Ⅰ 如何做好伺服器安全維護
近期接到很多站長的求助,伺服器被黑,網站被掛馬,快照被劫持等等。
在這里,我們(南昌壹基比)給大家講下加強伺服器和網站安全的方法。
一、關閉不常用的伺服器埠
1、我們網站用戶常用的埠一般有:FTP(21)、SSH(22)、遠程桌面(3389)、http(80)、https(443),以及部分管理面板需要使用到的特殊埠。如:寶塔(8888)等等 在這里,如果是網站用戶除了http(80)是必須常開的,其他的埠都可以在需要使用的時候再打開,使用完畢後立即關閉。
2、如果你使用了伺服器管理面板(linux),比如wdcp,wdcp默認的埠是8080,強烈建議你在wdcp後台修改默認的埠。(防止被惡意連接)
3、如果你使用的是windows系統的伺服器,我也強烈建議你修改windows系統默認的遠程連接埠。
4、FTP(21)是用來上傳網站源碼使用的,在不使用的情況下最好關閉掉,避免暴力破解等操作。
二、謹慎安裝不明來源的程序、插件
從互聯網下載的程序、插件,我們不敢保證100%的可信,所以請不要隨意安裝不明來源的程序和插件。一旦這些程序、插件帶有後門,那麼你的伺服器可能就GG了。
作為使用discuz的站長,插件、模板等盡量從discuz官方應用中心下載安裝,畢竟這些應用都是經過discuz應用中心審核過的,安全性有一定的保證。
使用wordpress的站長,安裝模板和插件時,先搜下wordpress後台的插件中心中是否有你需要的插件,如果沒有,再考慮從值得信賴的第三方網站下載插件。其他程序同理!
三、有條件的站長們可以考慮站庫分離(網站程序和資料庫分開來放置)
四、web伺服器磁碟許可權要做好。
刪除不必要的用戶,如:everyone(所有人,危險程度5星~)可以只保留administrator、system以及網站用戶即可
五、市面上有很多網站加固安全軟體可以適當安裝。
但是優化過程中要慎重,避免優化過度導致網站打開出問題。
六、定期對網站以及資料庫做備份。
(有條件的話異地備份最好)避免伺服器硬碟掛掉導致所有的辛苦付之一炬~
七、保存好伺服器的密碼和網站、資料庫密碼。
密碼要定期修改,盡可能的復雜一些
八、伺服器漏洞補丁修復。
有很多站長可能對補丁會有所忽略,補丁其實是重中之重,很多入侵者都是針對系統漏洞進行入侵
Ⅱ 伺服器如何做防禦
伺服器防攻擊怎麼防?壹基比小喻來教你們。
一些常見的伺服器攻擊如木馬病毒等都是可以通過平常的安全維護以及防火牆來解決,而不一般的伺服器攻擊,如三大無解攻擊方式:ddos攻擊、cc攻擊和arp欺騙。這種攻擊無法防禦,只有使用ddos雲防護才能有效防止這些攻擊。那麼,杭州速聯具體說一說伺服器防攻擊的手段吧。手段一:使用ddos雲防護。流量攻擊通常是一種十分粗暴的手段,即消耗帶寬或者消耗伺服器資源或者是不斷請求伺服器來打垮伺服器,以致伺服器無法正常運轉。當面對這種攻擊的時候,唯有ddos雲防護能防止此種攻擊,將攻擊流量引到高防節點上面,以確保源伺服器不收攻擊的影響。手段二:日常安全維護。另一種伺服器攻擊方式比較常見,即中了木馬病毒等等,比如說今年的「wanna cry」勒索病毒等等。而預防這樣的攻擊,最好的辦法是日常打開防火牆,檢查日誌,安裝安全狗軟體、修補漏洞等等。只要有著ddos雲防護以及日常安全運維的雙重保障,伺服器防攻擊基本已經做好了,安全還算比較有保障的,一般是不會受到攻擊影響的。同時,也要保持一顆平常心,網路攻擊偶爾也會遇見的,只要能積極應對解決,就沒問題,而不是一味去責怪服務商所給的伺服器不給力。杭州速聯提供DDOS、CC防禦解決服務及方案,無論在流量清洗能力、CC攻擊防護能力均處於國內先進水平,提供各類高防伺服器租用。
Ⅲ 如何維護好伺服器
1 從基本做起
