1、系统漏洞的修复
济阳网站建设公司创新互联,济阳网站设计制作,有大型网站制作公司丰富经验。已为济阳成百上千提供企业网站建设服务。企业网站搭建\成都外贸网站建设要多少钱,请找那个售后服务好的济阳做网站的公司定做!
安装好的系统都会有系统漏洞需要进行补丁,一些高危漏洞是需要我们及时补丁的, 否则黑客容易利用漏洞进行服务器攻击。
2、系统账号优化
我们服务器的密码需要使用强口令,同时有一些来宾账户例如guest一定要禁用掉。
3、目录权限优化
对于不需要执行与写入权限的服务器我们要进行权限修改,确保不把不该出现的的权限暴露给攻击者让攻击者有机可趁。
例如我们的windows文件夹权限,我们给的就应该尽可能的少,对于用户配置信息文件夹,不要给予everyone权限。
4、数据库优化
针对数据密码和数据库端口访问都要进行优化,不要将数据库暴露在公网访问环境。
5、系统服务优化
去除一些不必要的系统服务,可以优化我们系统性能,同时优化系统服务可以提升系统安全性。
6、注册表优化
注册表优化可以提升网络并发能力,去除不必要的端口,帮助抵御snmp攻击,优化网络,是我们优化服务器不可缺少的环节。
7、扫描垃圾文件
垃圾文件冗余可能会造成我们的服务器卡顿,硬盘空间不足,需要我们定期进行清理。
因为文件服务器可以在一个统一的平台上对企业的重要文件进行备份、访问控制、权限管理等等,从而可以全方位的提高企业数据的安全性。所以,文件服务器在企业信息化办公中的影响已经越来越大。 不过,说实话,文件服务器要在企业中开花结果,重要的是权限设计。如果,权限设计的不合理的话,则文件服务器会变成企业的鸡肋,食之无味,弃之可惜。 笔者帮助多个企业部署过文件服务器,在这方面还是有点心得。在这里笔者就把他总结一下,或许能够给大家带来一点帮助。 一、 利用组或者角色来进行权限管理 在文件服务器的权限设置过程中,笔者不建议网络管理员直接对用户进行授权。若直接对用户进行授权的话,则权限管理的工作量会很大。如一个采购部门,有十几位甚至更多的员工。则要对他们进行分别的授权,那么,这个维护的工作量就可想而知了。而且,这工作量一大的话,就难免为出现纰漏。 所以,我一般在选择文件服务器软件的时候,一般都要求文件服务器能够根据组或者角色来进行授权。也就是说,现在网络管理员先建立一个组,如采购组。然后给这个组赋予相关的文件夹访问权限。其次,把采购员用户加入到这个组中,采购员就自动继承了采购组的相关文件夹访问权限。如此的话,就可以避免给所有的采购员用户进行授权,就可以提高权限管理的效率。同时,采购员的相关权限只要赋予一次,则可以提高权限管理的准确率。这些优势,都是笔者倾向采用组或者角色进行权限管理的重要原因。 另外,除了可以让用户继承某个组的权限之外,我们可以设置用户特殊的权限。如在企业文件服务器上,有一个文件夹,存放着各个供应商的应付帐款明细表。作为普通采购员来说,只能够查看这些文件,而不能够进行修改。这些文件一般都是财务根据付款条件等内容整理出来的。但是,作为采购经理来说,则可以对其中相关的内容,如付款日期等等进行必要的维护。为此,采购经理需要对这些文件具有读写的权限,而其他采购员对于这些文件只具有只读的权限。为此,我们不必要再为采购经理去建立一个组。我们只需要把他加入到采购员组,让其具有采购员组的相关权限。然后,再给这个采购经理用户,赋予这些文件写的权限。也就是说,不仅可以对组或者角色进行权限的赋予,而且,在必要的时候,我们还可以给用户进行授权。如此的话,这个特定的用户除了组继承下来的权限之外,还具有一些自身的特殊权限。 二、 一个部门不要使用一个账户 据笔者的了解,有不少企业在部署文件服务器的使用,常常会采用一些简单的权限控制。