安全策略

当谈及Big Security时，两个反病毒了领导者已经收购了一些公司以进军安全配置管理领域。赛门铁克公司已经拥有了许多能够解决部分问题的产品(企业级安全策略管理ESM以及BindView)，并且最近还收购了Altiris公司以增加并加固终端管理容量。迈克菲公司收购了Citadel安全系统公司以及Preventsys公司以把这些公司的性能整合到其全保护(Total Protection suite)中来。

　用root用户启动远程服务一直是安全大忌，因为如果服务程序出现问题，远程攻击者极有可能获得主机的完全控制权。MySQL从3.23.15版本开始时作了小小的改动，默认安装后服务要用mysql用户来启动，不允许root用户启动。如果非要用root用户来启动，必须加上-user=root的参数(./safe_mysqld -user=root &)。因为MySQL中有LOAD DATA INFILE和SELECT ... INTO OUTFILE的SQL语句，如果是root用户启动了MySQL服务器，那么，数据库用户就拥有了root用户的写权限。不过MySQL还是做了一些限制的，比如LOAD DATA INFILE只能读全局可读的文件，SELECT ... INTO OUTFILE不能覆盖已经存在的文件。

角色的划分可以说是Sybase数据库相对于普通Unix系统在安全体制方面的改进。但是，大家知道，拥有无限权利的超级用户一方面是系统的保护者，但是更多的时候是给系统的安全带来了巨大的安全威胁。简单来说，超级用户一个低级的误操作就可能毁掉整个服务器。从攻击的角度来看，攻击者只要获得了超级用户的身份就表明他已经彻底攻克了该系统。而对于经过特权分割安全加固的系统来说，攻击者必须将若干个特权用户全部破解，才能得以完全控制该系统。可以说超级权利用户的存在是区分C级和B级安全系统的一个重要标志。

对交换机配置文件进行脱机安全备份，并且限制对配置文件的访问。同时应该对不同的配置添加描述性注释以方便查看。

这个最新在6月17日发现的漏洞，它主要是存在于Apache的chunk encoding中，这是一个HTTP协议定义的用于接受web用户所提交数据的功能。 利用黑客程序可以对于运行在FreeBSD 4.5, OpenBSD 3.0 / 3.1, NetBSD 1.5.2平台上的Apache服务器均可进行有效的攻击.

为了保险起见，你可以使用IIS的备份功能，将刚刚的设定全部备份下来，这样就可以随时恢复IIS的安全配置。还有，如果你怕IIS负荷过高导致服务器满负荷死机，也可以在性能中打开CPU限制，例如将IIS的最大CPU使用率限制在70%。

如果不需要远程访问则禁止它。如果需要则一定要设置强壮的密码。由于VTY在网络的传输过程中为加密，所以需要对其进行严格的控制。如：设置强壮的密码；控制连接的并发数目；采用访问列表严格控制访问的地址；可以采用AAA设置用户的访问控制等。

内存一般以每页4k字节分配。最小内存空白页设置是系统中内存数量的2倍;最低内存空白页设置是内存数量的4倍;最高内存空白页设置是系统内存的6倍。这些值在系统启动时决定。

如果这是个Solaris 2.5.1或是个Solaris 2.6的系统，可以走开搞杯咖啡喝喝，因为要花点时间的。不要太担心补丁安装过程中的错误，很多时候出现错误是因为你没有安装一个特定的软件或已经打了某个补丁。

网络安全是一项系统工程，它不仅有空间的跨度，还有时间的跨度。很多朋友（包括部分系统管理员）认为进行了安全配置的主机就是安全的，其实这其中有个误区：我们只能说一台主机在一定的情况一定的时间上是安全的，随着网络结构的变化、新的漏洞的发现，管理员/用户的操作，主机的安全状况是随时随地变化着的，只有让安全意识和安全制度贯穿整个过程才能做到真正的安全。

随着Internet的快速发展和政府、企业上网工程的日益推广，越来越多的政府机关和企业在网络上建立网站来进行对外宣传，这样，网络上的安全问题就显得日益突出。许多政府机关及企业都安装了防火墙来保证网络服务器的安全，却往往忽视了站在最前沿的“卫士”——路由器。在网络上，一旦有人恶意进入你的路由器，将对你的网络安全产生极大的威胁。

每当有新的记帐信息需要报告时，中间记帐记录将被送到服务器

如果IE加载项需要给外部进程发送Windows消息，就会被阻止。这是由于UIPI的作用，只允许高级进程给平级或者低级的进程发送消息，这有点类似以前的地下党，只允许上级联系下级(单线联系)。但是这可能会对一些老的输入法产生影响，导致无法正常工作。

作为系统服务，不但要在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services下增加主键，在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root下也增加主键。而后者默认只有SYSTEM身份才可以修改。幸运的是，并不需要手动添加它，winpcap被调用时会自动搞定。甚至完全不用手动修改注册表，所有的事winpcap都会自己完成，只需要将三个文件复制到合适的位置就行了。

入侵监测的初步介绍就到这里，在实际运用中，系统管理员对基础知识掌握的情况直接关系到他的安全敏感度，只有身经百战而又知识丰富、仔细小心的系统管理员才能从一点点的蛛丝马迹中发现入侵者的影子，未雨绸缪，扼杀入侵的行动。

IPSec 提供 IP 数据包的安全性。IPSec 提供身份验证、完整性和可选择的机密性。发送方计算机在传输之前加密数据，而接收方计算机在收到数据之后解密数据。利用IPSec可以使得系统的安全性能大大增强。

按以上设置配置好PIX防火墙和路由器后,PIX防火墙外部的攻击者将无法在外部连接上找到可以连接的开放端口,也不可能判断出内部任何一台主机的IP地址,即使告诉了内部主机的IP地址,要想直接对它们进行Ping和连接也是不可能的。

可以使用协议分析工具——ethereal，ethereal是一个有名的网络端口探测器，是可以在linux、solaris、sgi等各种平台运行的网络监听软件一般说来，ethereal基本上是为破坏者所利用的工具，而对于网络管理员来说，也可以通过捕包分析，来确定一些异常的流量和局域网内部的非正常用户与外界的通信，比如说对于现在比较占用网络带宽的诸如bit torrent 等p2p应用软件流量，通过使用该软件确定这些流量，网络管理员就可以使用流量控制（tc）的方法来规范、合理的分配带宽资源，提高网络的利用率。

系统设置网上有一句话是“最小的权限+最少的服务=最大的安全”。此句基本上是个人都看过，但我好像 没有看到过一篇讲的比较详细稍具全面的文章，下面就以我个人经验作一次教学尝试！

网络安全是一项系统工程，它不仅有空间的跨度，还有时间的跨度。部分系统/网络管理员认为进行了安全配置Windows 2000 Advance Serve是足够安全的，其实这其中有个误区：我们只能说一台服务器在一定的情况下，一定的时间内是安全的，随着网络结构的变化、新的漏洞的发现，管理员/用户的操作，安全状况是时刻改变的，我们要不断的对我们的网络进行有效的设置维护其安全和满足我们的应用，时刻关注新的发现，对安全的原则作出相应的修改，这样，才是系统/网络管理员工作的正确方向。