web服务器该怎么进行安全设置

系统设置

1、屏蔽不必要的端口。没有特殊的需要,web服务器只需要开个21和80以及3389就足够了。

2、及时更新补丁。而且要打全,否则很容易中木马。

3、关闭危险组件和服务项。

IIS相关设置

1、尽量取消不必要的程序扩展,仅保留asp,php,cgi,pl,aspx应用程序扩展就可以了。扩展越多意味着风险系数越大,能关闭就尽量关闭。

2、数据库要推荐使用mdb后缀,可以在IIS中设置mdb的扩展映射,把映射利用一个毫不相关的dll文件如来禁止被下载。如C:WINNTsystem32inetsrvssincdll。

3、设置好IIS的日志存放目录,调整日志的记录信息。设置成发送文本错误信息。修改403错误页面,将其转向到其他页,这样可以防止一些扫描器的探测。

代码安全

1、少用不明网站的第三方代码,特别是一些不知名的个人或者小团队的公开代码。像DISCUZ这么强大的代码都一直被爆出漏洞,更别说其他的代码了,原因很简单,就是因为这些代码是开放的,可以直接在源代码里面找漏洞。

2、代码放注入。只要有数据库就会有注入,抵御与绕过抵御的方法有很多。总之这个是要靠程序员日积月累的代码功底和安全意识的。

3、防止上传漏洞。除了代码的注入,文件的上传也是个大安全漏洞。所以,可以减少上传数量,提高严重强度,以及验证的时候要固定后缀和类型。

1如何关闭Windows 2000下的445端口？

   修改注册表，添加一个键值

Hive: HKEY_LOCAL_MACHINE

Key: System/Controlset/Services/NetBT/Parameters

Name: SMBDeviceEnabled

Type: REG_DWORD

value: 0

修改完后重启机器，运行“netstat -an”，你将会发现你的445端口已经不再Listening了。

2如何使用IPSec保护我的网络通信？

   IPSec 术语

   在执行以下指导步骤之前，确保您知道以下术语的含义：

   身份验证：确定计算机的身份是否合法的过程。Windows 2000 IPSec 支持三种身份验证：Kerberos、证书和预共享密钥。只有当两个终结点（计算机）都位于同一个 Windows 2000 域时，Kerberos 身份验证才有效。这种类型的身份验证是首选方法。如果计算机位于不同的域中，或者至少有一台计算机不在某个域中，则必须使用证书或预共享密钥。只有当每个终结点中包含一个由另一个终结点信任的颁发机构签署的证书时，证书才有效。预共享密钥与密码有着相同的问题。它们不会在很长的时间段内保持机密性。如果终结点不在同一个域中，并且无法获得证书，则预共享密钥是唯一的身份验证选择。

加密：使准备在两个终结点之间传输的数据难以辨认的过程。通过使用充分测试的算法，每个终结点都创建和交换密钥。该过程确保只有这些终结点知道密钥，而且如果任何密钥交换序列被拦截，拦截者不会得到任何有价值的内容。

筛选器：对 Internet 协议 (IP) 地址和协议的描述，可触发 IPSec 安全关联的建立。

筛选器操作：安全要求，可在通信与筛选器列表中的筛选器相匹配时启用。

筛选器列表：筛选器的集合。

Internet 协议安全策略：规则集合，描述计算机之间的通讯是如何得到保护的。

规则：筛选器列表和筛选器操作之间的链接。当通信与筛选器列表匹配时，可触发相应的筛选器操作。IPSec 策略可包含多个规则。

安全关联：终结点为建立安全会话而协商的身份验证与加密方法的集合。

在 Microsoft 管理控制台中查找 IPSec

   通过使用 Microsoft 管理控制台 (MMC) 配置 IPSec。Windows 2000 在安装过程中创建一个带有 IPSec 管理单元的 MMC。若要查找 IPSec，请单击开始，指向程序，单击管理工具，然后单击本地安全策略。在打开的 MMC 中的左窗格中，单击本地计算机上的 IP 安全策略。MMC 将在右窗格中显示现有的默认策略。

更改 IP 地址、计算机名和用户名

   为了此示例的目的，假设 Alice 是一个计算机用户，该计算机名为"Alicepc"、IP 地址为 1721698231，Bob 的计算机名为"Bobslap"，IP 地址为 1723167244。他们使用 Abczz 程序连接他们的计算机。

通过使用 Abczz 程序互相连接时，Alice 和 Bob 必须确保通信是被加密的。当 Abczz 建立其连接时，启动程序使用其本身上的随机高端口并连接（出于本示例中的目的）到 6667/TCP 或 6668/TCP 端口上的目标（其中，TCP 是"传输控制协议"的缩写）。通常，这些端口用作 Internet 多线交谈 (IRC)。因为 Alice 或 Bob 均可发起连接，所以该策略必须存在于两端。

