欢迎分享,转载请注明来源:夏雨云
然而,在维护服务器的时候一定要小心的处理好维护的工作,否则显现错误的话就会影响很大。为了方便大家在维护中了解有些维护内容的同时又能避免显现错误。下边就收集了有些资料供大家参考。 硬件维护 1、储存设备的扩充 当资源不断扩展的时候,服务器就需求更多的内存和硬盘容量来储存这些资源。因此,内存和硬盘的扩充是很常见的。增加内存前需求认定与服务器原有的内存的兼容性,最好是同一牌子的规格的内存。假如是服务器专用的ECC内存,则必须选用相同的内存,普通的SDRAM内存与ECC内存在同1台服务器上用很可能会引起统严重出错。在增加硬盘之前,需求认定服务器是不是有空余的硬盘支架、硬盘接口和电源接口,还有主板是不是支持这样容量的硬盘。尤其需求注意,防止买来了设备却木有方法用。 2、设备的卸載和更换 卸載和更换设备时的问题不大,需求注意的是有许多牌子服务器机箱的设计比较特殊,需求特殊的工具或机关才可以打开(OPEN),在卸机箱盖的时候,需求仔细看表明书,不要强行拆卸。另外,必须在完全断电、服务器接地良好的情形下进行,即使是支持热插拔的设备也是如此,以防止静电对设备造成损坏。 3、除尘 尘土是服务器最大的杀手,因此需求定期给服务器除尘。对于服务器来说,灰尘甚至是致命的。除尘方法与普通PC除尘方法相同,尤其要注意的是电源的除尘。 软件维护 1、操作系统(System)的维护 操作系统(System)是服务器运行的软件基础,其重要性不言自明。多数服务器操作系统(System)用Windows NT或Windows 2000 SERVER作为操作系统(System),维护起来还是比较容易的。 在Windows NT或Windows 2000 SERVER打开(OPEN)事件查看器,在系统(System)日志、安全日志和应用程式日志中查看有木有特别异常的记录。目前网络上的黑客越来越多了,因此需求到微软的网络(互联网)Internet站点上下载(DownLoad)最新的Service Pack(更新服务包)安装上,将安全漏洞及时补上。 2、网络(互联网)Internet服务的维护 网络(互联网)Internet服务有特别多,如WWW服务、DNS服务、DHCP服务、SMTP服务、FTP服务等,随着服务器提供的服务越来越多,系统(System)也容易混乱,此时可能需求再次设定各个服务的参数,使之正常运行。 3、数据库服务 数据库经过长期的运行,需求调整数据库性能,使之进去最优化状态。数据库中的数据是最重要的,这些数据库假如丢失,损失是巨大的,因此需求定期来备份数据库,以防万一。 4、用户数据 经过频繁用,服务器可能存放了大量的数据。这些数据是非常宝贵的资源,因此需求加以整理,并刻成光碟永久保存起来,即使服务器有故障,也能还原数据。 不可能在一篇文章中谈遍电脑(PC)安全问题,毕竟,市面上的已有许多这方面的书籍,不过,我倒是可告知你七个维护服务器安全的技巧。 技巧一:从基本做起 从基本做起是最保险的方式。你必须将服务器上含有机密数据的区域通通转换成NTFS格式;同理,防毒程式也必须按时更新。建议同时在服务器和桌面电脑(PC)上安装防毒软件。这些软件还应当设定成每天自动下载(DownLoad)最新的病毒定义文档。另外,Exchange SERVER(email服务器)也应当安装防毒软件,这些软件可扫描全部寄进来的电子email,寻找被病毒感染的附件,若发现病毒,email马上会被隔离,减低用者被感染的机会。 另1个保护网络(互联网)Internet的好方法是依员工上班时间来限定用者登陆网络(互联网)Internet的权限。例如,上白天班的员工不该有权限在三更半夜登陆网络(互联网)Internet。 最后,存取网络(互联网)Internet上的任何数据皆须通过密码(PassWORD)登陆。强迫大家在设定密码(PassWORD)时,必须混用大小写字母、数字和特殊字符。在Windows NT SERVER Resource Kit里就有这的工具软件。你还应当设定定期更新密码(PassWORD),且密码(PassWORD)长度不得少于八个字符。若你刚刚做了这些措施,但还是担心密码(PassWORD)不安全,你可试试从网络(互联网)Internet下载(DownLoad)有些黑客工具,之后测试一次这些密码(PassWORD)究竟有多安全。 技巧二:保护备份 大多数人都木有意识到,备份本身就是1个巨大的安全漏洞,怎么说呢?试想,大多数的备份工作多在晚上10点或11点开始,依数据多寡,备份完成后差不多也是夜半时分了。目前,想像一次,目前是凌晨四点,备份工作刚刚结束。