针对服务器 *** 作系统自身的安全测试,包括一些系统配置、主机漏洞扫描等等
查看服务器 *** 作系统当前用户是否为root用户,尽量避免使用root用户登录,启动其他服务程序,除非是一些需要root权限的安全工具,前提需要保证工具来源可信。终端需要 who 既可以查看当前登录用户。
登录到Linux系统,此时切换到root用户,下载lynis安全审计工具,切换到lynis运行脚本目录,执行 /lynis --check-all –Q 脚本语句,开始对本地主机扫描审计,等待扫描结束,查看扫描结果。
登录到Linux系统,切换到root用户,使用命令行方式安装Clamav 杀毒软件,安装完毕需要更新病毒库,执行扫描任务,等待扫描结束获取扫描结果,根据扫描结果删除恶意代码病毒;
登录到Linux系统,切换到root用户,下载Maldetect Linux恶意软件检测工具,解压缩后完成安装。运行扫描命令检测病毒,等待扫描结束获取扫描报告,根据扫描报告删除恶意病毒软件;
登录到Linux系统,切换到root用户,下载Chkrootkit后门检测工具包,解压缩后进入 Chkrootkit目录,使用gcc安装Chkrootkit,安装成功即开始Chkrootkit扫描工作,等待扫描结束,根据扫描结果恢复系统;
登录到Linux系统,切换到root用户,下载RKHunter 后门检测工具包,解压缩后进入 RKHunter 目录,执行命令安装RKHunter ,安装成功即开始启用后门检测工作,等待检测结束,根据检测报告更新 *** 作系统,打上漏洞对应补丁;
使用下面工具扫描Web站点:nikto、wa3f、sqlmap、safe3 … …
扫描Web站点的信息: *** 作系统类型、 *** 作系统版本、端口、服务器类型、服务器版本、Web站点错误详细信息、Web目录索引、Web站点结构、Web后台管理页面 …
测试sql注入,出现几个sql注入点
测试xss攻击,出现几个xss注入点
手动测试某些网页的输入表单,存在没有进行逻辑判断的表单,例如:输入邮箱的表单,对于非邮箱地址的输入结果,任然会继续处理,而不是提示输入错误,返回继续输入。
针对风险测试后得到的安全测试报告,修复系统存在的脆弱点与缺陷,并且进一步加强服务器的安全能力,可以借助一些安全工具与监控工具的帮助来实现。
对服务器本身存在的脆弱性与缺陷性进行的安全加固措施。
使用非root用户登录 *** 作系统,使用非root用户运行其他服务程序,如:web程序等;
web权限,只有web用户组用户才能 *** 作web应用,web用户组添加当前系统用户;
数据库权限,只有数据库用户组用户才能 *** 作数据库,数据库用户组添加当前系统用户;
根据安全审计、恶意代码检查、后门检测等工具扫描出来的结果,及时更新 *** 作系统,针对暴露的漏洞打上补丁。
对于发现的恶意代码病毒与后门程序等及时删除,恢复系统的完整性、可信行与可用性。
部署在服务器上的Web站点因为程序员编写代码时没有注意大多的安全问题,造成Web服务站点上面有一些容易被利用安全漏洞,修复这些漏洞以避免遭受入侵被破坏。
配置当前服务器隐藏服务器信息,例如配置服务器,隐藏服务器类型、服务器的版本、隐藏服务器管理页面或者限制IP访问服务器管理页面、Web站点错误返回信息提供友好界面、隐藏Web索引页面、隐藏Web站点后台管理或者限制IP访问Web站点后台。
使用Web代码过滤sql注入或者使用代理服务器过滤sql注入,这里更加应该使用Web代码过滤sql注入,因为在页面即将提交给服务器之前过滤sql注入,比sql注入到达代理服务器时过滤,更加高效、节省资源,用户体验更好,处理逻辑更加简单。从实际运作的层面来看,IT安全问题围绕三个基本事实:其一,IT系统不可能绝对可靠地识别用户的身份。其二,授权用户可能会被利用;其三,如果黑客获得了对主机的访问权,那么该主机就可能被闯入。后者,即为主机加固安全,是极其重要的一道防线。
方面,主机等高价值目标往往吸引的是黑客中的高手;另一方面,如果保存在主机上的数据越重要,用户对它的安全投入就越大,正所谓是“魔高一尺,道高一丈”的较量。
在过去的几年间,现实世界的一些犯罪组织一直在积极招揽黑客,从事针对某些目标的犯罪活动,比如最近黑客试图从住友银行的英国分行盗窃约2亿英镑。此类犯罪活动结合了对IT系统获得物理访问权和黑客行为,这意味着单单在主机和因特网之间设置性能可靠的防火墙已不足以保护你的数据。
如今,黑客完全有可能透过防火墙将黑客工具装入网络发动内部进攻。由于众多黑客工具在网上能够免费获得,加上USB存储设备随手可得,只要闲置的USB端口能够实际访问公共场所(比如接待处),就有可能利用网络上的任何PC发动攻击。为此,你要开始考虑对主机进行加固,以防直接从网络内部发动的攻击。
