網(wǎng)站服務(wù)器安全維護(hù)的六個(gè)技巧

網(wǎng)站服務(wù)器的維護(hù)至關(guān)重要，稍有閃失即會(huì)使整個(gè)網(wǎng)絡(luò)陷入癱瘓。目前，惡意的網(wǎng)絡(luò)攻擊行為包括兩類：一是惡意的攻擊行為，如拒絕服務(wù)攻擊、網(wǎng)絡(luò)病毒等，這些行為消耗大量的服務(wù)器資源，影響服務(wù)器的運(yùn)行速度和正常工作，甚至使服務(wù)器所在的網(wǎng)絡(luò)癱瘓;另外一類是惡意的入侵行為，這種行為會(huì)導(dǎo)致服務(wù)器敏感信息泄露，入侵者更是可以為所欲為，肆意破壞服務(wù)器。要保障網(wǎng)絡(luò)服務(wù)器的安全就要盡量使網(wǎng)絡(luò)服務(wù)器避免受這兩種行為的影響。本文以基于Windows2003操作系統(tǒng)的服務(wù)器為例，介紹一些網(wǎng)站服務(wù)器安全維護(hù)的技巧。

1.轉(zhuǎn)換角色，模擬可能的攻擊

多數(shù)時(shí)候，我們?nèi)糁皇钦驹?a href="http://www.muchs.cn/weihu/" target="_blank">網(wǎng)站維護(hù)員的位置上思考問(wèn)題，可能很難發(fā)覺網(wǎng)站服務(wù)器的漏洞。相反，維護(hù)員若能換個(gè)角度，把自身當(dāng)作可能的攻擊者，從他們的角色出發(fā)，揣測(cè)他們可能會(huì)運(yùn)用哪些手段對(duì)哪些網(wǎng)站服務(wù)器的漏洞進(jìn)行攻擊，或許就可以發(fā)現(xiàn)網(wǎng)站服務(wù)器可能存在的安全漏洞，從而先行一步，修補(bǔ)漏洞，避免被木馬或者病毒攻擊，防患于未然。

從外網(wǎng)訪問(wèn)自身的網(wǎng)站服務(wù)器，執(zhí)行完整的檢測(cè)，然后模擬攻擊者攻擊自身的站點(diǎn)，看會(huì)有什么結(jié)果。這對(duì)于網(wǎng)站的安全性來(lái)說(shuō)，無(wú)疑是一種很好的檢測(cè)方法。自己充當(dāng)攻擊者，運(yùn)用適當(dāng)?shù)膾呙韫ぞ邔?duì)網(wǎng)站服務(wù)器執(zhí)行掃描，有些東西日?？赡懿粫?huì)引起重視，但是運(yùn)用黑客常用的工具執(zhí)行掃描，就會(huì)發(fā)覺一些可能會(huì)被他們調(diào)用的服務(wù)或者漏洞。如在網(wǎng)站服務(wù)器安裝的時(shí)候，操作系統(tǒng)會(huì)默認(rèn)安裝并啟動(dòng)一些不需要的服務(wù)，或者在服務(wù)器配置的時(shí)候，需要啟動(dòng)一些服務(wù)，但是事后沒有及時(shí)關(guān)上，從而給不法攻擊者留下攻擊的機(jī)會(huì)。常見的如SNMP服務(wù)(基本網(wǎng)絡(luò)維護(hù)協(xié)議)，這個(gè)服務(wù)在系統(tǒng)安裝完畢后默認(rèn)是開啟的。但是，這個(gè)服務(wù)可以為攻擊者提供服務(wù)器系統(tǒng)的詳細(xì)信息，如網(wǎng)站服務(wù)器采用了什么操作系統(tǒng)，開啟了什么服務(wù)與對(duì)應(yīng)的端口等重要信息，攻擊者只要清楚這些基本的信息就能開展攻擊。安全維護(hù)人員在日常工作中可能不會(huì)發(fā)覺這個(gè)問(wèn)題，若借助黑客的掃描工具，就能發(fā)現(xiàn)問(wèn)題所在。因此，在必要的時(shí)候可以換個(gè)角度，從攻擊者的角度出發(fā)，猜測(cè)他們會(huì)采用什么攻擊手段，防止出現(xiàn)當(dāng)局者迷的情況。

