国产精品香蕉在线观看网,亚洲欧美精品综合在线观看,亚洲不卡av一区二区无码不卡,亚洲日本精品国产第一区二区

　　本文檔與站點(diǎn)安全有關(guān)，由本人根據(jù)實(shí)際工作經(jīng)驗(yàn)編寫而成;這里只是一個(gè)初稿，以后有時(shí)間我會更新它。站點(diǎn)服務(wù)器通常指托管在IDC的服務(wù)器，如果你有服務(wù)器托管在IDC那里，就不得不對它們的安全予以關(guān)注。如果你是網(wǎng)絡(luò)程序員或系統(tǒng)管理員，本文或許會對你有所幫助，如果你是專業(yè)安全管理員，那么看一下本文也無妨。

　　站點(diǎn)安全應(yīng)該包括幾部分：物理安全、網(wǎng)絡(luò)安全、系統(tǒng)安全以及安全管理，下面從這幾方面予以闡述。

　　一. 物理安全

　　服務(wù)器運(yùn)行的物理安全環(huán)境是很重要的，很多人忽略了這點(diǎn)。物理環(huán)境主要是指服務(wù)器托管機(jī)房的設(shè)施狀況，包括通風(fēng)系統(tǒng)、電源系統(tǒng)、防雷防火系統(tǒng)以及機(jī)房的溫度、濕度條件等。這些因素會影響到服務(wù)器的壽命和所有數(shù)據(jù)的安全。我不想在這里討論這些因素，因?yàn)樵谶x擇IDC時(shí)你自己會作出決策。

　　在這里著重強(qiáng)調(diào)的是，有些機(jī)房提供專門的機(jī)柜存放服務(wù)器，而有些機(jī)房只提供機(jī)架。所謂機(jī)柜，就是類似于家里的櫥柜那樣的鐵柜子，前后有門，里面有放服務(wù)器的拖架和電源、風(fēng)扇等，服務(wù)器放進(jìn)去后即把門鎖上，只有機(jī)房的管理人員才有鑰匙打開。而機(jī)架就是一個(gè)個(gè)鐵架子，開放式的，服務(wù)器上架時(shí)只要把它插到拖架里去即可。這兩種環(huán)境對服務(wù)器的物理安全來說有著很大差別，顯而易見，放在機(jī)柜里的服務(wù)器要安全得多。

　　如果你的服務(wù)器放在開放式機(jī)架上，那就意味著，任何人都可以接觸到這些服務(wù)器。別人如果能輕松接觸到你的硬件，還有什么安全性可言？以下是幾個(gè)不安全的事例：

　　很多Windows服務(wù)器采用終端服務(wù)進(jìn)行管理，在一個(gè)機(jī)架式的機(jī)房里，你可以隨便把顯示器接在哪臺服務(wù)器上。如果你碰巧遇到某臺機(jī)器的管理員或使用者正通過終端使用這臺機(jī)器，那么他的操作你可以一覽無余。甚至，你可以把鍵盤接上去，把他kill off，然后完全控制這臺機(jī)器。當(dāng)然，這種事情比較少見，但不意味著不可發(fā)生。

　　另外，很多Unix系統(tǒng)的管理員在離開機(jī)房時(shí)，沒有把root或其他帳號的shell從鍵盤退出，這樣你只要把鍵盤和顯示器接上去，就完全可以獲取這個(gè)shell的權(quán)限。這可比遠(yuǎn)程攻擊獲取系統(tǒng)權(quán)限容易得太多。我有次在機(jī)房時(shí)想要一個(gè)unix shell臨時(shí)使用一下，于是我把顯示器在旁邊機(jī)架的幾臺服務(wù)器上接了一下，很快就發(fā)現(xiàn)一個(gè)沒有退出的root shell，我把鍵盤接上去，做完我自己的事后，幫他退出了這個(gè)shell。如果我是一個(gè)不安好心的人，我完全可以在他的服務(wù)器里不帶任何痕跡的安裝一個(gè)(RootKit)。

　　某天我看到一個(gè)公司的維護(hù)人員在機(jī)房調(diào)試專線時(shí)，懷疑是協(xié)議轉(zhuǎn)換儀有問題，于是他毫不猶豫的把旁邊一個(gè)機(jī)架上的協(xié)議轉(zhuǎn)換儀拔下來，接到他自己的專線上用于調(diào)試。被破壞的服務(wù)器數(shù)據(jù)傳輸會中斷幾分鐘，這對某些公司可能是致命的，而他們的服務(wù)器管理人員可能到死也查不出原因!

