網(wǎng)站主機安全之系統(tǒng)與服務(wù)器安全管理

Windows 2000 Server、Freebsd是兩種常見的服務(wù)器。第一種是微軟的產(chǎn)品，方便好用，但是，你必須要不斷的patch它。Freebsd是一種優(yōu)雅的操作系統(tǒng)，它簡潔的內(nèi)核和優(yōu)異的性能讓人感動。關(guān)于這幾種操作系統(tǒng)的安全，每種都可以寫一本書。我不會在這里對它們進行詳細描述，只講一些系統(tǒng)初始化安全配置。

Windows2000 Server的初始安全配置

Windows的服務(wù)器在運行時，都會打開一些端口，如135、139、445等。這些端口用于Windows本身的功能需要，冒失的關(guān)閉它們會影響到Windows的功能。然而，正是因為這些端口的存在，給Windows服務(wù)器帶來諸多的安全風(fēng)險。遠程攻擊者可以利用這些開放端口來廣泛的收集目標(biāo)主機信息，包括操作系統(tǒng)版本、域SID、域用戶名、主機SID、主機用戶名、帳號信息、網(wǎng)絡(luò)共享信息、網(wǎng)絡(luò)時間信息、Netbios名字、網(wǎng)絡(luò)接口信息等，并可用來枚舉帳號和口令。今年8月份和9月份，微軟先后發(fā)布了兩個基于135端口的RPCDCOM漏洞的安全公告，分別是MS03-026和MS03-039，該漏洞風(fēng)險級別高，攻擊者可以利用它來獲取系統(tǒng)權(quán)限。而類似于這樣的漏洞在微軟的操作系統(tǒng)中經(jīng)常存在。

解決這類問題的通用方法是打補丁，微軟有保持用戶補丁更新的良好習(xí)慣，并且它的Windows2000SP4安裝后可通過WindowsUpdate來自動升級系統(tǒng)補丁。另外，在防火墻上明確屏蔽來自因特網(wǎng)的對135-139和445、593端口的訪問也是明智之舉。

Microsoft的SQLServer數(shù)據(jù)庫服務(wù)也容易被攻擊，今年3月份盛行的SQL蠕蟲即使得多家公司損失慘重，因此，如果安裝了微軟的SQLServer，有必要做這些事：1)更新數(shù)據(jù)庫補丁;2)更改數(shù)據(jù)庫的默認(rèn)服務(wù)端口(1433);3)在防火墻上屏蔽數(shù)據(jù)庫服務(wù)端口;4)保證sa口令非空。

另外，在Windows服務(wù)器上安裝殺毒軟件是絕對必須的，并且要經(jīng)常更新病毒庫，定期運行殺毒軟件查殺病毒。

不要運行不必要的服務(wù)，尤其是IIS，如果不需要它，就根本不要安裝。IIS歷來存在眾多問題，有幾點在配置時值得注意：1)操作系統(tǒng)補丁版本不得低于SP3;2)不要在默認(rèn)路徑運行WEB(默認(rèn)是c:\inetpub\wwwroot);3)以下ISAPI應(yīng)用程序擴展可被刪掉：.ida.idq.idc .shtm .shtml .printer。

Freebsd的初始安全配置

Freebsd在設(shè)計之初就考慮了安全問題，在初次安裝完成后，它基本只打開了22(SSH)和25(Sendmail)端口，然而，即使是Sendmail也應(yīng)該把它關(guān)閉(因為歷史上Sendmail存在諸多安全問題)。方式是編輯/etc/rc.conf文件，改動和增加如下四句：

sendmail_enable="NO"

sendmail_submit_enable="NO"

sendmail_outbound_enable="NO"

sendmail_msp_queue_enable="NO"

這樣就禁止了Sendmail的功能，除非你的服務(wù)器處于一個安全的內(nèi)網(wǎng)(例如在防火墻之后并且網(wǎng)段中無其他公司主機)，否則不要打開Sendmail。

禁止網(wǎng)絡(luò)日志：在/etc/rc.conf中保證有如下行：

syslogd_flags="-ss"

這樣做禁止了來自遠程主機的日志記錄并關(guān)閉514端口，但仍允許記錄本機日志。

禁止NFS服務(wù)：在/etc/rc.conf中有如下幾行：

nfs_server_enable="NO"

nfs_client_enable="NO"

portmap_enable="NO"

有些情況下很需要NFS服務(wù)，例如用戶上傳圖片的目錄通常需要共享出來供幾臺WEB服務(wù)器使用，就要用到NFS。同理，要打開NFS，必須保證你的服務(wù)器處于安全的內(nèi)網(wǎng)，如果NFS服務(wù)器可以被其他人訪問到，那么系統(tǒng)存在較大風(fēng)險。保證/etc/inetd.conf文件中所有服務(wù)都被注銷，跟其他系統(tǒng)不同，不要由inetd運行任何服務(wù)。將如下語句加進/etc/rc.conf：

inetd_enable="NO"

所有對/etc/rc.conf文件的修改執(zhí)行完后都應(yīng)重啟系統(tǒng)。

如果要運行Apache，請編輯httpd.conf文件，修改如下選項以增進安全或性能：

1) Timeout 300>Timeout 120

2) MaxKeepAliveRequests 256

3) ServerSignature on>ServerSignature off

4) Options IndexesFollowSymLinks行把indexes刪掉(目錄的Options不要帶index選項)

5) 將Apache運行的用戶和組改為nobody

6) MaxClients 150——>MaxClients 1500

(如果要使用Apache，內(nèi)核一定要重新編譯，否則通不過Apache的壓力測試，關(guān)于如何配置和管理WEB服務(wù)器請見我的另一篇文章)

如果要運行FTP服務(wù)，請安裝proftpd，它比較安全。在任何服務(wù)器上，都不要打開匿名FTP。

Windows 2000 Server和Freebsd兩種服務(wù)器的安全配置就向大家介紹完了，希望大家已經(jīng)掌握。
如果有需要服務(wù)器的租用與托管的敬請聯(lián)系QQ：１５０１２８１７５８（億恩星辰）　　　聯(lián)系電話：０３７１—６３３２２２２０

服務(wù)器租用/服務(wù)器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]