網站主機安全之系統與服務器安全管理 續
Linux和Solaris是另外兩種種常見的服務器。Linux和Freebsd一樣,是免費的操作系統,它們都廣泛使用GNU(一個偉大的組織)的實用工具集,Linux容易上手,但不如Freebsd簡潔。Solaris是SUN的商用操作系統,關于SUNOS的文章在網上被貼得到處都是,但遺憾的是,它看起來并不快,而且,你也要經常對它打補丁。下面就讓我們看看這兩種服務器的安全配置,以及服務器的安全管理的內容。
Linux的初始安全配置
Linux安裝完成后,默認會打開一些不必要端口,運行netstat –angrepLISTEN命令看一下,會看到本機打開的所有端口。除了必須的網絡端口如SSH、FTP和WEB,其他端口都關閉。如果你不熟悉這些端口對應什么程序,那么請參看/etc/services文件,里面有端口和服務的對應列表。
在Redhat9.0默認安裝完成后,請進入/etc/rc2.d和/etc/rc3.d,將系統啟動時打開的不必要服務都在這里注銷掉。這些服務通常包括sendmail、NFS、rpc等,注銷的方法是將S打頭的相關服務文件重命名(注意不要命名為S或K打頭的其他文件)。
例如將/etc/rc2.d/S80sendmail 改名為 X80sendmail
將/etc/rc3.d/S13portmap S14nfslock S28autofs S80sendmail改名為X13portmap X14nfslock X28autofs X80sendmail
RPC的安全問題歷來很多,請注意一定不要打開111端口。
改完后需要重啟Linux服務器。
如果你的Linux直接面對因特網,那么可以配置它的防火墻來實現訪問控制。Linux2.4內核支持iptables,2.4以下支持ipchains,它們的語法差不多,都是很好的防火墻工具。例如,如果你只允許從因特網訪問SSH和WWW服務,那么可將如下語句加進/etc/rc.d/rc.local文件:
/sbin/iptables -F
/sbin/iptables -A INPUT -p tcp -d 211.96.13.* --dport 80 -ieth0-j ACCEPT
/sbin/iptables -A INPUT -p tcp -d 211.96.13.* --dport 22 -ieth0-j ACCEPT
/sbin/iptables -A INPUT -i eth0 -j DROP
說明:iptables–F刷新iptables規則表,接下來兩條語句允許任何人訪問211.96.13.*這個地址的WWW和SSH服務,最后一條DROP語句將不符合規則的其他訪問過濾掉。這樣系統在啟動后即可自動運行防火墻規則。
通常在Freebsd或Linux上會運行Mysql數據庫服務,不要將數據庫服務端口(3306)暴露在防火墻之外。如果運行Apache,同樣要做如Freebsd的修改。
Solaris的初始安全配置
關于Solaris的安全配置網上有一篇非常好的文章,叫做《The SolarisSecurityFAQ》,照著做就可以了。
1)禁止root從網絡直接登陸:修改/etc/default/login文件,確保CONSOLE=/dev/console被設置,該行只允許root從控制臺登陸。將root用戶加入/etc/ftpusers,保證root不可以遠程使用ftp。
2)禁止rlogin和rsh訪問:刪除/etc/hosts.equiv和/.rhosts文件,從/etc/inetd.conf文件里注釋掉所有以r打頭的服務。
3) 帳號控制:刪除、鎖定或注釋掉不必要的系統帳號,包括sys/uucp/nuucp/listen等
4) 改變/etc目錄的訪問權限:該目錄下文件不應該對同組用戶可寫,執行:chmod –R g-w /etc (不推薦)
5) 在solaris2.5 以上版本的系統中,創建/etc/notrouter文件來關閉solaris默認的路由轉發。
6) 禁止automounter:刪除/etc/auto_*配置文件,刪除/etc/init.d/autofs
7)禁止NFS服務:刪除/etc/dfs/dfstab,重命名/etc/rc3.d/S15nfs.server,重命名/etc/rc2.d/S73nfs.client(不要再以S打頭)
8) 禁止rpc服務:重命名/etc/rc2.d/S71RPC
9)修改/etc/inetd.conf文件,注釋掉大部分不必要服務,只保留telnet和ftp服務,然后重啟inetd進程。
10) 給系統打補丁:包括各版本Solaris通用補丁和單個補丁集合。
11) 將如下三行加進/etc/init.d/inetinit文件:
ndd -set /dev/ip ip_forward_directed_broadcasts 0
ndd -set /dev/ip ip_forward_src_routed 0
ndd -set /dev/ip ip_forwarding 0
這樣在系統啟動后就關閉了IP轉發和IP源路由。
服務安全管理應做的事
服務器安全管理是站點安全中最重要的一環,離開了管理,安全將變得不切實際。以下也許是Windows系統安全管理員每天應做的事:
1.檢查系統有無新增帳戶,并了解其來源及用途;查看管理員組里有無新增帳戶,該組的帳戶除系統最初設置外,以后不應該增加帳戶;
2. 在命令行狀態下,運行netstat –an命令查看當前連接及打開的端口,查找可疑連接及可疑的端口;
3. 查看“任務管理器”,查找有無可疑的應用程序或后臺進程在運行,并觀察CPU及內存的使用狀態;
4. 運行注冊表編輯器,查找有無可疑的程序被加到windows的啟動項里,并查看有無新增的可疑服務;
5.使用Windows事件查看器查看“系統日志”“安全日志”和“應用程序日志”,以發現有無可疑的事件或影響系統性能的事件;
6. 檢查共享目錄,不應有對所有用戶可寫的目錄存在;
7. 如果運行MicrosoftIIS,查看C:\WINNT\system32\LogFiles\下的WEB服務器日志,以發現是否有試圖攻擊WEB的行為;
8. 不定期運行殺毒軟件查殺病毒;
9. 經常瀏覽微軟的網站,保持服務器的補丁同步更新,留意微軟發布的安全公告。
【編輯推薦】
