服务器安全软件除了云锁，安全狗，还有哪些

一般我们通常用的就只有下面这些，其他的建议慎重，以下这些比较权威，官方：

安全狗、

这款就是服务器上用的最多的软件，目前安全狗产品包括了服务器安全狗、网站安全狗及安全狗云中心等,而且所有的产品都是永久免费的，是国内首款支持Windows全系列服务器操作系统(Windows2003/Windows2008 32位 64位)和Linux系统的基于内核级的服务器安全防护软件。

主要功能有:

一是面向网站安全的:网马扫描及查杀(自有引擎,只针对网页木马);网马主动防御功能(可主动拦截网马上传和访问的动作);防SQL注入功能、防XSS跨站攻击功能;防盗链防下载;以及防止CC攻击。

二是面向服务器安全的:基于内核驱动的抗DDOS攻击、抗ARP攻击、抗WEBCC攻击功能;

三则是基于云端的监控和保护:利用云计算技术,构造一个较为全面的服务器和网站的监控和防护平台, 24小时的服务器健康监控、资源监控和资源告警、服务器可用性监控、基于云端技术的网站防篡改功能,保障网站文件不被非法修改。

护卫神

护卫神的产品是大部分免费的,作为国内最大的服务器软件供应商,此款软件在国内服务器市场也是非常热门产品。其中包含了20多款完全免费的服务器应用软件。入侵防护系统就是从黑客入侵的每个环节进行拦截,从而提升服务器安全的软件。网站安全系统是一款以分离权限为基础,通过一系列独特技术手段,保障网站不被入侵的安全防护软件。主机管理系统是一款通过网页开设空间、SQL的管理系统,告别手工开设站点的烦恼。好备份系统是一款自动备份SQL数据库和网站的免费软件,只需设置好备份任务,软件就会自动帮您完成备份工作产品众多,各位用户可以进入护卫神官网一一了解。

卡巴斯基服务器企业版

是俄罗斯著名的信息安全领导厂商“卡巴斯基实验室”所研发的,是世界上拥有最尖端科技的杀毒软件之一,同时它也有服务器版。它的主要功能包括有:与最新版本的 Kaspersky Security Center 兼容。可以远程安装和配置应用程序、管理操作和接收更新、通过 Microsoft Management Console,卡巴斯基网络安全管理中心或使用命令行来直接或远程管理 IT 安全。

但其实还有一些软件是商家基于自家服务器开发的安全软件系统，这种系统更能匹配和兼容服务器，我用的是《小鸟云》的服务器，有自带的云管家和云监控！还不错！

Monit是什么？

Monit是

一个跨平台的用来监控Unix/linux系统（比如Linux、BSD、OSX、Solaris）的工具。Monit特别易于安装，而且非常轻量级（只

有500KB大小），并且不依赖任何第三方程序、插件或者库。然而，Monit可以胜任全面监控、进程状态监控、文件系统变动监控、邮件通知和对核心服务

的自定义动作等场景。易于安装、轻量级的实现以及强大的功能，让Monit成为一个理想的后备监控工具。

我

已经在一些机器使用Monit几年了，而且我对它的可靠性非常满意。甚至作为全面的监控系统，对任何Linux系统管理员来说Monit也是非常有用和强

大的。在这篇教程中，我会展示如何在一个本地服务器部署Monit（作为后备监控系统）来监控常见的服务。在部署过程中，我只会展示我们用到的部分。

在Linux安装Monit

Monit已经被包含在多数Linux发行版的软件仓库中了。

Debian、Ubuntu或者Linux Mint：

$ sudo aptitude install monit

Fedora或者CentOS/RHEL：

在CentOS/RHEL中，你必须首先启用EPEL或者Repoforge软件仓库

# yum install monit

Monit

自带一个文档完善的配置文件，其中包含了很多例子。主配置文件在/etc/monitconf（Fedora/CentOS/RHEL

中），或者/etc/monit/monitrc（Debian/Ubuntu/Mint

中）。Monit配置文件有两部分：“Global”（全局）和“Services”（服务）。

Global Configuration: Web Status Page （全局配置：Web状态页面）

Monit可以使用邮件服务来发送通知，也可以使用HTTP/HTTPS页面来展示。我们先使用如下配置的web状态页面吧：

Monit监听1966端口。

对web状态页面的访问是通过SSL加密的。

使用monituser/romania作为用户名/口令登录。

只允许通过localhost、myhostmydomainro和在局域网内部（19216800/16）访问。

Monit使用pem格式的SSL证书。

之后的步骤，我会使用一个基于Red Hat的系统。在基于Debian的系统中的步骤也是类似的。

首先，在/var/cert生成一个自签名的证书（monitpem）：

# mkdir /var/certs # cd /etc/pki/tls/certs # /make-dummy-cert monitpem # cp monitpem /var/certs # chmod 0400 /var/certs/monitpem

现在将下列代码片段放到Monit的主配置文件中。你可以创建一个空配置文件，或者基于自带的配置文件修改。

set httpd port 1966 and SSL ENABLE PEMFILE /var/certs/monitpem allow monituser:romania allow localhost allow 19216800/16 allow myhostmydomainro

