企業(yè)信息化技術的應用�,以不可逆轉。隨著文件服務器�、ERP管理軟件等等在企業(yè)中生根發(fā)芽,應用服務器也逐漸在企業(yè)中普及起來����。以前在企業(yè)中有一臺應用服務器已經是了不起的事情��,現(xiàn)在有兩臺�、三臺的�����,也不為怪了��。
但是��,企業(yè)應用服務器雖然增加了�����,可是對這個應用服務器的安全管理��,卻跟不上�。隨便到一家企業(yè)看看,總是可以看到一些明顯的安全管理漏洞���。下面筆者就把其中一些典型的漏洞列舉出來����,就當作拋磚引玉��,提醒大家注意服務器的安全管理。
一�����、所有主機可以Telnet到服務器�����。
由于服務器往往都放在一個特定的空間中�,若對于服務器的任何維護工作,如查看服務器的硬盤空間等等����,這些工作都需要到服務器上面去查看的話��,很明顯不是很方便�。我們希望能夠在我們平時用的電腦上就可以對服務器進行一些日常的維護,而不用跑到存放服務器的房間中去�。
所以,我們對于服務器的大部分維護工作�����,都可以通過Telnet到服務器上����,以命令行的方式進行維護��。這無疑為我們服務器的管理提供了一個方便的管理渠道����,但是�,也給服務器帶來了一些隱患。
當非法攻擊者利用某些特定的方法知道Telent的用戶名與密碼之后��,就可以在企業(yè)任何一臺主機上暢通無阻的訪問服務器����。特別是當一些心懷不滿的員工,更容易借此發(fā)泄自己對企業(yè)的不滿����。以前我有個朋友在一家軟件公司中當CIO,有個員工乘管理員不注意的時候���,取得了文件服務器的Telent用戶名與密碼����。后來因為其泄露客戶的機密信息而被公司警告處分。這個員工心懷不滿��,就利用竊取過來的用戶名與密碼�,登陸到文件服務器,刪除了很多文件���。還好���,在文件服務器中采取了比較完善的備份制度,才避免了重大的損失���。
所以��,Telent技術為我們服務器管理提供了比較方便的手段��,但是,其安全風險也不容忽視�。一般來說,對于Telent技術��,我們需要注意以下幾個方面�。
一是Telent用戶名與密碼跟服務器的管理員登陸用戶名與密碼最好不一樣。也就是說���,在服務器主機上登陸的用戶名與密碼�����,與遠程Telent到服務器的管理員用戶名與密碼要不一樣�。如此的話,可以把用戶名與密碼泄露對服務器的危害降到最低����。
二是最好能夠限制Telent到服務器的用戶主機。如我們可以在服務器上進行限制�����,只允許網(wǎng)絡管理員的主機才可以遠程Telent到服務器上去��。這實現(xiàn)起來也比較簡單���。若是微軟服務器系統(tǒng)的話��,可以利用其本身自帶的安全策略工具實現(xiàn)������;蛘呖梢越柚阑饓硐拗芓elent到服務器上的IP地址或者MAC地址。如此的話����,即使用戶名或者密碼泄露,由于有了IP地址或者MAC地址的限制��,則其他人仍然無法登陸到服務器上去���。如此的話����,就可以最大限度的保障只有合法的人員才可以Telent到服務器上進行日常的維護工作���。
三是若平時不用Telent到服務器管理的話�����,則把這個Telent服務關閉掉��。沒有必要為攻擊者留下一個后門��。
二、服務器的上的共享文件家所有用戶都有訪問權限����。
在應用服務器上��,我們有時會為了維護的方便���,會在上面建立幾個共享文件夾。但是��,若這些共享文件夾管理不當�����,也會給應用服務器帶來比較大的安全隱患�。
如若我們某個共享文件夾設置所有用戶都可以無限制的進行訪問的話,則會出現(xiàn)一個問題���,當網(wǎng)絡中若有病毒的話��,這些文件夾就很容易被感染���。當我們在服務器上不小心打開這些共享文件夾的時候,服務器就會感染病毒�,甚至會導致服務器當機。
所以�����,在服務器上設置共享文件夾的時候需要特別的注意,因為服務器崩潰后��,對于企業(yè)的信息化應用來說�,是致命的。一般情況下���,不要在應用服務器上設置共享文件夾�����。若一定要的話���,則也需要遵循如下的安全原則。
一是用好以后需要及時把文件加設置為不共享��。當我們因為某種需要建立一個臨時的共享文件夾時�,當我們用完之后,需要及時把這個共享文件夾刪除掉����,或者改為不共享。及時清理共享文件夾�����,使保護共享文件夾安全的不二法則��。