断开网络连接
要加强主机安全,最明显的一个办法就是,把主机与不需要连接的部分断开。如果黑客无法碰到主机,非法闯入也就无从谈起。
关闭端口
提高主机安全的第二个办法就是,真正使用主机内置的安全特性。比如,默认配置的Windows服务器允许任何用户完全可以访问任何目录下的任何文件。对这种配置进行修改非常容易,但取很少有网络管理员去修改。如果用户对某个文件没有拥有权,就不应该享有自动访问该文件的权限。如果你改了配置,那么即便黑客闯入了某个账户,他也未必能够访问该主机上的所有文件。
另外,对外开的端口越少,黑客用来危及系统安全的办法也就越少。进入Windows MMC管理器禁用不需要的服务,主机上运行的进程越少,意味着黑客可以利用的潜在故障以及安全漏洞就越少。
限制访问
你可以采取的另一个措施就是切断主机验证和应用管理的联系。拥有管理主机的权限,并不意味着有权可以管理其他功能,比如主机运行的数据库引擎或者其他应用。这可能会给需要全局管理权限的用户带来不便,但它却使非法闯入数据库的难度加大了一倍,因为黑客必须攻破两个用户身份和口令。同样,你可以把其他管理任务授权给特定的用户组,但不授予主机(或者网络)的全局管理权限。比如说,你可以允许用户管理打印机,但不授予控制打印机的主机的全部管理权限。你还可以禁止没要求加班的员工下班后登录主机。其实,大多数 *** 作系统都内置了所有这些特性,你根本用不着投入资金,需要的只是学习并使用这些特性。
加强保护
视主机 *** 作系统和运行的网络环境而定,你可以要求使用令牌或者生物识别技术进行验证,用于管理员对任何主机进行访问,你还可以限制管理员只能访问安全区域的某个子网。这样,如果管理员想添加一个新用户,就必须在特定的安全区域,通过特定子网上的PC来进行添加,还必须提供用户名、口令、采用生物识别技术的身份以及令牌码。
改变 *** 作系统
不过,如果你需要更高的安全级别,恐怕就得采用专门技术了。不要单单把Windows作为服务器的 *** 作系统。Windows是一款非常流行的服务器 *** 作系统,但每个黑客都知道,就潜在回报而言,花时间查找Windows *** 作系统的安全漏洞,远比花同样时间闯入某个版本的Unix大得多。即使你买不起所选择的某个Unix版本的源代码许可证,Unix较之Windows也有一个优点:你可以重新构建内核,只包含主机中真正需要的那些部分。相比之下,Windows在这方面的内核随带了大量的代码,你没法删除,也没法全部关闭。服务器的数据安全很重要,一般公司的重要数据都存放在服务器上。但是即使装了杀毒软件,部署了防火墙,并定时打补丁,服务器仍然会有各种风险,各种中毒,各种被入侵,核心数据还是会攻击。
推荐使用MCK主机加固,支持国产化 *** 作系统,从四个保护机制来保障 *** 作系统安全。平台安全:杜绝公有云平台方运维人员查阅用户数据;运维安全:运维人员准入和审计,无法把运营数据拷贝带走;应用安全:应用级模块保护敏感涉密数据不被扩散; 系统安全:黑客入侵后无法获取被保护的数据。
1、入门级服务器
这类服务器是最基础的一类服务器,也是最低档的服务器。随着PC技术的日益提高,许多入门级服务器与PC机的配置差不多,所以也有部分人认为入门级服务器与“PC服务器”等同。这类服务器所包含的服务器特性并不是很多,通常只具备以下几方面特性:
1有一些基本硬件的冗余,如硬盘、电源、风扇等,但不是必须的;
2通常采用SCSI接口硬盘,也有采用SATA串行接口的;
3部分部件支持热插拔,如硬盘和内存等,这些也不是必须的;
4通常只有一个CPU,但不是绝对;
5内存容量最大支持16GB。
这类服务器主要采用Windows或者NetWare网络 *** 作系统,可以充分满足办公室型的中小型网络用户的文件共享、数据处理、Internet接入及简单数据库应用的需求。这种服务器与一般的PC机很相似,有很多小型公司干脆就用一台高性能的品牌PC机作为服务器,所以这种服务器无论在性能上,还是价格上都与一台高性能PC品牌机相差无几。
入门级服务器所连的终端比较有限(通常为20台左右),况且在稳定性、可扩展性以及容错冗余性能较差,仅适用于没有大型数据库数据交换、日常工作网络流量不大,无需长期不间断开机的小型企业。不过要说明的一点就是目前有的比较大型的服务器开发、生产厂商在后面我们要讲的企业级服务器中也划分出几个档次,其中最低档的一个企业级服务器档次就是称之为"入门级企业级服务器",这里所讲的入门级并不是与我们上面所讲的"入门级"具有相同的含义,不过这种划分的还是比较少。还有一点就是,这种服务器一般采用Intel的专用服务器CPU芯片,是基于Intel架构(俗称"IA结构")的,当然这并不是一种硬性的标准规定,而是由于服务器的应用层次需要和价位的限制。 [2]
