系統(tǒng)與效勞器平安管理Windows2000Server、Freebsd是兩種常見的效勞器。第一種是微軟的產(chǎn)品，方便好用，但是，你必需要不斷的patch它。Freebsd是一種優(yōu)雅的操作系統(tǒng)，它簡潔的內(nèi)核和優(yōu)異的性能讓人感動(dòng)。關(guān)于這幾種操作系統(tǒng)的平安，每種都可以寫一本書。我不會(huì)在這里對(duì)它們進(jìn)展詳細(xì)描繪，只講一些系統(tǒng)初始化平安配置。Windows的效勞器在運(yùn)行時(shí)，都會(huì)翻開一些端口，如135、139、445等。這些端口用于Windows本身的功能需要，冒失的關(guān)閉它們會(huì)影響到Windows的功能。然而，正是因?yàn)檫@些端口的存在，給Windows效勞器帶來諸多的平安風(fēng)險(xiǎn)。遠(yuǎn)程攻擊者可以利用這些開放端口來廣泛的搜集目的主機(jī)信息，包括操作系統(tǒng)版本、域SID、域用戶名、主機(jī)SID、主機(jī)用戶名、帳號(hào)信息、網(wǎng)絡(luò)共享信息、網(wǎng)絡(luò)時(shí)間信息、Netbios名字、網(wǎng)絡(luò)接口信息等，并可用來枚舉帳號(hào)和口令。今年8月份和9月份，微軟先后了兩個(gè)基于135端口的RPCD破綻的平安公告，分別是MS03-026和MS03-039，該破綻風(fēng)險(xiǎn)級(jí)別高，攻擊者可以利用它來獲取系統(tǒng)權(quán)限。而類似于這樣的破綻在微軟的操作系統(tǒng)中經(jīng)常存在。解決這類問題的通用方法是打補(bǔ)丁，微軟有保持用戶補(bǔ)丁更新的良好習(xí)慣，并且它的Windows2000SP4安裝后可通過WindowsUpdate動(dòng)晉級(jí)系統(tǒng)補(bǔ)丁。另外，在防火墻上明確屏蔽因特網(wǎng)的對(duì)135-139和445、593端口的訪問也是明智之舉。Microsoft的SQLServer數(shù)據(jù)庫效勞也容易被攻擊，今年3月份盛行的SQL蠕蟲即使得多家公司損失沉重，因此，假設(shè)安裝了微軟的SQLServer，有必要做這些事：1）更新數(shù)據(jù)庫補(bǔ)??；2）更改數(shù)據(jù)庫的默認(rèn)效勞端口（1433）；3）在防火墻上屏蔽數(shù)據(jù)庫效勞端口；4）保證sa口令非空。另外，在Windows效勞器上安裝殺毒軟件是絕對(duì)必須的，并且要經(jīng)常更新病毒庫，定期運(yùn)行殺毒軟件查殺病毒。不要運(yùn)行不必要的效勞，尤其是IIS，假設(shè)不需要它，就根本不要安裝。IIS歷來存在眾多問題，有幾點(diǎn)在配置時(shí)值得注意：1）操作系統(tǒng)補(bǔ)丁版本不得低于SP3;2）不要在默認(rèn)途徑運(yùn)行WEB（默認(rèn)是c:ipubroot）；3）以下ISAPI應(yīng)用程序擴(kuò)展可被刪掉：。ida.idq.idc.shtm.shtml.printer。Freebsd在設(shè)計(jì)之初就考慮了平安問題，在初次安裝完成后，它根本只翻開了22（SSH）和25（Sendmail）端口，然而，即使是Sendmail也應(yīng)該把它關(guān)閉（因?yàn)闅v史上Sendmail存在諸多平安問題）。方式是/etc/rc.conf文件，改動(dòng)和增加如下四句：sendmailenable="NO"sendmailsubmitenable="NO"sendmailoutboundenable="NO"sendmailmspqueueenable="NO"這樣就制止了Sendmail的功能，除非你的效勞器處于一個(gè)平安的內(nèi)網(wǎng)（例如在防火墻之后并且網(wǎng)段中無其他公司主機(jī)），否那么不要翻開Sendmail。制止網(wǎng)絡(luò)日志：在/etc/rc.conf中保證有如下行：syslogdflags="-ss"這樣做制止了遠(yuǎn)程主機(jī)的日志記錄并關(guān)閉514端口，但仍允許記錄本機(jī)日志。制止NFS效勞：在/etc/rc.conf中有如下幾行：nfsserverenable="NO"nfsclientenable="NO"portmapenable="NO"有些情況下很需要NFS效勞，例如用戶上傳圖片的目錄通常需要共享出來供幾臺(tái)WEB效勞器使用，就要用到NFS。同理，要翻開NFS，必須保證你的效勞器處于平安的內(nèi)網(wǎng)，假設(shè)NFS效勞器可以被其別人訪問到，那么系統(tǒng)存在較大風(fēng)險(xiǎn)。保證/etc/id.conf文件中所有效勞都被注銷，跟其他系統(tǒng)不同，不要由id運(yùn)行任何效勞。將如下語句加進(jìn)/etc/rc.conf：所有對(duì)/etc/rc.conf文件的修改執(zhí)行完后都應(yīng)重啟系統(tǒng)。假設(shè)要運(yùn)行Apache，請(qǐng)d.conf文件，修改如下選項(xiàng)以增進(jìn)平安或性能：1）Timeout300>Timeout1202）MaxKeepAliveRequests2563）ServerSignatureon>ServerSignatureoff4）OptionsIndexesFollowSymLinks行把indexes刪掉（目錄的Options不要帶index選項(xiàng)）5）將Apache運(yùn)行的用戶和組改為nobody6）MaxClients150——>MaxClients1500（假設(shè)要使用Apache，內(nèi)核一定要重新編譯，否那么通不過Apache的壓力測試，關(guān)于如何配置和WEB效勞器請(qǐng)見我的另一篇文章）