[计算机]浅谈服务器安全的维护技巧.doc

浅谈服务器安全的维护技巧 服务器的维护是网络安全的重中之重，稍有闪失整个网络都将陷入瘫痪。 恶意的网络攻击行为包括两类：恶意的攻击行为与恶意的入侵行为。 恶意的攻击行为有：DDOS攻击、网络病毒等，这些行为会消耗大量的服务器资源，影响服务器的运行速度和正常工作，直至导致服务器所在的网络瘫痪。 恶意的入侵行为：这种行为会泄露服务器的敏感信息，被入侵的服务器更会沦为攻击者的刀下肉，被肆意破坏。 要保障网络服务器的安全就要尽量使网络服务器避免受这两种行为的影响。本文基于Windows2003操作系统的服务器为例，介绍一些网站服务器安全维护的技巧。 　　1.站在黑客的角度，模拟可能的攻击 知己知彼，百战不殆。想要如何防守就要先知道如何攻击。 在大多数时候，我们都只会站在维护员的角度思考问题，可能很难发觉网站服务器的漏洞。但一旦换一个角度，从攻击者的角度出发，揣测他们可能会运用哪些手段对哪些网站服务器的漏洞进行攻击，也许就能发现网站服务器可能存在的安全漏洞，从而进行修补，将攻击防范于未然。 从外网访问网站服务器，执行完整的检测，然后模拟攻击者的攻击，观察结果。这种方法是一种对安全性的检测方法，自己作为攻击者，运用黑客常用的扫描工具来扫描，就可能会发现可能会被调用的服务或者漏洞。比如在网站服务器安装的时候，操作系统会默认安装并启动一些不需要的服务；在进行服务器配置的时候，一些需要的服务配置完后没有及时得关上，这就是给攻击者留下的机会。 这些服务如常见的SNMP服务（基本网络维护协议），系统安装完毕后此服务是默认开启。但是，这个服务可以为攻击者提供服务器系统的详细信息，如操作系统，开启的服务与对应的端口等等信息，攻击者一旦获取了这些信息就能对服务器发起攻击。 当局者迷，站在攻击者的角度，就可能发现平常可能没有发现到的问题，然后加强服务器的安全性，避免遭到攻击。 2.权限维护的合理性 　　服务器一般不只是运行网站的应用，还会有如FTP服务器和流媒体服务器等网络服务。这些在同一台服务器上的应用，很可能会让攻击者只需要攻陷一种服务，就能用技术攻陷其他的应用。这是因为攻击者攻破其中一种服务后，就能从平台的内部去攻击其他服务。这就是从内部攻击比从外部攻击更容易击破对方。 而不同的服务采用不同服务器就会造成浪费，一个服务器同时运行三种服务就不会造成浪费，同时防御也没有那么大的压力。这三个服务是：传统的网站服务；FTP服务；流媒体服务。对于流媒体服务，它是mms模式的，互联网上也可以直接访问流媒体服务器，部署在同一台服务器上没有什么影响。 选用的服务器配置较高，这三个服务同时运行就不会存在太大问题，性能也不会受到影响。不过，两种、甚至两种以上的服务同时部署在一台服务器上时，怎么才能保障其安全，防止其相互传染的问题呢？ 许多服务器采用的是FAT和FAT32文件系统，而这2种文件系统的安全性是低于NTFS的。NTFS是微软WindowsNT内核的系列操作系统支持的、一个特别为网络和磁盘配额、文件加密等管理安全特性设计的磁盘格式。我们将每一个磁盘分区单独设置访问权限，将敏感信息和服务信息分开放置，即使攻击者攻击破了其中一个服务，也需要突破系统的安全设置才能访问其他磁盘上的信息。 我们采用的Windows2003服务器，可以将服务器中的所有硬盘都转为NTFS分区。运用NTFS分区自带的功能，合理为它们分配相关的权限。如每个服务配置不同的维护员账户，不同的账户只能对特定的分区与目录执行访问。这三个没有关联的账户，其中一个失窃，也不会令另外两个账户中的内容被窃取。 　　3.脚本安全维护 不良的脚本会使网站被攻击后瘫痪。　攻击者特别喜欢针对CGI程序或者PHP脚本实施攻击。 　　通常，使用网站需要传递一些必要的参数，才能够正常访问。这个参数可以分成两类，值得信任与不值得信任。一般不是托管的服务器，都会放置在防火墙内部。来自防火墙内部的参数是可信的，而来自外部的参数基本上市不值得信任的。这些来自外部的参数并不是都不值得采用，而是因为在网站服务器设计的时候，需要格外留心，采用这些不值得信任的参数的时候需要执行检验，检查其是否正当，不能像防火墙内部参数那样全收。这些不值得信任的参数可能会带来安全隐患。如，攻击者运用TELNET连接到80端口，就可以向CGI脚本传递不安全的参数。 所以要编写CGI程序和PHP脚本时，不要让其随便接受陌生人的参数，在接受之前一定要先检验提供者和参数本身是否正当。比如可以在编写时加入一些判断条件，当服务器认为提供的参数不准确的时候，发出通知与警告，这样就能尽早的发现可能存在的攻击者，及时对其进行防御。 　　4.做好系统备份 对服务器来说，备份必不可少，不能仅仅只做防护措施，却没有补救措施。虽然系统遭到破坏是大家不希望