系統(tǒng)與服務(wù)器安全管理

Windows 2000 Server、Freebsd是兩種常見的服務(wù)器。第一種是微軟的產(chǎn)品，方便好用，但是，你必須要不斷的patch它。Freebsd是一種優(yōu)雅的操作系統(tǒng)，它簡潔的內(nèi)核和優(yōu)異的性能讓人感動。關(guān)于這幾種操作系統(tǒng)的安全，每種都可以寫一本書。我不會在這里對它們進(jìn)行詳細(xì)描述，只講一些系統(tǒng)初始化安全配置。

創(chuàng)新互聯(lián)建站始終堅(jiān)持【策劃先行，效果至上】的經(jīng)營理念，通過多達(dá)10余年累計(jì)超上千家客戶的網(wǎng)站建設(shè)總結(jié)了一套系統(tǒng)有效的全網(wǎng)營銷推廣解決方案，現(xiàn)已廣泛運(yùn)用于各行各業(yè)的客戶，其中包括：成都水泥攪拌車等企業(yè)，備受客戶贊揚(yáng)。

Windows2000 Server的初始安全配置

Windows的服務(wù)器在運(yùn)行時(shí)，都會打開一些端口，如135、139、445等。這些端口用于Windows本身的功能需要，冒失的關(guān)閉它們會影響到Windows的功能。然而，正是因?yàn)檫@些端口的存在，給Windows服務(wù)器帶來諸多的安全風(fēng)險(xiǎn)。遠(yuǎn)程攻擊者可以利用這些開放端口來廣泛的收集目標(biāo)主機(jī)信息，包括操作系統(tǒng)版本、域SID、域用戶名、主機(jī)SID、主機(jī)用戶名、帳號信息、網(wǎng)絡(luò)共享信息、網(wǎng)絡(luò)時(shí)間信息、Netbios名字、網(wǎng)絡(luò)接口信息等，并可用來枚舉帳號和口令。今年8月份和9月份，微軟先后發(fā)布了兩個(gè)基于135端口的RPCDCOM漏洞的安全公告，分別是MS03-026和 MS03-039，該漏洞風(fēng)險(xiǎn)級別高，攻擊者可以利用它來獲取系統(tǒng)權(quán)限。而類似于這樣的漏洞在微軟的操作系統(tǒng)中經(jīng)常存在。

解決這類問題的通用方法是打補(bǔ)丁，微軟有保持用戶補(bǔ)丁更新的良好習(xí)慣，并且它的Windows2000SP4安裝后可通過WindowsUpdate來自動升級系統(tǒng)補(bǔ)丁。另外，在防火墻上明確屏蔽來自因特網(wǎng)的對135-139和445、593端口的訪問也是明智之舉。

Microsoft的SQLServer數(shù)據(jù)庫服務(wù)也容易被攻擊，今年3月份盛行的SQL蠕蟲即使得多家公司損失慘重，因此，如果安裝了微軟的'SQLServer，有必要做這些事：1）更新數(shù)據(jù)庫補(bǔ)??；2）更改數(shù)據(jù)庫的默認(rèn)服務(wù)端口（1433）；3）在防火墻上屏蔽數(shù)據(jù)庫服務(wù)端口；4）保證 sa口令非空。

另外，在Windows服務(wù)器上安裝殺毒軟件是絕對必須的，并且要經(jīng)常更新病毒庫，定期運(yùn)行殺毒軟件查殺病毒。

不要運(yùn)行不必要的服務(wù)，尤其是IIS，如果不需要它，就根本不要安裝。IIS歷來存在眾多問題，有幾點(diǎn)在配置時(shí)值得注意：1）操作系統(tǒng)補(bǔ)丁版本不得低于SP3;2）不要在默認(rèn)路徑運(yùn)行WEB（默認(rèn)是c:inetpubwwwroot）；3）以下ISAPI應(yīng)用程序擴(kuò)展可被刪掉：。 ida.idq.idc .shtm .shtml .printer。

Freebsd的初始安全配置

Freebsd在設(shè)計(jì)之初就考慮了安全問題，在初次安裝完成后，它基本只打開了22（SSH）和25（Sendmail）端口，然而，即使是 Sendmail也應(yīng)該把它關(guān)閉（因?yàn)闅v史上Sendmail存在諸多安全問題）。方式是編輯/etc/rc.conf文件，改動和增加如下四句：

sendmail_enable="NO"

sendmail_submit_enable="NO"

sendmail_outbound_enable="NO"

sendmail_msp_queue_enable="NO"

