安全策略

　我们公司曾将某公司机房局域网内的PC通过Linux路由器与本地教育网相接,并进一步通过本地教育网进入Internet。此外,笔者又在Linux路由器上配置了防火墙。实践证明,防火墙有效地 控制住了公司内部人员对非法IP地址的访问,并成功地记录下每个IP地址的网络流量,为计费和网 管提供了依据。Linux的防火墙配置可以通过简单的命令逐条进行,也可编写shell程序放 到系统的启动目录下自动执行。

总的来说，在Linux下通过DHCP实现安全DDNS的过程可分为三步：第一，创建进行安全动态更新的密钥；第二，修改DNS的主配置文件/etc/named.conf，目的是定义采用动态更新的密钥及指定可以动态更新的区域；第三，修改DHCP的配置文件/etc/dhcpd.conf，目的是定义采用动态更新的密钥及指定动态更新哪些区域。 　

其次将鼠标定位于“计算机配置”/“管理模板”/“网络”/“网络连接”/“Windows防火墙”/“标准配置文件”分支选项，在“标准配置文件”分支选项下面，用鼠标双击“Windows防火墙：保护所有网络连接”组策略选项，打开如图4所示的目标组策略属性界面;选中该界面中的“已启用”项目，最后单击“确定”按钮，如此一来Windows Server 2008服务器系统自带防火墙日后就能强行保护所有网络连接了。

HTTP：几乎所有的网络设备都可以通过Web界面进行管理。有时，Web方式是惟一的管理方式。Web管理提供了便利，但是它的便利性和安全性常常是相互矛盾的。Web服务器可以要求口令字，但没有加密。Web服务器有着悠久的缓冲区溢出和其他安全漏洞的安全史。对于用户来说，最好不要将HTTP用于管理，更不要缺省启动它。对于厂商来说，如果打算提供用于Web管理方式，最好不要使用不安全的端口和协议来提供它。

金融系统UNIX的用户都是最终用户，他们只需在具体的应用系统中完成某些固定的任务，一般情况下不需执行系统命令（shell），其应用程序由.profile调用，应用程序结束后就退到login状态。维护时又要用root级别的su命令进入应用用户，很不方便。可以通过修改.profile 文件，再创建一个相同id用户的方法解决。

为了管理方便，一般在系统中的MySQL管理命令如mysql、mysqladmin、mysqldump等，使用的都是系统的/etc/my.cnf文件。如果要连接，它会寻找/tmp/mysql.sock文件来试图连接MySQL服务器，但是这里要连接的是chroot下的MySQL服务器。解决办法有两个：一个是在管理命令后面加入--socket=/chroot/mysql/tmp/mysql.sock。

userdel adm userdel lp userdel sync userdel shutdown userdel halt userdel news userdel uucp userdel operator userdel games userdel gopher userdel ftp 如果你不允许匿名FTP，就删掉这个用户帐号 groupdel adm groupdel lp groupdel news groupdel uucp groupdel games groupdel dip groupdel pppusers

　路由器本身没有日志、事件的存储介质，只能通过采用外部的日志服务器（如syslog，trap）等来完成对日志、事件的存储；路由器本身没有审计分析工具，对日志、事件的描述采用的是不太容易理解的语言；路由器对攻击等安全事件的相应不完整，对于很多的攻击、扫描等操作不能够产生准确及时的事件。审计功能的弱化，使管理员不能够对安全事件进行及时、准确的响应。

对于SSL VPN的安全性，F5公司市场总监柯文认为，IPSec VPN的安全性一直是个弱点。由于IPSec VPN引起的病毒、木马、Web攻击无法彻底根除，而F5的SSL VPN产品FirePass可以很好地解决这个问题。在FirePass的门户站主机访问模式下，FirePass可以对上传的文件做病毒扫描，更可以与企业现有的防病毒软件联动，彻底解决病毒问题。而FirePass内带的内容检查功能，解决了Web攻击问题。该产品还可以配置成在退出时自动清除高速缓存。这一点是相当方便用户的。通过改善以上这些功能使得系统的安全性大大加强。

