文 程浩

服務(wù)器安全維護(hù)技巧

文 程浩

隨著校園網(wǎng)絡(luò)的長(zhǎng)期建設(shè)和網(wǎng)絡(luò)應(yīng)用的逐步深入，大多數(shù)的學(xué)校都建立了自己的服務(wù)器，在校園網(wǎng)中服務(wù)器是學(xué)校對(duì)外的重要信息窗口之一，同時(shí)也承擔(dān)著各種應(yīng)用服務(wù)工作，所以服務(wù)器的長(zhǎng)期穩(wěn)定運(yùn)行是保障學(xué)校各項(xiàng)工作順利開展的基礎(chǔ)。因此，如何保障服務(wù)器的高效穩(wěn)定運(yùn)轉(zhuǎn)成了服務(wù)器維護(hù)工作的重中之重。

一、服務(wù)器的安裝

1.服務(wù)器操作系統(tǒng)的選擇

網(wǎng)絡(luò)服務(wù)器的任務(wù)是提供各種網(wǎng)絡(luò)服務(wù)，更重要的是為這些網(wǎng)絡(luò)服務(wù)提供穩(wěn)定安全的運(yùn)行環(huán)境，而大多數(shù)學(xué)校服務(wù)器的重要目的就是架設(shè)學(xué)校網(wǎng)站和提供校園網(wǎng)內(nèi)網(wǎng)辦公系統(tǒng)服務(wù)。因此，筆者認(rèn)為，在服務(wù)器的操作系統(tǒng)上選擇的原則包括以下幾點(diǎn)。

（1）操作系統(tǒng)首先要求操作簡(jiǎn)單，程序穩(wěn)定，保證安全。

（2）操作系統(tǒng)要求兼容性較好，可以兼容支持多種架設(shè)網(wǎng)站所需的數(shù)據(jù)庫(kù)，如Access，MySQL等；對(duì)于網(wǎng)站架設(shè)系統(tǒng)也要有較好的兼容性，如阿帕奇等。

鑒于此，對(duì)于操作系統(tǒng)的選擇，筆者推薦選用Windows Server 2003，文件系統(tǒng)使用NTFS，因?yàn)楝F(xiàn)在服務(wù)器的磁盤容量一般都是非常大的，而NTFS不但可以很好地支持大容量磁盤，并且能給磁盤上的數(shù)據(jù)提供壓縮和加密，特別是基于NTFS格式的共享和權(quán)限系統(tǒng)能很好地保證服務(wù)器的安全性。

2.操作系統(tǒng)服務(wù)組件的安裝

筆者建議不用默認(rèn)配置，為了給網(wǎng)絡(luò)服務(wù)構(gòu)建更加高效的軟件運(yùn)行環(huán)境，我們應(yīng)該遵守“從簡(jiǎn)從精”的原則，這樣才能保證服務(wù)器高速運(yùn)行。其他的不必要的軟件也盡量做到少安裝，即使需要安全一些常用工具，也需要規(guī)劃安裝，不能東一個(gè)西一個(gè)，那樣就不便于管理和維護(hù)。例如，如果使用第三方網(wǎng)絡(luò)架設(shè)軟件（如阿帕奇），那么Windows自帶的II2系統(tǒng)就不要安裝，一些內(nèi)網(wǎng)的網(wǎng)關(guān)工具也不需要安裝（如dns和router服務(wù)）。

3.分區(qū)選擇和文件歸檔

服務(wù)器分區(qū)類似于常用計(jì)算機(jī)分區(qū)，C盤主要用于服務(wù)器系統(tǒng)安裝，其余各硬盤應(yīng)該按照規(guī)劃分區(qū)，提供Web服務(wù)、FTP文件服務(wù)和其他服務(wù)的硬盤空間最好單獨(dú)設(shè)立分區(qū)，以便于日后維護(hù)和管理。分區(qū)的文件夾和文件名應(yīng)該按照一定的格式起名，并做好日常的log歸檔，這樣有利于日后的常規(guī)維護(hù)和備份保存工作。筆者推薦文件夾按照“英文名+日期”格式命名，并及時(shí)做好log日志的備注，正所謂“好記性不如爛筆頭”。

