服务器安全武汉大学黄石理工学院就业信息网.pptVIP

构建安全的网站服务器 --网络服务器的基本防护 武汉大学网络拓扑 对任何网络应用来说，网站服务器都是必不可少的，但服务器的安全一直是另人烦恼的问题。如何配置一台相对安全的服务器是我们必须要了解的，由于Windows系统的漏洞和安全问题相对而言比较多，因此在网络应用中使用UNIX操作系统构建web站点是较为合适的选择。下面就以Solaris为例，介绍在Solaris系统上的安全配置经验。 1、正确安装系统 安装solaris 时不要将服务器接入网络，因为任何系统安装后的缺省设置是不安全的，在连接到Internet后，会在很短的时间内被扫描并攻击，因此在没有完成适当的设置前，尽可能的单机操作。 安装完后首先要给系统打补丁，目前sun公司已经不再提供免费recommended补丁包（类似windows的serive pack），需要使用其提供的eis光盘安装补丁包。 2、关闭不需要的服务和端口 安装完补丁包后，将没有必要的服务通通关掉，以免给系统带来安全隐患，同时也能节约系统资源。solaris中关闭系统服务的办法是在etc/rcX.d的目录中将以S开头的文件改名，比如改成以x开头。 可以将这些命令写成脚本直接在系统中执行，下面以solaris9为例，关闭作为网站服务器不需要的服务： cd /etc/rc2.d mv S47asppp xS47asppp mv S47pppd xS47pppd mv S70uucp xS70uucp mv S71ldap.client xS71ldap.client mv S72autoinstall xS72autoinstall mv S72inetsvc xS72inetsvc mv S72slpd xS72slpd mv S73cachefs.daemon xS73cachefs.daemon mv S73nfs.client xS73nfs.client mv S74autofs xS74autofs mv S80lp xS80lp mv S80spc xS80spc mv S88sendmail xS88sendmail mv S90wbem xS90wbem 由于solaris自带的ftp（文件传输）和telnet（远程登录）服务都有安全漏洞，建议用porftp和openssh代替，这样就可以将/etc/inetd.conf中的服务都关掉，以后有需要时再添加服务，相应的etc/rc2.d中的inet也可以关闭，因为现在inet没有启用任何服务。 关闭不需要的端口，将/etc/services中的端口都关闭，只留ftp和ssh等相应的端口。 4、修改系统参数防止攻击 在/etc/system中加入 set noexec_user_stack=1 set noexec_user_stack_log =1 这样系统在堆栈缓冲溢出攻击中更不易受侵害。 /etc/default/inetinit中加入 TCP_STRONG_ISS=2 提高ISN的生成强度以防止IP欺骗。 /etc/init.d/inetinit中加入 ndd -set /dev/ip ip_forwarding 0 ndd -set /dev/ip ip_forward_src_routed 0 ndd -set /dev/ip ip_respond_to_timestamp_broadcast 0 ndd -set /dev/ip ip_ignore_redirect 1 ndd -set /dev/ip ip_send_redirects 0 ndd -set /dev/ip ip_respond_to_timestamp 0 说明：关闭IP转发和广播，防止路由欺骗。 ndd -set /dev/tcp tcp_conn_req_max_q0 4096 ndd -set /dev/tcp tcp_conn_req_max_q 1024 ndd -set /dev/tcp tcp_ip_abort_interval 60000 ndd -set /dev/tcp tcp_time_wait_interval 60000 ndd -set /dev/tcp tcp_fin_wait_2_flush_interval 67500 说明：防止SYN_flood和连接耗尽攻击。 5、安装OpenSSH和TCP Wrapper OpenSSH使用了加密的通道和公钥认证机制，这样在远程控制时比使用telnet更安全。 TCP Wrapper提供基于地址的安全性，通过设置etc/hosts.allow 和hosts.deny来选择可以连接服务器的地