如对于一个部门就建立一个账户,然后这个部门中的所有员工都采用这个账户进行文件服务器的访问。如笔者以前碰到过一个企业,他们就是如此处理的。如一个采购部门,就一个账号。网络管理员给这个账号进行授权,然后所有的采购部门员工都使用这个账号。笔者对这种做法不敢苟同。 一是无法对用户访问文件服务器上的文件进行稽核。如当文件被意外修改或者文件服务器日至显示有非法用户多次试图访问未经授权的机密文件的时候,在文件服务器的日志中只能够显示某个部门,如采购部门的员工做的。但是,具体是哪个员工做的呢,则无从查起。可见,若一个部门共享一个账户名的话,会使得文件服务器的安全性大打折扣。 二是权限无法进行更细的控制。如有时会我们之允许用户更改删除自己的文件,而对于其他员工,即使是同一个部门的员工所创建的文件或者文件夹,也不具有修改的权限的时候,若采用这种权限控制的原则,就不能够实现。 三是普通员工跟部门管理员的权限无法分开,降低了文件服务器上文件的安全性。一般来说,部门管理员比普通员工具有更高的权限。如部门管理员可以访问自己部门下面各个小组的相关文件;还可以访问企业管理层的相关数据。若给一个部门共享一个账户的话,则部门普通员工跟部门管理员的权限就无法进行区分。要么部门管理员迁就普通员工,只具有普通员工的文件服务器访问权限;要么就是牺牲文件服务器的安全性,让普通员工具有更高的文件访问权限。 所以,一个部门共享一个账户的话,会降低文件服务器的安全性;同时,也会减低灵活性。故,笔者对于这种权限管理的方法,是比较反对的。特别是企业对于安全性要求比较高的话,还是不要采用这种权限管理方法为好。不然很可能会搬起石头,砸自己的脚。 三、 用户级别的三个排除原则 有时候,就算是同一个组的员工,也有权限上的差异。如有些企业,可能不允许其他用户修改自己的文件,而只能看;再严格一点的话,其他用户连阅读的权限都没有;但是,可能部门的负责人可以查看自己的文件,等等。这就是权限管理中的排除原则。 这虽然可以通过对用户进行权限的设置来实现,但是,这么处理的话工作量特别的大,;维护起来也是困难重重。所以,一般情况下,笔者是不建议手工的去进行维护。笔者在考虑文件服务器选型的时候,若企业现在或者未来有这种需求的话,则笔者会评估文件服务器软件中有否现成的解决方案。 第一个排除原则:其他用户只能够查询自己的文件而不能够进行修改。 也就是说,采购员A建立的文件,即使是同一个部门的采购员B,也只能对其进行查看,而不能够进行修改或者删除的操作。这主要是为了保障数据的统一性。如我们在用户信息设置出,可以选中“不允许他人修改我的文件”,则其他用户,即使是同一个部门或者是系统管理员,也不能够对自己的文件进行修改或者删除动作。 第二个排除原则:其他用户只能够看到文件的名字,但是不能够打开或者删除。 有些企业的话,安全要求比较高。如笔者以前遇到过化工企业的采购部门,他们要求各个采购员相互之间的采购单要保密。因为若采购内容知道了,则可以知道具体的产品配方信息。为此,其他员工不仅不能够修改彼此的文件,即使查看也不行。为此,就需要在用户建立的时候,选中“不允许他人阅读自己的文件 ”。通过这种方式,系统就会自动进行控制。 第三个排除原则:特定的人可以突破以上两种限制。 有时会,一些具有特殊权限的人,可以突破这种限制。如采购经理可以修改或者删除采购员的任何文件,即使他们做了如上的排除原则。若不经过特殊处理的话,采购经理也受到上面两个原则的限制。但是,我们在采购经理用户设置的时候,若选中“突破个人限制”选型的话,则采购经理就不受上面两种限制的约束,可以没有任何限制的访问自己手下的文件;并且在必要的时候还可以进行修改。 所以,以上的三个排除选择,只需要选中某个选项,就可以实现了。而不需要再对用户进行复杂的权限设计。