|
Linux和Solaris是另外兩種種常見的服務器����。Linux和Freebsd一樣���,是免費的操作系統����,它們都廣泛使用GNU(一個偉大的組織)的實用工具集��,Linux容易上手��,但不如Freebsd簡潔��。Solaris是SUN的商用操作系統���,關于SUNOS的文章在網上被貼得到處都是�����,但遺憾的是��,它看起來并不快�,而且��,你也要經常對它打補丁�����。下面就讓我們看看這兩種服務器的安全配置�����,以及服務器的安全管理的內容�����。
Linux的初始安全配置
Linux安裝完成后���,默認會打開一些不必要端口����,運行netstat –angrepLISTEN命令看一下����,會看到本機打開的所有端口���。除了必須的網絡端口如SSH�、FTP和WEB��,其他端口都關閉�。如果你不熟悉這些端口對應什么程序��,那么請參看/etc/services文件����,里面有端口和服務的對應列表����。
在Redhat9.0默認安裝完成后����,請進入/etc/rc2.d和/etc/rc3.d�,將系統啟動時打開的不必要服務都在這里注銷掉���。這些服務通常包括sendmail�����、NFS�����、rpc等�����,注銷的方法是將S打頭的相關服務文件重命名(注意不要命名為S或K打頭的其他文件)�����。
例如將/etc/rc2.d/S80sendmail 改名為 X80sendmail
將/etc/rc3.d/S13portmap S14nfslock S28autofs S80sendmail改名為X13portmap X14nfslock X28autofs X80sendmail
RPC的安全問題歷來很多�,請注意一定不要打開111端口�����。
改完后需要重啟Linux服務器�。
如果你的Linux直接面對因特網���,那么可以配置它的防火墻來實現訪問控制���。Linux2.4內核支持iptables�,2.4以下支持ipchains���,它們的語法差不多�����,都是很好的防火墻工具�����。例如���,如果你只允許從因特網訪問SSH和WWW服務��,那么可將如下語句加進/etc/rc.d/rc.local文件:
/sbin/iptables -F
/sbin/iptables -A INPUT -p tcp -d 211.96.13.* --dport 80 -ieth0-j ACCEPT
/sbin/iptables -A INPUT -p tcp -d 211.96.13.* --dport 22 -ieth0-j ACCEPT
/sbin/iptables -A INPUT -i eth0 -j DROP
說明:iptables–F刷新iptables規則表����,接下來兩條語句允許任何人訪問211.96.13.*這個地址的WWW和SSH服務�����,最后一條DROP語句將不符合規則的其他訪問過濾掉����。這樣系統在啟動后即可自動運行防火墻規則�����。
通常在Freebsd或Linux上會運行Mysql數據庫服務�,不要將數據庫服務端口(3306)暴露在防火墻之外��。如果運行Apache���,同樣要做如Freebsd的修改���。
Solaris的初始安全配置
關于Solaris的安全配置網上有一篇非常好的文章���,叫做《The SolarisSecurityFAQ》�,照著做就可以了��。
1)禁止root從網絡直接登陸:修改/etc/default/login文件����,確保CONSOLE=/dev/console被設置�,該行只允許root從控制臺登陸�。將root用戶加入/etc/ftpusers���,保證root不可以遠程使用ftp�。
2)禁止rlogin和rsh訪問:刪除/etc/hosts.equiv和/.rhosts文件���,從/etc/inetd.conf文件里注釋掉所有以r打頭的服務�。
3) 帳號控制:刪除�����、鎖定或注釋掉不必要的系統帳號��,包括sys/uucp/nuucp/listen等
4) 改變/etc目錄的訪問權限:該目錄下文件不應該對同組用戶可寫��,執行:chmod –R g-w /etc (不推薦)
5) 在solaris2.5 以上版本的系統中���,創建/etc/notrouter文件來關閉solaris默認的路由轉發���。
6) 禁止automounter:刪除/etc/auto_*配置文件���,刪除/etc/init.d/autofs
7)禁止NFS服務:刪除/etc/dfs/dfstab���,重命名/etc/rc3.d/S15nfs.server���,重命名/etc/rc2.d/S73nfs.client(不要再以S打頭)
8) 禁止rpc服務:重命名/etc/rc2.d/S71RPC
9)修改/etc/inetd.conf文件����,注釋掉大部分不必要服務��,只保留telnet和ftp服務�,然后重啟inetd進程���。
10) 給系統打補���。喊ǜ靼姹維olaris通用補丁和單個補丁集合�����。
11) 將如下三行加進/etc/init.d/inetinit文件:
ndd -set /dev/ip ip_forward_directed_broadcasts 0
ndd -set /dev/ip ip_forward_src_routed 0
ndd -set /dev/ip ip_forwarding 0
這樣在系統啟動后就關閉了IP轉發和IP源路由��。
服務安全管理應做的事
服務器安全管理是站點安全中最重要的一環���,離開了管理��,安全將變得不切實際����。以下也許是Windows系統安全管理員每天應做的事:
1.檢查系統有無新增帳戶���,并了解其來源及用途;查看管理員組里有無新增帳戶�����,該組的帳戶除系統最初設置外����,以后不應該增加帳戶;
2. 在命令行狀態下��,運行netstat –an命令查看當前連接及打開的端口���,查找可疑連接及可疑的端口;
3. 查看“任務管理器”����,查找有無可疑的應用程序或后臺進程在運行�����,并觀察CPU及內存的使用狀態;
4. 運行注冊表編輯器��,查找有無可疑的程序被加到windows的啟動項里����,并查看有無新增的可疑服務;
5.使用Windows事件查看器查看“系統日志”“安全日志”和“應用程序日志”�,以發現有無可疑的事件或影響系統性能的事件;
6. 檢查共享目錄�����,不應有對所有用戶可寫的目錄存在;
7. 如果運行MicrosoftIIS�����,查看C:\WINNT\system32\LogFiles\下的WEB服務器日志�,以發現是否有試圖攻擊WEB的行為;
8. 不定期運行殺毒軟件查殺病毒;
9. 經常瀏覽微軟的網站�����,保持服務器的補丁同步更新�����,留意微軟發布的安全公告�。
如果有需要服務器的租用與托管的敬請聯系QQ:1501281758(億恩星辰) 聯系電話:0371—63322220
本文出自:億恩科技【www.endtimedelusion.com】
服務器租用/服務器托管中國五強�����!虛擬主機域名注冊頂級提供商���!15年品質保障�!--億恩科技[ENKJ.COM]
|
香港服務器租用
美國服務器租用
電信骨干機房
聯通骨干機房
0371-60135900