　　還有，用一張光盤引導(dǎo)Linux系統(tǒng)，你可以毫無障礙的重新獲取主機(jī)的root權(quán)限;你可以無意中碰動(dòng)別人的電源，等等，不在這里贅述。所有這些是要說明一點(diǎn)，放在開放機(jī)架上的服務(wù)器是不安全的。如果你的服務(wù)器硬件可以讓其他人輕易接觸，那么不出事是你的幸運(yùn)，出事了你也找不到原因或找不到責(zé)任人。

　　而放在密封式機(jī)柜里的服務(wù)器會安全很多，一般情況下，你的所有服務(wù)器放在一起(同一個(gè)機(jī)柜或者幾個(gè)機(jī)柜)是明智之舉，機(jī)柜里不要有其他公司的服務(wù)器。如果你的服務(wù)器只有有限的幾臺，那么放在機(jī)柜里也會安全很多。因?yàn)椴皇侨魏稳硕伎梢源蜷_機(jī)柜接觸到你的硬件，就算同一個(gè)機(jī)柜的其他公司的服務(wù)器的維護(hù)人員有這個(gè)機(jī)會，但風(fēng)險(xiǎn)也要小得多。而且，就算出事了，你也可以追查到責(zé)任人。

　　有一次我們的服務(wù)器因?yàn)殡娫磾嗟簦袛鄮讉€(gè)小時(shí)，我們根據(jù)系統(tǒng)日志很快判斷出服務(wù)器的down機(jī)情況，在追查責(zé)任時(shí)，我首先想到是IDC機(jī)房的維護(hù)人員的責(zé)任，因?yàn)樵谖覀兡莻€(gè)機(jī)柜里沒有其他公司的服務(wù)器，別人不會接觸到那里面的電源。后來經(jīng)查實(shí)，果然是該IDC的電工在弄電時(shí)不小心把我們的服務(wù)器電源斷掉，他們向我們出具了道歉聲明。而如果在一個(gè)開放式機(jī)架的機(jī)房里，碰到這樣的情況你無從查起。

　　如果你的服務(wù)器只能放在開放式機(jī)架的機(jī)房，那么你可以這樣做：

　　1)將電源用膠帶綁定在插槽上，這樣避免別人無意中碰動(dòng)你的電源;

　　2)安裝完系統(tǒng)后，重啟服務(wù)器，在重啟的過程中把鍵盤和鼠標(biāo)拔掉，這樣在系統(tǒng)啟動(dòng)后，普通的鍵盤和鼠標(biāo)接上去以后不會起作用(USB鼠標(biāo)鍵盤除外)

　　3)跟機(jī)房值班人員搞好關(guān)系，不要得罪機(jī)房里其他公司的維護(hù)人員。這樣做后，你的服務(wù)器至少會安全一些。

　　二. 網(wǎng)絡(luò)安全

　　網(wǎng)絡(luò)安全是指你機(jī)房的服務(wù)器要有合理的安全拓?fù)浣Y(jié)構(gòu)。安全的網(wǎng)絡(luò)環(huán)境會讓你的系統(tǒng)管理任務(wù)輕松很多，否則你會時(shí)刻提心吊膽。例如，如果你的服務(wù)器直接面對，那么你的麻煩就來了。因此，在服務(wù)器的前面，至少要有網(wǎng)絡(luò)屏蔽設(shè)施，或稱為。

