服务器安全管理服务系统 服务器安全管理制度

系统与服务器安全管理

Windows 2000 Server、Freebsd是两种常见的服务器。第一种是微软的产品,方便好用,但是,你必须要不断的patch它。Freebsd是一种优雅的操作系统,它简洁的内核和优异的性能让人感动。关于这几种操作系统的安全,每种都可以写一本书。我不会在这里对它们进行详细描述,只讲一些系统初始化安全配置。

创新互联建站始终坚持【策划先行,效果至上】的经营理念,通过多达10余年累计超上千家客户的网站建设总结了一套系统有效的全网营销推广解决方案,现已广泛运用于各行各业的客户,其中包括:成都水泥搅拌车等企业,备受客户赞扬。

Windows2000 Server的初始安全配置

Windows的服务器在运行时,都会打开一些端口,如135、139、445等。这些端口用于Windows本身的功能需要,冒失的关闭它们会影响到Windows的功能。然而,正是因为这些端口的存在,给Windows服务器带来诸多的安全风险。远程攻击者可以利用这些开放端口来广泛的收集目标主机信息,包括操作系统版本、域SID、域用户名、主机SID、主机用户名、帐号信息、网络共享信息、网络时间信息、Netbios名字、网络接口信息等,并可用来枚举帐号和口令。今年8月份和9月份,微软先后发布了两个基于135端口的RPCDCOM漏洞的安全公告,分别是MS03-026和 MS03-039,该漏洞风险级别高,攻击者可以利用它来获取系统权限。而类似于这样的漏洞在微软的操作系统中经常存在。

解决这类问题的通用方法是打补丁,微软有保持用户补丁更新的良好习惯,并且它的Windows2000SP4安装后可通过WindowsUpdate来自动升级系统补丁。另外,在防火墙上明确屏蔽来自因特网的对135-139和445、593端口的访问也是明智之举。

Microsoft的SQLServer数据库服务也容易被攻击,今年3月份盛行的SQL蠕虫即使得多家公司损失惨重,因此,如果安装了微软的'SQLServer,有必要做这些事:1)更新数据库补丁;2)更改数据库的默认服务端口(1433);3)在防火墙上屏蔽数据库服务端口;4)保证 sa口令非空。

另外,在Windows服务器上安装杀毒软件是绝对必须的,并且要经常更新病毒库,定期运行杀毒软件查杀病毒。

不要运行不必要的服务,尤其是IIS,如果不需要它,就根本不要安装。IIS历来存在众多问题,有几点在配置时值得注意:1)操作系统补丁版本不得低于SP3;2)不要在默认路径运行WEB(默认是c:inetpubwwwroot);3)以下ISAPI应用程序扩展可被删掉:。 ida.idq.idc .shtm .shtml .printer。

Freebsd的初始安全配置

Freebsd在设计之初就考虑了安全问题,在初次安装完成后,它基本只打开了22(SSH)和25(Sendmail)端口,然而,即使是 Sendmail也应该把它关闭(因为历史上Sendmail存在诸多安全问题)。方式是编辑/etc/rc.conf文件,改动和增加如下四句:

sendmail_enable="NO"

sendmail_submit_enable="NO"

sendmail_outbound_enable="NO"

sendmail_msp_queue_enable="NO"

这样就禁止了Sendmail的功能,除非你的服务器处于一个安全的内网(例如在防火墙之后并且网段中无其他公司主机),否则不要打开Sendmail。

禁止网络日志:在/etc/rc.conf中保证有如下行:

syslogd_flags="-ss"

这样做禁止了来自远程主机的日志记录并关闭514端口,但仍允许记录本机日志。

禁止NFS服务:在/etc/rc.conf中有如下几行:

nfs_server_enable="NO"

nfs_client_enable="NO"

portmap_enable="NO"

有些情况下很需要NFS服务,例如用户上传图片的目录通常需要共享出来供几台WEB服务器使用,就要用到NFS。同理,要打开NFS,必须保证你的服务器处于安全的内网,如果NFS服务器可以被其他人访问到,那么系统存在较大风险。保证/etc/inetd.conf文件中所有服务都被注销,跟其他系统不同,不要由inetd运行任何服务。将如下语句加进/etc/rc.conf:

inetd_enable="NO"

所有对/etc/rc.conf文件的修改执行完后都应重启系统。

如果要运行Apache,请编辑httpd.conf文件,修改如下选项以增进安全或性能:

1) Timeout 300Timeout 120

2) MaxKeepAliveRequests 256

3) ServerSignature onServerSignature off

4) Options IndexesFollowSymLinks行把indexes删掉(目录的Options不要带index选项)

5) 将Apache运行的用户和组改为nobody

6) MaxClients 150——MaxClients 1500

(如果要使用Apache,内核一定要重新编译,否则通不过Apache的压力测试,关于如何配置和管理WEB服务器请见我的另一篇文章)

如果要运行FTP服务,请安装proftpd,它比较安全。在任何服务器上,都不要打开匿名FTP。

Windows 2000 Server和Freebsd两种服务器的安全配置就向大家介绍完了,希望大家已经掌握。

天锐绿盾应用服务器安全接入系统的优势是什么?

产品简介

应用服务器安全接入系统,支持与数据防泄密系统形成统一管理平台,实现应用服务器数据的安全保护。从终端身份识别、传输通道加密、落地加密保护等多方面进行应用数据安全访问控制,确保访问受控应用服务器的终端合法性以及数据传输过程的安全性。

版本介绍

专业版

面向企事业单位通用需求,秉承"让防泄密的管理更简单有效"的核心理念,在汲取大量客户成功应用经验的基础上,推出"天锐绿盾专业版"。该版本功能主要包含文件加密、企业密钥管理、离线管理、文件外发管理、文件备份、审批管理、外发机器码白名单、外发阅读器、邮件白名单、服务器白名单、便携式解密终端、Linux平台信息安全管理系统、应用安全接入设置、屏幕水印等。

行业版

面向各行业的客户需求,结合天锐绿盾多年来在各行业的成功应用,秉着"让天锐绿盾在各行业客户应用更有针对性、更完整性、更贴切"的核心理念,量身打造,推出"天锐绿盾行业版"。在专业版基础上,新增加了工作模式切换、移动终端管理、支持邮件安全网关接口、支持应用服务器接入系统接口、行业增强包、WEB审批等功能。

旗舰版

面向大型用户需求复杂、用户数规模大的特点,在行业版基础上,增加支持服务器分布式部署方式等功能,针对性推出高性能的"天锐绿盾旗舰版",让天锐绿盾满足大型客户的需求。

功能模块介绍

终端安全准入

只允许安装有“天锐绿盾数据防泄密系统”的终端能够正常访问应用服务器。

数据加密安全通道

客户端与公司内部应用服务器之间的数据传输, 通过数据文件加密安全通道实现数据的安全传输,有效保障了数据在传输过程中不被窃取。

应用服务器防伪造

通过“端到端”的控制,对客户端访问应用服务器进行绑定连接,有效控制因为仿冒服务器而造成的数据泄密。

方案优势

1.实现系统与应用服务器绑定连接,有效控制因为仿冒服务器而造成的数据泄露;

2.系统支持所有基于TCP协议的连接,无需对应用系统进行二次开发;

3.系统部署方式灵活,支持串联和旁路连接;

4.数据在传输过程中进行文件加密防护,防止数据在传输过程中被非法分子监听、盗取。

云帮手干嘛用的,有什么功能?

云帮手是一款集中化服务器管理软件,提供全方位的云服务器管理服务。融合大数据分析、可视化、态势感知、威胁情报分析技术,为客户提供一站式云安全产品、服务和解决方案,实现服务器、网站及业务的安全稳定运行。

其全面支持所有主流云服务提供商,同时兼容Windows、CentOS、Ubuntu、Debian、OpenSUSE、Fedora等主流云服务器操作系统。支持多台服务器可视化管理,监控告警,日志分析等便捷功能,提供跨云多平台一站式批量云服务器安全管理服务。

多重防护安全保障

全方位立体化纵深防御机制,保障云服务器系统安全、应用安全!

安全巡检一键修复

云帮手官方版为您提供24小时不间断健康巡检、全面体检、系统一键加固、系统漏洞扫描一键修复,风险将无处可藏!

批量管理环境一键部署

化繁为简集中批量管理云服务器、一键部署Web、应用运行环境,让运维得心应手、事半功倍!

跨平台远程登录文件管理

集成Windows系统RDP远程桌面协议、Linux系统SSH远程登录协议,让远程登录如临其境;模拟Windows文件浏览器,让远程文件管理触手可及!


名称栏目:服务器安全管理服务系统 服务器安全管理制度
分享地址:http://cdiso.cn/article/ddissjp.html

其他资讯