安全策略

在PHP安全模式打开的时候，需要执行操作系统程序的时候，必须是在safe_mode_exec_dir选项指定目录的程序，否则执行将失败。即使允许执行，那么也会自动的传递给escapeshellcmd函数进行过滤。

Apache Server是一个非常优秀，非常棒的服务器，只要你正确配置和维护好Apache服务器，你就会感受到Apache Server 所带来的好处。

众所周知，网络安全是一个非常重要的课题，而服务器是网络安全中最关键的环节。Linux被认为是一个比较安全的Internet服务器，作为一种开放源代码操作系统，一旦Linux系统中发现有安全漏洞，Internet上来自世界各地的志愿者会踊跃修补它。

按以上设置配置好PIX防火墙和路由器后,PIX防火墙外部的攻击者将无法在外部连接上找到可以连接的开放端口,也不可能判断出内部任何一台主机的IP地址,即使告诉了内部主机的IP地址,要想直接对它们进行Ping和连接也是不可能的。

　如果用户在家中上网或者在自己认为是安全的地方上网，就可以在“连接到”窗口中选中“保存口令”和“自动连接”对话框，这样用户就不必在每次登录时重新输入口令，并等待确认过程，从而提高登录速度。

最后一种选择就是光盘，它的保存时间长，并且随着技术的发展，以后能够在绝大多数的驱动器上使用。当然，将信息刻在光盘上的花费也要高一些，可是如果你不想将你的宝贝照片丢失，那么多花这点银子也就算不上什么了。如果你想得到最好的、最长久的存储方式，那么你还可以用镀金的光碟，它要比普通的光碟要更好一些。另外你要记住这么一个常识：CD-R是一次刻录的，即当你把数据写到上面后，就永远不能更改，只能读出；而CD-RW，是既可以读也可以重新写的。不管是上面的哪一种，都是已经标示好了的，并且都有650MB的存储空间。

这样在Novell网安装的Windows，任何用户均可使用，且多个用户可用同一个用户名启动同一Windows，不会发生冲突，特别适用于学校、培训等教学场合，也可用于游戏网。

根据苹果机的配置，应该不是物理内存不足。多方咨询查阅资料，了解到如下情况：Mac机的内存管理与PC机的内存管理完全不同，Mac操作系统首先占用了一定的内存块，剩下的部分才是应用软件区，Mac要求每一个应用软件必须占用一块连续的内存块，并遵从先来先服务的原则，即使你退出了应用程序，所释放的内存也不一定能马上用于其它应用软件。

　Windows NT Servers Service Pack 4 和后续的版本都支持三种不同的身份验证方法： LanManager (LM) 身份验证；Windows NT(也叫NTLM)身份验证；Windows NT Version 2.0 (也叫NTLM2) 身份验证

如果通过NFS把文件共享出来,那么一定要配置”/etc/exports”文件,使得访问限制尽可能的严格.这就是说,不要使用通配符,不允许对根目录有写权限,而且尽可能的只给读权限.在/etc/exports文件加入

其次在该设置界面的左侧显示区域，我们会发现“入站规则”选项和“出站规则”选项，考虑到其他工作站使用Ping命令测试本地工作站时，测试数据包信息是从外部进入到本地工作站内部的，所以我们应该单击这里的“入站规则”选项，然后在对应该选项设置页面的右侧显示区域单击“新规则”项目，打开如图2所示的新规则创建向导设置界面，选中其中的“自定义”项目，同时单击“下一步”按钮;

注意对于运行windows xp sp2的计算机的所有连接和新创建的连接，windows防火墙的默认设置是“启用(推荐)”。这可能会影响那些依赖未请求的传入流量的程序或服务的通信。在这样的情况下，您必须识别出那些已不再运作的程序，将它们或它们的流量添加为异常流量。许多程序，比如internet浏览器和电子邮件客户端(如:outlook express)，不依赖未请求的传入流量，因而能够在启用windows防火墙的情况下正确地运作。

　在 internet 中运行任何一种服务，都是有一定的危险的。不管是http也好， ftp 也好， telnet 也好，总之都会有机会被 hack 入侵。 stealth logger 的独特性可以让我们在接收资料的同时，不发送任何的资料。这样外界的电脑(被 hack 入侵的电脑)就根本无法去更改 loger server 所收到的信息。也就是说保证了我们信息的完整性，以及原始性。 为了确保 log 服务器的安全，最好不要将 log 服务器连接在网路中。也就是说，当您需要检查 logger 服务器上得东西的时侯，您需要到电脑前，打开屏幕。而不是远端 login 进来。但是，如果说您一定要连接网路的话的话，那么请用两个的介面来做。也就是说两片网卡，并且注意，第一，IP forwarding 一定要关闭。第二就是，用来做 stealth logger 的介面是没有 ip 的一张网卡，这张网卡必须不能跟另外一个有 ip 的网卡在同一网路下面。

受限分区中是你不能信任的站点。很多人认为如果一个站点在受限分区的话，IE将禁止用户登陆它。其实并不是这样。受限分区不会阻止用户登陆在分区中站点，它仅仅是把一些你认为的恶意站点作标记。

以上仅是中小企业防火墙所应具备的防护特性的一部分，随着技术的发展防火墙的功能会变得越来越丰富，但有再多功能的防火墙如果没有合理的配置和管理，那么这只是一件昂贵的摆设。

　对于木马和远程监控程序，除了监视开放的端口外，还应通过任务管理器的进程查看功能进行进程的查找。在安装Windows Server2003的支持工具（从产品光盘安装）后，就可以获得一个进程查看工具Process Viewer；通常，隐藏的进程寄宿在其他进程下，因此查看进程的内存映象也许能发现异常。现在的木马越来越难发现，常常它会把自己注册成一个服务，从而避免了在进程列表中现形。因此，我们还应结合对系统中的其他信息的监视，这样就可对系统信息中的软件环境下的各项进行相应的检查。

　一定要给Bios设置密码，以防通过在Bios中改变启动顺序，而可以从软盘启动。这样可以阻止别人试图用特殊的启动盘启动你的系统，还可以阻止别人进入Bios改动其中的设置(比如允许通过软盘启动等)。

在审查你的防火墙的时候，我建议你按照数字的顺序(选项 -r)进行扫描。这样，在分析Nmap输出文件时就很容易跟上通讯流。然而，在测试防火墙和入侵检测系统的效率时，你可以使用默认的方式进行扫描，也就是随机的端口顺序。在随机顺序的端口扫描中，可以使用随机的主机选项对主机进行扫描，随机的主机的缩写字是“-rH”。这个选项与我们将在下个星期介绍的减缓时间的选项结合在一起将使你拥有的任何网络监视设备努力工作以检测扫描的结果。

作为一款针对[url=http://server.ctocio.com.cn/]服务器[/url]的操作系统， Winows 2003 在[url=http://security.ctocio.com.cn/]安全[/url]方面有了很大的进步，但是这也造成了使用系统过程中的不便，本文为大家例举了十个配置Windows 2003[url=http://whatis.ctocio.com.cn/searchwhatis/250/7333750.shtml]操作系统[/url]的技巧，可以让你更方便的使用Windows 2003操作系统。

这里必须要修改注册表，否则每次重启之后默认共享还会出现。在注册表“HKEY＿LOCAL＿MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run”下，在右栏空白位置点击鼠标右键，选择“新建”，再选“字符串值”，名称中输入：“delipc＄”，这里的名字可以随便取，然后双击它就会弹出一个窗口来，输入：“net share ipc＄/del”，下次开机就可自动删掉默认共享。修改注册表后需要重新启动机器。同样的方法还可以删掉AMDIN＄。