網(wǎng)站服務(wù)器安全維護(hù)的思考

【摘 要】服務(wù)器指的是網(wǎng)絡(luò)環(huán)境中的高性能計(jì)算機(jī)，它偵聽網(wǎng)絡(luò)上的其他計(jì)算機(jī)（客戶機(jī)）提交的服務(wù)請(qǐng)求，并提供相應(yīng)的服務(wù)?？梢酝ㄟ^(guò)轉(zhuǎn)換角色模擬可能的攻擊，合理的權(quán)限維護(hù)，腳本安全維護(hù)來(lái)有效加強(qiáng)網(wǎng)站服務(wù)器的安全性。

【關(guān)鍵詞】網(wǎng)站服務(wù)器 安全 維護(hù) 策略

服務(wù)器必須具有承擔(dān)服務(wù)并且保障服務(wù)的能力，終端計(jì)算機(jī)（以下簡(jiǎn)稱“計(jì)算機(jī)”）：指安徽中煙工業(yè)公司及所屬各單位使用的各種辦公用計(jì)算機(jī)，包括臺(tái)式機(jī)、筆記本、手持PDA及各種可接入公司局域網(wǎng)的終端設(shè)備。服務(wù)器可能產(chǎn)生以下故障：軟件故障，硬件故障，入侵與攻擊，其他不可預(yù)料的未知故障等，網(wǎng)站服務(wù)器的安全維護(hù)也就變得非常重要。

一、網(wǎng)站服務(wù)器安全維護(hù)基本工作

對(duì)于專業(yè)級(jí)別的服務(wù)器管理工作，環(huán)境梳理是第一步：清晰完整的統(tǒng)計(jì)出每臺(tái)服務(wù)器的具體型號(hào)配置以及安裝的各類軟件、系統(tǒng)信息，準(zhǔn)確全面的記錄下服務(wù)器的使用數(shù)據(jù)，同時(shí)給每臺(tái)設(shè)備打上資產(chǎn)標(biāo)簽，讓您對(duì)所有服務(wù)器信息一目了然，后續(xù)服務(wù)器管理工作也更加游刃有余。這一環(huán)節(jié)的工作直接影響到服務(wù)器整體維護(hù)的效率和效果。正所謂“磨刀不誤砍柴工”，就是這個(gè)道理。具體梳理內(nèi)容：1.服務(wù)器操作系統(tǒng)類型，版本，補(bǔ)丁版本；2.服務(wù)器硬盤使用率；3.服務(wù)器運(yùn)行業(yè)務(wù)的情況；4.服務(wù)器網(wǎng)絡(luò)配置情況等。如果等到服務(wù)器宕機(jī)后才去處理，或者說(shuō)等到服務(wù)器資源真正成為瓶頸的時(shí)候才去改善，那只能算作是亡羊補(bǔ)牢，因?yàn)楸怀缘舻难蚴茄a(bǔ)不回來(lái)的。所以我們提倡預(yù)防為主，預(yù)測(cè)為先。這就是健康檢查的意義所在：從根本上提高服務(wù)器自身運(yùn)轉(zhuǎn)的穩(wěn)定性，以及對(duì)系統(tǒng)的有效支撐作用。具體檢查內(nèi)容：1.服務(wù)器電源狀態(tài)檢查；2.服務(wù)器風(fēng)扇狀態(tài)檢查；3.服務(wù)器硬盤健康狀態(tài)檢查；4.服務(wù)器系統(tǒng)日志檢查。

二、網(wǎng)站服務(wù)器安全維護(hù)的必要性

對(duì)于整個(gè)網(wǎng)絡(luò)來(lái)說(shuō)，服務(wù)器維護(hù)是非常重要的，如果沒(méi)有維護(hù)得當(dāng)，就可能導(dǎo)致整個(gè)服務(wù)器都不能運(yùn)行，而且現(xiàn)在大量的網(wǎng)絡(luò)病毒和攻擊正在產(chǎn)生，一種是惡意的攻擊，就像病毒一樣，這些惡意的攻擊會(huì)使得資源的大量損耗，就會(huì)使得服務(wù)器的運(yùn)行不能進(jìn)行，有些嚴(yán)重的病毒還可能導(dǎo)致整個(gè)服務(wù)器不能使用從而報(bào)廢。另一種就是一種入侵的行為，這種行為會(huì)損失一些信息，在商家競(jìng)爭(zhēng)的過(guò)程中，可能會(huì)有一些不法的商家會(huì)采取一些措施對(duì)對(duì)方的服務(wù)器進(jìn)行入侵行為，所以，維護(hù)服務(wù)器的安全就是要使得這兩種情況不會(huì)在自己的服務(wù)器上發(fā)生。