故对于用户权限的例外,我是希望在系统中能够具有比较成熟的现成解决方案。这可以节省我们网路管理员维护的工作量;而且,其准确性也会大大的提高。从而增强文件服务器的安全性。 四、 开启访问日志稽核功能 某个用户在什么时候访问了什么文件,是修改呢还只是阅读;哪个用户多次试图访问未经授权的文件,等等。这些信息,企业网络管理员若能够及时了解的话,则对于提高文件服务器的安全性是非常必要的,也是权限管理中的一个重要举措。无论对于事先控制,还是对于事后追踪都具有非常关键的作用。 所以,我们在选择文件服务器系统的时候,需要关注一下,系统是否有这方面的功能。如系统能否自动记录某个用户的访问文件记录;如系统当用户多次试图访问未经授权的信息时,能否记录他们访问失败的历史。
FTP是一种文件传输协议。有时我们把他形象的叫做文件交流集中地。FTP文件服务器的主要用途就是提供文件存储的空间,让用户可以上传或者下载所需要的文件。在企业中,往往会给客户提供一个特定的FTP空间,以方便跟可以进行一些大型文件的交流,如大到几百兆的设计图纸等等。同时,FTP还可以作为企业文件的备份服务器,如把数据库等关键应用在FTP服务器上实现异地备份等等。
可见,FTP服务器在企业中的应用是非常广泛的。真是因为其功能如此的强大,所以,很多黑客、病毒也开始关注他了。他们企图通过FTP服务器为跳板,作为他们传播木马、病毒的源头。同时,由于FTP服务器上存储着企业不少有价值的内容。在经济利益的诱惑下,FTP服务器也就成为了别人攻击的对象。
在考虑FTP服务器安全性工作的时候,第一步要考虑的就是谁可以访问FTP服务器。在Vsftpd服务器软件中,默认提供了三类用户。不同的用户对应着不同的权限与操作方式。
一类是Real帐户。这类用户是指在FTP服务上拥有帐号。当这类用户登录FTP服务器的时候,其默认的主目录就是其帐号命名的目录。但是,其还可以变更到其他目录中去。如系统的主目录等等。
第二类帐户实Guest用户。在FTP服务器中,我们往往会给不同的部门或者某个特定的用户设置一个帐户。但是,这个账户有个特点,就是其只能够访问自己的主目录。服务器通过这种方式来保障FTP服务上其他文件的安全性。这类帐户,在Vsftpd软件中就叫做Guest用户。拥有这类用户的帐户,只能够访问其主目录下的目录,而不得访问主目录以外的文件。
在组建FTP服务器的时候,我们就需要根据用户的类型,对用户进行归类。默认情况下,Vsftpd服务器会把建立的所有帐户都归属为Real用户。但是,这往往不符合企业安全的需要。因为这类用户不仅可以访问自己的主目录,而且,还可以访问其他用户的目录。这就给其他用户所在的空间 带来一定的安全隐患。所以,企业要根据实际情况,修改用户虽在的类别。
修改方法:第一步:修改/etc/Vsftpd/vsftpd.conf文件。
默认情况下,只启用了Real与Anonymous两类用户。若我们需要启用Guest类用户的时候,就需要把这个选项启用。修改/etc/Vsftpd/vsftpd.conf文件,把其中的chroot_list_enable=YES这项前面的注释符号去掉。去掉之后,系统就会自动启用Real类型的帐户。
第二步:修改/etc/vsftpd.conf文件。
若要把某个FTP服务器的帐户归属为Guest帐户,则就需要在这个文件中添加用户。通常情况下,FTP服务器上没有这个文件,需要用户手工的创建。利用VI命令创建这个文件之后,就可以把已经建立的FTP帐户加入到这个文件中。如此的话,某个帐户就属于Real类型的用户了。他们登录到FTP服务器后,只能够访问自己的主目录,而不能够更改主目录。
第三步:重新启动FTP服务器。
按照上述步骤配置完成后,需要重新启动FTP服务器,其配置才能够生效。我们可以重新启动服务器,也可以直接利用Restart命令来重新启动FTP服务。
