網(wǎng)站主機(jī)安全之系統(tǒng)與服務(wù)器安全管理 續(xù)

Linux和Solaris是另外兩種種常見(jiàn)的服務(wù)器。Linux和Freebsd一樣，是免費(fèi)的操作系統(tǒng)，它們都廣泛使用GNU(一個(gè)偉大的組織)的實(shí)用工具集，Linux容易上手，但不如Freebsd簡(jiǎn)潔。Solaris是SUN的商用操作系統(tǒng)，關(guān)于SUNOS的文章在網(wǎng)上被貼得到處都是，但遺憾的是，它看起來(lái)并不快，而且，你也要經(jīng)常對(duì)它打補(bǔ)丁。下面就讓我們看看這兩種服務(wù)器的安全配置，以及服務(wù)器的安全管理的內(nèi)容。

Linux的初始安全配置

Linux安裝完成后，默認(rèn)會(huì)打開(kāi)一些不必要端口，運(yùn)行netstat –angrepLISTEN命令看一下，會(huì)看到本機(jī)打開(kāi)的所有端口。除了必須的網(wǎng)絡(luò)端口如SSH、FTP和WEB，其他端口都關(guān)閉。如果你不熟悉這些端口對(duì)應(yīng)什么程序，那么請(qǐng)參看/etc/services文件，里面有端口和服務(wù)的對(duì)應(yīng)列表。

在Redhat9.0默認(rèn)安裝完成后，請(qǐng)進(jìn)入/etc/rc2.d和/etc/rc3.d，將系統(tǒng)啟動(dòng)時(shí)打開(kāi)的不必要服務(wù)都在這里注銷(xiāo)掉。這些服務(wù)通常包括sendmail、NFS、rpc等，注銷(xiāo)的方法是將S打頭的相關(guān)服務(wù)文件重命名(注意不要命名為S或K打頭的其他文件)。

例如將/etc/rc2.d/S80sendmail 改名為 X80sendmail

將/etc/rc3.d/S13portmap S14nfslock S28autofs S80sendmail改名為X13portmap X14nfslock X28autofs X80sendmail

RPC的安全問(wèn)題歷來(lái)很多，請(qǐng)注意一定不要打開(kāi)111端口。

改完后需要重啟Linux服務(wù)器。

如果你的Linux直接面對(duì)因特網(wǎng)，那么可以配置它的防火墻來(lái)實(shí)現(xiàn)訪問(wèn)控制。Linux2.4內(nèi)核支持iptables，2.4以下支持ipchains，它們的語(yǔ)法差不多，都是很好的防火墻工具。例如，如果你只允許從因特網(wǎng)訪問(wèn)SSH和WWW服務(wù)，那么可將如下語(yǔ)句加進(jìn)/etc/rc.d/rc.local文件：

/sbin/iptables -F

/sbin/iptables -A INPUT -p tcp -d 211.96.13.* --dport 80 -ieth0-j ACCEPT

/sbin/iptables -A INPUT -p tcp -d 211.96.13.* --dport 22 -ieth0-j ACCEPT

/sbin/iptables -A INPUT -i eth0 -j DROP

說(shuō)明：iptables–F刷新iptables規(guī)則表，接下來(lái)兩條語(yǔ)句允許任何人訪問(wèn)211.96.13.*這個(gè)地址的WWW和SSH服務(wù)，最后一條DROP語(yǔ)句將不符合規(guī)則的其他訪問(wèn)過(guò)濾掉。這樣系統(tǒng)在啟動(dòng)后即可自動(dòng)運(yùn)行防火墻規(guī)則。

通常在Freebsd或Linux上會(huì)運(yùn)行Mysql數(shù)據(jù)庫(kù)服務(wù)，不要將數(shù)據(jù)庫(kù)服務(wù)端口(3306)暴露在防火墻之外。如果運(yùn)行Apache，同樣要做如Freebsd的修改。

Solaris的初始安全配置

關(guān)于Solaris的安全配置網(wǎng)上有一篇非常好的文章，叫做《The SolarisSecurityFAQ》，照著做就可以了。

1)禁止root從網(wǎng)絡(luò)直接登陸:修改/etc/default/login文件，確保CONSOLE=/dev/console被設(shè)置，該行只允許root從控制臺(tái)登陸。將root用戶(hù)加入/etc/ftpusers，保證root不可以遠(yuǎn)程使用ftp。

