加強網站服務器安全維護的技巧

河北省交通通信管理局 | 陳曉燕

加強網站服務器安全維護的技巧

河北省交通通信管理局 | 陳曉燕

伴隨計算機的使用越來越廣泛，網站服務器的運行和維護工作不容忽視。服務器的安全與否關系到整個計算機系統的正常運行，不斷提升面向網站服務器的維護技巧十分重要。

計算機系統服務器的維護工作十分重要，稍有不慎就會使整個網絡陷入癱瘓。目前，網絡經常出現惡意的網絡攻擊行為，這給網站維護工作帶來了麻煩。

惡意網絡攻擊基本包括兩類：一是惡意的攻擊行為，二是惡意的入侵行為。如果不防止和遏制這些攻擊，服務器必將受到破壞。為此，要保障網絡服務器的安全就要盡量使網絡服務器避免受以上兩種行為的影響。現在以Windows2003操作系統服務器為例，介紹一些網站服務器安全維護的技巧。

轉換角色

大多數時候，我們若只是站在網絡維護員的位置上思考問題，可能很難發覺網站服務器的漏洞。相反，維護員如能換個角度，把自己當作潛在的網絡攻擊者，從他們的角度出發，揣測他們可能會采取哪些手段、對哪些網站服務器的漏洞進行攻擊，或許就能發現網站服務器可能存在的安全漏洞，從而先行一步，修補漏洞，避免被木馬或者病毒攻擊，防患于未然。

從外網訪問自身的網站服務器，執行完整的檢測，然后模擬攻擊者攻擊自己的特點，看會有什么結果。這對于網站的安全性來說，無疑是一種很好的檢測方法。自己充當攻擊者，運用適當的掃描工具對網站服務器進行適當的掃描，一些可能日常不會引起重視的信息，當運用黑客常用的工具進行掃描時，就會發現其中存在著可能被調用的服務或漏洞。

如在網站服務器安裝的時候，操作系統會默認安裝并啟動一些不需要的服務，但是事后如果沒有及時關上，將會給不法攻擊者留下攻擊的機會。因此，在必要的時候可以換一個角度，從攻擊者的角度出發，猜測他們會采用什么攻擊手段，防止出現“當局者迷”的情況。

合理的權限維護

有時，一臺服務器不僅運行了網站的應用，而且還會運行諸如FTP服務器和流媒體服務器之類的網絡服務。在同一臺服務器上使用多種網絡服務很可能造成服務之間的相互感染。也就是說，攻擊者只要攻擊一種服務，就可以運用相關的技能攻陷其他使用。因為攻擊者只需攻破其中一種服務，就可以運用這個服務平臺從內部攻擊其他服務，通常來說，從內部執行攻擊要比從外部執行攻擊方便得多。

通常我們從成本角度考慮，會在一臺服務器上同時運行三種服務：一個是傳統的網站服務，二是FTP服務，三是流媒體服務。因為這些服務都是mms模式的，互聯網上也可以直接訪問流媒體服務器，所以就部署同一臺服務器上。同時也因為所選用的服務器配置較高，所以運行這三個服務沒有太大問題，性能也不會受到影響。

但是這卻給網站維護者提出了一個難題：兩種甚至兩種以上的服務同時部署在同一服務器上，怎么才能保障安全、防止彼此感染呢？

在日常工作中，我們通常采用的文件系統是FAT或者FAT32。NTFS是微軟Windows NT內核的系列操作系統所支持的、一個特別為網絡和磁盤配額、文件加密等管理安全特性設計的磁盤格式。在NTFS文件系統里可以為任何一個磁盤分區單獨設置訪問權限，把敏感信息和服務信息分別放在不同的磁盤分區。這樣，即使黑客通過某些方法獲得服務文件所在磁盤分區的訪問權限，還需要想方設法突破系統的安全設置才能進一步訪問保存在其他磁盤上的敏感信息。

腳本安全維護

在實際工作中，許多因攻擊而癱瘓的網站服務器都是由于不良的腳本造成的。攻擊者特別喜歡針對CGI程序或者PHP腳本實施攻擊。通常來說，這需要使用網站傳遞一些必要的參數才能正常訪問。這個參數可以分為兩類:一類是值得信任的參數，另一類則是不值得信任的參數。

比如某單位自行維護網站服務器，而不是托管，他們將服務器放置在單位防火墻內部，以提高網站服務器的安全性。所以一般來說，來自防火墻內部的參數都是可靠的，值得信任的，而來自外部的參數基本上是不值得信任的。

但是，這并不是說不值得信任的參數或者來自防火墻外部的網站服務器參數都不采用，而是說，在網站服務器設計的時候，需要格外留心，采用這些不值得信任參數的時候需要執行檢驗，看其是否正當，而不能向來自網站內部的參數那樣照收不誤。這會給網站服務器的安全帶來隱患，例如，當攻擊者運用TELNET連接到80端口，就可以向CGL腳本傳遞不安全的參數。

所以在CGI程序編寫或者PHP腳本編輯的時候，網站維護人員需要特別留心，不能讓其隨便接受陌生的參數。而在接受參數之前，也要先檢驗提供參數的人或者參數本身的正當性。在程序或者腳本編寫的時候，可以預先增加一些判斷條件。當服務器認為提供的參數不準確的時候，及時通知維護員。這也可以幫助維護員盡早發覺可能存在的攻擊者并及時采取相應的防御措施。

做好系統備份

常言道“有備無患”，雖然網站都不希望系統突然遭到破壞，但是做好準備還是很有必要的。及時做好服務器系統備份，萬一遭到破壞也可及時恢復。

安裝軟件防火墻、殺毒軟件

雖然網站已經有了一套硬件的防御系統，但是多一些保障會更好。關于防火墻、殺毒軟件的論述業界已經有很多了，這里不再贅述。

開啟事件日志

開啟日記服務雖然對阻止黑客的入侵并沒有直接的作用，但是它可以記錄黑客的行蹤，維護員可以分析入侵者在系統上做過什么手腳，在系統上留了哪些后門，給系統造成了哪些破壞及隱患，服務器到底還存在哪些安全漏洞等，以便維護員有針對性地實施服務器維護。