|
Windows 2000 Server�、Freebsd是兩種常見的服務器���。第一種是微軟的產品�,方便好用��,但是���,你必須要不斷的patch它�����。Freebsd是一種優雅的操作系統�,它簡潔的內核和優異的性能讓人感動�。關于這幾種操作系統的安全�,每種都可以寫一本書�����。我不會在這里對它們進行詳細描述����,只講一些系統初始化安全配置����。
Windows2000 Server的初始安全配置
Windows的服務器在運行時�,都會打開一些端口����,如135����、139��、445等���。這些端口用于Windows本身的功能需要����,冒失的關閉它們會影響到Windows的功能��。然而�����,正是因為這些端口的存在����,給Windows服務器帶來諸多的安全風險����。遠程攻擊者可以利用這些開放端口來廣泛的收集目標主機信息���,包括操作系統版本��、域SID����、域用戶名�、主機SID�����、主機用戶名���、帳號信息����、網絡共享信息�����、網絡時間信息�、Netbios名字��、網絡接口信息等���,并可用來枚舉帳號和口令�。今年8月份和9月份�,微軟先后發布了兩個基于135端口的RPCDCOM漏洞的安全公告��,分別是MS03-026和MS03-039�,該漏洞風險級別高����,攻擊者可以利用它來獲取系統權限����。而類似于這樣的漏洞在微軟的操作系統中經常存在���。
解決這類問題的通用方法是打補丁���,微軟有保持用戶補丁更新的良好習慣�����,并且它的Windows2000SP4安裝后可通過WindowsUpdate來自動升級系統補丁�����。另外�����,在防火墻上明確屏蔽來自因特網的對135-139和445���、593端口的訪問也是明智之舉�����。
Microsoft的SQLServer數據庫服務也容易被攻擊��,今年3月份盛行的SQL蠕蟲即使得多家公司損失慘重�����,因此����,如果安裝了微軟的SQLServer�����,有必要做這些事:1)更新數據庫補丁;2)更改數據庫的默認服務端口(1433);3)在防火墻上屏蔽數據庫服務端口;4)保證sa口令非空�。
另外�,在Windows服務器上安裝殺毒軟件是絕對必須的��,并且要經常更新病毒庫��,定期運行殺毒軟件查殺病毒����。
不要運行不必要的服務��,尤其是IIS�,如果不需要它��,就根本不要安裝���。IIS歷來存在眾多問題��,有幾點在配置時值得注意:1)操作系統補丁版本不得低于SP3;2)不要在默認路徑運行WEB(默認是c:\inetpub\wwwroot);3)以下ISAPI應用程序擴展可被刪掉:.ida.idq.idc .shtm .shtml .printer����。
Freebsd的初始安全配置
Freebsd在設計之初就考慮了安全問題�,在初次安裝完成后����,它基本只打開了22(SSH)和25(Sendmail)端口���,然而���,即使是Sendmail也應該把它關閉(因為歷史上Sendmail存在諸多安全問題)���。方式是編輯/etc/rc.conf文件����,改動和增加如下四句:
sendmail_enable="NO"
sendmail_submit_enable="NO"
sendmail_outbound_enable="NO"
sendmail_msp_queue_enable="NO"
這樣就禁止了Sendmail的功能���,除非你的服務器處于一個安全的內網(例如在防火墻之后并且網段中無其他公司主機)����,否則不要打開Sendmail�����。
禁止網絡日志:在/etc/rc.conf中保證有如下行:
syslogd_flags="-ss"
這樣做禁止了來自遠程主機的日志記錄并關閉514端口���,但仍允許記錄本機日志����。
禁止NFS服務:在/etc/rc.conf中有如下幾行:
nfs_server_enable="NO"
nfs_client_enable="NO"
portmap_enable="NO"
有些情況下很需要NFS服務���,例如用戶上傳圖片的目錄通常需要共享出來供幾臺WEB服務器使用�,就要用到NFS�����。同理��,要打開NFS�����,必須保證你的服務器處于安全的內網�����,如果NFS服務器可以被其他人訪問到���,那么系統存在較大風險����。保證/etc/inetd.conf文件中所有服務都被注銷�,跟其他系統不同����,不要由inetd運行任何服務�。將如下語句加進/etc/rc.conf:
inetd_enable="NO"
所有對/etc/rc.conf文件的修改執行完后都應重啟系統����。
如果要運行Apache����,請編輯httpd.conf文件���,修改如下選項以增進安全或性能:
1) Timeout 300>Timeout 120
2) MaxKeepAliveRequests 256
3) ServerSignature on>ServerSignature off
4) Options IndexesFollowSymLinks行把indexes刪掉(目錄的Options不要帶index選項)
5) 將Apache運行的用戶和組改為nobody
6) MaxClients 150——>MaxClients 1500
(如果要使用Apache�,內核一定要重新編譯�����,否則通不過Apache的壓力測試�,關于如何配置和管理WEB服務器請見我的另一篇文章)
如果要運行FTP服務�,請安裝proftpd���,它比較安全�。在任何服務器上����,都不要打開匿名FTP��。
Windows 2000 Server和Freebsd兩種服務器的安全配置就向大家介紹完了��,希望大家已經掌握��。
如果有需要服務器的租用與托管的敬請聯系QQ:1501281758(億恩星辰) 聯系電話:0371—63322220
本文出自:億恩科技【www.endtimedelusion.com】
服務器租用/服務器托管中國五強�����!虛擬主機域名注冊頂級提供商�!15年品質保障�����!--億恩科技[ENKJ.COM]
|
香港服務器租用
美國服務器租用
電信骨干機房
聯通骨干機房
0371-60135900