從基本做起是最保險的方式。你必須將伺服器上含有機密數據的區域通通轉換成NTFS格式;同理,防毒程序也必須按時更新。建議同時在伺服器和桌面電腦上安裝防毒軟體。伺服器安全維護中這些軟體還應該設定成每天自動下載最新的病毒定義文件。伺服器安全維護中另外,Exchange
Server(郵件伺服器)也應該安裝防毒軟體,伺服器安全維護中這類軟體可掃描所有寄進來的電子郵件,尋找被病毒感染的附件,若發現病毒,郵件馬上會被隔離,減低使用者被感染的機會。
另一個保護網路的好方法是依員工上班時間來限定使用者登錄網路的許可權。例如,上白天班的員工不該有許可權在三更半夜登錄網路。
最後,伺服器安全維護中存取網路上的任何數據皆須通過密碼登錄。伺服器安全維護中強迫大家在設定密碼時,必須混用大小寫字母、數字和特殊字元。在Windows NT Server Resource
Kit里就有這樣的工具軟體。你還應該設定定期更新密碼,且密碼長度不得少於八個字元。若你已經做了這些措施,但還是擔心密碼不安全,你可以試試從網路下載一些黑客工具,然後測試一下這些密碼到底有多安全。
2 保護備份
大多數人都沒有意識到,備份本身就是一個巨大的安全漏洞,怎麼說呢?試想,大多數的備份工作多在晚上10點或11點開始,依數據多寡,備份完成後大概也是夜半時分了。現在,想像一下,現在是凌晨四點,備份工作已經結束。有心人士正好可趁此時偷走備份磁碟,並在自己家中或是你競爭對手辦公室里的伺服器上恢復。不過,你可以阻止這種事情發生。首先,你可利用密碼保護你的磁碟,若你的備份程序支持加密功能,你還可以將數據進行加密。其次,你可以將備份完成的時間定在你早上進辦公室的時間,這樣的話,即使有人半夜想溜進來偷走磁碟的話也無法了,因為磁碟正在使用中;如果竊賊強行把磁碟拿走,他一樣無法讀取那些損毀的數據。
3使用RAS的回撥功能
Windows
NT最酷的功能之一就是支持伺服器遠端存取(RAS),不幸的是,RAS伺服器對黑客來說實在太方便了,他們只需要一個電話號碼、一點耐心,然後就能通過RAS進入主機。不過你可以採取一些方法來保護RAS伺服器的安全。
你所採用的技術主要端賴於遠端存取者的工作方式。如果遠端用戶經常是從家裡或是固定的地方上網,建議你使用回撥功能,它允許遠端用戶登錄後即掛斷,然後RAS伺服器會撥出預設的電話號碼接通用戶,因為此一電話號碼已經預先在程序中了,黑客也就沒有機會指定伺服器回撥的號碼了。
另一個辦法是限定遠端用戶只能存取單一伺服器。你可以將用戶經常使用到的數據復制到RAS伺服器的一個特殊共用點上,再將遠端用戶的登錄限制在一台伺服器上,而非整個網路。如此一來,即使黑客入侵主機,他們也只能在單一機器上作怪,間接達到減少破壞的程度。
最後還有一個技巧就是在RAS伺服器上使用「另類」網路協議。很都以TCP/IP協議當作RAS協議。利用TCP/IP協議本身的性質與接受程度,如此選擇相當合理,但是RAS還支持IPX/SPX和NetBEUI協議,如果你使用NetBEUI當作RAS協議,黑客若一時不察鐵定會被搞得暈頭轉向。
考慮工作站的安全問題
在伺服器安全的文章里提及工作站安全感覺似乎不太搭邊,但是,工作站正是進入伺服器的大門,加強工作站的安全能夠提高整體網路的安全性。對於初學者,建議在所有工作站上使用Windows
2000。Windows 2000是一個非常安全的操作系統,如果你沒有Windows 2000,那至少使用Windows
NT。如此你便能將工作站鎖定,若沒有許可權,一般人將很難取得網路配置信息。
另一個技巧是限制使用者只能從特定工作站登錄。還有一招是將工作站當作簡易型的終端機(mb
terminal)或者說,智慧型的簡易終端機。換言之,工作站上不會存有任何數據或軟體,當你將電腦當作mb
terminal使用時,伺服器必須執行Windows NT
終端服務程序,而且所有應用程序都只在伺服器上運作,工作站只能被動接收並顯示數據而已。這意味著工作站上只有安裝最少的Windows版本,和一份微軟Terminal
