IT运维管理,创造商业价值!
中国IT运维网首页 | 资讯中心 | 运维管理 | 信息安全 | CIO视界 | 云计算 | 最佳案例 | 运维资源 | 专题策划 | 知识库 | 论坛

经验谈:防护服务器安全

2007年09月27日
赛迪网/Rambo

任何网络的核心都在于服务器,包括数据库服务器、Web服务器、DNS服务器、文件和打印服务器等等。这些服务器为网络提供了大量的资源,通常,大多数重要的信息都存储在这些服务器上,这就意味着这些计算机对骇客来说是尤其诱人的,首当其冲,当然应该重点防护。

对于防护服务器来说,除了应用防护个人工作站的措施以外,还应该有些额外的重要措施。服务器上不会有人处理文档和电子表格,所以对服务器的防护不会像个人终端那样情况复杂。

首先,应该应用个人工作站的防护措施。打补丁,安装防病毒、防间谍软件,严格管理服务器的使用,除此之外还需要额外的防护措施。大多操作系统(如Windows2003、Linux)都有日志功能,包括登陆日志、安装软件日志等等,应该确保所有安全相关行为都有日志,并定期对这些日志做检查。要知道服务器上的数据要比一般计算机上的数据有价值的多,正因为此,服务器上的数据一般都有定期备份。建议每天备份一次,但通常情况下,一礼拜备份一次也就够了。备份磁带应该放在不联网的地方(例如单位的保险库)、且防火的地方。对备份磁带进行安全管理与对服务器进行安全管理一样重要。对于任何计算机来说,所有不需要的服务都应该关闭,对于服务器,可能要把不需要的服务和操作系统组件彻底卸载。但是执行之前要慎重,显然游戏和办公软件服务器并不需要,浏览器对于更新补丁来说是需要的。对于服务器来说还需要做的一点,大多服务器都有内建账户,例如Windows就有三个内建账户:administrator、guest、power guest。骇客猜测账户密码会首先从这些内建账户开始。事实上,互联网上有很多自动化的工具为骇客做这项工作。首先,应该自己创建一个账户不要显示账户的权限级别。例如,创建一个账户basic_user,并禁用administrator账户,设置basic_user为管理员账户,并赋予相应的权限。(当然,这个账户是给具有管理员资格的人用的)这样做了以后,骇客就不会马上对这个账户感兴趣。要知道骇客总是想要管理员权限,为管理员账户做掩护对于防止骇客攻击来说是非常重要的。

对于Windows来说,还有一系列注册表设置可以提高计算机安全。使用Cerberus,可以扫描出注册表设置的一些漏洞。什么样的设置会引起安全问题呢?通常要检查以下项目:

登陆:假如注册表设置在登陆时显示上一次登陆账户,那么黑客就少了一半工作要做。当黑客知道了密码,只需要破解密码就行了。

默认共享:一些文件及驱动器是默认共享的,打开这些共享是极不安全的。

在Windows组册表还有一些潜在的安全问题,Cerberus不但能把这些问题扫描出来,还会提出解决这些问题的建议。

下面总结一下,对服务器的常规动作:

1、应用个人工作站常规防护措施。

2、定期做好备份,并做好灾备方案。

3、打开日志功能,定期做好审计。

4、为管理员账户加以伪装。

做好了工作站与服务器的安全防护措施,下面介绍一下如何防护整个网络,如果有兴趣的话请看下篇:防护企业网络。

发表评论请到:http://bbs.cnitom.com

相关阅读

图文热点

Power架构产品创新 IBM推动其本土化发展
Power架构产品创新 IBM推动其本土化发展自从1990年,IBM推出基于RISC系统的新产品线RS/6000(现称eServer p系列)之后,...
WAF:高校Web应用安全守护者
WAF:高校Web应用安全守护者最近几年高校网站被攻击的事件时有发生,造成了不良影响,因此越来越多的高校开始...

本类热点