服務(wù)器管理誤區(qū)網(wǎng)絡(luò)服務(wù)器安全維護(hù)技巧

雖然開啟日志服務(wù)雖然說對(duì)阻止黑客的入侵并沒有直接的作用，但是通過他記錄黑客的行蹤，我們可以分析入侵者在我們的系統(tǒng)上到底做過什么手腳，給我們的系統(tǒng)到底造成了哪些破壞及隱患，黑客到底在我們的系統(tǒng)上留了什么樣的后門，我們的服務(wù)器到底還存在哪些安全漏洞等等。

服務(wù)器管理十大誤區(qū)

 

1.UPS(不間斷電源)的使用問題

某商店正在壓榨它的網(wǎng)絡(luò)系統(tǒng)的最后生命。盡管那臺(tái)很老的服務(wù)器幾乎難以滿足商店運(yùn)營的需要，但經(jīng)營者甚至連更換UPS中的電池都不愿意，事實(shí)上電池每兩年就應(yīng)該更換一次。終于有一天突然停電了，而這個(gè)UPS實(shí)在是太老了，它已經(jīng)不能控制服務(wù)器安全關(guān)機(jī)了。電池能量大部分早已耗盡，所以它也很快沒電了。結(jié)果，防控異常情況的控制器沒能起到正常關(guān)閉服務(wù)器的作用。商店每日的正常運(yùn)轉(zhuǎn)和交易事宜全靠這個(gè)服務(wù)器。修復(fù)服務(wù)器花了三天時(shí)間，而彌補(bǔ)由此帶來的損失需要花費(fèi)更長時(shí)間。事實(shí)上，一個(gè)價(jià)值僅75美元的電池就能有效避免上述事情的發(fā)生。

2.沒有整理好所需要的東西

一個(gè)電話打進(jìn)公司總部說某個(gè)分公司的服務(wù)器出了問題，網(wǎng)絡(luò)管理員飛奔出辦公室，驅(qū)車一小時(shí)到達(dá)出事地點(diǎn)。結(jié)果，他發(fā)現(xiàn)操作系統(tǒng)文件被毀壞了一部分，這樣，他所有能做的只有重新安裝操作系統(tǒng)。該分公司的網(wǎng)絡(luò)管理員一時(shí)找不到安裝盤，沒關(guān)系，這位總部的管理員有，不過在他的辦公室里――離這里單程一小時(shí)、往返兩小時(shí)。收拾好一個(gè)背包，隨身帶著。所有你可能需要的東西，包括你的用戶所使用的操作系統(tǒng)備份，都應(yīng)該在背包里放著。這是很容易做到的，不需要花費(fèi)些什么，但在更新操作系統(tǒng)之類的問題上能起到關(guān)鍵性作用。

3.沒有安裝補(bǔ)丁

一個(gè)玩具制造商的服務(wù)器連接出了問題，使得全體職員與自己的文件都失去了聯(lián)系，生產(chǎn)被迫停止兩天。損失嚴(yán)重!一位新近被雇的網(wǎng)絡(luò)管理員負(fù)責(zé)解決這個(gè)危機(jī)。他很快發(fā)現(xiàn)以前的網(wǎng)絡(luò)管理員在三年前安裝系統(tǒng)的時(shí)候沒有安裝補(bǔ)丁。

補(bǔ)丁是免費(fèi)提供的，也許它們不是開放式的，但它們通常是很容易配置，任何一個(gè)系統(tǒng)管理員都能夠做到。之前的那位管理員說，因?yàn)橄到y(tǒng)運(yùn)行得很好，所以不需要打補(bǔ)丁。這種說法顯然是很不負(fù)責(zé)任的。

4.備份工作不當(dāng)

某醫(yī)院辦公室存儲(chǔ)了很多醫(yī)藥文件和病歷的服務(wù)器出了故障。因?yàn)榉?wù)器上沒有信息可以被存取，辦公室的各項(xiàng)運(yùn)轉(zhuǎn)基本停止。網(wǎng)絡(luò)管理員立即拿出一個(gè)備份文檔的帶子，試圖修復(fù)。當(dāng)她發(fā)現(xiàn)這個(gè)帶子是空的時(shí)，心沉了下去。她檢查了另外的備份帶子，居然全是空的!她檢查了辦公室的日志，發(fā)現(xiàn)同僚們兩年來每天都更換備份帶，只是帶子被放進(jìn)從來沒有安裝備份軟件的服務(wù)器里，沒有人知道備份帶有問題，因?yàn)閺膩頉]有人檢查過，而只是兩年內(nèi)堅(jiān)持每天更換空白備份帶。這件事使醫(yī)院損失慘重。其實(shí)只要任何一個(gè)數(shù)據(jù)庫管理員做一個(gè)簡單的備份檢查就可以避免這種重大問題的發(fā)生了。事實(shí)上，他們正在這樣做，每天都是。

