網站主機安全之系統與服務器安全管理 續

Linux和Solaris是另外兩種種常見的服務器。Linux和Freebsd一樣，是免費的操作系統，它們都廣泛使用GNU(一個偉大的組織)的實用工具集，Linux容易上手，但不如Freebsd簡潔。Solaris是SUN的商用操作系統，關于SUNOS的文章在網上被貼得到處都是，但遺憾的是，它看起來并不快，而且，你也要經常對它打補丁。下面就讓我們看看這兩種服務器的安全配置，以及服務器的安全管理的內容。

Linux的初始安全配置

Linux安裝完成后，默認會打開一些不必要端口，運行netstat –angrepLISTEN命令看一下，會看到本機打開的所有端口。除了必須的網絡端口如SSH、FTP和WEB，其他端口都關閉。如果你不熟悉這些端口對應什么程序，那么請參看/etc/services文件，里面有端口和服務的對應列表。

在Redhat9.0默認安裝完成后，請進入/etc/rc2.d和/etc/rc3.d，將系統啟動時打開的不必要服務都在這里注銷掉。這些服務通常包括sendmail、NFS、rpc等，注銷的方法是將S打頭的相關服務文件重命名(注意不要命名為S或K打頭的其他文件)。

例如將/etc/rc2.d/S80sendmail 改名為 X80sendmail

將/etc/rc3.d/S13portmap S14nfslock S28autofs S80sendmail改名為X13portmap X14nfslock X28autofs X80sendmail

RPC的安全問題歷來很多，請注意一定不要打開111端口。

改完后需要重啟Linux服務器。

如果你的Linux直接面對因特網，那么可以配置它的防火墻來實現訪問控制。Linux2.4內核支持iptables，2.4以下支持ipchains，它們的語法差不多，都是很好的防火墻工具。例如，如果你只允許從因特網訪問SSH和WWW服務，那么可將如下語句加進/etc/rc.d/rc.local文件：

/sbin/iptables -F

/sbin/iptables -A INPUT -p tcp -d 211.96.13.* --dport 80 -ieth0-j ACCEPT

/sbin/iptables -A INPUT -p tcp -d 211.96.13.* --dport 22 -ieth0-j ACCEPT

/sbin/iptables -A INPUT -i eth0 -j DROP

說明：iptables–F刷新iptables規則表，接下來兩條語句允許任何人訪問211.96.13.*這個地址的WWW和SSH服務，最后一條DROP語句將不符合規則的其他訪問過濾掉。這樣系統在啟動后即可自動運行防火墻規則。

通常在Freebsd或Linux上會運行Mysql數據庫服務，不要將數據庫服務端口(3306)暴露在防火墻之外。如果運行Apache，同樣要做如Freebsd的修改。

Solaris的初始安全配置

關于Solaris的安全配置網上有一篇非常好的文章，叫做《The SolarisSecurityFAQ》，照著做就可以了。

1)禁止root從網絡直接登陸:修改/etc/default/login文件，確保CONSOLE=/dev/console被設置，該行只允許root從控制臺登陸。將root用戶加入/etc/ftpusers，保證root不可以遠程使用ftp。

2)禁止rlogin和rsh訪問:刪除/etc/hosts.equiv和/.rhosts文件，從/etc/inetd.conf文件里注釋掉所有以r打頭的服務。

3) 帳號控制:刪除、鎖定或注釋掉不必要的系統帳號，包括sys/uucp/nuucp/listen等

4) 改變/etc目錄的訪問權限:該目錄下文件不應該對同組用戶可寫，執行：chmod –R g-w /etc (不推薦)

5) 在solaris2.5 以上版本的系統中，創建/etc/notrouter文件來關閉solaris默認的路由轉發。

6) 禁止automounter：刪除/etc/auto_*配置文件，刪除/etc/init.d/autofs

7)禁止NFS服務：刪除/etc/dfs/dfstab，重命名/etc/rc3.d/S15nfs.server，重命名/etc/rc2.d/S73nfs.client(不要再以S打頭)

8) 禁止rpc服務：重命名/etc/rc2.d/S71RPC

9)修改/etc/inetd.conf文件，注釋掉大部分不必要服務，只保留telnet和ftp服務，然后重啟inetd進程。

10) 給系統打補丁：包括各版本Solaris通用補丁和單個補丁集合。

11) 將如下三行加進/etc/init.d/inetinit文件：

ndd -set /dev/ip ip_forward_directed_broadcasts 0

ndd -set /dev/ip ip_forward_src_routed 0

ndd -set /dev/ip ip_forwarding 0

這樣在系統啟動后就關閉了IP轉發和IP源路由。

服務安全管理應做的事

服務器安全管理是站點安全中最重要的一環，離開了管理，安全將變得不切實際。以下也許是Windows系統安全管理員每天應做的事：

1.檢查系統有無新增帳戶，并了解其來源及用途;查看管理員組里有無新增帳戶，該組的帳戶除系統最初設置外，以后不應該增加帳戶;

2. 在命令行狀態下，運行netstat –an命令查看當前連接及打開的端口，查找可疑連接及可疑的端口;

3. 查看“任務管理器”，查找有無可疑的應用程序或后臺進程在運行，并觀察CPU及內存的使用狀態;

4. 運行注冊表編輯器，查找有無可疑的程序被加到windows的啟動項里，并查看有無新增的可疑服務;

5.使用Windows事件查看器查看“系統日志”“安全日志”和“應用程序日志”，以發現有無可疑的事件或影響系統性能的事件;

6. 檢查共享目錄，不應有對所有用戶可寫的目錄存在;

7. 如果運行MicrosoftIIS，查看C:\WINNT\system32\LogFiles\下的WEB服務器日志，以發現是否有試圖攻擊WEB的行為;

8. 不定期運行殺毒軟件查殺病毒;

9. 經常瀏覽微軟的網站，保持服務器的補丁同步更新，留意微軟發布的安全公告。
如果有需要服務器的租用與托管的敬請聯系QQ：１５０１２８１７５８（億恩星辰）　　　聯系電話：０３７１—６３３２２２２０

服務器租用/服務器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質保障！--億恩科技[ENKJ.COM]