PAGEPAGE1淺談網站服務器安全維護技巧效勞器的維護至關主要，稍有閃失即會使整個網絡陷入癱瘓。當前，惡意的網絡攻擊行為包含兩類：一是惡意的攻擊行為，如回絕效勞攻擊、網絡病毒等，這些行為消耗大量的效勞器資源，影響效勞器的運行速度和正常工作，以至使效勞器所在的網絡癱瘓；另外一類是惡意的入侵行為，這種行為會導致效勞器敏感信息泄露，入侵者更是能夠為所欲為，肆意毀壞效勞器。要保障網絡效勞器的安全就要盡量使網絡效勞器避免受這兩種行為的影響。本文以基于Windows2003操作系統的效勞器為例，介紹一些網站效勞器安全維護的技巧。1.轉換角色，模仿可能的攻擊多數時候，我們若只是站在網站維護員的位置上考慮問題，可能很難發現覺察網站效勞器的漏洞。相反，維護員若能換個角度，把本身當作可能的攻擊者，從他們的角色出發，忖度他們可能會運用哪些手段對哪些網站效勞器的漏洞進行攻擊，或許就能夠發現網站效勞器可能存在的安全漏洞，進而先行一步，修補漏洞，避免被木馬或者病毒攻擊，防患于未然。從外網訪問本身的網站效勞器，履行完好的檢測，然后模仿攻擊者攻擊本身的站點，看會有什么結果。這對于網站的安全性來說，無疑是一種很好的檢測方法。自己充任攻擊者，運用適當的掃描工具對網站效勞器履行掃描，有些東西日常可能不會引起看重，但是運用黑客常用的工具履行掃描，就會發現覺察一些可能會被他們調用的效勞或者漏洞。如在網站效勞器安裝的時候，操作系統會默認安裝并啟動一些不需要的效勞，或者在效勞器配置的時候，需要啟動一些效勞，但是事后沒有及時關上，進而給造孽攻擊者留下攻擊的時機。常見的如SNMP效勞〔基本網絡維護協議〕，這個效勞在系統安裝完畢后默認是開啟的。但是，這個效勞能夠為攻擊者提供效勞器系統的具體信息，如網站效勞器采取了什么操作系統，開啟了什么效勞與對應的端口等主要信息，攻擊者只要清楚這些基本的信息就能開展攻擊。安全維護人員在日常工作中可能不會發現覺察這個問題，若借助黑客的掃描工具，就能發現問題所在。因而，在需要的時候能夠換個角度，從攻擊者的角度出發，猜想他們會采取什么攻擊手段，防止出現當局者迷的情況。2.合理的權限維護大多時候，一臺效勞器不僅運行了網站的應用，而且還會運行諸如FTP效勞器和流媒體效勞器之類的網絡效勞。在同一臺效勞器上使用多種網絡效勞很可能造成效勞之間的互相感染。也就是說，攻擊者只要攻擊一種效勞，就能夠運用相關的技能攻陷其他使用。由于攻擊者只需要攻破其中一種效勞，就能夠運用這個效勞平臺從內部攻擊其他效勞，通常來說，從內部履行攻擊要比外部履行攻擊方便得多。或許有人會說，不同的效勞采取不同效勞器就能夠了。當然能夠，但這樣浪費很大，由于從性能上講，在效勞器上同時部署Web效勞與FTP效勞及流媒體效勞的話，是完全可行的。為此，從成本考慮，我們使用一個效勞器同時運行三種效勞：一個是傳統的網站效勞；二是FTP效勞；三是流媒體效勞，由于該效勞是mms形式的，互聯網上可以以直接訪問流媒體效勞器，所以也就部署同一臺效勞器上。由于選用的效勞器配置比較高，所以，運行這三個效勞沒有太大問題，性能也不會遭到影響。但是這給網站安全維護者出了一個難題：兩種、以至兩種以上的效勞同時部署在一臺效勞器上，怎么能力保障安全、防止相互互相感染呢？通常采取的文件系統是FAT或者FAT32。NTFS是微軟WindowsNT內核的系列操作系統支持的、一個十分為網絡和磁盤配額、文件加密等管理安全特性設計的磁盤格式。在NTFS文件系統里能夠為任何一個磁盤分區單獨設置訪問權限，把敏感信息和效勞信息分別放在不同的磁盤分區。這樣，即便黑客通過某些方法獲得效勞文件所在磁盤分區的訪問權限，還需要想方設法突破系統的安全設置能力進一步訪問保存在其他磁盤上的敏感信息。我們采取Windows2003效勞器，為了實現這個安全需求，把效勞器中所有的硬盤都轉換為NTFS分區。通常來說，NTFS分區比FAT分區安全性高許多。運用NTFS分區自帶的功能，合理為它們分配相關的權限。如為這三個效勞配置不同的維護員賬戶，不同的賬戶只能對特定的分區與目錄履行訪問。如此一來，即便某個維護員賬戶失竊，天下論文網攻擊者也只能訪問某個效勞的存儲空間，而不能訪問其他效勞的。例如把網站效勞裝在分區D，而把FTP效勞放在分區E。若FTP的賬戶信息泄露而被攻擊，但是由于FTP賬戶沒有對分區D具有讀寫的權利，所以，不會對網站效勞器上的內容履行任何的讀寫操作。這樣能夠保障即便黑客攻陷FTP效勞器后，也不會對網站效勞器產生不良的影響。除此之外，依員工上班時間來限定使用者登錄網絡的權限也是一個不錯的方法。例如，上日間班的員工不應有權限在三更子夜登錄網絡。3.腳本安全維護實際工作中，很多網站效勞器由于被攻擊而癱瘓都是由于不良的腳本造成的。攻擊者十分喜歡針對CGI程序或者PHP腳本施行攻擊。通常來說，使用網站需要傳遞一些需要的參數，能力夠正常訪問。這個參數能夠分為兩類，一個是值得信任的參數，另外一類是不值得信任的參數。某單位是本身維護網站效勞器，而不是托管，把效勞器放置在單位防火墻內部，以提升網站效勞器的安全性。所以一般來說，來自防火墻內部的參數都是可靠的，值得信任的，而來自外部的參數基本上是不值得信任的。但是，并不是說不值得信任的參數或者來自防火墻外部的參數網站效勞器都不采取，而是說，在網站效勞器設計的時候，需要格外留心，采取這些不值得信任的參數的時候需要履行檢驗，看其能否正當，而不能向來自網站內部的參數那樣照收不誤。這會給網站效勞器的安全帶來隱患，例如，攻擊者運用TELNET連接到80端口，就能夠向CGL腳本傳遞不安全的參數。所以，在CGI程序編寫或者PHP腳本編纂的時候，我們要留心，不能讓其隨意承受生疏人的參數。在承受參數之前，要先檢驗提供參數的人或者參數自己的正當性。在程序或者腳本編寫的時候，能夠預先加入一些判定條件。當效勞器以為提供的參數不精確的時候，及時通知維護員。這可以以幫助我們盡早發現覺察可能存在的攻擊者，并及時采用相應的防御辦法。4.做好系統備份常言道，“有備無患〞，固然大家都不希望系統忽然遭到毀壞，但是做好預備是必需的。作好效勞器系統備份，萬一遭毀壞的時候可以以及時恢復。5.安裝軟件防火墻、殺毒軟件固然我們已經有了一套硬件的防御系統，但是多一些保障會更好。關于防火墻、殺毒軟件的闡述已經許