2.合理的權(quán)限維護(hù)

大多時(shí)候，一臺(tái)服務(wù)器不僅運(yùn)行了網(wǎng)站的應(yīng)用，而且還會(huì)運(yùn)行諸如FTP服務(wù)器和流媒體服務(wù)器之類的網(wǎng)絡(luò)服務(wù)。在同一臺(tái)服務(wù)器上使用多種網(wǎng)絡(luò)服務(wù)很可能造成服務(wù)之間的相互感染。也就是說(shuō)，攻擊者只要攻擊一種服務(wù)，就可以運(yùn)用相關(guān)的技能攻陷其他使用。因?yàn)楣粽咧恍枰テ破渲幸环N服務(wù)，就可以運(yùn)用這個(gè)服務(wù)平臺(tái)從內(nèi)部攻擊其他服務(wù)，通常來(lái)說(shuō)，從內(nèi)部執(zhí)行攻擊要比外部執(zhí)行攻擊方便得多。

或許有人會(huì)說(shuō)，不同的服務(wù)采用不同服務(wù)器就可以了。當(dāng)然可以，但這樣浪費(fèi)很大，因?yàn)閺男阅苌现v，在服務(wù)器上同時(shí)部署Web服務(wù)與FTP服務(wù)及流媒體服務(wù)的話，是完全可行的。為此，從成本考慮，我們使用一個(gè)服務(wù)器同時(shí)運(yùn)行三種服務(wù)：一個(gè)是傳統(tǒng)的網(wǎng)站服務(wù);二是FTP服務(wù);三是流媒體服務(wù)，因?yàn)樵摲?wù)是mms模式的，互聯(lián)網(wǎng)上也可以直接訪問(wèn)流媒體服務(wù)器，所以也就部署同一臺(tái)服務(wù)器上。由于選用的服務(wù)器配置比較高，所以，運(yùn)行這三個(gè)服務(wù)沒有太大問(wèn)題，性能也不會(huì)受到影響。但是這給網(wǎng)站安全維護(hù)者出了一個(gè)難題：兩種、甚至兩種以上的服務(wù)同時(shí)部署在一臺(tái)服務(wù)器上，怎么才能保障安全、防止彼此相互感染呢?

通常采用的文件系統(tǒng)是FAT或者FAT32。NTFS是微軟WindowsNT內(nèi)核的系列操作系統(tǒng)支持的、一個(gè)特別為網(wǎng)絡(luò)和磁盤配額、文件加密等管理安全特性設(shè)計(jì)的磁盤格式。在NTFS文件系統(tǒng)里可以為任何一個(gè)磁盤分區(qū)單獨(dú)設(shè)置訪問(wèn)權(quán)限，把敏感信息和服務(wù)信息分別放在不同的磁盤分區(qū)。這樣，即使黑客通過(guò)某些方法獲得服務(wù)文件所在磁盤分區(qū)的訪問(wèn)權(quán)限，還需要想方設(shè)法突破系統(tǒng)的安全設(shè)置才能進(jìn)一步訪問(wèn)保存在其他磁盤上的敏感信息。我們采用Windows2003服務(wù)器，為了實(shí)現(xiàn)這個(gè)安全需求，把服務(wù)器中所有的硬盤都轉(zhuǎn)換為NTFS分區(qū)。通常來(lái)說(shuō)，NTFS分區(qū)比FAT分區(qū)安全性高很多。運(yùn)用NTFS分區(qū)自帶的功能，合理為它們分配相關(guān)的權(quán)限。如為這三個(gè)服務(wù)配置不同的維護(hù)員賬戶，不同的賬戶只能對(duì)特定的分區(qū)與目錄執(zhí)行訪問(wèn)。如此一來(lái)，即使某個(gè)維護(hù)員賬戶失竊，天下論文網(wǎng)攻擊者也只能訪問(wèn)某個(gè)服務(wù)的存儲(chǔ)空間，而不能訪問(wèn)其他服務(wù)的。例如把網(wǎng)站服務(wù)裝在分區(qū)D，而把FTP服務(wù)放在分區(qū)E。若FTP的賬戶信息泄露而被攻擊，但是因?yàn)镕TP賬戶沒有對(duì)分區(qū)D具有讀寫的權(quán)利，所以，不會(huì)對(duì)網(wǎng)站服務(wù)器上的內(nèi)容執(zhí)行任何的讀寫操作。這樣可以保障即使黑客攻陷FTP服務(wù)器后，也不會(huì)對(duì)網(wǎng)站服務(wù)器產(chǎn)生不良的影響。

