摘要:
sendmail是在unix环境下使用最广泛的实现邮件发送/接受的邮件传输代理 程序。 由于sendmail邮件服务器的特点是功能强大而复杂,因此为保证sendmail的安 全性,需要作以下一些工作。 1、设置sendmail使用"smrsh" smr......
摘要:
从正确看待dos与ddos说起 相信大家都一定不会对这两个这个词感到陌生,是的,拒绝服务攻击(denial of service),以及分布式拒绝服务攻击(distributed denial of service)。 所谓拒绝服务,是指在特定攻击发生后, 被攻击的对......
服务器终极安全设置与优化指南上一页 ... (1)帐号尽可能少,且尽可能少用来登录; 【程序编程相关:
DoS攻击工具原理分析[DoS系列 (2】3.帐号策略: 【推荐阅读:
DoS攻击工具原理分析[新型网络DoS(】(2)除过administrator外,有必要再增加一个属于管理员组的帐号; 【扩展信息:
DoS攻击工具原理分析[分布式拒绝服务(】说明:网站帐号一般只用来做系统维护,多余的帐号一个也不要,因为多一个帐号就会多一份被攻破的危险. 说明:两个管理员组的帐号,一方面防止管理员一旦忘记一个帐号的口令还 有一个备用帐号;另方面,一旦黑客攻破一个帐号并更改口令,我们还有 有机会重新在短期内取得控制权. (3)所有帐号权限需严格控制,轻易不要给帐号以特殊权限; (4)将administrator重命名,改为一个不易猜的名字.其他一般帐号也应尊循这一原则. 说明:这样可以为黑客攻击增加一层障碍. (5)将guest帐号禁用,同时重命名为一个复杂的名字,增加口令,并将它从 guest组删掉; 说明:有的黑客工具正是利用了guest 的弱点,可以将帐号从一般用户提 升到管理员组. (6)给所有用户帐号一个复杂的口令(系统帐号出外),长度最少在8位以上, 且必须同时包含字母.数字.特殊字符.同时不要使用大家熟悉的单词(如microsoft).熟悉的键盘顺序(如qwert).熟悉的数字(如2000)等. 说明:口令是黑客攻击的重点,口令一旦被突破也就无任何系统安全可言了,而这往往是不少网管所忽视的地方,据我们的测试,仅字母加数字的5位口令在几分钟内就会被攻破,而所推荐的方案则要安全的多. (7)口令必须定期更改(建议至少两周该一次),且最好记在心里,除此以外不要在任何地方做记录;另外,如果在日志审核中发现某个帐号被连续尝试,则必须立刻更改此帐号(包括用户名与口令); (8)在帐号属性中设立锁定次数,比如改帐号失败登录次数超过5次即锁定改帐号.这样可以防止某些大规模的登录尝试,同时也使管理员对该帐号提高警惕. 4.安全日志: win2000的默认安装是不开任何安全审核的! 那么请你到本地安全策略->审核策略中打开相应的审核,推荐的审核是: 账户管理 成功 失败 登录事件 成功 失败 对象访问 失败 策略更改 成功 失败 特权使用 失败 系统事件 成功 失败 目录服务访问 失败 账户登录事件 成功 失败 审核项目少的缺点是万一你想看发现没有记录那就一点都没辙;审核项目太多不仅会占用系统资源而且会导致你根本没空去看,这样就失去了审核的意义. 与之相关的是: 在账户策略->密码策略中设定: 密码复杂性要求 启用 密码长度最小值 6位 强制密码历史 5次 最长存留期 30天 在账户策略->账户锁定策略中设定: 账户锁定 3次错误登录 锁定时间 20分钟 复位锁定计数 20分钟 同样,terminal service的安全日志默认也是不开的,我们可以在terminal service configration(远程服务配置)-权限-高级中配置安全审核,一般来说只要记录登录.注销事件就可以了. 5.目录与文件权限: 为了控制好服务器上用户的权限,同时也为了预防以后可能的入侵与溢出,我们还必须非常小心地设置目录与文件的访问权限,nt的访问权限分为:读取.写入.读取及执行.修改.列目录.完全控制.在默认的情况下,大多数的文件夹对所有用户(everyone这个组)是完全敞开的(full control),你需要根据应用的需要进行权限重设. 在进行权限控制时,请记住以下几个原则: 1>限是累计的:如果一个用户同时属于两个组,那么他就有了这两个组所允许的所有权限; 2>拒绝的权限要比允许的权限高(拒绝策略会先执行)如果一个用户属于一个被拒绝访问某个资源的组,那么不管其他的权限设置给他开放了多少权限,他也一定不能访问这个资源.