网站主机安全档案全集(6) ndd -set /dev/ip ip_forwarding 0 这样在系统启动后就关闭了IP转发和IP源路由。 四. 服务器安全管理 4.1 安全管理应做的事 安全管理是站点安全中最重要的一环,离开了管理,安全将变得不切实际。以下也许是Windows系统安全管理员每天应做的事: 1. 检查系统有无新增帐户,并了解其来源及用途;查看管理员组里有无新增帐户,该组的帐户除系统最初设置外,以后不应该增加帐户; 2. 在命令行状态下,运行netstat –an命令查看当前连接及打开的端口,查找可疑连接及可疑的端口; 3. 查看“任务管理器”,查找有无可疑的应用程序或后台进程在运行,并观察CPU及内存的使用状态; 4. 运行注册表编辑器,查找有无可疑的程序被加到windows的启动项里,并查看有无新增的可疑服务; 5. 使用 Windows事件查看器查看“系统日志”“安全日志”和“应用程序日志”,以发现有无可疑的事件或影响系统性能的事件; 6. 检查共享目录,不应有对所有用户可写的目录存在; 7. 如果运行Microsoft IIS,查看C:\WINNT\system32\LogFiles\下的WEB 服务器日志,以发现是否有试图攻击WEB的行为; 8. 不定期运行杀毒软件查杀病毒; 9. 经常浏览微软的网站,保持服务器的补丁同步更新,留意微软发布的安全公告。 以下是Unix系统安全管理员应经常做的事: 1. 以root运行last,查看用户在过去一段时间内所发生的事件; 2. 查看/etc/passwd和/etc/shadow文件,以发现是否有新增用户,并追查用户来源及用途;保证这两个文件中的系统用户(如Daemon bin sys adm lp uucp nuucp listen noAccess、mysql、sshd、nobody等)没有自己的shell;检查有无帐户被提升到root权限(UID 0); 3. 运行netstat –an grep LISTEN查看有无可疑的打开的端口; 4. 使用ps命令查看系统进程,保证只有必要的进程在运行; 5. 检查被cron运行的程序,Solaris一般在/var/spool/cron目录里,Freebsd一般在/var/cron里,初始化的crontable除root外,其他用户不应拥有;仔细查看root的crontable; 6. 使用vmstat和top查看系统资源占用状况,对高资源占用的系统进程要做谨慎处理; 7. 查看系统日志,包括Solaris下的/var/adm/messages和Freebsd下的/var/log/messages,以发现有无可疑的事件发生; 8. 查看系统安全日志,包括用户登陆尝试、验证失败、可疑的IP地址登陆等,在solaris下是/var/log/authlog,freebsd下是/var/log/auth.log; 9. 运行chkrootkit,以检查系统是否被植入木马程序; 10. 安装了Apache的主机,不定期查看Apache的访问日志和错误日志, 以发现是否有试图攻击WEB的行为。 4.2 系统及服务的稳定性 一些重要的服务器是片刻也不能停的,一旦发生服务器down机事故,而你又没有及时发现和恢复,那么你面对的将是铺天盖地的指责。系统安全管理的任务也许不是很重,但责任却并不轻。因此,你有必要时刻了解服务器的存活状况,一旦发生down机事件,你应在第一时间知道。 有些好的IDC机房有服务器监控系统,一旦某台机器down掉,它会发出警报。然后机房的值班人员会电话通知你,这样你就能从容的处理事故。然而,并非所有的机房都有这样的措施,很多时候还得依靠自己的小心。
