策略动作}

其中协议相关内容指跟协议相关的字段,对于不同协议具体指:

TCP协议相关内容:源端口号,目的端口号;

UDP协议相关内容:源端口号,目的端口号;

ICMP协议相关内容:指ICMP的类型。

对于系统安全策略的维护和部署可以在两个层次上进行,一是系统级,即系统运行前在操作系统级对系统安全策略的配置部署和更新维护;二是用户级,即系统运行时在用户空间操作层次上对系统安全策略进行修改和更新。

5. 结束语

Linux服务器集群技术目前还是一个相对年轻的研究领域。虽然经过研究人员的努力,在该领域已经取得了许多研究成果,但是其安全技术还不成熟,随着研究和应用的进一步深入和Linux服务器集群技术的不断发展,如何提高其系统网络的安全性成为了人们必须研究和解决的课题。

参考文献

[1]DANIEL P.BOVET&MARCO CESATI.深入理解LINUX内核(第三版)[M].东南大学出版社,2006.

[2]黄铠,徐志伟.可扩展并行计算技术、结构与编程[M].机械工业出版社,2003.

[3]DAVID A.RUSLING等.Linux编程白皮书[M].机械工业出版社,2000.

[4]毛德操,胡希明.Linux内核源代码情景分析[M].浙江大学出版社,2001.