Server Client。這種方法應該是最安全的網路設計方案。
執行最新修補程序
微軟內部有一組人力專門檢查並修補安全漏洞,這些修補程序(補丁)有時會被收集成service
pack(服務包)發布。服務包通常有兩種不同版本:一個任何人都可以使用的40位的版本,另一個是只能在美國和加拿大發行的128位版本。128位的版本使用128位的加密演算法,比40位的版本要安全得多。
一個服務包有時得等上好幾個月才發行一次,但要是有嚴重點的漏洞被發現,你當然希望立即進行修補,不想苦等姍姍來遲的服務包。好在你並不需要等待,微軟會定期將重要的修補程序發布在它的FTP站上,這些最新修補程序都尚未收錄到最新一版的服務包里,我建議你經常去看看最新修補程序,記住,修補程序一定要按時間順序來使用,若使用錯亂的話,可能導致一些文件的版本錯誤,也可能造成Windows當機。
頒布嚴格的安全政策
另一個提高安全性的方式就是制定一強有力的安全策略,確保每一個人都了解,並強制執行。若你使用Windows 2000
Server,你可以將部分許可權授權給特定代理人,而無須將全部的網管權利交出。即使你核定代理人某些許可權,你依然可縣制其許可權大小,例如無法開設新的使用者帳號,或改變許可權等。
防火牆,檢查,再檢查
最後一個技巧是仔細檢查防火牆的設置。防火牆是網路規劃中很重要的一部份,因為它能使公司電腦不受外界惡意破壞。
首先,不要公布非必要的IP地址。你至少要有一個對外的IP地址,所有的網路通訊都必須經由此地址。如果你還有DNS注冊的Web伺服器或是電子郵件伺服器,這些IP地址也要穿過防火牆對外公布。但是,工作站和其他伺服器的IP地址則必須隱藏。
你還可以查看所有的通訊埠,確定不常用的已經全數關閉。例如,TCP/IP port 80是用於HTTP流量,因此不能堵掉這個埠,也許port
81應該永遠都用不著吧,所以就應該關掉。你可以在網路上查到每個埠的詳細用途。
伺服器安全問題是個大議題,你總不希望重要數據遭病毒/黑客損毀,或被人偷走做為不利你的用途,本文介紹了7個重要的安全檢查關卡,你不妨試試看。
Ⅳ 電腦伺服器安全需要怎麼進行防護
可以安裝一些殺毒軟體在電腦上
如電腦管家一類的,然後一直保持開啟
這樣就可以預防病毒進入到電腦當中了
Ⅳ 如何維護伺服器安全
伺服器的數據安全很重要,一般公司的重要數據都存放在伺服器上。但是即使裝了殺毒軟體,部署了防火牆,並定時打補丁,伺服器仍然會有各種風險,各種中毒,各種被入侵,核心數據還是會攻擊。推薦使用MCK雲私鑰,平台安全:杜絕公有雲平台方運維人員查閱用戶數據;運維安全:運維人員准入和審計,無法把運營數據拷貝帶走;應用安全:應用級模塊保護敏感涉密數據不被擴散; 系統安全:黑客入侵後無法獲取被保護的數據。
Ⅵ 保護DNS伺服器幾種有效方法
DNS軟體是黑客熱衷攻擊的目標,它可能帶來安全問題,在網路安全防護中,DNS的安全保護就顯得尤為重要。本文結合相關資料和自己多年來的經驗列舉了四個保護DNS伺服器有效的方法。以便讀者參考。 1.使用DNS轉發器 DNS轉發器是為其他DNS伺服器完成DNS查詢的DNS伺服器。使用DNS轉發器的主要目的是減輕DNS處理的壓力,把查詢請求從DNS伺服器轉給轉發器, 從DNS轉發器潛在地更大DNS高速緩存中受益。 使用DNS轉發器的另一個好處是它阻止了DNS伺服器轉發來自互聯網DNS伺服器的查詢請求。如果你的DNS伺服器保存了你內部的域DNS資源記錄的話, 這一點就非常重要。不讓內部DNS伺服器進行遞歸查詢並直接聯系DNS伺服器,而是讓它使用轉發器來處理未授權的請求。 2.使用只緩沖DNS伺服器 只緩沖DNS伺服器是針對為授權域名的。它被用做遞歸查詢或者使用轉發器。當只緩沖DNS伺服器收到一個反饋,它把結果保存在高速緩存中,然後把 結果發送給向它提出DNS查詢請求的系統。隨著時間推移,只緩沖DNS伺服器可以收集大量的DNS反饋,這能極大地縮短它提供DNS響應的時間。 