Global Configuration: Email Notification （全局配置：邮件通知）

然后，我们来设置Monit的邮件通知。我们至少需要一个可用的SMTP服务器来让Monit发送邮件。这样就可以（按照你的实际情况修改）：

邮件服务器的机器名：smtpmonitro

Monit使用的发件人：monit@monitro

邮件的收件人：guletz@monitro

邮件服务器使用的SMTP端口：587（默认是25）

有了以上信息，邮件通知就可以这样配置：

set mailserver smtpmonitro port 587 set mail-format { from: monit@monitro subject: $SERVICE $EVENT at $DATE on $HOST message: Monit $ACTION $SERVICE $EVENT at $DATE on $HOST : $DESCRIPTION Yours sincerely, Monit } set alert guletz@monitro

就像你看到的，Monit会提供几个内部变量（$DATE、$EVENT、$HOST等），你可以按照你的需求自定义邮件内容。如果你想要从Monit所在机器发送邮件，就需要一个已经安装的与sendmail兼容的程序（如postfix或者ssmtp）。

Global Configuration: Monit Daemon （全局配置：Monit守护进程）

接下来就该配置Monit守护进程了。可以将其设置成这样：

在120秒后进行第一次检测。

每3分钟检测一次服务。

使用syslog来记录日志。

如下代码段可以满足上述需求。

set daemon 120 with start delay 240 set logfile syslog facility log_daemon

我们必须定义“idfile”，Monit守护进程的一个独一无二的ID文件；以及“eventqueue”，当monit的邮件因为SMTP或者网络故障发不出去，邮件会暂存在这里；以及确保/var/monit路径是存在的。然后使用下边的配置就可以了。

set idfile /var/monit/id set eventqueue basedir /var/monit

测试全局配置

现在“Global”部分就完成了。Monit配置文件看起来像这样：

# Global Section # status webpage and acl's set httpd port 1966 and SSL ENABLE PEMFILE /var/certs/monitpem allow monituser:romania allow localhost allow 19216800/16 allow myhostmydomainro # mail-server set mailserver smtpmonitro port 587 # email-format set mail-format { from: monit@monitro subject: $SERVICE $EVENT at $DATE on $HOST message: Monit $ACTION $SERVICE $EVENT at $DATE on $HOST : $DESCRIPTION Yours sincerely, Monit } set alert guletz@monitro # delay checks set daemon 120 with start delay 240 set logfile syslog facility log_daemon # idfile and mail queue path set idfile /var/monit/id set eventqueue basedir /var/monit

现在是时候验证我们的工作了，你可以通过运行如下命令来验证存在的配置文件（/etc/monitconf）：

# monit -t Control file syntax OK

如果monit提示任何错误，请再检查下配置文件。幸运的是，错误/警告信息是可以帮助你发现问题的，比如：

monit: Cannot stat the SSL server PEM file '/var/certs/monitpem' -- No such file or directory /etc/monit/monitrc:10: Warning: hostname did not resolve 'smtpmonitro'

一旦你确认配置文件没问题了，可以启动monit守护进程，然后等2到3分钟：

# service monit start

如果你使用的是systemd，运行：

# systemctl start monit

现在打开一个浏览器窗口，然后访问https://<monit_host>:1966。将<monit_host>替换成Monit所在机器的机器名或者IP地址。

如果你使用的是自签名的SSL证书，你会在浏览器中看到一个警告信息。继续访问即可。

你完成登录后，就会看到这个页面。

在这个教程的其余部分，我们演示监控一个本地服务器和常见服务的方法。你会在官方wiki页面看到很多有用的例子。其中的多数是可以直接复制粘贴的！

Service Configuration: CPU/Memory Monitoring （服务配置：CPU、内存监控）

我们先来监控本地服务器的CPU、内存占用。复制如下代码段到配置文件中。

check system localhost if loadavg (1min) > 10 then alert if loadavg (5min) > 6 then alert if memory usage > 75% then alert if cpu usage (user) > 70% then alert if cpu usage (system) > 60% then alert if cpu usage (wait) > 75% then alert

你可以很容易理解上边的配置。最上边的check是指每个监控周期（全局配置里设置的120秒）都对本机进行下面的操作。如果满足了任何条件，monit守护进程就会使用邮件发送一条报警。

如果某个监控项不需要每个周期都检查，可以使用如下格式，它会每240秒检查一次平均负载。

if loadavg (1min) > 10 for 2 cycles then alert

Service Configuration: SSH Service Monitoring （服务配置：SSH服务监控）

先检查我们的sshd是否安装在/usr/sbin/sshd：

check file sshd_bin with path /usr/sbin/sshd

我们还想检查sshd的启动脚本是否存在：

check file sshd_init with path /etc/initd/sshd

最后，我们还想检查sshd守护进程是否存活，并且在监听22端口：

check process sshd with pidfile /var/run/sshdpid start program "/etc/initd/sshd start" stop program "/etc/initd/sshd stop" if failed port 22 protocol ssh then restart if 5 restarts within 5 cycles then timeout