三、服務(wù)器安全維護(hù)的策略

1、轉(zhuǎn)換角色，模擬可能的攻擊

多數(shù)時(shí)候，我們?nèi)糁皇钦驹诰W(wǎng)站維護(hù)員的位置上思考問(wèn)題，可能很難發(fā)覺(jué)網(wǎng)站服務(wù)器的漏洞。相反，維護(hù)員若能換個(gè)角度，把自身當(dāng)作可能的攻擊者，從他們的角色出發(fā)，揣測(cè)他們可能會(huì)運(yùn)用哪些手段對(duì)哪些網(wǎng)站服務(wù)器的漏洞進(jìn)行攻擊，或許就可以發(fā)現(xiàn)網(wǎng)站服務(wù)器可能存在的安全漏洞，從而先行一步，修補(bǔ)漏洞，避免被木馬或者病毒攻擊，防患于未然。從外網(wǎng)訪問(wèn)自身的網(wǎng)站服務(wù)器，執(zhí)行完整的檢測(cè)，然后模擬攻擊者攻擊自身的站點(diǎn)，看會(huì)有什么結(jié)果。這對(duì)于網(wǎng)站的安全性來(lái)說(shuō)，無(wú)疑是一種很好的檢測(cè)方法。自己充當(dāng)攻擊者，運(yùn)用適當(dāng)?shù)膾呙韫ぞ邔?duì)網(wǎng)站服務(wù)器執(zhí)行掃描，有些東西日?？赡懿粫?huì)引起重視，但是運(yùn)用黑客常用的工具執(zhí)行掃描，就會(huì)發(fā)覺(jué)一些可能會(huì)被他們調(diào)用的服務(wù)或者漏洞。如在網(wǎng)站服務(wù)器安裝的時(shí)候，操作系統(tǒng)會(huì)默認(rèn)安裝并啟動(dòng)一些不需要的服務(wù)，或者在服務(wù)器配置的時(shí)候，需要啟動(dòng)一些服務(wù)，但是事后沒(méi)有及時(shí)關(guān)上，從而給不法攻擊者留下攻擊的機(jī)會(huì)。常見的如SNMP服務(wù)（基本網(wǎng)絡(luò)維護(hù)協(xié)議），這個(gè)服務(wù)在系統(tǒng)安裝完畢后默認(rèn)是開啟的。但是，這個(gè)服務(wù)可以為攻擊者提供服務(wù)器系統(tǒng)的詳細(xì)信息，如網(wǎng)站服務(wù)器采用了什么操作系統(tǒng)，開啟了什么服務(wù)與對(duì)應(yīng)的端口等重要信息，攻擊者只要清楚這些基本的信息就能開展攻擊。安全維護(hù)人員在日常工作中可能不會(huì)發(fā)覺(jué)這個(gè)問(wèn)題，若借助黑客的掃描工具，就能發(fā)現(xiàn)問(wèn)題所在。因此，在必要的時(shí)候可以換個(gè)角度，從攻擊者的角度出發(fā)，猜測(cè)他們會(huì)采用什么攻擊手段，防止出現(xiàn)當(dāng)局者迷的情況。

2、合理的權(quán)限維護(hù)