　　從頭部署新的防火墻策略是一件復(fù)雜的事情，你要綜合考慮許多方面。一般來說，防火墻有兩種工作模式，稱為路由模式和透明模式，在路由模式下，防火墻就象一 個(gè)，能進(jìn)行數(shù)據(jù)包的路由。不同的是，它能識別網(wǎng)絡(luò)第四層協(xié)議(即傳輸層)的信息，因此它能基于TCP/UDP端口來進(jìn)行過濾。在該模式下，防火墻本 身要配備兩個(gè)或多個(gè)網(wǎng)絡(luò)地址，你的網(wǎng)絡(luò)結(jié)構(gòu)會被改變。在透明模式下，防火墻更象一個(gè)網(wǎng)橋，它不干涉網(wǎng)絡(luò)結(jié)構(gòu)，從拓?fù)渲锌磥?，它似乎是不存在?因此稱為透 明)。但是，透明模式的防火墻同樣具備數(shù)據(jù)包過濾的功能。透明模式的防火墻不具備IP地址。這兩種模式的防火墻都提供網(wǎng)絡(luò)訪問控制功能，例如你可以在防火 墻上設(shè)置，過濾掉來自因特網(wǎng)的對服務(wù)器的NFS端口的訪問請求。

　　在網(wǎng)絡(luò)中使用哪種工作模式的防火墻取決于你的網(wǎng)絡(luò)環(huán)境。一般來說，如果你的服務(wù)器使用真實(shí)IP地址(該地址一般是IDC分配給你的)，會選擇防火墻的透明 模式。因?yàn)樵谠撃Ｊ较拢愕姆?wù)器看起來象直接面對互聯(lián)網(wǎng)一樣，所有對服務(wù)器的訪問請求都直接到達(dá)服務(wù)器。當(dāng)然，在數(shù)據(jù)包到達(dá)服務(wù)器之前會經(jīng)過防火墻的檢 測，不符合規(guī)則的數(shù)據(jù)包會被丟棄掉(從服務(wù)器編程的角度看，它不會覺察到數(shù)據(jù)包實(shí)際已被處理過)。

　　實(shí)際上為了安全起見，很多服務(wù)器都采用私有IP地址(例如172.16.0.0/16和192.168.0.0/24都屬于私有IP地址)，如 果這些服務(wù)器不必對外提供服務(wù)，那么就最安全不過了，如果要對外提供服務(wù)，就有必要通過防火墻的NAT(網(wǎng)絡(luò)地址轉(zhuǎn)換)來滿足來自因特網(wǎng)的訪問要求。 NAT是防火墻的一項(xiàng)功能，它實(shí)際上工作在路由模式下。大多數(shù)防火墻都會區(qū)分所謂的正向NAT和反向NAT，所謂正向NAT就是指從內(nèi)網(wǎng)出去的數(shù)據(jù)包，在 經(jīng)過防火墻后，包頭會被改寫，源IP被改寫成防火墻上綁定的IP地址(或地址池，肯定是公網(wǎng)真實(shí)IP)，源端口也會有所改變，回來的數(shù)據(jù)包經(jīng)過同樣處理， 這樣就保證內(nèi)網(wǎng)具有私有IP的主機(jī)能夠與因特網(wǎng)進(jìn)行通信。在反向NAT的實(shí)現(xiàn)中，會將服務(wù)器的公網(wǎng)IP綁定在出口處的防火墻上，服務(wù)器只會使用一個(gè)私有 IP，防火墻會在它的公網(wǎng)IP和這個(gè)私有IP之間建立一個(gè)映射，當(dāng)外網(wǎng)對這臺服務(wù)器的請求到達(dá)防火墻時(shí)，防火墻會把它轉(zhuǎn)發(fā)給該服務(wù)器。當(dāng)然，在轉(zhuǎn)發(fā)之前， 會先匹配防火墻規(guī)則集，不符合規(guī)則的數(shù)據(jù)包將被丟棄。