二、網(wǎng)絡(luò)服務(wù)器安全設(shè)置

1.盡量關(guān)閉不必要開的服務(wù) 做好本地管理和組管理

在“我的電腦”點(diǎn)擊右鍵，然后點(diǎn)擊“管理”，展開左邊窗口中的“服務(wù)與應(yīng)用程序”，點(diǎn)擊“服務(wù)”在右邊的窗口中關(guān)閉服務(wù)，如果出錯(cuò)也好排查恢復(fù)，關(guān)閉不必要的服務(wù)一方面是為了給服務(wù)器提速，一方面是為了減少給黑客的可乘之機(jī)，提高服務(wù)器的安全性能。一些軟件在安裝的時(shí)候常常默認(rèn)安裝并打開相應(yīng)服務(wù)，如安全軟件（瑞星、360安全衛(wèi)士等），這些服務(wù)可能造成網(wǎng)絡(luò)的阻塞，在不需要的時(shí)候應(yīng)該及時(shí)關(guān)閉。對(duì)于網(wǎng)絡(luò)服務(wù)器，一些默認(rèn)的服務(wù)也有可能造成服務(wù)器的安全隱患，例如文件共享和打印機(jī)共享服務(wù)，遠(yuǎn)程服務(wù)，自動(dòng)播放服務(wù)等，這些服務(wù)應(yīng)該及時(shí)關(guān)閉或設(shè)置為手動(dòng)打開。

2.賬號(hào)及密碼的管理

對(duì)于服務(wù)器賬號(hào)權(quán)限，需謹(jǐn)慎控制，不要輕易設(shè)置過多的賬號(hào)，或者給予過多的權(quán)限甚至管理者權(quán)限，對(duì)于Administrator的默認(rèn)賬號(hào)，最好定時(shí)更改密碼，不要使用常用的字母和數(shù)字，例如個(gè)人的手機(jī)號(hào)碼、英文名字或者生日等，以防被盜。

常用賬號(hào)的密碼也要慎重設(shè)置，要包含數(shù)字、字母、特殊符號(hào)，長(zhǎng)度超過8位，并且定期更改，如果在日志中發(fā)現(xiàn)密碼出現(xiàn)多次嘗試錯(cuò)誤要立即更改密碼，那可能是黑客在破譯密碼。

如果說服務(wù)器是一幢大樓，每個(gè)文件夾或者服務(wù)相當(dāng)于大樓中的房間，那么每個(gè)賬號(hào)就是打開這些房間的鑰匙，設(shè)置相應(yīng)的賬號(hào)對(duì)應(yīng)相應(yīng)的服務(wù)，就相當(dāng)于給每個(gè)服務(wù)設(shè)置了相應(yīng)的安全鎖，而管理員賬號(hào)則是能開啟整座大樓的總鑰匙，當(dāng)然不能輕易使用。筆者有一個(gè)建議，對(duì)于不同的應(yīng)用可以設(shè)置不同的管理權(quán)限賬號(hào)以便遠(yuǎn)程管理服務(wù)器，但是管理員賬號(hào)不宜用于遠(yuǎn)程操作，并且盡量少使用管理員賬號(hào)操作服務(wù)器。

3.ASP木馬防范

它是用ASP編寫的網(wǎng)站程序。它和其他ASP程序沒有本質(zhì)區(qū)別，只要是能運(yùn)行ASP的空間就能運(yùn)行它，這種性質(zhì)使得ASP木馬非常不易被發(fā)覺。就算是優(yōu)秀的殺毒軟件，也未必能夠檢測(cè)出它到底是ASP木馬還是正常的ASP網(wǎng)站程序。這也是為什么ASP木馬猖獗的原因。在運(yùn)行窗口串輸入“cmd”進(jìn)入dos窗口并運(yùn)行以下命令。

（1）注銷此組件命令：RegSrv32 /u C：WINNT SYSTEMscrrun.dll。

（2）禁止Guest用戶使用scrrun.dll防止調(diào)用此組件。

（3）使用命令：cacls C：WINNTsystem32scrrun.dll / e /d guests。

通過以上命令可以把使用WScript.Shell組件和Shell.Application組件進(jìn)行運(yùn)用的，阻止ASP木馬通過這3個(gè)組件執(zhí)行程序或查看計(jì)算機(jī)關(guān)鍵信息。

4.IIS安全設(shè)置

IIS可以設(shè)置允許或拒絕從特定IP發(fā)來的服務(wù)請(qǐng)求，有選擇地允許特定節(jié)點(diǎn)的用戶訪問服務(wù)，可以通過設(shè)置阻止除指定地址的整個(gè)網(wǎng)絡(luò)用戶訪問網(wǎng)站服務(wù)器，對(duì)于只需校園內(nèi)訪問的網(wǎng)站服務(wù)器，我們可以通過IIS中進(jìn)行IP地址訪問限制，具體操作是在網(wǎng)絡(luò)的屬性對(duì)話框中選擇目錄安全性選項(xiàng)，在IP地址和域名地址中設(shè)置允許或拒絕訪問的IP地址，域名地址，設(shè)置了訪問限制后，既可以保證學(xué)校的信息不被外泄。

