应用服务器的常见安全管理漏洞

  • 时间:
  • 浏览:2





作者: 硅谷动力

CNETNews.com.cn

10008-09-23 20:33:19

关键词: 操作系统 MAC地址 微软 Telnet 服务器

  进入论坛企业信息化技术的应用,以不可逆转。随着文件服务器、ERP管理软件等等在企业中生根发芽,应用服务器也逐渐在企业中普及起来。事先在企业涵盖一台应用服务器可能是了不起的事情,现在有两台、三台的,统统为怪了。

  怎么让 ,企业应用服务器虽然增加了,从前对你你你这种 应用服务器的安全管理,却跟不上。随便到一家企业看看,总是可不都可以 看后你你这种 明显的安全管理漏洞。下面笔者就把其中你你这种 典型的漏洞列举出来,就当作抛砖引玉,提醒大伙注意服务器的安全管理。

  一、所有主机可不都可以 Telnet到服务器。

  可能服务器往往都放上有哪几条多 特定的空间中,若对于服务器的任何维护工作,如查看服务器的硬盘空间等等,哪些工作都可不都可以 到服务器里面去查看一句话,很明显都有很方便。大伙希望利于在大伙平时用的电脑上就可不都可以 对服务器进行你你这种 日常的维护,而越多再跑到存放服务器的房间中去。

  统统,大伙对于服务器的大偏离 维护工作,都可不都可以 通过Telnet到服务器上,以命令行的土最好的办法进行维护。这无疑为大伙服务器的管理提供了有哪几条多 方便的管理渠道,怎么让 ,也给服务器带来了你你这种 隐患。

  当非法攻击者利用你你这种 特定的土最好的办法知道Telent的用户名与密码事先,就可不都可以 在企业任何一台主机上畅通无阻的访问服务器。怪怪的是当你你这种 心怀不满的员工,更容易借此发泄当时人对企业的不满。事先我有个大伙在一家软件公司中当CIO,有个员工乘管理员不注意的事先,取得了文件服务器的Telent用户名与密码。然后可能其泄露客户的机密信息而被公司警告处分。你你你这种 员工心怀不满,就利用窃取过来的用户名与密码,登陆到文件服务器,删除了统统文件。还好,在文件服务器中采取了比较完善的备份制度,才处里了重大的损失。

  统统,Telent技术为大伙服务器管理提供了比较方便的手段,怎么让 ,其安全风险统统容忽视。一般来说,对于Telent技术,大伙可不都可以 注意以下哪几条方面。

  一是Telent用户名与密码跟服务器的管理员登陆用户名与密码最好不一样。也统统说,在服务器主机上登陆的用户名与密码,与远程Telent到服务器的管理员用户名与密码要不一样。这样一句话,可不都可以 把用户名与密码泄露对服务器的危害降到最低。

  二是最好利于限制Telent到服务器的用户主机。如大伙可不都可以 在服务器上进行限制,只允许网络管理员的主机才可不都可以 远程Telent到服务器上去。这实现起来也比较简单。若是微软服务器系统一句话,可不都可以 利用其三种自带的安全策略工具实现。可能可不都可以 借助防火墙来限制Telent到服务器上的IP地址可能MAC地址。这样一句话,即使用户名可能密码泄露,可能有了IP地址可能MAC地址的限制,则当时人仍然无法登陆到服务器上去。这样一句话,就可不都可以 最大限度的保障这样合法的人员才可不都可以 Telent到服务器上进行日常的维护工作。

  三是若平时越多再Telent到服务器管理一句话,则把你你你这种 Telent服务关闭掉。这样必要为攻击者留下有哪几条多 后门。

  二、服务器的上的共享文件家所有用户都有访问权限。

  在应用服务器上,大伙有都有为了维护的方便,会在里面建立哪几条共享文件夹。怎么让 ,若哪些共享文件夹管理不当,也会给应用服务器带来比较大的安全隐患。

  如若大伙某个共享文件夹设置所有用户都可不都可以 无限制的进行访问一句话,则会出现 有哪几条多 难题,当网络中若有病毒一句话,哪些文件夹就很容易被感染。当大伙在服务器上不小心打开哪些共享文件夹的事先,服务器就会感染病毒,甚至会原因 服务器当机。

  统统,在服务器上设置共享文件夹的事先可不都可以 怪怪的的注意,可能服务器崩溃后,对于企业的信息化应用来说,是致命的。一般请况下,何必 在应用服务器上设置共享文件夹。若一定要一句话,则也可不都可以 遵循如下的安全原则。

  一是用好事先可不都可以 及时把文件加设置为不共享。当大伙可能三种可不都可以 建立有哪几条多 临时的共享文件夹时,当大伙用完事先,可不都可以 及时把你你你这种 共享文件夹删除掉,可能改为不共享。及时清理共享文件夹,使保护共享文件夹安全的不二法则。