從基本做起，及時(shí)安裝系統(tǒng)補(bǔ)丁。不論是Windows還是Linux，任何操作系統(tǒng)都有漏洞，及時(shí)的打上補(bǔ)丁避免漏洞被蓄意攻擊利用，是服務(wù)器安全最重要的保證之一。安裝和設(shè)置防火墻，現(xiàn)在有許多基于硬件或軟件的防火墻，很多安全廠商也都推出了相關(guān)的產(chǎn)品。對(duì)服務(wù)器安全而言，安裝防火墻非常必要。防火墻對(duì)于非法訪問(wèn)具有很好的預(yù)防作用，但是安裝了防火墻并不等于服務(wù)器安全了。在安裝防火墻之后，你需要根據(jù)自身的網(wǎng)絡(luò)環(huán)境，對(duì)防火墻進(jìn)行適當(dāng)?shù)呐渲靡赃_(dá)到最好的防護(hù)效果。安裝網(wǎng)絡(luò)殺毒軟件，現(xiàn)在網(wǎng)絡(luò)上的病毒非常猖獗，這就需要在網(wǎng)絡(luò)服務(wù)器上安裝網(wǎng)絡(luò)版的殺毒軟件來(lái)控制病毒傳播，同時(shí)，在網(wǎng)絡(luò)殺毒軟件的使用中，必須要定期或及時(shí)升級(jí)殺毒軟件，并且每天自動(dòng)更新病毒庫(kù)。關(guān)閉不需要的服務(wù)和端口，服務(wù)器操作系統(tǒng)在安裝時(shí)，會(huì)啟動(dòng)一些不需要的服務(wù)，這樣會(huì)占用系統(tǒng)的資源，而且也會(huì)增加系統(tǒng)的安全隱患。對(duì)于一段時(shí)間內(nèi)完全不會(huì)用到的服務(wù)器，可以完全關(guān)閉；對(duì)于期間要使用的服務(wù)器，也應(yīng)該關(guān)閉不需要的服務(wù)，如Telnet等。另外，還要關(guān)掉沒(méi)有必要開的TCP端口。

3、腳本安全維護(hù)

實(shí)際工作中，許多網(wǎng)站服務(wù)器因?yàn)楸还舳c瘓都是由于不良的腳本造成的。攻擊者特別喜歡針對(duì)CGI程序或者PHP腳本實(shí)施攻擊。通常來(lái)說(shuō)，使用網(wǎng)站需要傳遞一些必要的參數(shù)，才能夠正常訪問(wèn)。這個(gè)參數(shù)可以分為兩類，一個(gè)是值得信任的參數(shù)，另外一類是不值得信任的參數(shù)。某單位是自身維護(hù)網(wǎng)站服務(wù)器，而不是托管，把服務(wù)器放置在單位防火墻內(nèi)部，以提高網(wǎng)站服務(wù)器的安全性。所以一般來(lái)說(shuō)，來(lái)自防火墻內(nèi)部的參數(shù)都是可靠的，值得信任的，而來(lái)自外部的參數(shù)基本上是不值得信任的。但是，并不是說(shuō)不值得信任的參數(shù)或者來(lái)自防火墻外部的參數(shù)網(wǎng)站服務(wù)器都不采用，而是說(shuō)，在網(wǎng)站服務(wù)器設(shè)計(jì)的時(shí)候，需要格外留心，采用這些不值得信任的參數(shù)的時(shí)候需要執(zhí)行檢驗(yàn)，看其是否正當(dāng)，而不能向來(lái)自網(wǎng)站內(nèi)部的參數(shù)那樣照收不誤。這會(huì)給網(wǎng)站服務(wù)器的安全帶來(lái)隱患，例如，攻擊者運(yùn)用TELNET連接到80端口，就可以向CGL腳本傳遞不安全的參數(shù)。所以，在CGI程序編寫或者PHP腳本編輯的時(shí)候，我們要留心，不能讓其隨便接受陌生人的參數(shù)。在接受參數(shù)之前，要先檢驗(yàn)提供參數(shù)的人或者參數(shù)本身的正當(dāng)性。在程序或者腳本編寫的時(shí)候，可以預(yù)先參加一些判斷條件。當(dāng)服務(wù)器認(rèn)為提供的參數(shù)不準(zhǔn)確的時(shí)候，及時(shí)通知維護(hù)員。這也可以幫助我們盡早發(fā)覺(jué)可能存在的攻擊者，并及時(shí)采取相應(yīng)的防御措施。

參考文獻(xiàn)

[1]張艷麗，馬恒.淺談網(wǎng)站服務(wù)器安全維護(hù)技巧.計(jì)算機(jī)光盤軟件與應(yīng)用.2011.19

[2]張鐵志.網(wǎng)站服務(wù)器安全維護(hù)探討.通訊世界.2015.14