系統(tǒng)與服務(wù)器安全管理

　　Windows 2000 Server、Freebsd是兩種常見(jiàn)的服務(wù)器。第一種是微軟的產(chǎn)品，方便好用，但是，你必須要不斷的patch它。Freebsd是一種優(yōu)雅的操作系統(tǒng)，它簡(jiǎn)潔的內(nèi)核和優(yōu)異的性能讓人感動(dòng)。關(guān)于這幾種操作系統(tǒng)的安全，每種都可以寫(xiě)一本書(shū)。我不會(huì)在這里對(duì)它們進(jìn)行詳細(xì)描述，只講一些系統(tǒng)初始化安全配置。

　　Windows2000 Server的初始安全配置

　　Windows的服務(wù)器在運(yùn)行時(shí)，都會(huì)打開(kāi)一些端口，如135、139、445等。這些端口用于Windows本身的功能需要，冒失的關(guān)閉它們會(huì)影響到Windows的功能。然而，正是因?yàn)檫@些端口的存在，給Windows服務(wù)器帶來(lái)諸多的安全風(fēng)險(xiǎn)。遠(yuǎn)程攻擊者可以利用這些開(kāi)放端口來(lái)廣泛的收集目標(biāo)主機(jī)信息，包括操作系統(tǒng)版本、域SID、域用戶名、主機(jī)SID、主機(jī)用戶名、帳號(hào)信息、網(wǎng)絡(luò)共享信息、網(wǎng)絡(luò)時(shí)間信息、Netbios名字、網(wǎng)絡(luò)接口信息等，并可用來(lái)枚舉帳號(hào)和口令。今年8月份和9月份，微軟先后發(fā)布了兩個(gè)基于135端口的RPCDCOM漏洞的安全公告，分別是MS03-026和 MS03-039，該漏洞風(fēng)險(xiǎn)級(jí)別高，攻擊者可以利用它來(lái)獲取系統(tǒng)權(quán)限。而類似于這樣的漏洞在微軟的操作系統(tǒng)中經(jīng)常存在。

　　解決這類問(wèn)題的通用方法是打補(bǔ)丁，微軟有保持用戶補(bǔ)丁更新的良好習(xí)慣，并且它的Windows2000SP4安裝后可通過(guò)WindowsUpdate來(lái)自動(dòng)升級(jí)系統(tǒng)補(bǔ)丁。另外，在防火墻上明確屏蔽來(lái)自因特網(wǎng)的對(duì)135-139和445、593端口的訪問(wèn)也是明智之舉。

　　Microsoft的SQLServer數(shù)據(jù)庫(kù)服務(wù)也容易被攻擊，今年3月份盛行的SQL蠕蟲(chóng)即使得多家公司損失慘重，因此，如果安裝了微軟的SQLServer，有必要做這些事：1）更新數(shù)據(jù)庫(kù)補(bǔ)��；2）更改數(shù)據(jù)庫(kù)的默認(rèn)服務(wù)端口（1433）；3）在防火墻上屏蔽數(shù)據(jù)庫(kù)服務(wù)端口；4）保證 sa口令非空。

　　另外，在Windows服務(wù)器上安裝殺毒軟件是絕對(duì)必須的，并且要經(jīng)常更新病毒庫(kù)，定期運(yùn)行殺毒軟件查殺病毒。

　　不要運(yùn)行不必要的服務(wù)，尤其是IIS，如果不需要它，就根本不要安裝。IIS歷來(lái)存在眾多問(wèn)題，有幾點(diǎn)在配置時(shí)值得注意：1）操作系統(tǒng)補(bǔ)丁版本不得低于SP3;2）不要在默認(rèn)路徑運(yùn)行WEB（默認(rèn)是c:inetpubwwwroot）；3）以下ISAPI應(yīng)用程序擴(kuò)展可被刪掉：。 ida.idq.idc .shtm .shtml .printer。