把只緩沖DNS伺服器作為轉發器使用,在你的管理控制下,可以提高組織安全性。內部DNS伺服器可以把只緩沖DNS伺服器當作自己的轉發器,只緩沖 DNS伺服器代替你的內部DNS伺服器完成遞歸查詢。使用你自己的只緩沖DNS伺服器作為轉發器能夠提高安全性,因為你不需要依賴你的ISP的DNS服務 器作為轉發器,在你不能確認ISP的DNS伺服器安全性的情況下,更是如此。 3.使用DNS廣告者 DNS廣告者是一台負責解析域中查詢的DNS伺服器。例如,如果你的主機對於domain.com 和corp.com是公開可用的資源,你的公共DNS伺服器就應該為 domain.com 和corp.com配置DNS區文件。 除DNS區文件宿主的其他DNS伺服器之外的DNS廣告者設置,是DNS廣告者只回答其授權的域名的查詢。這種DNS伺服器不會對其他DNS伺服器進行遞歸查詢。這讓用戶不能使用你的公共DNS伺服器來解析其他域名。通過減少與運行一個公開DNS解析者相關的風險,包括緩存中毒,增加了安全。 4.使用DNS解析者 DNS解析者是一台可以完成遞歸查詢的DNS伺服器,它能夠解析為授權的域名。例如,你可能在內部網路上有一台DNS伺服器,授權內部網路域名 internalcorp.com的DNS伺服器。當網路中的客戶機使用這台DNS伺服器去解析techrepublic.com時,這台DNS伺服器通過向其他DNS伺服器查詢來執行遞歸 以獲得答案。 DNS伺服器和DNS解析者之間的區別是DNS解析者是僅僅針對解析互聯網主機名。DNS解析者可以是未授權DNS域名的只緩存DNS伺服器。你可以讓DNS 解析者僅對內部用戶使用,你也可以讓它僅為外部用戶服務,這樣你就不用在沒有辦法控制的外部設立DNS伺服器了,從而提高了安全性。當然,你也可以讓DNS解析者同時被內、外部用戶使用。
Ⅶ 保護 IIS web 伺服器的15個技巧
通常地,大多數Web站點的設計目標都是:以最易接受的方式,為訪問者提供即時的信息訪問。在過去的幾年中,越來越多的黑客、病毒和蠕蟲帶來的安全問題嚴重影響了網站的可訪問性,盡管Apache伺服器也常常是攻擊者的目標,然而微軟的Internet信息服務(IIS)
Web伺服器才是真正意義上的眾矢之的。
高級教育機構往往無法在構建充滿活力、界面友好的網站還是構建高安全性的網站之間找到平衡點。另外,它們現在必須致力於提高網站安全性以面對縮減中的技術預算
(其實許多它們的私有部門也面臨著相似的局面)。
正因為如此,我在這里將為預算而頭疼的大學IT經理們提供一些技巧,以幫助他們保護他們的IIS伺服器。雖然主要是面對大學里的IT專業人員的,但是這些技巧也基本上適用於希望通過少量的財政預算來提高安全性的IIS管理人員。實際上,這裡面的一些技巧對擁有強大預算的IIS管理人員也是非常有用的。
首先,開發一套安全策略
保護Web伺服器的第一步是確保網路管理員清楚安全策略中的每一項制度。如果公司高層沒有把伺服器的安全看作是必須被保護的資產,那麼保護工作是完全沒有意義的。這項工作需要長期的努力。如果預算不支持或者它不是長期IT戰略的一部分,那麼花費大量時間保護伺服器安全的管理員將得不到管理層方面的重要支持。
網路管理員為各方面資源建立安全性的直接結果是什麼呢?一些特別喜歡冒險的用戶將會被關在門外。那些用戶隨後會抱怨公司的管理層,管理層人員又會去質問網路管理員究竟發生了什麼。那麼,網路管理員沒辦法建立支持他們安全工作的文檔,因此,沖突發生了。
通過標注Web伺服器安全級別以及可用性的安全策略,網路管理員將能夠從容地在不同的操作系統上部署各種軟體工具。
IIS安全技巧
微軟的產品一向是眾矢之的,因此IIS伺服器特別容易成為攻擊者的靶子。搞清楚了這一點後,網路管理員必須准備執行大量的安全措施。我將要為你們提供的是一個清單,伺服器操作員也許會發現這是非常有用的。
1.