5.劣質(zhì)的電纜線路工程

一個(gè)銀行的網(wǎng)絡(luò)經(jīng)常出問題，為此他們專門對(duì)配線箱做了檢查，檢查中發(fā)現(xiàn)，許多RJ-11和RJ-12的插頭插進(jìn)了RJ-45插座之內(nèi)。而且在每一個(gè)插座里都插入了一根牙簽，這樣布的電纜線路難怪會(huì)出問題。許多網(wǎng)絡(luò)問題都?xì)w咎于不合適的電纜線路連接，所以，精明的管理者最好讓有經(jīng)營許可證的、有擔(dān)保的并且信得過的電纜線路承包商來架接電纜線路。

6.設(shè)備轉(zhuǎn)手次數(shù)太多，內(nèi)部構(gòu)成出問題

一項(xiàng)專業(yè)的運(yùn)動(dòng)團(tuán)體買了一個(gè)名牌服務(wù)器，但是它剛開始工作時(shí)就出問題。該網(wǎng)絡(luò)管理員向操作系統(tǒng)廠商和硬件廠商提出幫助請(qǐng)求。后來發(fā)現(xiàn)，提供這個(gè) “名牌”服務(wù)器的轉(zhuǎn)售商人給這個(gè)服務(wù)器配置的是非名牌的內(nèi)存、非名牌的磁盤控制器，以及非名牌的外置磁盤驅(qū)動(dòng)器，只因?yàn)檫@些組件要便宜一些。該硬件廠商和操作系統(tǒng)廠商拒絕提供支持，因?yàn)榉?wù)器被一些非名牌的構(gòu)件所混淆，其結(jié)構(gòu)不易被鑒定。

7.沒有簽訂授權(quán)合同

某辦公室去年花費(fèi)大量現(xiàn)金采購了服務(wù)器。該系統(tǒng)有RAID5的冗余保護(hù),雙電源和24×7支持，而一年之后，驅(qū)動(dòng)器壞掉了。保證24×7支持的工作人員來了，他打電話給硬件廠商，廠商問他合約號(hào)碼是什么，而該辦公室之前并沒有簽訂授權(quán)合同。“沒關(guān)系，”廠商說，“他們離授權(quán)到期還有兩年時(shí)間，我將在五六天內(nèi)給你更換驅(qū)動(dòng)器。”

但是，廠商的寬容是遠(yuǎn)遠(yuǎn)不夠的，最好保證你有全套24×7支持，去一個(gè)辦公用品商店買標(biāo)簽，在每個(gè)標(biāo)簽上寫上授權(quán)合同號(hào)碼和技術(shù)支持的電話號(hào)碼，然后把它們貼在每一臺(tái)機(jī)器上。

8.沒有建立測試環(huán)境

幾年以前，一家軟件發(fā)展公司安裝了一個(gè)新的工作站，它用的是最快的隨機(jī)存取儲(chǔ)存器，最快的硬盤驅(qū)動(dòng)器和最快速的處理器，它將作為董事長的新工作站。在安裝完成后不久，這位董事長接受了來自他大的合伙人公司的一個(gè)請(qǐng)求，用它來測試新的人造宇宙站的通信平臺(tái)，其結(jié)果是藍(lán)屏。當(dāng)他驚訝之余重新起動(dòng)計(jì)算機(jī)時(shí)，內(nèi)部保存的信息什么都沒有了。在重建系統(tǒng)之后，他又花了四天時(shí)間才從那一堆操作指南中擺脫出來。

另外一家公司的董事長比較聰明，建造了一個(gè)測試網(wǎng)絡(luò)。在系統(tǒng)升級(jí)之前，他們會(huì)在測試網(wǎng)絡(luò)上做做試驗(yàn)，一次又一次地找出錯(cuò)誤,反復(fù)設(shè)定網(wǎng)絡(luò)不斷試驗(yàn),直到它完全正確。只有在試驗(yàn)結(jié)果完全正確地情況下，他們才會(huì)真正展開系統(tǒng)升級(jí)。第一個(gè)公司的董事長再也不把自己的服務(wù)器當(dāng)測試儀用了。