网络安全是一项系统工程，它不仅有空间的跨度，还有时间的跨度。很多朋友（包括部分系统管理员）认为进行了安全配置的主机就是安全的，其实这其中有个误区：我们只能说一台主机在一定的情况一定的时间上是安全的，随着网络结构的变化、新的漏洞的发现，管理员/用户的操作，主机的安全状况是随时随地变化着的，只有让安全意识和安全制度贯穿整个过程才能做到真正的安全。

首先，匿名用户不应该有任何的特殊的权限。其次，不要在~ftp/bin，~ftp/usr/bin，~ftp/sbin或类似的目录下存放任何系统命令。另外确保FTP的根目录的访问权限被设为555(read nowrite execute），文件所有者被设置成Root而不是FTP，并确保在FTP的根目录下的Password不是/etc/password的完全拷贝。注意了这几点，对于中小型局域网的安全而言就足够了，如果还有需要，还可以在防火墙上配置一些FTP的守护程序获得更高的安全性。

在只需要不多图形操作的服务器或是要保证相当的安全，你也许应该关掉字体服务fs，也可以 关掉系统性能监视器rstatd和tooltalk服务器ttdbserverd。事实上在确实需要安全的机器上 你甚至应该注释掉telnet和ftp。

设置权限是必要的。首先，确定IIS里要建立几个站点，之后为每个站点建立一个用户。在IIS站点的目录安全性里选择让这个用户作为匿名访问的帐户。再设置所有分区都禁止这个用户访问，而在站点对应的文件夹设置允许此用户访问。这样即使站点被入侵，入侵者也拿不到服务器的shell。

完全控制,不过尽管这样还是有一定的不安全,克隆个帐户就得了.建议限制IP登陆.尽管这样还是不安全滴,人家可以映射终端端口.最好的就是把服务器搞得上没得网.用IP安全策略可以做到.

SQL Server 2000数据库系统本身没有提供网络连接的安全解决办法，但是Windows 2000提供了这样的安全机制。使用操作系统自己的IPSec可以实现IP数据包的安全性。请对IP连接进行限制，只保证自己的IP能够访问，也拒绝其他IP进行的端口连接，把来自网络上的安全威胁进行有效的控制。

完全控制,不过尽管这样还是有一定的不安全,克隆个帐户就得了.建议限制IP登陆.尽管这样还是不安全滴,人家可以映射终端端口.最好的就是把服务器搞得上没得网.用IP安全策略可以做到.

配置的数据有可能泄漏并有可能进入到他人之手。为防止这样的事件发生，千万不要将路由器的配置信息存储到可移动媒体上。要将其存储在一个网络驱动器的安全文件夹中，此文件夹的安全性用恰当的访问权限来保障。

你还可以将路由器事件发送到一个系统日志服务器。由于该服务器处在路由器外部，就有一个附加的优点:即使路由器断电也会保留事件记录 。

作为一个系统管理员来说，定期对系统作一次全面的安全检查很重要的，最近遇到一些朋友来信说出现了一些莫名其妙的问题，例如最大的一个问题就是明显感觉网络服务缓慢，这极有可能是被攻击的现象。实践证明，无论是那种系统，默认安装都是不安全的，实际不管你用windows也好，linux,bsd或其他什么系统，默认安装的都有很多漏洞，那怎么才能成为安全的系统呢，这正是我们系统管理人员需要做的事情。配置配置再配置。任何系统，只要细心的配置，堵住已知的漏洞，可以说这个系统是安全的，其实并非很多朋友说的那样，安装了系统，配置了防火墙，安装了杀毒软件，那么就安全了，其实如果对系统不作任何安全设置，那就等于向黑客敞开一扇纸做的大门，数十分钟就能完全控制!

今天演示一下服务器权限的设置，实现目标是系统盘任何一个目录asp网马不可以浏览,事件查看器完全无错,所有程序正常运行. 这个不同于之前做的两个演示，此演示基本上保留系统默认的那些权限组不变，保留原味,以免取消不当造成莫名其妙的错误. 看过这个演示，之前的"超详细web服务器权限设置,精确到每个文件夹"和"超详细web服务器权限设置,事件查看器完全无报错"就不用再看了.这个比原来做的有所改进.操作系统用的是雨林木风的ghost镜像,补丁是打上截止11.2号最新的 Power Users组是否取消无所谓