在頻頻惡意攻擊使用者、系統漏洞層出不窮的今天,作為網路治理員、系統治理員雖然在伺服器的安全上都下了不少功夫,諸如及時打上系統安全補丁、進行一些常規的安全配置,但有時仍不安全。因此必須惡意使用者入侵之前,通過一些系列安全設定,來將入侵者們擋在「安全門」之外,下面就將我在3a網路
伺服器上做的一些最簡單、最有效的防(overflow)溢位、本地提供許可權攻擊類的解決辦法給大家分享,小弟親自操刀,基本沒出過安全故障!
一、如何防止溢位類攻擊
1.盡最大的可能性將系統的漏洞補丁都打完,最好是比如
microsoft windows server
系列的系統可以將自動更新服務開啟,然後讓伺服器在您指定的某個時間段內自動連線到
microsoft update
**進行補丁的更新。假如您的伺服器為了安全起見 禁止了對公網外部的連線的話,可以用
microsoft wsus
服務在內網進行公升級。
2.停掉一切不需要的系統服務以及應用程式,最大限能的降底伺服器的被攻擊係數。比如前陣子的
msdtc
溢位,就導致很多伺服器掛掉了。其實假如
web類伺服器根本沒有用到
msdtc
服務時,您大可以把
msdtc
服務停掉,這樣
msdtc
溢位就對您的伺服器不構成任何威脅了。
3.啟動
tcp/ip
埠的過濾,僅開啟常用的
tcp如21、
80、25、
110、
3389
等埠;
假如安全要求級別高一點可以將
udp埠關閉,當然假如這樣之後缺陷就是如在伺服器上連外部就不方便連線了,這裡建議大家用
ipsec
來封udp
。在協議篩選中」只答應」
tcp協議
(協議號為:
6)、
udp協議
(協議號為:
17)以及
rdp協議
(協議號為:
27)等必需用協議即可
;其它無用均不開放。
4.啟用
ipsec策略:
為伺服器的連線進行安全認證,給伺服器加上雙保險。如三所說,可以在這裡封掉一些危險的端品諸如
:135 145 139 445
以及udp
對外連線之類、以及對通讀進行加密與只與有信任關係的ip(
注:其實防**類木馬用
ipsec
簡單的禁止
udp或者不常用
tcp埠的對外訪問就成了,關於
ipsec
的如何應用這裡就不再敖續,可以到服安討論
search
「ipsec
」,就 會有
n多關於
ipsec
的應用資料
..)二、刪除、移動、更名或者用訪問控制表列access control lists (acls)控制要害系統檔案、命令及資料夾:
1.黑客通常在溢位得到
shell
後,來用諸如
net.exe net1.exe ipconfig.exe user.exe query.exe regedit.exe regsvr32.exe
來達到進一步控**務器的目的如
:加賬號了,轉殖治理員了等等
;這裡可以將這些命令程式刪除或者改名。(注重
:在刪除與改名時先停掉檔案復**務
(frs)
或者先將
%windir%\system32\dllcache\
下的對應檔案刪除或改名。
2.也或者將這些
.exe
檔案移動到指定的資料夾
,這樣也方便以後治理員自己使用
3.訪問控制表列
acls
控制:找到
%windir%\system32
下找到cmd.exe
、cmd32.exe net.exe net1.exe ipconfig.exe tftp.exe ftp.exe user.exe reg.exe regedit.exe regedt32.exe regsvr32.exe
這些黑客常用的檔案,在「屬性」→「安全」中對他們進行訪問的
acls
使用者進 行定義,諸如只給
administrator
有權訪問,假如需要防範一些溢位攻擊、以及溢位成功後對這些檔案的非法利用,那麼只需要將
system
使用者在
acls
中進行拒絕訪問即可。
4.假如覺得在
gui下面太麻煩的話,也可以用系統命令的
cacls.exe
來對這些
.exe
檔案的acls
進行編輯與修改,或者說將他寫成乙個
.bat
批處理 檔案來執行以及對這些命令進行修改。
(具體使用者自己參見
cacls /?
幫助進行)
5.對磁碟如
c/d/e/f
等進行安全的
acls
設定從整體安全上考慮的話也是很有必要的,另外非凡是
win2k
,對winnt
、winnt\system
、document and setting
等資料夾。
6.進行登錄檔的修改禁用命令直譯器
: (假如您覺得用⑤的方法太煩瑣的話,那麼您不防試試下面一勞永逸的辦法來禁止
cmd的執行,通過修改登錄檔,可以禁止使用者使用命令直譯器
(cmd.exe)
和執行批處理檔案
(.bat檔案)
。具體方法
:新建乙個雙位元組
(reg_dword)
執行 hkey_current_user\software\policies\ microsoft\windows\system\disablecmd
,修改其值為
1,命令直譯器和批處理檔案都不能被執行。修改其值為
2,則只是禁止命令直譯器的執行
,反之將值改為
0,則是開啟
cms命令直譯器。假如您賺手動太麻煩的話
,請將下面的**儲存為
*.reg
檔案,然後匯入。
7.對一些以
system
許可權執行的系統服務進行降級處理。(諸如
:將serv-u
、imail
、iis
、php
、mssql
、mysql
等一系列以
system
許可權執行的服務或者應用程式換成其它
administrators
成員甚至
users
許可權執行,這樣就會安全得多了…但前提是需要對這些基本執行狀態、呼叫
api等相關情況較為了解
. )
高防伺服器的防禦措施有哪些?
高防伺服器也是伺服器的其中一種,在租用之前我們首先要了解什麼是高防伺服器,在使用過程中該如何防禦,這些都是我們需要知道的。什麼是高防伺服器?高防伺服器主要是針對企業使用者的,相對來說,這些企業使用者對於網路安全的要求更高,高防伺服器給使用者提供了更加安全的網路執行環境,為企業客戶提供安全的保證。高防...
防止伺服器資料丟失的方法有哪些呢?
防止伺服器資料丟失的方法有哪些呢?網際網路蓬勃發展的今天,離不開伺服器的作用,大量的資料都需要儲存在伺服器上,很多企業的 正常執行也需要伺服器租用,那麼防止伺服器資料的丟失就顯得很重要了,下面那我們就一起來討論一下怎麼防止伺服器的資料丟失。1.採用raid磁碟陣列儲存系統來進行相應的儲存工作 採用r...
mysql有哪些伺服器庫 資料庫伺服器有哪些
資料庫 資料庫伺服器一般都裝有資料庫,如oracle,mssql,mysql 等,如 oracle的linux伺服器。資料庫,其實就是儲存資料的應用軟體。資料庫伺服器就是在一台高配置的電腦上安裝了提供資料庫服務的軟體 dbms 則這台電腦就稱為資料庫伺服器,資料庫軟體本身支援網路訪問功能。資料庫伺服...