加强网站服务器安全维护的技巧

河北省交通通信管理局 | 陈晓燕

加强网站服务器安全维护的技巧

河北省交通通信管理局 | 陈晓燕

伴随计算机的使用越来越广泛，网站服务器的运行和维护工作不容忽视。服务器的安全与否关系到整个计算机系统的正常运行，不断提升面向网站服务器的维护技巧十分重要。

计算机系统服务器的维护工作十分重要，稍有不慎就会使整个网络陷入瘫痪。目前，网络经常出现恶意的网络攻击行为，这给网站维护工作带来了麻烦。

恶意网络攻击基本包括两类：一是恶意的攻击行为，二是恶意的入侵行为。如果不防止和遏制这些攻击，服务器必将受到破坏。为此，要保障网络服务器的安全就要尽量使网络服务器避免受以上两种行为的影响。现在以Windows2003操作系统服务器为例，介绍一些网站服务器安全维护的技巧。

转换角色

大多数时候，我们若只是站在网络维护员的位置上思考问题，可能很难发觉网站服务器的漏洞。相反，维护员如能换个角度，把自己当作潜在的网络攻击者，从他们的角度出发，揣测他们可能会采取哪些手段、对哪些网站服务器的漏洞进行攻击，或许就能发现网站服务器可能存在的安全漏洞，从而先行一步，修补漏洞，避免被木马或者病毒攻击，防患于未然。

从外网访问自身的网站服务器，执行完整的检测，然后模拟攻击者攻击自己的特点，看会有什么结果。这对于网站的安全性来说，无疑是一种很好的检测方法。自己充当攻击者，运用适当的扫描工具对网站服务器进行适当的扫描，一些可能日常不会引起重视的信息，当运用黑客常用的工具进行扫描时，就会发现其中存在着可能被调用的服务或漏洞。

如在网站服务器安装的时候，操作系统会默认安装并启动一些不需要的服务，但是事后如果没有及时关上，将会给不法攻击者留下攻击的机会。因此，在必要的时候可以换一个角度，从攻击者的角度出发，猜测他们会采用什么攻击手段，防止出现“当局者迷”的情况。

合理的权限维护

有时，一台服务器不仅运行了网站的应用，而且还会运行诸如FTP服务器和流媒体服务器之类的网络服务。在同一台服务器上使用多种网络服务很可能造成服务之间的相互感染。也就是说，攻击者只要攻击一种服务，就可以运用相关的技能攻陷其他使用。因为攻击者只需攻破其中一种服务，就可以运用这个服务平台从内部攻击其他服务，通常来说，从内部执行攻击要比从外部执行攻击方便得多。

通常我们从成本角度考虑，会在一台服务器上同时运行三种服务：一个是传统的网站服务，二是FTP服务，三是流媒体服务。因为这些服务都是mms模式的，互联网上也可以直接访问流媒体服务器，所以就部署同一台服务器上。同时也因为所选用的服务器配置较高，所以运行这三个服务没有太大问题，性能也不会受到影响。

但是这却给网站维护者提出了一个难题：两种甚至两种以上的服务同时部署在同一服务器上，怎么才能保障安全、防止彼此感染呢？

在日常工作中，我们通常采用的文件系统是FAT或者FAT32。NTFS是微软Windows NT内核的系列操作系统所支持的、一个特别为网络和磁盘配额、文件加密等管理安全特性设计的磁盘格式。在NTFS文件系统里可以为任何一个磁盘分区单独设置访问权限，把敏感信息和服务信息分别放在不同的磁盘分区。这样，即使黑客通过某些方法获得服务文件所在磁盘分区的访问权限，还需要想方设法突破系统的安全设置才能进一步访问保存在其他磁盘上的敏感信息。

脚本安全维护

在实际工作中，许多因攻击而瘫痪的网站服务器都是由于不良的脚本造成的。攻击者特别喜欢针对CGI程序或者PHP脚本实施攻击。通常来说，这需要使用网站传递一些必要的参数才能正常访问。这个参数可以分为两类:一类是值得信任的参数，另一类则是不值得信任的参数。

比如某单位自行维护网站服务器，而不是托管，他们将服务器放置在单位防火墙内部，以提高网站服务器的安全性。所以一般来说，来自防火墙内部的参数都是可靠的，值得信任的，而来自外部的参数基本上是不值得信任的。

但是，这并不是说不值得信任的参数或者来自防火墙外部的网站服务器参数都不采用，而是说，在网站服务器设计的时候，需要格外留心，采用这些不值得信任参数的时候需要执行检验，看其是否正当，而不能向来自网站内部的参数那样照收不误。这会给网站服务器的安全带来隐患，例如，当攻击者运用TELNET连接到80端口，就可以向CGL脚本传递不安全的参数。

所以在CGI程序编写或者PHP脚本编辑的时候，网站维护人员需要特别留心，不能让其随便接受陌生的参数。而在接受参数之前，也要先检验提供参数的人或者参数本身的正当性。在程序或者脚本编写的时候，可以预先增加一些判断条件。当服务器认为提供的参数不准确的时候，及时通知维护员。这也可以帮助维护员尽早发觉可能存在的攻击者并及时采取相应的防御措施。

做好系统备份

常言道“有备无患”，虽然网站都不希望系统突然遭到破坏，但是做好准备还是很有必要的。及时做好服务器系统备份，万一遭到破坏也可及时恢复。

安装软件防火墙、杀毒软件

虽然网站已经有了一套硬件的防御系统，但是多一些保障会更好。关于防火墙、杀毒软件的论述业界已经有很多了，这里不再赘述。

开启事件日志

开启日记服务虽然对阻止黑客的入侵并没有直接的作用，但是它可以记录黑客的行踪，维护员可以分析入侵者在系统上做过什么手脚，在系统上留了哪些后门，给系统造成了哪些破坏及隐患，服务器到底还存在哪些安全漏洞等，以便维护员有针对性地实施服务器维护。