　　使用反向NAT，會大大提高服務(wù)器的安全性。因?yàn)槿魏斡脩舻脑L問都不是直接面對服務(wù)器，而是先要經(jīng)過防火墻才被轉(zhuǎn)交。而且，服務(wù)器使用私有IP地址，這總 比使用真實(shí)地址要安全。在抗拒絕服務(wù)攻擊上，這種方式的成效更顯然。但是，相對于透明模式的防火墻，采用反向NAT方式的防火墻會影響網(wǎng)絡(luò)速度。如果你的 站點(diǎn)訪問流量超大，那么就不要使用該種方式。值得一提的是，的PIX在NAT的處理上性能異常卓越。

　　另外一種情況是，服務(wù)器使用真實(shí)IP地址，防火墻配置成路由模式，不使用它的NAT功能。這種情況雖然可以實(shí)現(xiàn)，但會使你的網(wǎng)絡(luò)結(jié)構(gòu)變得很復(fù)雜，似乎也不會帶來效益的提高。

　　大多數(shù)IDC的機(jī)房不提供防火墻服務(wù)，你需要自己購買和配置使用防火墻。你完全可以按透明模式或NAT模式來配置，具體怎么配取決于你的實(shí)際情況。有些IDC公司會提供防火墻服務(wù)，作為他們吸引客戶的一個(gè)手段。一般來說，他們的防火墻服務(wù)會收費(fèi)。

　　如果你的在IDC提供的公共后面，那么就有必要仔細(xì)考慮你的內(nèi)網(wǎng)結(jié)構(gòu)了。如果IDC提供給你的防火墻使用透明模式，也即是你的服務(wù)器全部使用 真實(shí)IP地址，在這種情況下，除非你的服務(wù)器數(shù)量足夠多(象我們在北京有500多臺)，那么在你的邏輯網(wǎng)段里肯定還有其他公司的主機(jī)存在。這樣，雖然有防 火墻，你的系統(tǒng)管理任務(wù)也不會輕松多少，因?yàn)槟阋艿酵痪W(wǎng)段里其他公司主機(jī)的威脅。例如，你的服務(wù)器的IP地址段是211.139.130.0/24， 你使用了其中的幾個(gè)地址，那么在這個(gè)網(wǎng)段里還會有200多臺其他公司的主機(jī)，它們與你的主機(jī)同處于一個(gè)防火墻之后，雖然防火墻可以屏蔽來自因特網(wǎng)的某些訪 問，然而，內(nèi)部這些主機(jī)之間的相互訪問卻沒有任何屏蔽措施。于是，其他公司不懷好意的人可以通過他們的主機(jī)來攻擊你?；蛘?，網(wǎng)絡(luò)中一臺主機(jī)被，則 所有服務(wù)器都會面臨嚴(yán)重威脅。在這樣的網(wǎng)絡(luò)中，你不要運(yùn)行、Sendmail、BIND這樣的危險(xiǎn)服務(wù)。

　　這種問題的解決方法是自己購買防火墻，并配置使用透明模式，不要使用公用防火墻的透明模式。

　　有的IDC公司會給你提供NAT方式的防火墻，你需要在服務(wù)器上設(shè)置私有IP地址，然后由防火墻來給服務(wù)器做地址轉(zhuǎn)換。這種情況與上述情況存在同樣的問 題，那就是，在你的服務(wù)器所在的邏輯網(wǎng)段里還有其他公司的主機(jī)。例如在172.16.16.0/24這個(gè)網(wǎng)段可容納254臺主機(jī)，你的服務(wù)器使用了其中的 幾個(gè) IP，那么可能還有200多臺其他公司的主機(jī)與你的服務(wù)器在同一個(gè)網(wǎng)段里。這樣，雖然對外有防火墻保護(hù)，但無法防范來自內(nèi)網(wǎng)的攻擊。

　　要解決這個(gè)問題，你不必自己購買防火墻。既然私有IP是可以任意分配的，那么你可以向IDC單獨(dú)要一個(gè)網(wǎng)段，例如172.16.19.0/24網(wǎng)段，把你的服務(wù)器都放在這個(gè)網(wǎng)段里，其中不要有其他公司的主機(jī)。這樣一來，你的內(nèi)網(wǎng)也無懈可擊了。