所以请非常小心地使用拒绝,任何一个不当的拒绝都有可能造成系统无法正常运行; 3>文件权限比文件夹权限高 4>利用用户组来进行权限控制是一个成熟的系统管理员必须具有的优良习惯之一; 5>仅给用户真正需要的权限,权限的最小化原则是安全的重要保障; 6.只安装一种操作系统; 说明:安装两种以上操作系统,会给黑客以可乘之机,利用攻击使系统重启到另外一个没有安全设置的操作系统(或者他熟悉的操作系统),进而进行破坏. 7.安装成独立的域控制器(stand alone),选择工作组成员,不选择域; 说明:主域控制器(pdc)是局域网中队多台联网机器管理的一种方式,用于网站服务器包含着安全隐患,使黑客有可能利用域方式的漏洞攻击站点服务器. 8.将操作系统文件所在分区与web数据包括其他应用程序所在的分区分开,并在安装时最好不要使用系统默认的目录,如将\winnt改为其他目录; 说明:黑客有可能通过web站点的漏洞得到操作系统对操作系统某些程序的执行权限,从而造成更大的破坏.同时如果采用iis的话你应该在其设置中删除掉所有的无用的映射,同时不要安装索引服务,远程站点管理与服务器扩展最好也不要要,然后删掉默认路径下的www,整个删,不要手软,然后再硬盘的另一个硬盘建立存放你网站的文件夹,同时一定记得打开w3c日志纪录,切记(不过本人建议采用apache 1.3.24) 系统安装过程中一定本着最小服务原则,无用的服务一概不选择,达到系统的最小安装,多一个服务,多一份风险,呵呵,所以无用组件千万不要安装! 9.关于补丁:在nt下,如果安装了补丁程序,以后如果要从nt光盘上安装新的windows程序,都要重新安装一次补丁程序, 2000下不需要这样做. 说明: (1) 最新的补丁程序,表示系统以前有重大漏洞,非补不可了,对于局域网内服务器可以不是最新的,但站点必须安装最新补丁,否则黑客可能会利用低版本补丁的漏洞对系统造成威胁.这是一部分管理员较易忽视的一点; (2) 安装nt的sp5.sp6有一个潜在威胁,就是一旦系统崩溃重装nt时,系统将不会认ntfs分区,原因是微软在这两个补丁中对ntfs做了改进.只能通过windows 2000安装过程中认ntfs,这样会造成很多麻烦,建议同时做好数据备份工作. (3) 安装service pack前应先在测试机器上安装一次,以防因为例外原因导致机器死机,同时做好数据备份. 尽量不安装与web站点服务无关的软件; 说明:其他应用软件有可能存在黑客熟知的安全漏洞. 10.解除netbios与tcp/ip协议的绑定 说明:netbois在局域网内是不可缺少的功能,在网站服务器上却成了黑客扫描工具的首选目标.方法:nt:控制面版——网络——绑定——netbios接口——禁用 2000:控制面版——网络与拨号连接——本地网络——属性——tcp/ip——属性——高级——wins——禁用tcp/ip上的netbios 11.删除所有的网络共享资源,在网络连接的设置中删除文件与打印共享,只留下tcp/ip协议 说明:nt与2000在默认情况下有不少网络共享资源,在局域网内对网络管理与网络通讯有用,在网站服务器上同样是一个特大的安全隐患.(卸载“microsoft 网络的文件与打印机共享”.当查看“网络与拨号连接”中的任何连接属性时,将显示该选项.单击“卸载”按钮删除该组件;清除“microsoft 网络的文件与打印机共享”复选框将不起作用.) 方法: (1)nt:管理工具——服务器管理器——共享目录——停止共享; 2000:控制面版——管理工具——计算及管理——共享文件夹———停止共享 但上述两种方法太麻烦,服务器每重启一次,管理员就必须停止一次 (2)修改注册表: 运行regedit,然后修改注册表在hkey_local_machine\system\currentcontrolset\services\lanmanserver\parameters下增加一个键 name: autoshareserver type: reg_dword value: 0 然后重新启动您的服务器,磁盘分区共享去掉,但ipc共享仍存在,需每次重启后手工删除....
下一页 摘要:
数据库服务器实际上是每一个电子交易、金融和企业资源规划(erp)系统的基础,它还经常包括来自商业伙伴和客户的敏感信息。尽管这些系统的数据完整性和安全性是相当重要的,但对数据库采取的安全检查措施的级别还比不上操作系统和网络的安全检查措施的级别。许多因素都可能破坏数据的完......