我

们可以这样解释上述配置：我们检查是否存在名为sshd的进程，并且有一个保存其pid的文件存在（/var/run/sshdpid）。如果任何一个

不存在，我们就使用启动脚本重启sshd。我们检查是否有进程在监听22端口，并且使用的是SSH协议。如果没有，我们还是重启sshd。如果在最近的5

个监控周期（5x120秒）至少重启5次了，sshd就被认为是不能用的，我们就不再检查了。

Service Configuration: SMTP Service Monitoring （服务配置：SMTP服务监控）

现在我们来设置一个检查远程SMTP服务器（如192168111102）的监控。假定SMTP服务器运行着SMTP、IMAP、SSH服务。

check host MAIL with address 192168111102 if failed icmp type echo within 10 cycles then alert if failed port 25 protocol smtp then alert else if recovered then exec "/scripts/mail-script" if failed port 22 protocol ssh then alert if failed port 143 protocol imap then alert

我

们检查远程主机是否响应ICMP协议。如果我们在10个周期内没有收到ICMP回应，就发送一条报警。如果监测到25端口上的SMTP协议是异常的，就发

送一条报警。如果在一次监测失败后又监测成功了，就运行一个脚本（/scripts/mail-script）。如果检查22端口上的SSH或者143端

口上的IMAP协议不正常，同样发送报警。

国产软件里，监控易做得不错。

监控易的特色：

手机App做的不错，主打移动运维的概念，国内同类属于App最好的。

简便易用，一个标准安装包，5分钟安装使用。监控易专注于国内企业的IT 软硬件设备监控已经有16年了。一个好处就是国内企业常用的服务器、网络设备、数据库、中间件、虚拟机等都有成熟的解决方案嵌入程序中，用户只需要简单的添加步骤。

功能强大，覆盖网络管理、综合监控、业务管理三大领。对服务器监控来说，不论是分布式还是集中式的服务器配置都可以在一个平台上轻松管理。

业务管理的概念，是指有多个设备实现同一个业务，则可以统一监控其状态、健康度，这就避免了一些不必要的紧急报警，而能筛选出真正影响业务的故障和风险。（因为有些设备是有冗余的，并不会立刻造成问题）。另外，监控易通过阈值，设备所有者等设置，将故障分级别报给相应的人，还有短信、邮件、APP相结合的方式，都让设备的各种状态、风险、故障信息的管理方便、有效。

监控平台分为四大模块：

一、管理服务器模块：

管理服务模块是系统的核心，是整个系统的主服务器，桥接了其他的各个服务模块。主要用于管理系统平台所有的设备和与其它的管理服务器进行通讯和同步。可以实现对远程数字视频设备的机构、人员、设备、任务、报警、日志等的配置、设备巡检和实时访问权限控制等管理。

二、流媒体转发模块：

当多个客户端需要同时查看某监控点的相同画面时，势必会造成在一条通讯网络线路上的数据拥堵，严重浪费网络资源。流媒体服务器支持视音频流的转发，当有多个客户端需要同时访问同一远程画面时，可以通过流媒体服务器进行转发，在转发服务与前端视频通道之间只占用一个通道带宽的网络资源，再由转发服务器将数据分发给多个客户端。

流媒体服务模块分为实时流媒体服务模块和回放流媒体服务模块。实时流媒体服务模块用于对本地的实时视频流进行转发。回放流媒体服务模块用于对本地的回放视频流进行转发。

三、报警主机管理模块：

可对霍尼韦尔、C&K、博世、时刻、等所有能使用Vista和CK键盘的报警主机品牌进行管理。通过串口或网络通讯的方式，将分散在各个地方的独立的报警子系统进行联网，报警管理中心可对任何一个子系统进行报警控制，如：报警布防、撤防、旁路、清除报警、报警输出的打开、关闭等。当任何一个报警子系统有报警发生时，报警管理中心能快速准确的显示出报警的详细信息，如：报警地点、名称、类型、子系统号、防区号等，并会自动根据预先设置的报警预案进行联动操作，如：视频弹出播放、播放指定声音、视频群组播放、视频群组沦陷、联动报警输出、报警布撤防、电视墙切换、联动云台预置位、巡航、发送手机短信、LED屏显示、打印机打印等。

四、客户端模块：

客户端模块是最终呈现在用户面前，供用户操作使用的模块，客户端通过与各个服务组件进行通讯，用于实现电子地图、显示实时视频和回放录像、控制云台镜头动作、控制报警输入输出等监控操作，以及配置电子地图、外部设备及用户权限等管理功能。 [

1

平台集成多个单位视频监控系统需要配流媒体服务器。

如果平台集成多个单位视频监控系统是模拟机做监控，那么需要与视频服务器一起使用才行；如果是网络摄像机的话则不需要。网络视频监控建议使用网络摄像机组建，安装维护方便，便于网络传输，可以实现移动侦测。

媒体服务器的性能：

流媒体服务器和网站服务器一样，要经受多人同时访问，但由于多媒体文件需更强处理能力，负载比其它应用服务器更大，因此对其硬件设备要求也相对提高。所以，流媒体服务器最好满足以下硬件条件。