有心人士正好可趁此时偷走备份磁盘,并在自己家中或是你竞争对手办公室里的服务器上还原。不过,你可阻止这样事情发生。首先,你可利用密码(PassWORD)保护你的磁盘,若你的备份程式支持加密功能,你还可将数据进行加密。其次,你可将备份完成的时间定在你早上进办公室的时间,这的话,即使有人半夜想溜进来偷走磁盘的话也木有方法了,由于磁盘正在用中;假如窃贼强行把磁盘拿走,他相同木有方法读取那些损毁的数据。看看吧·看是不是你要的1.物理安全 服务器应该安放在安装了监视器的隔离房间内,并且监视器要保留15天以上的摄像记录。另外,机箱,键盘,电脑桌抽屉要上锁,以确保旁人即使进入房间也无法使用电脑,钥匙要放在另外的安全的地方。 2.停掉Guest 帐号 在计算机管理的用户里面把guest帐号停用掉,任何时候都不允许guest帐号登陆系统。为了保险起见,最好给guest 加一个复杂的密码,你可以打开记事本,在里面输入一串包含特殊字符,数字,字母的长字符串,然后把它作为guest帐号的密码拷进去。 3.限制不必要的用户数量 去掉所有的duplicate user 帐户, 测试用帐户, 共享帐号,普通部门帐号等等。用户组策略设置相应权限,并且经常检查系统的帐户,删除已经不在使用的帐户。这些帐户很多时候都是黑客们入侵系统的突破口,系统的帐户越多,黑客们得到合法用户的权限可能性一般也就越大。国内的nt/2000主机,如果系统帐户超过10个,一般都能找出一两个弱口令帐户。我曾经发现一台主机197个帐户中竟然有180个帐号都是弱口令帐户。 4.创建2个管理员用帐号 虽然这点看上去和上面这点有些矛盾,但事实上是服从上面的规则的。 创建一个一般权限帐号用来收信以及处理一些日常事物,另一个拥有Administrators 权限的帐户只在需要的时候使用。可以让管理员使用 “ RunAS” 命令来执行一些需要特权才能作的一些工作,以方便管理。 5.把系统administrator帐号改名 大家都知道,windows 2000 的administrator帐号是不能被停用的,这意味着别人可以一遍又一边的尝试这个帐户的密码。把Administrator帐户改名可以有效的防止这一点。当然,请不要使用Admin之类的名字,改了等于没改,尽量把它伪装成普通用户,比如改成:guestone 。 6.创建一个陷阱帐号 什么是陷阱帐号? Look!>创建一个名为” Administrator”的本地帐户,把它的权限设置成最低,什么事也干不了的那种,并且加上一个超过10位的超级复杂密码。这样可以让那些 Scripts s忙上一段时间了,并且可以借此发现它们的入侵企图。或者在它的login scripts上面做点手脚。嘿嘿,够损! 7.把共享文件的权限从”everyone”组改成“授权用户” “everyone” 在win2000中意味着任何有权进入你的网络的用户都能够获得这些共享资料。任何时候都不要把共享文件的用户设置成”everyone”组。包括打印共享,默认的属性就是”everyone”组的,一定不要忘了改。 8.使用安全密码 一个好的密码对于一个网络是非常重要的,但是它是最容易被忽略的。前面的所说的也许已经可以说明这一点了。一些公司的管理员创建帐号的时候往往用公司名,计算机名,或者一些别的一猜就到的东西做用户名,然后又把这些帐户的密码设置得N简单,比如 “welcome” “iloveyou” “letmein”或者和用户名相同等等。这样的帐户应该要求用户首此登陆的时候更改成复杂的密码,还要注意经常更改密码。前些天在IRC和人讨论这一问题的时候,我们给好密码下了个定义:安全期内无法破解出来的密码就是好密码,也就是说,如果人家得到了你的密码文档,必须花43天或者更长的时间才能破解出来,而你的密码策略是42天必须改密码。 9.设置屏幕保护密码 很简单也很有必要,设置屏幕保护密码也是防止内部人员破坏服务器的一个屏障。注意不要使用OpenGL和一些复杂的屏幕保护程序,浪费系统资源,让他黑屏就可以了。还有一点,所有系统用户所使用的机器也最好加上屏幕保护密码。 10. 使用NTFS格式分区 把服务器的所有分区都改成NTFS格式。NTFS文件系统要比FAT,FAT32的文件系统安全得多。这点不必多说,想必大家得服务器都已经是NTFS的了。 11.运行防毒软件 我见过的Win2000/Nt服务器从来没有见到有安装了防毒软件的,其实这一点非常重要。一些好的杀毒软件不仅能杀掉一些著名的病毒,还能查杀大量木马和后门程序。这样的话,“黑客”们使用的那些有名的木马就毫无用武之地了。不要忘了经常升级病毒库 12.保障备份盘的安全 一旦系统资料被破坏,备份盘将是你恢复资料的唯一途径。