2、工作组服务器
工作组服务器是一个比入门级高一个层次的服务器,但仍属于低档服务器之类。从这个名字也可以看出,它只能连接一个工作组(50台左右)那么多用户,网络规模较小,服务器的稳定性也不像下面我们要讲的企业级服务器那样高的应用环境,当然在其它性能方面的要求也相应要低一些。工作组服务器具有以下几方面的主要特点:
1通常仅支持单或双CPU结构的应用服务器(但也不是绝对的,特别是SUN的工作组服务器就有能支持多达4个处理器的工作组服务器,当然这类型的服务器价格方面也就有些不同了)。
2可支持大容量的ECC内存和增强服务器管理功能的SM总线。
3功能较全面、可管理性强,且易于维护。
4采用Intel服务器CPU和Windows/NetWare网络 *** 作系统,但也有一部分是采用UNIX系列 *** 作系统的。
5可以满足中小型网络用户的数据处理、文件共享、Internet接入及简单数据库应用的需求。
工作组服务器较入门级服务器来说性能有所提高,功能有所增强,有一定的可扩展性,但容错和冗余性能仍不完善、也不能满足大型数据库系统的应用,但价格也比前者贵许多,一般相当于2~3台高性能的PC品牌机总价。
3、部门级服务器
这类服务器是属于中档服务器之列,一般都是支持双CPU以上的对称处理器结构,具备比较完全的硬件配置,如磁盘阵列、存储托架等。部门级服务器的最大特点就是,除了具有工作组服务器全部服务器特点外,还集成了大量的监测及管理电路,具有全面的服务器管理能力,可监测如温度、电压、风扇、机箱等状态参数,结合标准服务器管理软件,使管理人员及时了解服务器的工作状况。同时,大多数部门级服务器具有优良的系统扩展性,能够满足用户在业务量迅速增大时能够及时在线升级系统,充分保护了用户的投资。它是企业网络中分散的各基层数据采集单位与最高层的数据中心保持顺利连通的必要环节,一般为中型企业的首选,也可用于金融、邮电等行业。 [3]
部门级服务器一般采用IBM、SUN和HP各自开发的CPU芯片,这类芯片一般是RISC结构,所采用的 *** 作系统一般是UNIX系列 *** 作系统,LINUX也在部门级服务器中得到了广泛应用。
部门级服务器可连接100个左右的计算机用户、适用于对处理速度和系统可靠性高一些的中小型企业网络,其硬件配置相对较高,其可靠性比工作组级服务器要高一些,当然其价格也较高(通常为5台左右高性能PC机价格总和)。由于这类服务器需要安装比较多的部件,所以机箱通常较大,采用机柜式的。
4、企业级服务器
企业级服务器是属于高档服务器行列,正因如此,能生产这种服务器的企业也不是很多,但同样因没有行业标准硬件规定企业级服务器需达到什么水平,所以也看到了许多本不具备开发、生产企业级服务器水平的企业声称自己有了企业级服务器。企业级服务器最起码是采用4个以上CPU的对称处理器结构,有的高达几十个。
另外一般还具有独立的双PCI通道和内存扩展板设计,具有高内存带宽、大容量热插拔硬盘和热插拔电源、超强的数据处理能力和群集性能等。这种企业级服务器的机箱就更大了,一般为机柜式的,有的还由几个机柜来组成,像大型机一样。企业级服务器产品除了具有部门级服务器全部服务器特性外,最大的特点就是它还具有高度的容错能力、优良的扩展性能、故障预报警功能、在线诊断和RAM、PCI、CPU等具有热插拔性能。有的企业级服务器还引入了大型计算机的许多优良特性。这类服务器所采用的芯片也都是几大服务器开发、生产厂商自己开发的独有CPU芯片,所采用的 *** 作系统一般也是UNIX(Solaris)或LINUX。
企业级服务器适合运行在需要处理大量数据、高处理速度和对可靠性要求极高的金融、证券、交通、邮电、通信或大型企业。企业级服务器用于联网计算机在数百台以上、对处理速度和数据安全要求非常高的大型网络。企业级服务器的硬件配置最高,系统可靠性也最强。
服务器中配置固态硬盘已经是一个普遍的选择,特别是如果只有很小比例的服务器存在性能问题的话尤其如此。固态硬盘可以帮助用户解决服务器性能的瓶颈。固态硬盘也可以让高速存储更加的接近处理器并将共享存储网络这个潜在的瓶颈剔除掉。目前有三种固态硬盘的形式作为达标:即硬盘驱动型SSD,SSD DIMM和PCIs SSD。
5、典型服务器应用
办公OA服务器
ERP服务器
WEB服务器
数据库服务器
财务服务器
邮件服务器
打印服务器
集群服务器
无盘办公系统
无盘网吧服务器
无盘教学系统
视频监控服务器
流媒体服务器
VOD视频点播服务器
网络下载
SP服务
网络教学服务器
IDC-主机出租
IDC-虚拟空间
IDC-网游
IDC-主机托管
游戏服务器
高性能计算(HPC)
桌面超算
论坛服务器
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)