　　實(shí)際上，如果你有一個(gè)大的UNIX主機(jī)的網(wǎng)絡(luò)，那么沒必要讓每臺主機(jī)都在防火墻上打開登陸端口。你可以特別設(shè)置一臺或兩臺主機(jī)做為登陸入口，對其他主機(jī)的 訪問都必須使用入口主機(jī)作為跳板。這樣做犧牲了使用的方便性，但帶來更強(qiáng)的安全性。當(dāng)然，前提是你必須管理好入口主機(jī)。有一種電子令牌卡適合這種應(yīng)用，它 是一張隨身攜帶的卡，每隔一段時(shí)間(這個(gè)時(shí)間通常很小，幾分鐘或者幾十秒)動(dòng)態(tài)產(chǎn)生一個(gè)口令，你只有使用這個(gè)口令才能登陸主機(jī)，并且該口令很快就會失效。

　　不僅是UNIX主機(jī)，對Windows主機(jī)的終端管理也可以采用這種跳板的方式。但Windows的終端比UNIX的shell要麻煩得多，如果你不愿犧牲太多的方便性，那么就不要這樣做。

　　三. 系統(tǒng)安全

　　系統(tǒng)安全是站點(diǎn)安全的主要部分。如果你的系統(tǒng)存在明顯漏洞，那么再好的物理環(huán)境和網(wǎng)絡(luò)環(huán)境也保不了你。一個(gè)很明顯的問題是，如果你的存在安全漏洞，你在沒有將其修補(bǔ)的情況下對外提供服務(wù)，那么不管你的防火墻有多堅(jiān)固，也會很快被入侵。因此，系統(tǒng)管理員在保證系統(tǒng)功能穩(wěn)定的同時(shí)，不得不花時(shí)間來研究系統(tǒng)的安全問題。

　　我所接觸的服務(wù)器主要有Windows2000 Server、Freebsd、和Solaris。第一種是的產(chǎn)品，方便好用，但是，你必須要不斷的patch它。Freebsd是一種優(yōu)雅的，它簡潔的內(nèi)核和優(yōu)異的性能讓人感動(dòng)。Linux和Freebsd一樣，是免費(fèi)的操作系統(tǒng)，它們都廣泛使用GNU(一個(gè)偉大的組織)的實(shí)用工具集，Linux容易上手，但不如Freebsd簡潔。Solaris是的商用操作系統(tǒng)，關(guān)于SUN的文章在網(wǎng)上被貼得到處都是，但遺憾的是，它看起來并不快，而且，你也要經(jīng)常對它打補(bǔ)丁。

　　關(guān)于這幾種操作系統(tǒng)的安全，每種都可以寫一本書。我不會在這里對它們進(jìn)行詳細(xì)描述，只講一些系統(tǒng)初始化安全配置。

　　1. Windows2000 Server的初始安全配置

　　Windows 的服務(wù)器在運(yùn)行時(shí)，都會打開一些端口，如135、139、445等。這些端口用于Windows本身的功能需要，冒失的關(guān)閉它們會影響到Windows的功能。然而，正是因?yàn)檫@些端口的存在，給Windows服務(wù)器帶來諸多的安全風(fēng)險(xiǎn)。遠(yuǎn)程攻擊者可以利用這些開放端口來廣泛的收集目標(biāo)主機(jī)信息，包括操作系統(tǒng)版本、域SID、域用戶名、主機(jī)SID、主機(jī)用戶名、帳號信息、網(wǎng)絡(luò)共享信息、網(wǎng)絡(luò)時(shí)間信息、Netbios名字、信息等，并可用來枚舉帳號和口令。今年8月份和9月份，微軟先后發(fā)布了兩個(gè)基于135端口的RPC DCOM漏洞的安全公告，分別是MS03-026和MS03-039，該漏洞風(fēng)險(xiǎn)級別高，攻擊者可以利用它來獲取系統(tǒng)權(quán)限。而類似于這樣的漏洞在微軟的操作系統(tǒng)中經(jīng)常存在。