保持Windows升級:
你必須在第一時間及時地更新所有的升級,並為系統打好一切補丁。考慮將所有的更新下載到你網路上的一個專用的伺服器上,並在該機器上以Web的形式將文件發布出來。通過這些工作,你可以防止你的Web伺服器接受直接的Internet訪問。
2.
使用IIS防範工具:
這個工具有許多實用的優點,然而,請慎重的使用這個工具。如果你的Web伺服器和其他伺服器相互作用,請首先測試一下防範工具,以確定它已經被正確的配置,保證其不會影響Web伺服器與其他伺服器之間的通訊。
3.
移除預設的Web站點:
很多攻擊者瞄準inetpub這個文件夾,並在裡面放置一些偷襲工具,從而造成伺服器的癱瘓。防止這種攻擊最簡單的方法就是在IIS里將預設的站點禁用。然後,因為網蟲們都是通過IP地址訪問你的網站的
(他們一天可能要訪問成千上萬個IP地址),他們的請求可能遇到麻煩。將你真實的Web站點指向一個背部分區的文件夾,且必須包含安全的NTFS許可權。
4.
如果你並不需要FTP和SMTP服務,請卸載它們:
進入計算機的最簡單途徑就是通過FTP訪問。FTP本身就是被設計滿足簡單讀/寫訪問的,如果你執行身份認證,你會發現你的用戶名和密碼都是通過明文的形式在網路上傳播的。SMTP是另一種允許到文件夾的寫許可權的服務。通過禁用這兩項服務,你能避免更多的黑客攻擊。
5.
有規則地檢查你的管理員組和服務:
有一天我進入我們的教室,發現在管理員組里多了一個用戶。這意味著這時某個人已經成功地進入了你的系統,他或她可能冷不丁地將炸彈扔到你的系統里,這將會突然摧毀你的整個系統,或者佔用大量的帶寬以便黑客使用。黑客同樣趨向於留下一個幫助服務,一旦這發生了,採取任何措施可能都太晚了,你只能重新格式化你的磁碟,從備份伺服器恢復你每天備份的文件。因此,檢查IIS伺服器上的服務列表並保持盡量少的服務必須成為你每天的任務。你應該記住哪個服務應該存在,哪個服務不應該存在。Windows
2000
Resource
Kit帶給我們一個有用的程序,叫作tlist.exe,它能列出每種情況運行在svchost
之下的服務。運行這個程序可以尋找到一些你想要知道的隱藏服務。給你一個提示:任何含有daemon幾個字的服務可能不是Windows本身包含的服務,都不應該存在於IIS伺服器上。
6.
嚴格控制伺服器的寫訪問許可權:
這聽起來很容易,然而,在大學校園里,一個Web伺服器實際上是有很多"作者"的。教職人員都希望讓他們的課堂信息能被遠程學生訪問。職員們則希望與其他的職員共享他們的工作信息。伺服器上的文件夾可能出現極其危險的訪問許可權。將這些信息共享或是傳播出去的一個途徑是安裝第2個伺服器以提供專門的共享和存儲目的,然後配置你的Web伺服器來指向共享伺服器。這個步驟能讓網路管理員將Web伺服器本身的寫許可權僅僅限制給管理員組。
7.
設置復雜的密碼:
我最近進入到教室,從事件察看器里發現了很多可能的黑客。他或她進入了實驗室的域結構足夠深,以至於能夠對任何用戶運行密碼破解工具。如果有用戶使用弱密碼
(例如"password"或是
changeme"或者任何字典單詞),那麼黑客能快速並簡單的入侵這些用戶的賬號。
8.