三、數(shù)據(jù)備份和常用安全設(shè)置

1.數(shù)據(jù)備份

對(duì)于網(wǎng)絡(luò)服務(wù)器而言，數(shù)據(jù)是核心中的核心。針對(duì)學(xué)校服務(wù)器而言，架設(shè)在服務(wù)器上的學(xué)校網(wǎng)站，校本資源庫(kù)和辦公系統(tǒng)數(shù)據(jù)都是極其重要的，雖然現(xiàn)階段的服務(wù)器硬盤設(shè)置一般采用raid結(jié)構(gòu)，在一定意義上避免的服務(wù)器硬盤問題造成的數(shù)據(jù)損失，但是作為服務(wù)器的常規(guī)管理工作，數(shù)據(jù)備份依然是重中之重。筆者認(rèn)為，數(shù)據(jù)備份原則包括以下兩點(diǎn)。

（1）重要的數(shù)據(jù)要及時(shí)定期進(jìn)行備份。

（2）備份數(shù)據(jù)的介質(zhì)應(yīng)當(dāng)采用光盤和硬盤雙保險(xiǎn)，備份方式可以采用線上和線下間隔時(shí)間備份。即在常規(guī)在線備份（定期把重要數(shù)據(jù)的備份到備份服務(wù)器）的基礎(chǔ)上，還應(yīng)該定期刻錄數(shù)據(jù)備份光盤以作存檔。

2.設(shè)置服務(wù)器防火墻

Windows服務(wù)器都提供了功能強(qiáng)大的內(nèi)置防火墻，可以在控制面板中設(shè)置，Windows防火墻的設(shè)置遵循了“屏蔽一切，允許我允許的通過”的最高原則，所以如果服務(wù)器設(shè)置了第三方的網(wǎng)絡(luò)服務(wù)，例如ftp、郵件、阿帕奇的網(wǎng)絡(luò)服務(wù)，就必須要在服務(wù)器防火墻的進(jìn)站、出站規(guī)則中設(shè)置相應(yīng)的權(quán)限，這些權(quán)限的設(shè)置主要是端口和相應(yīng)的規(guī)則（如，http的默認(rèn)端口是80，ftp服務(wù)的默認(rèn)端口是21），特別是網(wǎng)站架設(shè)服務(wù)器還需要給數(shù)據(jù)庫(kù)軟件設(shè)置數(shù)據(jù)接入輸出端口。

3.安裝軟件防火墻、殺毒軟件

雖然我們?cè)诜?wù)器接入之前選擇了硬件安全的防御系統(tǒng)，并對(duì)服務(wù)器自身防火墻做了設(shè)置，但是筆者還是建議安裝軟件防火墻和殺毒軟件。對(duì)于服務(wù)器而言，多一重保護(hù)總不見得是壞事，而現(xiàn)在很多第三方軟件可以很好地監(jiān)控服務(wù)器的運(yùn)行情況和網(wǎng)絡(luò)暢通的情況，對(duì)于調(diào)整服務(wù)器設(shè)置有很好的幫助。

筆者在架設(shè)學(xué)校網(wǎng)站服務(wù)器的時(shí)候就遇到過內(nèi)網(wǎng)阻塞，外網(wǎng)帶寬被大量占用的情況。通過硬件網(wǎng)關(guān)發(fā)現(xiàn)問題出在網(wǎng)站服務(wù)器上，而通過360的網(wǎng)絡(luò)監(jiān)控發(fā)現(xiàn)使用了阿帕奇架設(shè)的網(wǎng)站在運(yùn)行了一階段以后，會(huì)通過httpd.exe程序大量上傳數(shù)據(jù)，阻塞外網(wǎng)帶寬，經(jīng)過調(diào)整網(wǎng)站原碼，重新設(shè)定服務(wù)項(xiàng)，才解決了這一問題?？梢?，服務(wù)器的日常維護(hù)是建立在對(duì)服務(wù)器運(yùn)行情況的有效監(jiān)控上，在這一點(diǎn)上，一些第三方軟件往往起到難以忽視的作用。

