浅谈校园网站服务器安全维护技巧
【摘要】教育信息化、校园网络化作为网络时代的教育方式和环境,已经成为教育发展的方向。随着各学校网络规模的急剧膨胀,用户的快速增长,服务器安全问题已经成为当前各个学校网络建设中不可忽视的首要问题。文章基于渭南市瑞泉中学校园网站服务器安全的现状及特点,提出相应的控制策略。
【关键词】服务器;网站;策略;校园
【中图分类号】TP393.05
【文献标识码】A
【文章编号】1672-5158(2012)12-0022-01
随着我国经济与科技的不断发展,教育信息化、校园网络化作为网络时代的教育方式和环境,已经成为教育发展的方向。随着各学校网络规模的急剧膨胀,用户的快速增长,服务器安全问题已经成为当前各个学校网络建设中不可忽视的首要问题。服务器的维护至关重要,稍有闪失即会使整个网络陷入瘫痪。目前,网络攻击行为包括两类:一是恶意的攻击行为,如拒绝服务攻击、网络病毒等,这些行为消耗大量的服务器资源,影响服务器的运行速度和正常工作,甚至使服务器所在的网络瘫痪;另外一类是恶意的入侵行为,这种行为会导致服务器敏感信息泄露,入侵者更是可以为所欲为,肆意破坏服务器。
目前,被广泛使用的网络操作系统主要是UNIX、WINDOWS和Linux等,这些操作系统都存在各种各样的安全问题,许多新型计算机病毒都是利用操作系统的漏洞进行传染。这就需要我们及时对操作系统进行更新,弥补各种漏洞,否则即使安装了防毒软件也会反复感染。另外服务器中通常采用的文件系统是FAT或者FAT32。但是我们建议用户将文件系统设置为NTFS,NTFS是微软Windows NT内核的系列操作系统支持的、一个特别为网络和磁盘配额、文件加密等管理安全特性设计的磁盘格式。在NTFS文件系统里可以为任何一个磁盘分区单独设置访问权限,把敏感信息和服务信息分别放在不同的磁盘分区。这样,即使黑客通过某些方法获得服务文件所在磁盘分区的访问权限,还需要想方设法突破系统的安全设置才能进一步访问保存在其他磁盘上的敏感信息。
我校网站服务器采用Windows 2003 Server系统,为了实现这个安全需求,把服务器中所有的硬盘都转换为NTFS分区。通常来说,NTFS分区比FAT分区安全性高很多。另外我校网站服务器还运行着FTP服务,运用NTFS分区自带的功能,合理为它们分配相关的权限。例如把网站服务装在分区D,而把FTP服务放在分区E。若FTP的账户信息泄露而被攻击,但是因为FTP账户没有对分区D具有读写的权利,所以,不会对网站服务器上的内容执行任何的读写操作。这样可以保障即使黑客攻陷FTP服务器后,也不会对网站服务器产生不良的影响。
实际工作中,许多网站服务器因为被攻击而瘫痪都是由于不良的脚本造成的。通常来说,使用网站需要传递一些必要的参数,才能够正常访问。这个参数可以分为两类,一个是值得信任的参数,另外一类是不值得信任的参数。我校是自身维护网站服务器,而不是托管,把服务器放置在防火墙内部,可以提高网站服务器的安全性。也可以这样说,来自防火墙内部的参数都是可靠的,值得信任的,而来自外部的参数基本上是不值得信任的。但是,并不是说不值得信任的参数或者来自防火墙外部的参数网站服务器都不采用,而是说,在网站服务器设计的时候,需要格外留心,采用这些不值得信任的参数的时候需要执行检验,看其是否正当,而不能向来自网站内部的参数那样照收不误。这会给网站服务器的安全带来隐患,例如,攻击者运用TELNET连接到8081端口,就可以向CGL脚本传递不安全的参数。所以,在CGI程序编写或者PHP脚本编辑的时候,我们要留心,不能让其随便接受陌生人的参数。在接受参数之前,要先检验提供参数的人或者参数本身的正当性。在程序或者脚本编写的时候,可以预先参加一些判断条件。当服务器认为提供的参数不准确的时候,及时通知维护员。这也可以帮助我们尽早发觉可能存在的攻击者,并及时采取相应的防御措施。
常言道,“有备无患”,虽然大家都不希望系统突然遭到破坏,但是做好准备是必须的。作好服务器系统备份,万一遭破坏的时候也可以及时恢复。我们建议用户采用“双重”备份即服务器安装一个容量足够大的空磁盘以及专门的软件,只要按要求设置好,软件会按您的要求定期备份。我校因为资金有限,采用的是手动备份。现在我们已经有了一套硬件的防御系统,但是多一些保障会更好。对服务器安全而言,安装防火墙非常必要。防火墙对于非法访问具有很好的预防作用,但是安装了防火墙并不等于服务器安全了。现在网络上的病毒非常猖獗,这就需要在网络服务器上安装网络版的杀毒软件来控制病毒传播,同时,在网络杀毒软件的使用中,必须要定期或及时升级杀毒软件,并且每天自动更新病毒库。
服务器操作系统在安装时,会启动一些不需要的服务,这样会占用系统的资源,而且也会增加系统的安全隐患。对于一段时间内完全不会用到的服务器,可以完全关闭;对于期间要使用的服务器,也应该关闭不需要的服务,如Telnet等。另外,还要关掉没有必要开的TcP端口。比如,我们学校61,150,76,110段就只开了8080、80、8088端口。
开启日志服务也是服务器安全维护技巧中必备条件之一。通过运行系统日志程序,系统会记录下所有用户使用系统的情形,包括最近登录时间、使用的账号、进行的活动等。日志程序会定期生成报表,通过对报表进行分析,你可以知道是否有异常现象。我们可以分析入侵者在系统上做过什么手脚,在系统上留了哪些后门,给系统造成了哪些破坏及隐患,服务器到底还存在哪些安全漏洞等,以便有针对性地实施维护。
服务器安全问题是一个大问题。如果不希望重要的数据被病毒或是黑客破坏,甚至被可能用这些数据来对付你的人窃取,那就要在平时加强对服务器的管理和日常维护,保证我们的网站运行的安全和畅通!
评论