這樣就禁止了Sendmail的功能，除非你的服務(wù)器處于一個(gè)安全的內(nèi)網(wǎng)（例如在防火墻之后并且網(wǎng)段中無其他公司主機(jī)），否則不要打開Sendmail。

禁止網(wǎng)絡(luò)日志：在/etc/rc.conf中保證有如下行：

syslogd_flags="-ss"

這樣做禁止了來自遠(yuǎn)程主機(jī)的日志記錄并關(guān)閉514端口，但仍允許記錄本機(jī)日志。

禁止NFS服務(wù)：在/etc/rc.conf中有如下幾行：

nfs_server_enable="NO"

nfs_client_enable="NO"

portmap_enable="NO"

有些情況下很需要NFS服務(wù)，例如用戶上傳圖片的目錄通常需要共享出來供幾臺WEB服務(wù)器使用，就要用到NFS。同理，要打開NFS，必須保證你的服務(wù)器處于安全的內(nèi)網(wǎng)，如果NFS服務(wù)器可以被其他人訪問到，那么系統(tǒng)存在較大風(fēng)險(xiǎn)。保證/etc/inetd.conf文件中所有服務(wù)都被注銷，跟其他系統(tǒng)不同，不要由inetd運(yùn)行任何服務(wù)。將如下語句加進(jìn)/etc/rc.conf：

inetd_enable="NO"

所有對/etc/rc.conf文件的修改執(zhí)行完后都應(yīng)重啟系統(tǒng)。

如果要運(yùn)行Apache，請編輯httpd.conf文件，修改如下選項(xiàng)以增進(jìn)安全或性能：

1） Timeout 300Timeout 120

2） MaxKeepAliveRequests 256

3） ServerSignature onServerSignature off

4） Options IndexesFollowSymLinks行把indexes刪掉（目錄的Options不要帶index選項(xiàng)）

5） 將Apache運(yùn)行的用戶和組改為nobody

6） MaxClients 150——MaxClients 1500

（如果要使用Apache，內(nèi)核一定要重新編譯，否則通不過Apache的壓力測試，關(guān)于如何配置和管理WEB服務(wù)器請見我的另一篇文章）

如果要運(yùn)行FTP服務(wù)，請安裝proftpd，它比較安全。在任何服務(wù)器上，都不要打開匿名FTP。

Windows 2000 Server和Freebsd兩種服務(wù)器的安全配置就向大家介紹完了，希望大家已經(jīng)掌握。

天銳綠盾應(yīng)用服務(wù)器安全接入系統(tǒng)的優(yōu)勢是什么？

產(chǎn)品簡介

應(yīng)用服務(wù)器安全接入系統(tǒng)，支持與數(shù)據(jù)防泄密系統(tǒng)形成統(tǒng)一管理平臺，實(shí)現(xiàn)應(yīng)用服務(wù)器數(shù)據(jù)的安全保護(hù)。從終端身份識別、傳輸通道加密、落地加密保護(hù)等多方面進(jìn)行應(yīng)用數(shù)據(jù)安全訪問控制，確保訪問受控應(yīng)用服務(wù)器的終端合法性以及數(shù)據(jù)傳輸過程的安全性。

版本介紹

專業(yè)版

面向企事業(yè)單位通用需求，秉承"讓防泄密的管理更簡單有效"的核心理念，在汲取大量客戶成功應(yīng)用經(jīng)驗(yàn)的基礎(chǔ)上，推出"天銳綠盾專業(yè)版"。該版本功能主要包含文件加密、企業(yè)密鑰管理、離線管理、文件外發(fā)管理、文件備份、審批管理、外發(fā)機(jī)器碼白名單、外發(fā)閱讀器、郵件白名單、服務(wù)器白名單、便攜式解密終端、Linux平臺信息安全管理系統(tǒng)、應(yīng)用安全接入設(shè)置、屏幕水印等。

行業(yè)版

面向各行業(yè)的客戶需求，結(jié)合天銳綠盾多年來在各行業(yè)的成功應(yīng)用，秉著"讓天銳綠盾在各行業(yè)客戶應(yīng)用更有針對性、更完整性、更貼切"的核心理念，量身打造，推出"天銳綠盾行業(yè)版"。在專業(yè)版基礎(chǔ)上，新增加了工作模式切換、移動終端管理、支持郵件安全網(wǎng)關(guān)接口、支持應(yīng)用服務(wù)器接入系統(tǒng)接口、行業(yè)增強(qiáng)包、WEB審批等功能。

