Windows 2000 Server、Freebsd是两种常见的效劳器。第一种是微软的产品,方便好用,但是,你必需要不断的patch它。Freebsd是一种优雅的操作系统,它简洁的内核和优异的性能让人感动。关于这几种操作系统的平安,每种都可以写一本书。我不会在这里对它们进展详细描绘,只讲一些系统初始化平安配置。
Windows的效劳器在运行时,都会翻开一些端口,如135、139、445等。这些端口用于Windows本身的功能需要,冒失的关闭它们会影响到Windows的功能。然而,正是因为这些端口的存在,给Windows效劳器带来诸多的平安风险。远程攻击者可以利用这些开放端口来广泛的搜集目的主机信息,包括操作系统版本、域SID、域用户名、主机SID、主机用户名、帐号信息、网络共享信息、网络时间信息、Netbios名字、网络接口信息等,并可用来枚举帐号和口令。今年8月份和9月份,微软先后了两个基于135端口的RPCD破绽的平安公告,分别是MS03-026和 MS03-039,该破绽风险级别高,攻击者可以利用它来获取系统权限。而类似于这样的破绽在微软的操作系统中经常存在。 解决这类问题的通用方法是打补丁,微软有保持用户补丁更新的良好习惯,并且它的Windows2000SP4安装后可通过WindowsUpdate动晋级系统补丁。另外,在防火墙上明确屏蔽因特网的对135-139和445、593端口的访问也是明智之举。
正弦波发生器Microsoft的SQLServer数据库效劳也容易被攻击,今年3月份盛行的SQL蠕虫即使得多家公司损失沉重,因此,假设安装了微软的SQLServer,有必要做这些事:1)更新数据库补丁;2)更改
数据库的默认效劳端口(1433);3)在防火墙上屏蔽数据库效劳端口;4)保证 sa口令非空。
石墨冷凝器
另外,在Windows效劳器上安装杀毒软件是绝对必须的,并且要经常更新病毒库,定期运行杀毒软件查杀病毒。
电子蜡烛灯
不要运行不必要的效劳,尤其是IIS,假设不需要它,就根本不要安装。IIS历来存在众多问题,有几点在配置时值得注意:1)操作系统补丁版本不得低于SP3;2)不要在默认途径运行WEB(默认是c:ipubroot);3)以下ISAPI应用程序扩展可被删掉:。
ida.idq.idc .shtm .shtml .printer。
四球机Freebsd在设计之初就考虑了平安问题,在初次安装完成后,它根本只翻开了22(SSH)和25(Sendmail)端口,然而,即使是Sendmail也应该把它关闭(因为历史上Sendmail存在诸多平安问题)。方式是/f文件,改动和增加如下四句:sendmailenable="NO"
sendmailsubmitenable="NO"
sendmailoutboundenable="NO"
sendmailmspqueueenable="NO"
这样就制止了Sendmail的功能,除非你的效劳器处于一个平安的内网(例如在防火墙之后并且网段中无其他公司主机),否那么不要翻开Sendmail。
制止网络日志:在/f中保证有如下行:
syslogdflags="-ss"
这样做制止了远程主机的日志记录并关闭514端口,但仍允许记录本机日志。
制止NFS效劳:在/f中有如下几行:
nfsserverenable="NO"
nfsclientenable="NO"
portmapenable="NO"
有些情况下很需要NFS效劳,例如用户上传图片的目录通常需要共享出来供几台WEB效劳器使用,就要用到NFS。同理,要翻开NFS,必须保证你的效劳器处于平安的内网,假设NFS效劳器可以被其别
人访问到,那么系统存在较大风险。保证/f文件中所有效劳都被注销,跟其他系统不同,不要由id运行任何效劳。将如下语句加进/f:
所有对/f文件的修改执行完后都应重启系统。
假设要运行Apache,请d.conf文件,修改如下选项以增进平安或性能:
发光模组1) Timeout 300>Timeout 120
2) MaxKeepAliveRequests 256
3) ServerSignature on>ServerSignature off
4) Options IndexesFollowSymLinks行把indexes删掉(目录的Options不要带index选项)
5)将Apache运行的用户和组改为nobody
6) MaxClients 150——>MaxClients 1500
(假设要使用Apache,内核一定要重新编译,否那么通不过Apache的压力测试,关于如何配置和WEB效劳器请见我的另一篇文章)
假设要运行FTP效劳,请安装proftpd,它比较平安。在任何效劳器上,都不要翻开匿名FTP。
大米添加剂Windows 2000 Server和Freebsd两种效劳器的平安配置就向大家介绍完了,希望大家已经掌握。
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议