4.開啟事件日志

開啟日志服務(wù)雖然對(duì)阻止黑客的入侵并沒有直接的作用，但是通過它可以記錄黑客的行蹤，維護(hù)員可以分析入侵者在我們系統(tǒng)上做過什么手腳，在系統(tǒng)上留了哪些后門，給系統(tǒng)造成了哪些破壞及隱患，服務(wù)器到底還存在哪些安全漏洞等，以便有針對(duì)性地實(shí)施維護(hù)。

例如，在上述提到的阿帕奇網(wǎng)站服務(wù)器中就有關(guān)于網(wǎng)站訪問的log，通過log，筆者可以發(fā)現(xiàn)有一些IP地址的用戶會(huì)在某一定時(shí)間段長(zhǎng)時(shí)間不間斷的嘗試訪問固定頁(yè)面，通過一定時(shí)間的對(duì)比就可以確定這些IP很可能是網(wǎng)絡(luò)黑客用來嘗試攻擊網(wǎng)站的主機(jī)IP，通過簡(jiǎn)單的ban命令就可以屏蔽掉這些IP主機(jī)對(duì)于服務(wù)器的攻擊。而在維護(hù)服務(wù)器的過程中，我們常常會(huì)遇到一些特殊的情況，通過log有效的記錄問題的現(xiàn)狀和解決方法，并尋求幫助，其實(shí)就是網(wǎng)管人員自我提高的一種有效途徑。

四、中心機(jī)房的規(guī)章管理

中心機(jī)房作為服務(wù)器的硬件存放場(chǎng)所，中心機(jī)房是校園網(wǎng)運(yùn)行、控制、管理的中樞，是實(shí)現(xiàn)教育信息化的網(wǎng)絡(luò)平臺(tái)，是為師生提供優(yōu)質(zhì)教育資源和實(shí)現(xiàn)網(wǎng)絡(luò)智能化的中心，對(duì)外是宣傳、展示教育教學(xué)成果的窗口，是保障校園網(wǎng)正常運(yùn)行、集中放置校園網(wǎng)核心設(shè)備之重地。為了加強(qiáng)管理、更好地為教育、教學(xué)服務(wù)，根據(jù)《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》，必須要有嚴(yán)格的規(guī)章管理制度，這些制度不是教條，而是切實(shí)應(yīng)該遵守的安全原則。

（1）網(wǎng)管人員要加強(qiáng)業(yè)務(wù)學(xué)習(xí)，認(rèn)真履行工作職責(zé)，愛護(hù)設(shè)施設(shè)備，規(guī)劃和維護(hù)網(wǎng)絡(luò)配置，使整個(gè)校園網(wǎng)絡(luò)系統(tǒng)經(jīng)常處于良好運(yùn)行狀態(tài)，確保各項(xiàng)管理、教學(xué)軟件正常運(yùn)行、信息交流暢通。

（2）非網(wǎng)管人員不得隨意進(jìn)入，要保持良好的網(wǎng)絡(luò)設(shè)備運(yùn)行環(huán)境，不準(zhǔn)在網(wǎng)管中心吸煙、飲食、喧嘩。嚴(yán)禁在網(wǎng)管室內(nèi)存放易燃、易爆、有毒物品、腐蝕性物品、強(qiáng)磁場(chǎng)物品、放射性物品。

（3）每日檢查網(wǎng)絡(luò)中心機(jī)房線路，防止用電超負(fù)荷和電線短路。要定期做好軟件備份和計(jì)算機(jī)病毒檢查處理，任何外來軟件必須進(jìn)行計(jì)算機(jī)病毒檢查，確認(rèn)無病毒后方可使用。

（4）網(wǎng)管中心內(nèi)設(shè)備均屬專用設(shè)備，一律不許外借和挪作他用。對(duì)違反規(guī)定者要追究責(zé)任。

（5）要建立日常和節(jié)假日值班制度，做好防火、防盜等防范措施，嚴(yán)防出現(xiàn)惡性事故。

［1］ 池鵬.基于互聯(lián)網(wǎng)的防偽發(fā)票管理系統(tǒng)研究與實(shí)現(xiàn)［D］.長(zhǎng)沙：中南大學(xué)，2012.

［2］ 楊振娟，吳慧.淺談服務(wù)器安全維護(hù)［J］.新課程研究（職業(yè)教育），2008（7）：155-156.

［3］ 周挺.加強(qiáng)Web服務(wù)器llS的安全機(jī)制［J］.科技信息（科學(xué)教研），2008（17）：393.

作者信息

程浩，大專，工程師。南京市第三高級(jí)中學(xué)，210002