　　解決這類問題的通用方法是打補(bǔ)丁，微軟有保持用戶補(bǔ)丁更新的良好習(xí)慣，并且它的Windows2000 SP4安裝后可通過Windows Update來自動(dòng)升級系統(tǒng)補(bǔ)丁。另外，在防火墻上明確屏蔽來自因特網(wǎng)的對135-139和445、593端口的訪問也是明智之舉。

　　 的服務(wù)也容易被攻擊，今年3月份盛行的SQL即使得多家公司損失慘重，因此，如果安裝了微軟的SQL Server，有必要做這些事：1)更新數(shù)據(jù)庫補(bǔ)丁;2)更改數(shù)據(jù)庫的默認(rèn)服務(wù)端口(1433);3)在防火墻上屏蔽數(shù)據(jù)庫服務(wù)端口;4)保證sa口令非空。

　　另外，在Windows服務(wù)器上安裝是絕對必須的，并且要經(jīng)常更新庫，定期運(yùn)行殺毒軟件查殺病毒。

　　不要運(yùn)行不必要的服務(wù)，尤其是，如果不需要它，就根本不要安裝。IIS歷來存在眾多問題，有幾點(diǎn)在配置時(shí)值得注意：1)操作系統(tǒng)補(bǔ)丁版本不得低于SP3;2)不要在默認(rèn)路徑運(yùn)行WEB(默認(rèn)是c:\inetpub\wwwroot);3)以下ISAPI應(yīng)用程序擴(kuò)展可被刪掉：.ida .idq .idc .shtm .shtml .printer。

　　2. Freebsd的初始安全配置

　　Freebsd在設(shè)計(jì)之初就考慮了安全問題，在初次安裝完成后，它基本只打開了22()和25(Sendmail)端口，然而，即使是Sendmail也應(yīng)該把它關(guān)閉(因?yàn)闅v史上Sendmail 存在諸多安全問題)。方式是編輯/etc/rc.conf文件，改動(dòng)和增加如下四句：

　　sendmail_enable="NO"

　　sendmail_submit_enable="NO"

　　sendmail_outbound_enable="NO"

　　sendmail_msp_queue_enable="NO"

　　這樣就禁止了Sendmail的功能，除非你的服務(wù)器處于一個(gè)安全的內(nèi)網(wǎng)(例如在防火墻之后并且網(wǎng)段中無其他公司主機(jī))，否則不要打開Sendmail。

　　禁止網(wǎng)絡(luò)日志：在/etc/rc.conf中保證有如下行：

　　syslogd_flags="-ss"

　　這樣做禁止了來自遠(yuǎn)程主機(jī)的日志記錄并關(guān)閉514端口，但仍允許記錄本機(jī)日志。

　　禁止NFS服務(wù)：在/etc/rc.conf中有如下幾行：

　　nfs_server_enable="NO"

　　nfs_client_enable="NO"

　　portmap_enable="NO"

　　該腳本只是判斷MS、MS終端服務(wù)和Pcanywhere服務(wù)是否正常，如果不正常，就向管理員發(fā)送郵件報(bào)警。如果你需要檢查其他的服務(wù)端口，修改該腳本即可。

　　你也可以配置任務(wù)來定期執(zhí)行該腳本，不過請注意，Nmap掃描會影響網(wǎng)絡(luò)，因此檢測的時(shí)間間距不要太小。當(dāng)然，在Unix系統(tǒng)下，有好些方法可以判斷目標(biāo)系統(tǒng)的開放端口狀況，但使用Nmap掃描看起來也不錯(cuò)。

　　4.3 日志管理

　　不管是Windows系統(tǒng)還是Unix系統(tǒng)，都有自己的事件日志。在Windows下使用事件查看器可以清楚的了解系統(tǒng)運(yùn)行的各項(xiàng)狀態(tài)，它包括應(yīng)用程序日志、安全日志和系統(tǒng)日志。你應(yīng)經(jīng)常閱讀這些日志，尤其是一些紅色標(biāo)記的錯(cuò)誤信息。根據(jù)這些錯(cuò)誤提示發(fā)現(xiàn)問題和解決問題是Windows系統(tǒng)管理員應(yīng)做的事。

