浅谈服务器安全维护
开篇:润墨网以专业的文秘视角,为您筛选了一篇浅谈服务器安全维护范文,如需获取更多写作素材,在线客服老师一对一协助。欢迎您的阅读与分享!
【摘 要】随着信息技术的不断进步,现在各单位都建立了自己的网站和局域网,各单位为保证其自身网络安全,将服务器的安全维护作为本单位信息工作的重中之重。本人作为信息管理的一员,在实际维护工作中碰到过不少问题,对服务器安全有一定认识,同时也积累了部分经验,本文将从硬件维护和软件维护两个方面对服务器安全维护进行论述。
【关键词】硬件;补丁;漏洞;日志;服务;备份
1.硬件维护
硬件维护同软件具有同等重要的地位。各位管理员一定要在对服务器乃至整个网络环境的硬件系统有个清楚的了解,这才能做到心中有数。硬件方面的维护相对简单,不外乎就是一些增加和卸载设备、更换设备以及设备除尘、防火防潮等工作。
1.1内存和硬盘容量增容
当服务器安装的应用程序增多、网络资源提升时、网络应用多元化时,为保证服务器运行速度与工作效率,需要对服务器内存进行扩充以适应不断发展的需要。需要注意的是加内存时应该选择与原内存同厂商、同型号的内存条为宜,增加硬盘时也要选择与原接口相匹配的,否则可能会导致系统出错无法启动。
1.2服务器的拆卸必须小心
拆服务器时里面倒不是大问题,关键是在开机箱时一定要注意,不少的服务器机箱暗藏玄机,一定要事先仔细阅读说明书后再下手。
1.3做好防尘除尘工作防
很多莫名其妙的故障都是尘土“惹的祸”,一般来说每个月都应定期的拆机除尘一次。
1.4优化功能,避免资源浪费
服务器一般都提供磁盘阵列功能,目前不少的机房服务器都只有一块硬盘,这样没有数据冗余的保障,也就没有了对于存储方面的安全保障和性能优化。另外不少管理员只认为某些组件最重要,集中投入维护,从而忽略了其它组件的优化工维护,使得这些组件的功能、性能都得不到很好的发挥,造成了资源浪费。
2.软件维护
软件系统方面的维护是服务器维护量最大的一部分,一般包括操作系统、网络服务、数据库服务、用户数据等各方面的维护。目前,恶意的网络攻击行为包括两类:一是恶意的攻击行为,如拒绝服务攻击、网络病毒等,这些行为消耗大量的服务器资源,影响服务器的运行速度和正常工作,甚至使服务器所在的网络瘫痪;另外一类是恶意的入侵行为,这种行为会导致服务器敏感信息泄露,入侵者更是可以为所欲为,肆意破坏服务器。要保障网络服务器的安全就要尽量使网络服务器避免受这两种行为的影响。
2.1操作系统的维护
操作系统是服务器运行的软件基础,其重要性不言自明。现在多数服务器操作系统使用Windows NT或Windows 2003 Server作为操作系统,维护起来比较容易。在Windows NT或Windows 2000 Server中,应经常打开事件查看器,在系统日志、安全日志和应用程序日志中查看有没有特别异常的记录。
2.2扫描系统漏洞
使用漏洞扫描和风险评估工具定期对服务器进行扫描,来发现潜在的安全问题,并确保由于升级或修改配置等正常的维护工作不会带来安全问题。微软有专门人力检查并修补安全漏洞,这些修补程序有时会被收集成service pack(服务包)。服务包通常有两种版本:一个任何人都可以使用的40位的版本,另一个是只能在美国和加拿大发行的128位版本。128位的版本使用128位的加密算法,比40位的版本要安全得多。一个服务包有时得等上好几个月才发行一次,好在微软会定期将重要的修补程序在它的FTP站上,这些最新修补程序都尚未收录到最新一版的服务包里,我们可以经常去看看最新修补程序,但要切记,修补程序一定要按一定顺序来使用,若安装顺序错乱的话,可能会导致一些文件的版本错误,也可能造成Windows当机。