此外，依員工上班時(shí)間來(lái)限定使用者登錄網(wǎng)絡(luò)的權(quán)限也是一個(gè)不錯(cuò)的方法。例如，上白天班的員工不該有權(quán)限在三更半夜登錄網(wǎng)絡(luò)。

3.腳本安全維護(hù)

實(shí)際工作中，許多網(wǎng)站服務(wù)器因?yàn)楸还舳c瘓都是由于不良的腳本造成的。攻擊者特別喜歡針對(duì)CGI程序或者PHP腳本實(shí)施攻擊。

通常來(lái)說(shuō)，使用網(wǎng)站需要傳遞一些必要的參數(shù)，才能夠正常訪問(wèn)。這個(gè)參數(shù)可以分為兩類，一個(gè)是值得信任的參數(shù)，另外一類是不值得信任的參數(shù)。某單位是自身維護(hù)網(wǎng)站服務(wù)器，而不是托管，把服務(wù)器放置在單位防火墻內(nèi)部，以提高網(wǎng)站服務(wù)器的安全性。所以一般來(lái)說(shuō)，來(lái)自防火墻內(nèi)部的參數(shù)都是可靠的，值得信任的，而來(lái)自外部的參數(shù)基本上是不值得信任的。但是，并不是說(shuō)不值得信任的參數(shù)或者來(lái)自防火墻外部的參數(shù)網(wǎng)站服務(wù)器都不采用，而是說(shuō)，在網(wǎng)站服務(wù)器設(shè)計(jì)的時(shí)候，需要格外留心，采用這些不值得信任的參數(shù)的時(shí)候需要執(zhí)行檢驗(yàn)，看其是否正當(dāng)，而不能向來(lái)自網(wǎng)站內(nèi)部的參數(shù)那樣照收不誤。這會(huì)給網(wǎng)站服務(wù)器的安全帶來(lái)隱患，例如，攻擊者運(yùn)用TELNET連接到80端口，就可以向CGL腳本傳遞不安全的參數(shù)。所以，在CGI程序編寫或者PHP腳本編輯的時(shí)候，我們要留心，不能讓其隨便接受陌生人的參數(shù)。在接受參數(shù)之前，要先檢驗(yàn)提供參數(shù)的人或者參數(shù)本身的正當(dāng)性。在程序或者腳本編寫的時(shí)候，可以預(yù)先參加一些判斷條件。當(dāng)服務(wù)器認(rèn)為提供的參數(shù)不準(zhǔn)確的時(shí)候，及時(shí)通知維護(hù)員。這也可以幫助我們盡早發(fā)覺可能存在的攻擊者，并及時(shí)采取相應(yīng)的防御措施。

4.做好系統(tǒng)備份

常言道，“有備無(wú)患”，雖然大家都不希望系統(tǒng)突然遭到破壞，但是做好準(zhǔn)備是必須的。作好服務(wù)器系統(tǒng)備份，萬(wàn)一遭破壞的時(shí)候也可以及時(shí)恢復(fù)。

5.安裝軟件防火墻、殺毒軟件

雖然我們已經(jīng)有了一套硬件的防御系統(tǒng)，但是多一些保障會(huì)更好。關(guān)于防火墻、殺毒軟件的論述已經(jīng)很多，這里不再贅述。

6.開啟事件日志

開啟日志服務(wù)雖然對(duì)阻止黑客的入侵并沒有直接的作用，但是它可以記錄黑客的行蹤，維護(hù)員可以分析入侵者在系統(tǒng)上做過(guò)什么手腳，在系統(tǒng)上留了哪些后門，給系統(tǒng)造成了哪些破壞及隱患，服務(wù)器到底還存在哪些安全漏洞等，以便有針對(duì)性地實(shí)施維護(hù)。