9.存儲(chǔ)容量計(jì)劃不周

某藝術(shù)公司五年前買服務(wù)器的時(shí)候，該服務(wù)器可以支持六個(gè)8G-byteRAIDArray5驅(qū)動(dòng)器。為了要節(jié)省錢，公司堅(jiān)持只買四個(gè)4G- byte驅(qū)動(dòng)器。網(wǎng)絡(luò)管理員說,不久他們會(huì)需要較多的空間，公司最終妥協(xié)了，多買了兩個(gè)驅(qū)動(dòng)器，如此了結(jié)了此事。在三年之后他們出現(xiàn)了嚴(yán)重的空間不足問題,他們甚至不得不刪除只有50Kbyte的小文件。他們急需擴(kuò)大容量，而當(dāng)時(shí)8G-byte的驅(qū)動(dòng)器已經(jīng)買不到了，更大的服務(wù)器又支持不了。而能解決該問題的一個(gè)新的額外子系統(tǒng)將需要比原服務(wù)器更多的錢。這樣，他們只得比計(jì)劃的提前兩年更換服務(wù)器。因此，做好存儲(chǔ)容量計(jì)劃，會(huì)使你節(jié)約開支，甚至可能大大延長你的系統(tǒng)壽命。

10.錯(cuò)誤操作是大的隱患

下午辦公室的電源突然斷掉了，緊張的辦公室經(jīng)理認(rèn)為這會(huì)損害他們的兩個(gè)服務(wù)器，因此他采取了快速行動(dòng)――他走過去把服務(wù)器都關(guān)掉了?；丶視r(shí)，他還為他的快速行動(dòng)而自豪。可第二天早晨,當(dāng)他回到辦公室打開兩個(gè)服務(wù)器時(shí)，發(fā)現(xiàn)里面內(nèi)容什么都沒有了。事實(shí)上，昨天當(dāng)他按下服務(wù)器開關(guān)時(shí)，服務(wù)器正在進(jìn)行關(guān)鍵文件的復(fù)雜更新工作，他中止一臺(tái)服務(wù)器的工作時(shí)影響了另一臺(tái)服務(wù)器關(guān)鍵性數(shù)據(jù)庫的存盤。結(jié)果修復(fù)網(wǎng)絡(luò)工作花了兩天時(shí)間。

網(wǎng)絡(luò)服務(wù)器安全維護(hù)技巧

首先，我們可以分析一下，對(duì)網(wǎng)絡(luò)服務(wù)器的惡意網(wǎng)絡(luò)行為包括兩個(gè)方面：一是惡意的攻擊行為，如拒絕服務(wù)攻擊，網(wǎng)絡(luò)病毒等等，這些行為旨在消耗服務(wù)器資源，影響服務(wù)器的正常運(yùn)作，甚至服務(wù)器所在網(wǎng)絡(luò)的癱瘓;另外一個(gè)就是惡意的入侵行為，這種行為更是會(huì)導(dǎo)致服務(wù)器敏感信息泄露，入侵者更是可以為所欲為，肆意破壞服務(wù)器。所以我們要保證網(wǎng)絡(luò)服務(wù)器的安全可以說就是盡量減少網(wǎng)絡(luò)服務(wù)器受這兩種行為的影響。

基于windows做操作系統(tǒng)的服務(wù)器在中國市場的份額以及國人對(duì)該操作系統(tǒng)的了解程度，我在這里談?wù)剛€(gè)人對(duì)維護(hù)windows網(wǎng)絡(luò)服務(wù)器安全的一些個(gè)人意見。

如何避免網(wǎng)絡(luò)服務(wù)器受網(wǎng)上那些惡意的攻擊行為

 

（一） 構(gòu)建好你的硬件安全防御系統(tǒng)

選用一套好的安全系統(tǒng)模型。一套完善的安全模型應(yīng)該包括以下一些必要的組件：防火墻、入侵檢測系統(tǒng)、路由系統(tǒng)等。

防火墻在安全系統(tǒng)中扮演一個(gè)保安的角色，可以很大程度上保證來自網(wǎng)絡(luò)的非法訪問以及數(shù)據(jù)流量攻擊，如拒絕服務(wù)攻擊等;入侵檢測系統(tǒng)則是扮演一個(gè)監(jiān)視器的角色，監(jiān)視你的服務(wù)器出入口，非常智能地過濾掉那些帶有入侵和攻擊性質(zhì)的訪問。