　　如果不加入域，那么一般來說系統(tǒng)錯(cuò)誤信息很少;如果在的服務(wù)器組成一個(gè)域，那么從日志里可能會經(jīng)?？吹礁鞣N錯(cuò)誤提示，尤其是在域控制器有問題的時(shí)候。管理好一個(gè)域不是一件太容易的事，它憑空給系統(tǒng)管理員增加很多困難。如果你真碰到這樣的問題，建議你到上面去查找答案，一般來說，你碰到的問題別人肯定也遇見過了，因特網(wǎng)上有很多熱心的人愿意解答困難者的問題(尤其是國外的技術(shù)站點(diǎn))。

　　讀Windows的日志不浪費(fèi)你太多精神，因?yàn)樗挤珠T別類整理得很清楚，有什么錯(cuò)誤能一目了然的看出來。每天快速翻一下它的日志是可行的，如果你的服務(wù)器有壞道，也能從日志里體現(xiàn)出來，為你及早更換磁盤、避免數(shù)據(jù)災(zāi)難贏得了時(shí)間。

　　在 Unix系統(tǒng)下，讀日志要費(fèi)勁一些，因?yàn)閁nix系統(tǒng)通常把一些通用的日志信息寫到messages文件里，導(dǎo)致這個(gè)文件里雜七雜八什么都有，包括應(yīng)用程序信息、用戶驗(yàn)證信息、網(wǎng)絡(luò)連接信息、內(nèi)核信息等等，在瀏覽它們時(shí)比較費(fèi)勁。然而，這不意味著你可以不管它們。實(shí)際上，日志文件是系統(tǒng)偵錯(cuò)時(shí)的唯一依據(jù)。某天你的Unix系統(tǒng)崩潰了，在居喪之余，不要忘了去分析它的日志，或許可以為你找到原因。

　　在Unix系統(tǒng)下，有一個(gè)日志分析軟件叫 Swatch，它能很好的幫你裁減和分析日志，減輕系統(tǒng)管理員的負(fù)擔(dān)。關(guān)于它的安裝和使用我不在這里詳敘，因?yàn)槲易约翰]有使用它。我自己編寫腳本用于查看日志，使用awk語句照樣能將日志文件裁減到合理的程度。這個(gè)腳本的樣式我不在這里描述，因?yàn)椴煌南到y(tǒng)和網(wǎng)絡(luò)環(huán)境所產(chǎn)生的條件并不一樣。

　　在UNIX系統(tǒng)下，另外一個(gè)日志文件也很值得關(guān)注，它記載了用戶的登陸和驗(yàn)證信息，該文件一般位于/var/log下，名為authlog或者auth.log，只有root才可以對它進(jìn)行讀寫。

　　如果系統(tǒng)中安裝了Apache，那么經(jīng)常查看Apache的錯(cuò)誤日志和訪問日志也值得推薦。從這兩個(gè)日志里，你可以發(fā)現(xiàn)很多有趣信息，因特網(wǎng)上對WEB站點(diǎn)的攻擊從來沒有終止過(從這里也可以找到大量試圖攻擊的信息)。

　　4.4 用戶管理

　　用戶管理通常是指系統(tǒng)的用戶帳戶管理，不管是UNIX系統(tǒng)還是Windows系統(tǒng)，帳戶安全是系統(tǒng)安全的關(guān)鍵。系統(tǒng)中應(yīng)保持固定數(shù)量的用戶帳戶，作為系統(tǒng)管理員，應(yīng)清楚每一個(gè)帳戶的使用者和用途。用戶新申請帳戶應(yīng)該有個(gè)流程，規(guī)范的管理總比不規(guī)范好。

　　在 Unix系統(tǒng)上，大多數(shù)系統(tǒng)帳戶平時(shí)是沒什么用的，包括：bin daemon adm lp mail news uucp operator games gopher rpc等，如果你不把它們刪除，那么也不要讓它們擁有真正的shell，檢查/etc/passwd文件，看看這些帳戶的最后一個(gè)域(shell)是否被置/sbin/nologin或/bin/false。經(jīng)常檢查帳戶的權(quán)限，普通帳戶不應(yīng)該在root組(gid=0)，更不應(yīng)擁有root權(quán)限(uid=0)。可以寫一個(gè)腳本來替你檢查，如下所示：