減少/排除Web伺服器上的共享:
如果網路管理員是唯一擁有Web伺服器寫許可權的人,就沒有理由讓任何共享存在。共享是對黑客最大的誘惑。此外,通過運行一個簡單的循環批處理文件,黑客能夠察看一個IP地址列表,利用\\命令尋找Everyone/完全控制許可權的共享。
9.
禁用TCP/IP協議中的NetBIOS:
這是殘忍的。很多用戶希望通過UNC路徑名訪問Web伺服器。隨著NETBIOS被禁用,他們便不能這么做了。另一方面,隨著NETBIOS被禁用,黑客就不能看到你區域網上的資源了。這是一把雙刃劍,如果網路管理員部署了這個工具,下一步便是如何教育Web用戶如何在NETBIOS失效的情況下發布信息。
10.
使用TCP埠阻塞:
這是另一個殘忍的工具。如果你熟悉每個通過合法原因訪問你伺服器的TCP埠,那麼你可以進入你網路介面卡的屬性選項卡,選擇綁定的TCP/IP協議,阻塞所有你不需要的埠。你必須小心的使用這一工具,因為你並不希望將自己鎖在Web伺服器之外,特別是在當你需要遠程登陸伺服器的情況下。
11.
仔細檢查*.bat和*.exe
文件:
每周搜索一次*.bat
和*.exe文件,檢查伺服器上是否存在黑客最喜歡,而對你來說將是一場惡夢的可執行文件。在這些破壞性的文件中,也許有一些是*.reg文件。如果你右擊並選擇編輯,你可以發現黑客已經製造並能讓他們能進入你系統的注冊表文件。你可以刪除這些沒任何意義但卻會給入侵者帶來便利的主鍵。
12.
管理IIS目錄安全:
IIS目錄安全允許你拒絕特定的IP地址、子網甚至是域名。作為選擇,我選擇了一個被稱作WhosOn的軟體,它讓我能夠了解哪些IP地址正在試圖訪問伺服器上的特定文件。WhosOn列出了一系列的異常。如果你發現一個傢伙正在試圖訪問你的cmd.exe,你可以選擇拒絕這個用戶訪問Web伺服器。當然,在一個繁忙的Web站點,這可能需要一個全職的員工!然而,在內部網,這真的是一個非常有用的工具。你可以對所有區域網內部用戶提供資源,也可以對特定的用戶提供。
13.
使用NTFS安全:
預設地,你的NTFS驅動器使用的是EVERYONE/完全控制許可權,除非你手工關掉它們。關鍵是不要把自己鎖定在外,不同的人需要不同的許可權,管理員需要完全控制,後台管理賬戶也需要完全控制,系統和服務各自需要一種級別的訪問許可權,取決於不同的文件。最重要的文件夾是System32,這個文件夾的訪問許可權越小越好。在Web伺服器上使用NTFS許可權能幫助你保護重要的文件和應用程序。
14.管理用戶賬戶:
如果你已經安裝IIS,你可能產生了一個TSInternetUser賬戶。除非你真正需要這個賬戶,否則你應該禁用它。這個用戶很容易被滲透,是黑客們的顯著目標。為了幫助管理用戶賬戶,確定你的本地安全策略沒有問題。IUSR用戶的許可權也應該盡可能的小。
15.
