注：本文由本人最早發(fā)布在?http://roland.blog.51cto.com/(Roland技術(shù)窩~~)，現(xiàn)逐步將原?http://roland.blog.51cto.com/(Roland技術(shù)窩~~) 所有文章遷移至此博客，請勿修改“創(chuàng)作類型”！致謝!

說到服務(wù)器安全，已經(jīng)是老生常談的問題了。但是沒有哪個公司或是用戶對服務(wù)器安全方面的問題不聞不問。其實安全是一個體系，并不僅僅體現(xiàn)在系統(tǒng)，軟件，網(wǎng)絡(luò)或其他單方面的安全。如果一個安全體系不完善那安全的話題就無從談起。 什么是安全體系，我個人認(rèn)為，象服務(wù)器系統(tǒng)的漏洞，賬戶權(quán)限，文件權(quán)限，軟件設(shè)計時對***和漏洞的防御性，網(wǎng)絡(luò)訪問的限制等等都是安全體系的環(huán)節(jié)，如果其中的一個環(huán)節(jié)沒有設(shè)計好那么就如水桶裝水一般會從擋板最低的地方流出，這樣整個安全體系也就無法達到預(yù)期的效果。 要達到整體的安全其實有一句話說的很好：最少的服務(wù)，最少的賬戶，最小的權(quán)限。安全和便捷（管理的便利性）本身就是一個矛盾體，關(guān)鍵是如何在兩者間尋求平衡點。我想為了安全而犧牲部分的便利是值得的也是必要的。 就以上提到的三個“最” 以及我個人對安全體系的一些觀點和大家共享： 1、服務(wù)器系統(tǒng)最好是裝英文原版系統(tǒng)（指WINDOWS系列），這樣漏洞比較少。 2、一定要定期更新系統(tǒng)補丁。 3、原管理員賬戶改名或禁用，禁用GUEST賬戶，IIS，FTP等服務(wù)設(shè)置單獨的賬戶啟動，而且每個賬戶這給予相應(yīng)的最少且購用的權(quán)限。一定要強制密碼的復(fù)雜性，最好把服務(wù)器管理員帳戶的密碼設(shè)置成如windows序列號的形式。 4、對目錄的權(quán)限設(shè)置本著最少和最小原則。給需要使用這個目錄的用戶以最小且購用的權(quán)限。 5、一定安裝殺毒軟件，而且開啟自動更新功能。 6、最好在網(wǎng)絡(luò)鏈路上安裝硬件防火墻（如CISCO ASA），如果無法達到至少也要安裝軟件防火墻，或者對系統(tǒng)的網(wǎng)絡(luò)安全做策略限制。本人還是很推崇用IPsec來保障系統(tǒng)安全的。（關(guān)于IPsec實際的配置案例在今后的文章中會介紹） 7、無論用哪種防火墻或者安全策略的目的都是只對外開放必要的端口，關(guān)閉其他不必要的端口，降低系統(tǒng)的危險系數(shù)，或者對某些端口的連接限制允許接入的IP地址。比如：WEB服務(wù)器要對所有用戶開放80端口，而象3389，20，21，22，23這類特殊端口需要限制允許接入的IP地址，比如只允許你公司的IP地址通過這些端口連接到服務(wù)器，這樣做在極大程度上提高了服務(wù)器的安全性。 8、健全日志的記錄功能，這樣才可以讓一些非法的操作暴露原型。 9、刪除系統(tǒng)默認(rèn)的共享（C$,D$,ADMIN$,IPC$等），禁用TCP/IP上的NETBIOS（視服務(wù)器提供的服務(wù)而定），重命名或改變CMD文件的名稱或物理路徑，禁止遠程更改注冊表，安裝軟件時不要放在默認(rèn)目錄。 上面提到的這些是保障服務(wù)器安全的基礎(chǔ)，其實在安全的道路上有很多事情等著我們?nèi)プ觥＞拖笠晃慌笥阉f：只要服務(wù)器提供服務(wù)，一個80端口足以讓服務(wù)器危機重重。所以我們?nèi)沃囟肋h，和各位朋友共勉，希望能和大家一起交流，共同進步。

?

?

轉(zhuǎn)載于:https://blog.51cto.com/rolandqu/942493

總結(jié)

以上是生活随笔為你收集整理的服务器安全浅谈的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。