二是為共享文件夾設置最小權限�。平時在設置共享文件夾的時候,我們可能系習慣了不設置訪問權限�,所以員工都可以不受限制的訪問共享文件夾。但是���,若在文件服務器上面設置共享文件夾的時候����,一定需要注意���,在設置共享的時候���,就需要設置訪問的用戶,最好只有特定的用戶才可以訪問這個共享文件夾�,特別是讀寫權限需要嚴格控制。有些人可能會以為我只是暫時共享一下�����,中間不超過十分鐘�����?墒��,若網(wǎng)絡中有病毒的話�����,則會自需要一秒鐘的時間就可以感染共享文件夾����。故在服務器管理的時候,不能夠有這種僥幸心理�����。
三���、沒有關閉不必要的服務���。
在服務器操作系統(tǒng)安裝的時候,會裝了比較多的服務���。如我們在安裝文件服務器系統(tǒng)的話�����,默認情況下��,可能會開啟WWW服務����、Telent服務�、DSN服務等等。但是��,對于文件服務器來說�����,這些服務往往是沒有必要的�����。我們在應用服務器上開啟了這些不必要的服務���,不但會占用可貴的硬件資源��,而且��,最重要的是����,會降低文件服務器的安全性。
所以����,筆者建議,在服務器管理的時候���,把一些沒有必要的服務關閉掉��。
若采用的是微軟的服務器操作系統(tǒng)��,我們可以通過開始����、設置��、控制面板����、管理工具����、服務來查看當前操作系統(tǒng)所開啟的服務���。如一般情況下����,我們可以把如下的一些服務關閉掉�����。
一是DHCP客戶端�����。由于應用服務器我們一般都采用固定的IP地址�����,所以可以把這個DHCP客戶端關閉掉�����,禁止服務器從DHCP服務器那邊獲取IP地址�。這可以有效的防治IP地址的沖突,從而造成服務器斷網(wǎng)���。
二是要注意Ping 攻擊����。利用Ping命令來對應用服務器實施拒絕服務式攻擊是很多攻擊者常用的一個手段�。其基本原理就是利用肉雞同時連續(xù)的Ping應用服務器,從而導致應用服務器資源耗竭而當機�。所以,一般情況下�,需要在文件服務器上,設置“禁止他人Ping自己”��,如此的話��,就可以杜絕DDOS等惡性攻擊��。
三是可以關閉Remote Desktop Help Session Manager服務��。這個服務主要用來管理并控制遠程協(xié)助��。如果此服務被終止的話���,遠程協(xié)助將不可用��。若我們平時不用遠程桌面連接等工具遠程維護這個應用服務器的話����,則可以直接把這個服務關閉掉。默認情況下����,這個服務需要手工啟動。我們?yōu)榱税踩鹨��,可以把這個服務禁用���。
四是自動更新服務。這是一個有爭議的服務�����。若啟用了這個服務的話�����,則應用服務器操作系統(tǒng)可以自動從網(wǎng)絡上升級最新的操作系統(tǒng)補丁�����,提高操作系統(tǒng)的安全性。但是�,有時候當裝了微軟的升級補丁后,服務器反而不穩(wěn)定了��,有時候甚至導致部屬在上面的應用服務器無法使用��。故筆者的建議是��,若你在應用服務器上部屬的都是微軟的產品�����,如微軟的郵箱服務器等等�,則可以打開這個自動更新服務。若你在他們的服務器操作系統(tǒng)上�,部署了其他牌子的郵箱服務器,或者部署了一些其他牌子的數(shù)據(jù)庫系統(tǒng)的話����,則是否開啟這個自動更新服務,則要慎重考慮了��。
四���、不同管理人員利用同一個賬戶管理服務器����。
有時候,在一個服務器上可能會部署多個應用����,如在一臺應用服務器中,可能既是郵箱服務器�����,又是文件服務器����。而不同的應用有不同的管理員負責。有些企業(yè)為了管理的方便���,可能會利用同一個用戶名來管理不同的服務。筆者認為��,這是不安全的��。
當某個管理員在一個應用服務管理的時候����,有可能會不小心更改另外一個服務的配置���,而此時,另外一個管理員并不知情����。如此的話,就可能會導致另外一個服務出現(xiàn)運行上的錯誤��。所以����,這就會給服務器管理產生安全上的漏洞。
為此�����,筆者建議��,最好是一個服務采用一臺服務器����,雖然這需要增加一定的支出,但是����,一臺服務器出現(xiàn)問題的話����,最多只影響一個應用����,可以把因為服務器的問題造成的不良影響降至到最低。
若出于成本的限制的話���,確實需要在不同的服務器中部署不同的服務的話����,則最好在安裝服務的時候�,就先建立不同的管理員帳戶,然后利用對應的帳戶登陸再部署相關的服務����。如此的話,就可以最大限度的減少管理員之間的相互干擾�����。即使是同一個管理員管理不同的服務�����,最好也是建立不同的帳戶為妙 ���!