審計你的Web伺服器:
審計對你計算機的性能有著較大的影響,因此如果你不經常察看的話,還是不要做審計了。如果你真的能用到它,請審計系統事件並在你需要的時候加入審計工具。如果你正在使用前面提到的WhosOn工具,審計就不那麼重要了。預設地,IIS總是紀錄訪問,
WhosOn
會將這些紀錄放置在一個非常容易易讀的資料庫中,你可以通過Access或是
Excel打開它。如果你經常察看異常資料庫,你能在任何時候找到伺服器的脆弱點。
總結
上述所有IIS技巧和工具(除了WhosOn以外)都是Windows自帶的。不要忘記在測試你網站可達性之前一個一個的使用這些技巧和工具。如果它們一起被部署,結果可能讓你損失慘重,你可能需要重啟,從而遺失訪問。
最後的技巧:
登陸你的Web伺服器並在命令行下運行netstat
-an。觀察有多少IP地址正嘗試和你的埠建立連接,然後你將有一大堆的調查和研究要做了。
Ⅷ 1、如何保護企業伺服器的安全呢
增強網路整體安全
很多網管往往在維護網路安全方面存在這樣的誤區,認為只要將伺服器單機打好補丁,安裝好防護牆
、操作系統定期升級就可以安枕無憂了。可實際上,很多黑客和病毒並非直接攻擊伺服器,而是通過入侵
其他計算機作為跳板來攻擊整個網路的。目前很多網路都是通過域的方式來管理,一旦黑客或病毒成功入
侵與伺服器有信任關系的一台計算機,那麼從這台計算機攻擊伺服器將會變得非常簡單。所以要辦證整個
網路的安全要從根本來考慮。
首先是安全管理,要從管理角度出發,利用規章制度等文字性的材料規范,約束各種針對計算機網路
的行為,例如禁止員工隨便下載非法程序,禁止網路管理員以外的人員進入中心機房,完善網路管理員的
值班制度等等。
其次是安全技術,要從技術角度出發,利用各種軟體和硬體,各種技巧和方法來管理整個計算機網路,
殺毒軟體與防火牆雙管齊下力保網路的安全。
這兩方面缺一不可,試想如果只有安全技術的支持而在規章制度上沒有進行任何約束,即使剛開始安
全做的很到位,但員工隨意下載非法軟體,隨便關閉殺毒軟體的保護的話,整個網路安全形同虛設。而只
有嚴格的規章沒有技術作為支持的話病毒和黑客也會通過網路漏洞輕松入侵。因此安全管理與安全技術兩
方面相輔相成,網路管理員對於這兩方面都要抓,力度都要硬。
加強伺服器本地文件格式安全級別
目前伺服器都採用的是windows 2000以上版本,所以在加強安全級別上需要利用windows 2000 server
提供的用戶許可權功能,根據每個用戶的特點單獨地為其制定訪問伺服器的特殊使用許可權,從而避免因使用
統一的訪問伺服器許可權而帶來的安全隱患。
為了確保伺服器的安全首先要在本地文件格式上做文章,即將FAT格式轉換為安全系數更高的NTFS文
件格式。畢竟對於黑客來說存儲在FAT格式的磁碟分區里的數據要比存儲在NTFS格式的磁碟分區的數據更容
易訪問,也更容易破壞,另外目前所有安全軟體及加密軟體也都是針對NTFS格式來說的,對FAT格式的保護
非常薄弱。
另外最好使用專門的網路檢測軟體對整個網路的運行情況進行7*24小時的不間斷監視,尤其要關注「
非法入侵」和「對伺服器的操作」兩方面的報告,筆者做在的公司就使用IISLOCK來監視網頁伺服器的正常
運行和MRTG來檢測整個網路的流量。
定期備份數據
數據的保護是一個非常重要的問題,也許伺服器的系統沒有崩潰但裡面存儲的數據發生了丟失,這種
情況所造成的損失會更大,特別對於資料庫伺服器來說也許存儲的是幾年的珍貴數據。怎麼才能有效的保
護數據?備份是唯一的選擇。以往對於數據的備份都是採取在伺服器上另外一個區建立備份文件夾甚至是建
立一個備份區。不過這樣備份方法有一個非常大的弊端,那就是一旦伺服器的硬碟出現問題所有分區的數
據都將丟失,從而備份沒有了保證。按照「不要把所有雞蛋放到同一個籃子」的理論我們應該使用單獨的
專門設備保存這些珍貴數據。
使用B伺服器保存A伺服器的數據,同時用A伺服器保存B伺服器的文件,這種交叉備份的方法在一段時