對(duì)于整個(gè)網(wǎng)絡(luò)來(lái)說(shuō)，服務(wù)器維護(hù)是非常重要的，如果沒有維護(hù)得當(dāng)，就可能導(dǎo)致整個(gè)服務(wù)器都不能運(yùn)行，而且現(xiàn)在大量的網(wǎng)絡(luò)病毒和攻擊正在產(chǎn)生，一種是惡 意的攻擊，就像病毒一樣，這些惡意的攻擊會(huì)使得資源的大量損耗，就會(huì)使得服務(wù)器的運(yùn)行不能進(jìn)行，有些嚴(yán)重的病毒還可能導(dǎo)致整個(gè)服務(wù)器不能使用從而報(bào)廢。另 一種就是一種入侵的行為，這種行為會(huì)損失一些信息，在商家競(jìng)爭(zhēng)的過(guò)程中，可能會(huì)有一些不法的商家會(huì)采取一些措施對(duì)對(duì)方的服務(wù)器進(jìn)行入侵行為，所以，維護(hù)服 務(wù)器的安全就是要使得這兩種情況不會(huì)在自己的服務(wù)器上發(fā)生。

很多情況下，我們只是作為一個(gè)網(wǎng)絡(luò)維護(hù)員來(lái)修理或者維護(hù)網(wǎng)站的服務(wù)器，但是這樣的話就會(huì)發(fā)現(xiàn)不了網(wǎng)站的漏洞。反而，如果站在對(duì)方的角度，把自己作為 一個(gè)攻擊網(wǎng)站的人來(lái)看，就會(huì)想著他們會(huì)用什么辦法從什么方向來(lái)攻擊網(wǎng)站，那樣就會(huì)抓準(zhǔn)方向來(lái)維護(hù)網(wǎng)站，然后去可能的地方來(lái)找漏洞，然后就更快更準(zhǔn)確的對(duì)漏 洞進(jìn)行修補(bǔ)，或者在他們沒有采取措施的情況下就對(duì)可能產(chǎn)生的漏洞進(jìn)行維護(hù)，這樣的一種將心比心的方法， 是一個(gè)網(wǎng)站服務(wù)器維護(hù)不錯(cuò)的技巧。還有就是流媒體。流媒體服務(wù)是一種mms的模式的服務(wù)，我們就從互聯(lián)網(wǎng)上，運(yùn)用流媒體服務(wù)器，一下可以運(yùn)行三個(gè)服務(wù)，在 性能和服務(wù)技巧方面都沒有問(wèn)題，把幾種服務(wù)同時(shí)用在一個(gè)服務(wù)器上的這種方法也可以防止網(wǎng)絡(luò)漏洞，保證安全。

再就是一種要把系統(tǒng)的備份做好，其實(shí)家用電腦也有這樣的常識(shí)，就是假如電腦壞掉了，如果有備份，東西就不會(huì)都丟掉。所以在維護(hù)網(wǎng)絡(luò)服務(wù)器方面要做好 這樣的準(zhǔn)備，萬(wàn)一系統(tǒng)壞掉了，在修復(fù)的時(shí)候也可以及時(shí)恢復(fù)。還有一種常見的方法就是安裝殺毒軟件之類的，越來(lái)越多的防火墻和殺毒軟件，平時(shí)多對(duì)電腦進(jìn)行殺 毒，對(duì)一些病毒進(jìn)行及時(shí)的清理。還有就是電腦中事件日志這個(gè)服務(wù)可以開啟，雖然對(duì)病毒的存在和入侵沒有什么大的作用，但是可以記錄歷史，在修復(fù)的時(shí)候就方 便了很多，在以后的維護(hù)上也知道了方向，所以這種維護(hù)網(wǎng)站服務(wù)器的方法都很有效。

新聞標(biāo)題：網(wǎng)站服務(wù)器安全維護(hù)的六個(gè)技巧
網(wǎng)頁(yè)URL：http://www.muchs.cn/news26/170276.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供網(wǎng)站導(dǎo)航、品牌網(wǎng)站設(shè)計(jì)、移動(dòng)網(wǎng)站建設(shè)、建站公司、企業(yè)網(wǎng)站制作、網(wǎng)站策劃

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來(lái)源： 創(chuàng)新互聯(lián)