2)禁止rlogin和rsh訪問(wèn):刪除/etc/hosts.equiv和/.rhosts文件，從/etc/inetd.conf文件里注釋掉所有以r打頭的服務(wù)。

3) 帳號(hào)控制:刪除、鎖定或注釋掉不必要的系統(tǒng)帳號(hào)，包括sys/uucp/nuucp/listen等

4) 改變/etc目錄的訪問(wèn)權(quán)限:該目錄下文件不應(yīng)該對(duì)同組用戶(hù)可寫(xiě)，執(zhí)行：chmod –R g-w /etc (不推薦)

5) 在solaris2.5 以上版本的系統(tǒng)中，創(chuàng)建/etc/notrouter文件來(lái)關(guān)閉solaris默認(rèn)的路由轉(zhuǎn)發(fā)。

6) 禁止automounter：刪除/etc/auto_*配置文件，刪除/etc/init.d/autofs

7)禁止NFS服務(wù)：刪除/etc/dfs/dfstab，重命名/etc/rc3.d/S15nfs.server，重命名/etc/rc2.d/S73nfs.client(不要再以S打頭)

8) 禁止rpc服務(wù)：重命名/etc/rc2.d/S71RPC

9)修改/etc/inetd.conf文件，注釋掉大部分不必要服務(wù)，只保留telnet和ftp服務(wù)，然后重啟inetd進(jìn)程。

10) 給系統(tǒng)打補(bǔ)丁：包括各版本Solaris通用補(bǔ)丁和單個(gè)補(bǔ)丁集合。

11) 將如下三行加進(jìn)/etc/init.d/inetinit文件：

ndd -set /dev/ip ip_forward_directed_broadcasts 0

ndd -set /dev/ip ip_forward_src_routed 0

ndd -set /dev/ip ip_forwarding 0

這樣在系統(tǒng)啟動(dòng)后就關(guān)閉了IP轉(zhuǎn)發(fā)和IP源路由。

服務(wù)安全管理應(yīng)做的事

服務(wù)器安全管理是站點(diǎn)安全中最重要的一環(huán)，離開(kāi)了管理，安全將變得不切實(shí)際。以下也許是Windows系統(tǒng)安全管理員每天應(yīng)做的事：

1.檢查系統(tǒng)有無(wú)新增帳戶(hù)，并了解其來(lái)源及用途;查看管理員組里有無(wú)新增帳戶(hù)，該組的帳戶(hù)除系統(tǒng)最初設(shè)置外，以后不應(yīng)該增加帳戶(hù);

2. 在命令行狀態(tài)下，運(yùn)行netstat –an命令查看當(dāng)前連接及打開(kāi)的端口，查找可疑連接及可疑的端口;

3. 查看“任務(wù)管理器”，查找有無(wú)可疑的應(yīng)用程序或后臺(tái)進(jìn)程在運(yùn)行，并觀察CPU及內(nèi)存的使用狀態(tài);

4. 運(yùn)行注冊(cè)表編輯器，查找有無(wú)可疑的程序被加到windows的啟動(dòng)項(xiàng)里，并查看有無(wú)新增的可疑服務(wù);

5.使用Windows事件查看器查看“系統(tǒng)日志”“安全日志”和“應(yīng)用程序日志”，以發(fā)現(xiàn)有無(wú)可疑的事件或影響系統(tǒng)性能的事件;

6. 檢查共享目錄，不應(yīng)有對(duì)所有用戶(hù)可寫(xiě)的目錄存在;

7. 如果運(yùn)行MicrosoftIIS，查看C:\WINNT\system32\LogFiles\下的WEB服務(wù)器日志，以發(fā)現(xiàn)是否有試圖攻擊WEB的行為;

8. 不定期運(yùn)行殺毒軟件查殺病毒;

9. 經(jīng)常瀏覽微軟的網(wǎng)站，保持服務(wù)器的補(bǔ)丁同步更新，留意微軟發(fā)布的安全公告。
如果有需要服務(wù)器的租用與托管的敬請(qǐng)聯(lián)系QQ：１５０１２８１７５８（億恩星辰）　　　聯(lián)系電話：０３７１—６３３２２２２０

服務(wù)器租用/服務(wù)器托管中國(guó)五強(qiáng)！虛擬主機(jī)域名注冊(cè)頂級(jí)提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]