  二是为共享文件夹设置最小权限。平时在设置共享文件夹的事先,大伙可能系习惯了不设置访问权限,统统员工都可不都可以 不受限制的访问共享文件夹。怎么让 ,若在文件服务器里面设置共享文件夹的事先,一定可不都可以 注意,在设置共享的事先,就可不都可以 设置访问的用户,最好这样特定的用户才可不都可以 访问你你你这种 共享文件夹,怪怪的是读写权限可不都可以 严格控制。你这各自 可能会以为我统统暂时共享一下,里面不超过十分钟。从前,若网络涵盖病毒一句话,则会自可不都可以 一秒钟的时间就可不都可以 感染共享文件夹。故在服务器管理的事先,这样够有你你你这种 侥幸心理。

  三、这样关闭何必 要的服务。

  在服务器操作系统安装的事先,会装了比较多的服务。如大伙在安装文件服务器系统一句话,默认请况下,可能会开启WWW服务、Telent服务、DSN服务等等。怎么让 ,对于文件服务器来说,哪些服务往往是这样必要的。大伙在应用服务器上开启了哪些何必 要的服务,不怎么让 占用可贵的硬件资源,怎么让 ,最重要的是,会降低文件服务器的安全性。

  统统,笔者建议,在服务器管理的事先,把你你这种 这样必要的服务关闭掉。

  若采用的是微软的服务器操作系统,大伙可不都可以 通过开始英文、设置、控制面板、管理工具、服务来查看当前操作系统所开启的服务。如一般请况下,大伙可不都可以 把如下的你你这种 服务关闭掉。

  一是DHCP客户端。可能应用服务器大伙一般都采用固定的IP地址,统统可不都可以 把你你你这种 DHCP客户端关闭掉,禁止服务器从DHCP服务器那边获取IP地址。这可不都可以 有效的防治IP地址的冲突,从而造成服务器断网。

  二是要注意Ping 攻击。利用Ping命令来对应用服务器实施拒绝服务式攻击是统统攻击者常用的有哪几条多 手段。其基本原理统统利用肉鸡同时连续的Ping应用服务器,从而原因 应用服务器资源耗竭而当机。统统,一般请况下,可不都可以 在文件服务器上,设置“禁止他人Ping当时人”,这样一句话,就可不都可以 杜绝DDOS等恶性攻击。

  三是可不都可以 关闭Remote Desktop Help Session Manager服务。你你你这种 服务主要用来管理并控制远程协助。可能此服务被终止一句话,远程协助将不可用。若大伙平时越多再远程桌面连接等工具远程维护你你你这种 应用服务器一句话,则可不都可以 直接把你你你这种 服务关闭掉。默认请况下,你你你这种 服务可不都可以 手工启动。大伙为了安全起见,可不都可以 把你你你这种 服务禁用。

  三是自动更新服务。这是有哪几条多 有争议的服务。若启用了你你你这种 服务一句话,则应用服务器操作系统可不都可以 自动从网络上升级最新的操作系统补丁,提高操作系统的安全性。怎么让 ,有事先当装了微软的升级补丁后,服务器反而不稳定了,有事先甚至原因 部属在里面的应用服务器无法使用。故笔者的建议是,若你在应用服务器上部属的都有微软的产品,如微软的邮箱服务器等等,则可不都可以 打开你你你这种 自动更新服务。若你在大伙的服务器操作系统上,部署了你你这种 牌子的邮箱服务器,可能部署了你你这种 你你这种 牌子的数据库系统一句话,则与非 开启你你你这种 自动更新服务,则要慎重考虑了。

  四、不同管理人员利用同有哪几条多 账户管理服务器。

  有事先,在有哪几条多 服务器上可能会部署多个应用,如在一台应用服务器中,可能既是邮箱服务器,又是文件服务器。而不同的应用有不同的管理员负责。你你这种 企业为了管理的方便,可能会利用同有哪几条多 用户名来管理不同的服务。笔者认为,这是不安全的。

  当某个管理员在有哪几条多 应用服务管理的事先,有可能会不小心更改另外有哪几条多 服务的配置,而此时,另外有哪几条多 管理员何必 知情。这样一句话,就可能会原因 另外有哪几条多 服务出现 运行上的错误。统统,这就会给服务器管理产生安全上的漏洞。

  为此,笔者建议,最好是有哪几条多 服务采用一台服务器,虽然这可不都可以 增加一定的支出,怎么让 ,一台服务器出现 难题一句话,最多只影响有哪几条多 应用,可不都可以 把可能服务器的难题造成的不良影响降至到最低。

  若出于成本的限制一句话,虽然可不都可以 在不同的服务器中部署不同的服务一句话,则最好在安装服务的事先,就先建立不同的管理员帐户,怎么让 利用对应的帐户登陆再部署相关的服务。这样一句话,就可不都可以 最大限度的减少管理员之间的相互干扰。即使是同有哪几条多 管理员管理不同的服务,最好也是建立不同的帐户为妙。