　　#!/bin/sh

　　# script name:checkuser

　　# check if there is any user who have real shell or have root id/gid

　　FILE=/etc/passwd

　　NUM=0

　　while read LINE

　　do

　　NUM=`expr $NUM + 1`

　　if [ $NUM -lt 3 ];then

　　continue

　　fi

　　USER=`echo $LINE |cut -d: -f1`

　　USER_SHELL=`echo $LINE |cut -d: -f7`

　　USER_UID=`echo $LINE |cut -d: -f3`

　　USER_GID=`echo $LINE |cut -d: -f4`

　　if [ "$USER_SHELL" != "/sbin/nologin" ];then

　　echo -e "\n$USER has one real shell:$USER_SHELL"

　　fi

　　if [ $USER_UID -eq 0 ];then

　　echo "$USER has the root uid(uid 0)"

　　fi

　　if [ $USER_GID -eq 0 ];then

　　echo "$USER has the root gid(gid 0)"

　　fi

　　done <$FILE

　　這個(gè)腳本運(yùn)行在Freebsd下，F(xiàn)reebsd的/etc/passwd文件前兩行是版本說明，所以在程序里把它跳過，從第三行起挨個(gè)檢查用戶帳號，它將每一個(gè)擁有真正shell或者擁有root用戶ID或組ID的帳號在屏幕上打印出來。

　　同樣，在Windows服務(wù)器上，如果不運(yùn)行IIS服務(wù)，那么把IIS相關(guān)的帳號禁止掉，把終端服務(wù)帳號禁止掉，把guest帳號禁止掉。Windows系統(tǒng)的管理員組除了Administrator外不要有其他帳號，甚至應(yīng)該把Administrator帳號改名。每一個(gè)帳號在帳號描述里說明它的用途。如果Windows服務(wù)器采用域的方式，那么應(yīng)確保域中有盡可能少的用戶。一般域中兩個(gè)用戶就夠了，一個(gè)Administrators組的用戶，一個(gè)普通用戶。請記住，域的Administrators組的用戶(通常是administrator)對你的每一臺加入域的服務(wù)器都有生死控制權(quán)，所以你應(yīng)絕對保證這個(gè)帳戶的安全。

　　不管是系統(tǒng)的root密碼還是普通用戶密碼，都應(yīng)定期更改。我一般每兩個(gè)月更改一次系統(tǒng)root密碼。當(dāng)然，如發(fā)現(xiàn)系統(tǒng)有被跡象，應(yīng)馬上更改密碼。對于用戶密碼，不管在什么系統(tǒng)中，都可以設(shè)置密碼過期期限，用戶使用一段時(shí)間后必須更改密碼。有的用戶安全意識并不強(qiáng)烈，他們使用自己容易記住的詞匯作為口令，例如自己的英文名或者生日。這些都容易被猜測，你可以使用工具破解這些簡單口令。Unix下的John和Windows 下的LC3都是非常好的密碼破解工具，在系統(tǒng)上運(yùn)行它們幾分鐘就可以破解出一堆弱口令。口令過于簡單的用戶，一定要強(qiáng)制他們更改口令，否則后患無窮。如果用戶拒絕更改口令，那就刪除他們，我就做過這樣的事。

　　4.5 安全巡檢

　　最后要講的是安全巡檢，有時(shí)間就跑到機(jī)房看看去吧，看看服務(wù)器運(yùn)行的環(huán)境，檢查一下電源和網(wǎng)線，摸摸機(jī)表的溫度，跟機(jī)房的值班人員聊聊天，都對你有好處。一般來說，就算服務(wù)器正常運(yùn)行，每月也應(yīng)去機(jī)房兩次。當(dāng)然，來去打車的費(fèi)用，希望你的公司給你報(bào)銷。