备份完资料后,把备份盘防在安全的地方。千万别把资料备份在同一台服务器上,那样的话,还不如不要备份。 中级安全篇: 1.利用win2000的安全配置工具来配置策略 微软提供了一套的基于MMC(管理控制台)安全配置和分析工具,利用他们你可以很方便的配置你的服务器以满足你的要求。具体内容请参考微软主页: http://www.microsoft.com/windows2000/techinfo/howitworks/security/sctoolset.asp 2.关闭不必要的服务 windows 2000 的 Terminal Services(终端服务),IIS ,和RAS都可能给你的系统带来安全漏洞。为了能够在远程方便的管理服务器,很多机器的终端服务都是开着的,如果你的也开了,要确认你已经正确的配置了终端服务。有些恶意的程序也能以服务方式悄悄的运行。要留意服务器上面开启的所有服务,中期性(每天)的检查他们。下面是C2级别安装的默认服务: Computer Browser service TCP/IP NetBIOS Helper Microsoft DNS server Spooler NTLM SSP Server RPC Locator WINS RPC service Workstation Netlogon Event log 3.关闭不必要的端口 关闭端口意味着减少功能,在安全和功能上面需要你作一点决策。如果服务器安装在防火墙的后面,冒的险就会少些,但是,永远不要认为你可以高枕无忧了。用端口扫描器扫描系统所开放的端口,确定开放了哪些服务是黑客入侵你的系统的第一步。\system32\drivers\etc\services 文件中有知名端口和服务的对照表可供参考。具体方法为: 网上邻居>属性>本地连接>属性>internet 协议(tcp/ip)>属性>高级>选项>tcp/ip筛选>属性 打开tcp/ip筛选,添加需要的tcp,udp,协议即可。 4.打开审核策略 开启安全审核是win2000最基本的入侵检测方法。当有人尝试对你的系统进行某些方式(如尝试用户密码,改变帐户策略,未经许可的文件访问等等)入侵的时候,都会被安全审核记录下来。很多的管理员在系统被入侵了几个月都不知道,直到系统遭到破坏。下面的这些审核是必须开启的,其他的可以根据需要增加: 策略 设置 审核系统登陆事件 成功,失败 审核帐户管理 成功,失败 审核登陆事件 成功,失败 审核对象访问 成功 审核策略更改 成功,失败 审核特权使用 成功,失败 审核系统事件 成功,失败 5.开启密码密码策略 策略 设置 密码复杂性要求 启用 密码长度最小值 6位 强制密码历史 5 次 强制密码历史 42 天 6.开启帐户策略 策略 设置 复位帐户锁定计数器 20分钟 帐户锁定时间 20分钟 帐户锁定阈值 3次 7.设定安全记录的访问权限 安全记录在默认情况下是没有保护的,把他设置成只有Administrator和系统帐户才有权访问。 8.把敏感文件存放在另外的文件服务器中 虽然现在服务器的硬盘容量都很大,但是你还是应该考虑是否有必要把一些重要的用户数据(文件,数据表,项目文件等)存放在另外一个安全的服务器中,并且经常备份它们。 9.不让系统显示上次登陆的用户名 默认情况下,终端服务接入服务器时,登陆对话框中会显示上次登陆的帐户明,本地的登陆对话框也是一样。这使得别人可以很容易的得到系统的一些用户名,进而作密码猜测。修改注册表可以不让对话框里显示上次登陆的用户名,具体是: HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\DontDisplayLastUserName 把 REG_SZ 的键值改成 1 . 10.禁止建立空连接 默认情况下,任何用户通过通过空连接连上服务器,进而枚举出帐号,猜测密码。我们可以通过修改注册表来禁止建立空连接: Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 的值改成”1”即可。 10.到微软网站下载最新的补丁程序 很多网络管理员没有访问安全站点的习惯,以至于一些漏洞都出了很久了,还放着服务器的漏洞不补给人家当靶子用。谁也不敢保证数百万行以上代码的2000不出一点安全漏洞,经常访问微软和一些安全站点,下载最新的service pack和漏洞补丁,是保障服务器长久安全的唯一方法。
赞
(0)
打赏
微信扫一扫
支付宝扫一扫
怎样开通企业邮箱?
上一篇
2023-08-21
汕头的SEO优化是什么鬼?
下一篇2023-08-21
评论列表(0条)