2.3关闭不需要的服务
网络服务有很多,如WWW服务、DNS服务、DHCP服务、SMTP服务、FTP服务等,随着服务器提供的服务越来越多,系统也容易混乱、安全性也将降低,此时可能需要重新设定各个服务的参数,打开防火墙,使之安全而正常的运行。我们可根据实际需要关闭不必要的服务,如:WEB服务器最好是只提供WWW服务,安装操作系统的最新补丁,将WWW服务升级到最新版本并安装所有补丁,合理配置增强WWW服务器本身的安全。
2.4合理的权限管理
大多时候,为了降低成本,一台服务器不仅运行了WEB的应用,而且还会提供诸如FTP和流媒体之类的服务。在同一台服务器上使用多种网络服务很可能造成服务之间的相互感染。也就是说,攻击者只要攻击一种服务,就可以运用相关的技能攻陷其他使用。因为攻击者只需要攻破其中一种服务,就可以运用这个服务平台从内部攻击其他服务,通常来说,从内部执行攻击要比外部执行攻击方便得多。
我们通常采用的文件系统是FAT或者FAT32。NTFS是微软WindowsNT内核的系列操作系统支持的、一个特别针对网络和磁盘配额、文件加密等管理安全特性设计的磁盘格式。在NTFS文件系统里可以为任何一个磁盘分区单独设置访问权限,可以把敏感信息和服务信息分别放在不同的磁盘分区。这样,即使黑客通过某些方法获得服务文件所在磁盘分区的访问权限,还需要破解系统的安全设置才能进一步访问保存在其他磁盘上的敏感信息。我们采用Windows2003服务器,为了实现这个安全需求,可把服务器中所有的硬盘都转换为NTFS分区。一般来说,NTFS分区比FAT分区安全性高很多。运用NTFS分区自带的功能,合理为它们分配相关的权限。如为这三个服务配置不同的维护员账户,不同的账户只能对特定的分区与目录进行访问。这样一来,即使某个维护员账户失窃,攻击者也只能访问该服务的存储空间,而不能访问其他服务的。
2.5安装网络杀毒软件
安装必要的防火墙,阻止各种扫描工具的试探及信息收集,根据一些安全报告来阻止来自某些特定IP地址范围的机器连接,给服务器增加一个防护层,同时需要对防火墙内的网络环境进行调整,消除内部网络的安全隐患。
2.6定期数据备份
定期对服务器进行备份,防止不能预料的系统故障或用户不小心的非法操作。作好服务器系统备份,在系统遭破坏的时候可以及时恢复。
2.7监测系统日志
通过运行系统日志程序,定期检查最近登录时间、使用的账号、进行的活动等。定期生成报表,通过对报表进行分析,分析是否存在异常现象。 [科]
【参考文献】
[1]JAMES F.KUROSE,KEITH W.ROSS.计算机网络——自顶向下方法与Internet特色.北京:机械工业出版社,2005.
[2]W.RICHARD STEVENS,BILL FENNER,ANDREW M.RUDOFF. UNIX网络编程第1卷套接口API(第3版).北京:清华大学出版社,2006,6.
[3]W.RICHARD STEVENS,STEPHEN A.RAGO. UNIX环境高级编程(第2版).北京:人民邮电出版社,2006.
[4]郑齐,方思行.通用多线程服务器的设计与实现.计算机工程与应用,2003.16:146-147.
[5]邵芬,于国防,张宁.基于多线程的HTTP服务器的设计与实现.工矿自动化,2007.8:134-136.
[6]孙霞.基于java的高效多线程HTTP服务器的研究及实现.福建电脑,2003.11:38-39.
[7]李磊.嵌入式WEB服务器软件的设计与实现.计算机工程与设计2003(10).