間非常流行。另外還有一個有效的方法就是使用磁帶來保存珍貴數據,不過這樣的投資會比較大。
就拿採用的備份方式來說,採用的備份方式是通過網路存儲設備NAS來保存的,將單獨的NAS設備連接
到網路中,定期通過工具將珍貴數據寫入到NAS的硬碟中,由於NAS設備自身使用了RAID方式進行數據的冗
余,所以數據得到了最好的保證。
但是數據備份也存在巨大的安全漏洞,因為備份好的數據也有可能被盜竊,所以在備份時應該對備份
介質進行有效的密碼保護,必要時還需要使用加密軟體對這些數據進行加密,這樣即使數據被盜也不會出現
數據泄露的問題。易信科技,望採納。
Ⅸ 伺服器怎麼維護
定期關機還維護什麼啊?所謂的伺服器維護就是要想辦法減少關機的次數。
不同的伺服器有不同的使用和維護標准。普遍意義上的伺服器維護主要是:
1、對伺服器上的冗餘文件進行整理;
2、檢查伺服器是否是否有異常情況:使用是否正常、服務狀態是否正常、有否被黑客入侵的跡象;
3、對重要數據的備份;
4、安裝系統或程序的補丁;
長期維護就是長期都要做以上事情。
伺服器可不是拿給人上網玩的,不會裝很多莫名其妙的軟體,所以一般不容易中毒、中木馬或者出現家用機上的一些怪毛病。
你所問的,「關機有效果嗎?」就是典型的家用機毛病,家用機中,有很多的軟體,在使用過後,大部分軟體信息和軟體計算過程存放在內存中無法卸載干凈,導致機器越用越慢,(用訊雷下BT後速度超慢也是這個原因)。
所以,除非你在伺服器上到處逛網站,開3D MAX,PHOTOSHOP後又處理300M一張的圖片等等.....那你的伺服器關機後重開,效果和明顯,否則,不要輕易關機伺服器。
Ⅹ 如何有效地保護常規伺服器免受攻擊
1、監控您的獨立伺服器流量
為了了解您的獨立伺服器是否受到攻擊,您需要熟悉典型的流量模式。網路流量的高峰可以成為正常業務過程的一部分。廣告、促銷和活動都可以增加您網站的訪問量。一旦發現您的香港伺服器持續出現過高異常流量,那麼你很可能正遭受DDoS攻擊。DDoS攻擊者通常會在其主要進攻之前進行小規模入侵。
無論他們的動機如何,攻擊者(通常包括您的商業競爭對手)通常都會瞄準可以造成最大傷害的時間。例如您產生大量流量的日子,如雙 11或大肆促銷時,是黑客攻擊的理想時間。深入了解您的正常流量可以幫助您識別正常發生的任何異常峰值,並提醒您的技術團隊注意潛在的攻擊。
2、配置更高網路資源
選擇獨立伺服器時,瞄準那些給予帶寬更高的機型。為您的獨立伺服器提供充足的網路容量,是您的網站准備應對潛在DDoS攻擊的另一個重要組成部分。配置更高帶寬可以在發生攻擊時為您的站點提供一個小而有用的緩沖區。通過確保過多的網路容量來適應大的流量激增,可以獲得珍貴的分鍾數。我們建議您的網路能夠容納正常流量的2-6倍。
但是,無論您為網路配置得多好,如果您的獨立伺服器租用服務商沒有容量,DDoS攻擊仍然會對您的產品或服務產生重大影響。因此選擇獨立伺服器租用時,請確保您的服務商擁有處理大規模DDoS攻擊所需的資源,例如億恩科技高防線路,這將確保在發生大規模攻擊時不會浪費您的預防措施。
3、保持警惕
短期的成功往往會滋生自滿情緒,導致公司失去安全措施。這使他們極易受到攻擊。檢查最強大的網路組件是否存在缺陷是至關重要的。在您最成功的領域中進行失敗分析似乎違反直覺,但這對於加強您的網路並為攻擊的可能性做准備至關重要。
4、利用高防伺服器
在高防伺服器上託管您的產品或服務是保護您的產品免受DDoS攻擊的關鍵因素。高防伺服器接入高防線路,可防禦高達 300Gbps 以上規模的DDoS攻擊及其他流量攻擊,且支持壓力測試,承諾防禦無效按天退款,更有資深專家全程協助防護,可保障你的網站即使面臨特大攻擊也能穩定運行。
5、安裝更新,因為它們可用
保持應用程序更新是網路安全的重要組成部分,往往被忽視。DDoS 攻擊通常針對最近發現的安全漏洞。在WordPress等開源平台上安裝更新後,會立即為您提供最新、最安全的版本。雖然經常忽略更新,但選擇最新版本可以修補和消除以前暴露的任何安全漏洞。設置更新以自動安裝將確保您始終配備最安全的應用程序。