在对用户尽心分类的时候,笔者有几个善意的提醒。
一是尽量采用Guest类型的用户,而减少Real类行的用户。一般我们在建立FTP帐户的时候,用户只需要访问自己的主目录下的文件即可。当给某个用户的权限过大时,会对其他用户文件的安全产生威胁。
在以下几种情况下,我们要禁止这些账户访问FTP服务器,以提高服务器的安全。
一是某些系统帐户。如ROOT帐户。这个账户默认情况下是Linxu系统的管理员帐户,其对系统具有最高的操作与管理权限。若允许用户以这个账户为账户名进行登陆的话,则用户不但可以访问Linux系统的所有资源,而且,还好可以进行系统配置。这对于FTP服务器来说,显然危害很大。所以,往往不允许用户以这个Root等系统帐户身份登陆到FTP服务器上来。
第二类是一些临时账户。有时候我们出于临时需要,为开一些临时账户。如需要跟某个客户进行图纸上的交流,而图纸本身又比较大时,FTP服务器就是一个很好的图纸中转工具。在这种情况下,就需要为客户设立一个临时账户。这些账户用完之后,一般就加入到了黑名单。等到下次需要再次用到的时候,再启用他。
在vstftpd服务器中,要把某些用户加入到黑名单,也非常的简单。在Vsftpd软件中,有一个/etc/vsftpd.user_lise配置文件。这个文件就是用来指定哪些账户不能够登陆到这个服务器。我们利用vi命令查看这个文件,通常情况下,一些系统账户已经加入到了这个黑名单中。FTP服务器管理员要及时的把一些临时的或者不再使用的帐户加入到这个黑名单中。从而才可以保证未经授权的账户访问FTP服务器。在配置后,往往不需要重新启动FTP服务,配置就会生效。
不过,一般情况下,不会影响当前会话。也就是说,管理员在管理FTP服务器的时候,发现有一个非法账户登陆到了FTP服务器。此时,管理员马上把这个账户拉入黑名单。但是,因为这个账户已经连接到FTP服务器上,所以,其当前的会话不会受到影响。当其退出当前会话,下次再进行连接的时候,就不允许其登陆FTP服务器了。所以,若要及时的把该账户禁用掉的话,就需要在设置好黑名单后,手工的关掉当前的会话。
对于一些以后不再需要使用的帐户时,管理员不需要把他加入黑名单,而是直接删除用户为好。同时,在删除用户的时候,要记得把用户对应的主目录也一并删除。不然主目录越来越多,会增加管理员管理的工作量。在黑名单中,只保留那些将来可能利用的账户或者不是用作FTP服务器登陆的账户。这不但可以减少服务器管理的工作量,而且,还可以提高FTP服务器的安全性。
在系统默认配置下,匿名类型的用户只可以下载文件,而不能够上传文件。虽然这不是我们推荐的配置,但是,有时候出于一些特殊的需要,确实要开启这个功能。如笔者以前在企业中,利用这个功能实现了对用户终端文件进行备份的功能。为了设置的方便,就在FTP服务器上开启了匿名访问,并且允许匿名访问账户网某个特定的文件夹中上传某个文件。
笔者再次重申一遍,一般情况下,是不建议用户开启匿名账户的文件上传功能。因为很难保证匿名账户上传的文件中,不含有一些破坏性的程序,如病毒或者木马等等。有时候,虽然开启了这个功能,但是往往会在IP上进行限制。如只允许企业内部IP可以进行匿名访问并上传文件,其他账户则不行。如此的话,可以防止外部用户未经授权匿名访问企业的FTP服务器。若用户具有合法的账户,就可以在外网中登陆到FTP服务器上。
总之,在FTP服务器安全管理上,主要关注三个方面的问题。一是未经授权的用户不能往FTP空间上上传文件;二是用户不得访问未经授权的目录,以及对这些目录的文件进行更改,包括删除与上传;三是FTP服务器本身的稳定性。以上三个问题中的前两部分内容,都可以通过上面的三个方法有效的解决。