（二） 選用英文的操作系統(tǒng)

要知道，windows畢竟美國微軟的東西，而微軟的東西一向都是以Bug 和 Patch多而著稱，中文版的Bug遠(yuǎn)遠(yuǎn)要比英文版多，而中文版的補(bǔ)丁向來是比英文版出的晚，也就是說，如果你的服務(wù)器上裝的是中文版的windows系統(tǒng)，微軟漏洞公布之后你還需要等上一段時(shí)間才能打好補(bǔ)丁，也許黑客、病毒就利用這段時(shí)間入侵了你的系統(tǒng)。

如何防止網(wǎng)絡(luò)服務(wù)器不被黑客入侵：

首先，作為一個(gè)黑客崇拜者，我想說一句，世界上沒有絕對(duì)安全的系統(tǒng)。我們只可以盡量避免被入侵，大的程度上減少傷亡。

（一） 采用NTFS文件系統(tǒng)格式

大家都知道，我們通常采用的文件系統(tǒng)是FAT或者FAT32，NTFS是微軟Windows NT內(nèi)核的系列操作系統(tǒng)支持的、一個(gè)特別為網(wǎng)絡(luò)和磁盤配額、文件加密等管理安全特性設(shè)計(jì)的磁盤格式。NTFS文件系統(tǒng)里你可以為任何一個(gè)磁盤分區(qū)單獨(dú)設(shè)置訪問權(quán)限。把你自己的敏感信息和服務(wù)信息分別放在不同的磁盤分區(qū)。這樣即使黑客通過某些方法獲得你的服務(wù)文件所在磁盤分區(qū)的訪問權(quán)限，還需要想方設(shè)法突破系統(tǒng)的安全設(shè)置才能進(jìn)一步訪問到保存在其他磁盤上的敏感信息。

（二）做好系統(tǒng)備份

常言道，“有備無患”，雖然誰都不希望系統(tǒng)突然遭到破壞，但是不怕一萬，就怕萬一，作好服務(wù)器系統(tǒng)備份，萬一遭破壞的時(shí)候也可以及時(shí)恢復(fù)。

（三）關(guān)閉不必要的服務(wù)，只開該開的端口

關(guān)閉那些不必要開的服務(wù)，做好本地管理和組管理。Windows系統(tǒng)有很多默認(rèn)的服務(wù)其實(shí)沒必要開的，甚至可以說是危險(xiǎn)的，比如：默認(rèn)的共享遠(yuǎn)程注冊(cè)表訪問(Remote Registry Service)，系統(tǒng)很多敏感的信息都是寫在注冊(cè)表里的，如pcanywhere的加密密碼等。

關(guān)閉那些不必要的端口。一些看似不必要的端口，確可以向黑客透露許多操作系統(tǒng)的敏感信息，如windows 2000 server默認(rèn)開啟的IIS服務(wù)就告訴對(duì)方你的操作系統(tǒng)是windows 2000。69端口告訴黑客你的操作系統(tǒng)極有可能是linux或者unix系統(tǒng)，因?yàn)?9是這些操作系統(tǒng)下默認(rèn)的tftp服務(wù)使用的端口。對(duì)端口的進(jìn)一步訪問，還可以返回該服務(wù)器上軟件及其版本的一些信息，這些對(duì)黑客的入侵都提供了很大的幫助。此外，開啟的端口更有可能成為黑客進(jìn)入服務(wù)器的門戶。

總之，做好TCP/IP端口過濾不但有助于防止黑客入侵，而且對(duì)防止病毒也有一定的幫助。

（四）軟件防火墻、殺毒軟件

雖然我們已經(jīng)有了一套硬件的防御系統(tǒng)，但是“保鏢”多幾個(gè)也不是壞事。

（五）開啟你的事件日志

雖然開啟日志服務(wù)雖然說對(duì)阻止黑客的入侵并沒有直接的作用，但是通過他記錄黑客的行蹤，我們可以分析入侵者在我們的系統(tǒng)上到底做過什么手腳，給我們的系統(tǒng)到底造成了哪些破壞及隱患，黑客到底在我們的系統(tǒng)上留了什么樣的后門，我們的服務(wù)器到底還存在哪些安全漏洞等等。如果你是高手的話，你還可以設(shè)置密罐，等待黑客來入侵，在他入侵的時(shí)候把他逮個(gè)正著。