　　Freebsd的初始安全配置

　　Freebsd在設(shè)計(jì)之初就考慮了安全問(wèn)題，在初次安裝完成后，它基本只打開(kāi)了22（SSH）和25（Sendmail）端口，然而，即使是 Sendmail也應(yīng)該把它關(guān)閉（因?yàn)闅v史上Sendmail存在諸多安全問(wèn)題）。方式是編輯/etc/rc.conf文件，改動(dòng)和增加如下四句：

　　sendmail_enable="NO"

　　sendmail_submit_enable="NO"

　　sendmail_outbound_enable="NO"

　　sendmail_msp_queue_enable="NO"

　　這樣就禁止了Sendmail的功能，除非你的服務(wù)器處于一個(gè)安全的內(nèi)網(wǎng)（例如在防火墻之后并且網(wǎng)段中無(wú)其他公司主機(jī)），否則不要打開(kāi)Sendmail。

　　禁止網(wǎng)絡(luò)日志：在/etc/rc.conf中保證有如下行：

　　syslogd_flags="-ss"

　　這樣做禁止了來(lái)自遠(yuǎn)程主機(jī)的日志記錄并關(guān)閉514端口，但仍允許記錄本機(jī)日志。

　　禁止NFS服務(wù)：在/etc/rc.conf中有如下幾行：

　　nfs_server_enable="NO"

　　nfs_client_enable="NO"

　　portmap_enable="NO"

　　有些情況下很需要NFS服務(wù)，例如用戶上傳圖片的目錄通常需要共享出來(lái)供幾臺(tái)WEB服務(wù)器使用，就要用到NFS。同理，要打開(kāi)NFS，必須保證你的服務(wù)器處于安全的內(nèi)網(wǎng)，如果NFS服務(wù)器可以被其他人訪問(wèn)到，那么系統(tǒng)存在較大風(fēng)險(xiǎn)。保證/etc/inetd.conf文件中所有服務(wù)都被注銷，跟其他系統(tǒng)不同，不要由inetd運(yùn)行任何服務(wù)。將如下語(yǔ)句加進(jìn)/etc/rc.conf：

　　inetd_enable="NO"

　　所有對(duì)/etc/rc.conf文件的修改執(zhí)行完后都應(yīng)重啟系統(tǒng)。

　　如果要運(yùn)行Apache，請(qǐng)編輯httpd.conf文件，修改如下選項(xiàng)以增進(jìn)安全或性能：

　　1） Timeout 300>Timeout 120

　　2） MaxKeepAliveRequests 256

　　3） ServerSignature on>ServerSignature off

　　4） Options IndexesFollowSymLinks行把indexes刪掉（目錄的Options不要帶index選項(xiàng)）

　　5） 將Apache運(yùn)行的用戶和組改為nobody

　　6） MaxClients 150——>MaxClients 1500

　　（如果要使用Apache，內(nèi)核一定要重新編譯，否則通不過(guò)Apache的壓力測(cè)試，關(guān)于如何配置和管理WEB服務(wù)器請(qǐng)見(jiàn)我的另一篇文章）

　　如果要運(yùn)行FTP服務(wù)，請(qǐng)安裝proftpd，它比較安全。在任何服務(wù)器上，都不要打開(kāi)匿名FTP。

　　Windows 2000 Server和Freebsd兩種服務(wù)器的安全配置就向大家介紹完了，希望大家已經(jīng)掌握。

【系統(tǒng)與服務(wù)器安全管理】相關(guān)文章：

Windows服務(wù)器系統(tǒng)組策略05-09

Linux系統(tǒng)安全管理高級(jí)技巧05-26

Win7系統(tǒng)怎么設(shè)置DNS服務(wù)器地址04-30

Win7系統(tǒng)如何設(shè)置代理服務(wù)器05-09

配置Win2008系統(tǒng)DNS服務(wù)器的圖文步驟04-29

Unix系統(tǒng)怎么樣進(jìn)行安全管理05-07

系統(tǒng)提示RPC服務(wù)器不可用怎么辦04-05

Windows服務(wù)器安全設(shè)置攻略11-07

安全監(jiān)控系統(tǒng)管理制度05-11

win10系統(tǒng)dns服務(wù)器未響應(yīng)怎么辦06-04