淺談服務器安全維護的幾個技巧

【摘 要】筆者通過對工作經驗的總結，詳細介紹了防護服務器安全的7個技巧，以供同行參考。

【關鍵詞】服務器；安全維護；技巧

服務器經常有一些不能隨意公開的重要數(shù)據(jù)，尤其是我們氣象部門的服務器，它保存的數(shù)據(jù)是預報員作出及時而準確的天氣預報的重要工具，也是旗縣氣象局共享氣象數(shù)據(jù)的基礎。而在當今這個網(wǎng)絡飛速發(fā)展的時代，服務器遭受的風險往往也特別大，越來越多的病毒、心懷不軌的黑客和一些商業(yè)間諜都將服務器當做目標，因此，維護服務器的安全刻不容緩。下面是我總結的幾個簡單的維護服務器安全的技巧。

1 從基本做起

從基本做起是最保險的方式。必須將服務器上含有機密數(shù)據(jù)的區(qū)域通通轉換成NTFS格式；同時，防毒程序也必須按時更新，建議同時在服務器和桌面電腦上安裝防毒軟件，這些軟件還應該設定成每天自動下載最新的病毒定義文件。另外，Exchange Server（郵件服務器）也應該安裝防毒軟件，這類軟件可掃描所有寄進來的電子郵件，尋找被病毒感染的附件，若發(fā)現(xiàn)病毒，郵件就會馬上被隔離，減低了使用者被感染的機會。

另一個保護網(wǎng)絡的好方法是依上班時間來限定使用者登錄網(wǎng)絡的權限。例如，上白天班的職工不該有權限在三更半夜登錄網(wǎng)絡。

最后，存取網(wǎng)絡上的任何數(shù)據(jù)皆須通過密碼登錄。強迫大家在設定密碼時必須混用大小寫字母、數(shù)字和特殊字符。此外，還應該定期更新密碼且密碼長度不得少于8個字符。若還是擔心密碼不安全，可嘗試從網(wǎng)絡上下載一些黑客工具，然后測試一下這些密碼的安全度。

2 保護備份

大多數(shù)人都沒有意識到備份本身就是一個巨大的安全漏洞。試想，大多數(shù)的備份工作多在晚上10點或11點開始，依數(shù)據(jù)多寡，備份完成后大概也是夜半時分了，很容易被有心人士趁機偷走備份磁盤而導致數(shù)據(jù)泄露。為防止這種情況發(fā)生，首先，可利用密碼保護你的磁盤，若備份程序支持加密功能，還可以將數(shù)據(jù)進行加密；其次，將備份完成的時間定在早上進辦公室的時間，即使有人半夜想溜進來偷走磁盤也無法讀取那些損毀的數(shù)據(jù)。

3 使用RAS的回撥功能

Windows NT最酷的功能之一就是支持服務器遠端存取（RAS），但這也是它的一個弱點，黑客可以很容易的通過RAS進入主機讀取數(shù)據(jù)。不過你可以采取一些方法來保護RAS服務器的安全。

你所采用的技術主要端賴于遠端存取者的工作方式。如果遠端用戶經常是從家里或是固定的地方上網(wǎng)，建議你使用回撥功能，它允許遠端用戶登錄后即掛斷，然后RAS服務器會撥出預設的電話號碼接通用戶，因為此電話號碼已經預先在程序中了，黑客也就沒有機會指定服務器回撥的號碼了。

另一個辦法是限定遠端用戶只能存取單一服務器。可以將用戶經常使用到的數(shù)據(jù)復制到RAS服務器的一個特殊共用點上，再將遠端用戶的登錄限制在一臺服務器上。如此一來，即使黑客入侵主機，他們也只能在單一機器上作怪，可間接減少破壞程度。

還有一個方法就是在RAS服務器上使用另類網(wǎng)絡協(xié)議。以TCP/IP協(xié)議當做RAS協(xié)議，利用TCP/IP協(xié)議本身的性質與接受程度，如此選擇相當合理，但是RAS還支持IPX/SPX和NetBEUI協(xié)議，如果你使用NetBEUI當做RAS協(xié)議，黑客若一時不察鐵定會被搞得暈頭轉向。

4 考慮工作站的安全問題

在服務器安全的文章里提及工作站安全感覺似乎不太搭邊，但是，工作站正是進入服務器的大門，加強工作站的安全能夠提高整體網(wǎng)絡的安全性。對于初學者，建議在所有工作站上使用Windows 2000。Windows 2000是一個非常安全的操作系統(tǒng)，如果你沒有Windows 2000，那至少使用Windows NT，如此你便能將工作站鎖定，若沒有權限，一般人將很難取得網(wǎng)絡配置信息。

另一個技巧是限制使用者只能從特定工作站登錄。還有一招是將工作站當做簡易型的終端機（dumb terminal），或者說智慧型的簡易終端機。換言之，工作站上不會存有任何數(shù)據(jù)或軟件，當你將電腦當作dumb terminal使用時，服務器必須執(zhí)行Windows NT 終端服務程序，而且所有應用程序都只在服務器上運作，工作站只能被動地接收并顯示數(shù)據(jù)而已。這意味著工作站上只能安裝最少的Windows版本和一份微軟Terminal Server Client，這種方法應該是最安全的網(wǎng)絡設計方案。

5 執(zhí)行最新修補程序

微軟內部有一組人力專門檢查并修補安全漏洞，這些修補程序（補丁）有時會被收集成service pack（服務包）發(fā)布。服務包通常有兩種不同版本：一個任何人都可以使用的40位的版本，另一個是只能在美國和加拿大發(fā)行的128位版本。128位的版本使用128位的加密算法，比40位的版本要安全得多。一個服務包有時得等上好幾個月才發(fā)行一次，但是微軟會定期將重要的修補程序發(fā)布在它的FTP站上，這些最新修補程序都尚未收錄到最新一版的服務包里，因此建議經常去看看最新修補程序。但要注意的是，修補程序一定要按時間順序來使用，若使用錯亂可能導致一些文件的版本錯誤，也可能造成Windows當機。

6 頒布嚴格的安全政策

另一個提高安全性的方式就是制定強有力的安全策略，確保每一個人都了解并強制執(zhí)行。若你使用Windows 2000 Server，你可以將部分權限授權給特定代理人而無須將全部的網(wǎng)管權利交出。即使你核定代理人某些權限，你依然可限制其權限大小，例如無法開設新的使用者賬號、改變權限等。

7 仔細檢查防火墻

最后一個技巧是仔細檢查防火墻的設置。防火墻是網(wǎng)絡規(guī)劃中很重要的一部分，因為它能使公司電腦不受外界惡意破壞。首先，不要公布非必要的IP地址。你至少要有一個對外的IP地址，所有的網(wǎng)絡通訊都必須經由此地址。如果你還有DNS注冊的Web服務器或是電子郵件服務器，這些IP地址也要穿過防火墻對外公布。但是，工作站和其他服務器的IP地址則必須隱藏。此外，還可以查看所有的通訊端口，確定不常用的已經全數(shù)關閉。例如，TCP/IP port 80是用于HTTP流量煩人，不能堵掉這個端口，而port 81應該永遠都用不著，所以就可以關掉。

8 總結

氣象局服務器的維護責任特別重大，它涉及氣象資料的及時、準確傳輸和預報的及時和準確，因此，服務器維護員必須在日常工作中加強對服務器的維護，努力學習和鉆研新知識，注意總結經驗，增強責任心，在出現(xiàn)小故障時盡可能自己排除，保證服務器正常運行，為我們的氣象事業(yè)作出自己應有的貢獻。