旗艦版

面向大型用戶需求復(fù)雜、用戶數(shù)規(guī)模大的特點(diǎn)，在行業(yè)版基礎(chǔ)上，增加支持服務(wù)器分布式部署方式等功能，針對性推出高性能的"天銳綠盾旗艦版"，讓天銳綠盾滿足大型客戶的需求。

功能模塊介紹

終端安全準(zhǔn)入

只允許安裝有“天銳綠盾數(shù)據(jù)防泄密系統(tǒng)”的終端能夠正常訪問應(yīng)用服務(wù)器。

數(shù)據(jù)加密安全通道

客戶端與公司內(nèi)部應(yīng)用服務(wù)器之間的數(shù)據(jù)傳輸， 通過數(shù)據(jù)文件加密安全通道實(shí)現(xiàn)數(shù)據(jù)的安全傳輸，有效保障了數(shù)據(jù)在傳輸過程中不被竊取。

應(yīng)用服務(wù)器防偽造

通過“端到端”的控制，對客戶端訪問應(yīng)用服務(wù)器進(jìn)行綁定連接，有效控制因?yàn)榉旅胺?wù)器而造成的數(shù)據(jù)泄密。

方案優(yōu)勢

1.實(shí)現(xiàn)系統(tǒng)與應(yīng)用服務(wù)器綁定連接，有效控制因?yàn)榉旅胺?wù)器而造成的數(shù)據(jù)泄露；

2.系統(tǒng)支持所有基于TCP協(xié)議的連接，無需對應(yīng)用系統(tǒng)進(jìn)行二次開發(fā)；

3.系統(tǒng)部署方式靈活，支持串聯(lián)和旁路連接；

4.數(shù)據(jù)在傳輸過程中進(jìn)行文件加密防護(hù)，防止數(shù)據(jù)在傳輸過程中被非法分子監(jiān)聽、盜取。

云幫手干嘛用的，有什么功能？

云幫手是一款集中化服務(wù)器管理軟件，提供全方位的云服務(wù)器管理服務(wù)。融合大數(shù)據(jù)分析、可視化、態(tài)勢感知、威脅情報(bào)分析技術(shù)，為客戶提供一站式云安全產(chǎn)品、服務(wù)和解決方案，實(shí)現(xiàn)服務(wù)器、網(wǎng)站及業(yè)務(wù)的安全穩(wěn)定運(yùn)行。

其全面支持所有主流云服務(wù)提供商，同時(shí)兼容Windows、CentOS、Ubuntu、Debian、OpenSUSE、Fedora等主流云服務(wù)器操作系統(tǒng)。支持多臺服務(wù)器可視化管理，監(jiān)控告警，日志分析等便捷功能，提供跨云多平臺一站式批量云服務(wù)器安全管理服務(wù)。

多重防護(hù)安全保障

全方位立體化縱深防御機(jī)制，保障云服務(wù)器系統(tǒng)安全、應(yīng)用安全!

安全巡檢一鍵修復(fù)

云幫手官方版為您提供24小時(shí)不間斷健康巡檢、全面體檢、系統(tǒng)一鍵加固、系統(tǒng)漏洞掃描一鍵修復(fù)，風(fēng)險(xiǎn)將無處可藏!

批量管理環(huán)境一鍵部署

化繁為簡集中批量管理云服務(wù)器、一鍵部署Web、應(yīng)用運(yùn)行環(huán)境，讓運(yùn)維得心應(yīng)手、事半功倍!

跨平臺遠(yuǎn)程登錄文件管理

集成Windows系統(tǒng)RDP遠(yuǎn)程桌面協(xié)議、Linux系統(tǒng)SSH遠(yuǎn)程登錄協(xié)議，讓遠(yuǎn)程登錄如臨其境;模擬Windows文件瀏覽器，讓遠(yuǎn)程文件管理觸手可及!

文章名稱：服務(wù)器安全管理服務(wù)系統(tǒng) 服務(wù)器安全管理制度
網(wǎng)頁網(wǎng)址：http://jinyejixie.com/article28/ddissjp.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供小程序開發(fā)、網(wǎng)站設(shè)計(jì)公司、App開發(fā)、網(wǎng)站收錄、App設(shè)計(jì)、定制開發(fā)

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來源： 創(chuàng)新互聯(lián)