创建筛选器列表

   通过在 MMC 控制台中右键单击 IP 安全策略，可访问用于创建 IPSec 策略的菜单。第一个菜单项是"创建 IP 安全策略"。尽管此菜单似乎是要开始的位置，但却不应从此位置开始。在可创建策略及其相关规则之前，您需要定义筛选器列表和筛选器操作，它们是任何 IPSec 策略的必需组件。单击管理 IP 筛选器表和筛选器操作开始工作。

将显示带有两个选项卡的对话框：一个用于筛选器列表，另一个用于筛选器操作。首先，打开管理 IP 筛选器列表选项卡。已经有两个预先定义的筛选器列表，您不会使用它们。相反，您可以创建一个特定的筛选器列表，使其与要连接到的其他计算机对应。

假设您在 Alice 的计算机上创建策略：

   单击添加创建新的筛选器列表。将该列表命名为"Abczz to Bob's PC"。

单击添加添加新筛选器。将启动一个向导。

单击我的 IP 地址作为源地址。

单击一个特定的 IP 地址作为目标地址，然后输入 Bob 的计算机的 IP 地址 (1723167244)。或者，如果 Bob 的计算机已在域名系统 (DNS) 或 Windows Internet 名称服务 (WINS) 中注册，则可选择特定的 DNS 名，然后输入 Bob 的计算机名，Bobslap。

Abczz 使用 TCP 进行通讯，因此单击 TCP 作为协议类型。

对于 IP 协议端口，单击从任意端口。单击到此端口，键入：6667，然后单击完成完成该向导。

重复上述步骤，但这次键入：6668作为端口号，然后单击关闭。

您的筛选器列表中包含两个筛选器：一个在端口 6667 （属于 Bob）上用于从 Alice 到 Bob 的通讯，另一个在端口 6668 （属于 Bob）上。（Bob 在自己的计算机上设置了 6667 和 6668 两个端口：一个端口用于传出的通讯，另一个用于传入的通讯。）这些筛选器是镜像的，每次创建 IPSec 筛选器时通常都需要如此。对于已镜像的每个筛选器，该列表可包含（但不显示）与其正好相反的筛选器（即目标和源地址与其相反的筛选器）。如果没有镜像筛选器，IPSec 通讯通常不成功。

创建筛选器操作

   您已经定义了必须受到保护的通信的种类。现在，您必须指定安全机制。单击管理筛选器操作选项卡。列出三个默认操作。不要使用要求安全操作，您必须创建一个更严格的新操作。

若要创建新操作，请：

   单击添加创建新筛选器操作。启动一个向导。将该操作命名为"Encrypt Abczz"。

对于常规选项，单击协商安全，然后单击不和不支持 IPsec 的计算机通讯。

单击 IP 通信安全性为高选项，然后单击完成以关闭该向导。

双击新的筛选器操作（前面命名的"Encrypt Abczz"）。

单击清除接受不安全的通讯，但总是用 IPSec 响应复选框。这一步骤确保计算机在发送 Abczz 数据包之前必须协商 IPSec。

单击会话密钥完全向前保密以确保不重新使用密钥资料，单击确定，然后单击关闭。

创建 IPSec 策略

   您已经获得了策略元素。现在，您可以创建策略本身了。右键单击 MMC 的右窗格，然后单击创建 IP 安全策略。当向导启动时：

   将该策略命名为"Alice's IPSec"。

单击清除激活默认响应规则复选框。

单击编辑属性（如果未选中的话），然后完成该向导。该策略的属性对话框将打开。

为使 IPSec 策略有效，它必须至少包含一个将筛选器列表链接到筛选器操作的规则。

若要在属性对话框中指定规则，请：

   单击添加以创建新规则。启动向导后，单击此规则不指定隧道。

单击局域网 (LAN) 作为网络类型。

如果 Alice 和 Bob 的计算机位于同一个 Windows 2000 域中，单击 Windows 2000 默认值（Kerberos V5 协议）作为身份验证方法。如果不在一个域中，则单击使用此字串来保护密钥交换(预共享密钥)，然后输入字符串（使用您可记住的长字符串，不要有任何键入错误）。

选择前面创建的筛选器列表。在此示例中，该筛选器列表为"Abczz to Bob's PC"。然后，选择前面创建的筛选器操作。在此示例中，该筛选器操作为"Encrypt Abczz"。

完成该向导，然后单击关闭。

配置其他终结点

   在 Bob 的计算机上重复上述应用于 Alice 的计算机的所有步骤。显然要进行一些必要的更改，例如，"Abczz to Bob's PC"必须更改为"Abczz to Alice's PC"。

指派策略

   您已经在两个端点上定义了策略。现在，必须指派它们：

   在本地安全设置 MMC 中，右键单击策略（在此示例中为 Abczz ）。

单击指派。

一次只能指派一个 IPSec 策略，但是一个策略可根据需要拥有多个规则。例如，如果 Alice 还需要通过使用不同的协议保护与 Eve 的通讯，则您必须创建相应的筛选器列表和操作，并向 IPSec （属于 Alice）添加一个规则，以便将特定的筛选器列表和筛选器操作链接起来。单击为此规则使用不同的共享密钥。Alice 的策略现在有两个规则：一个用于与 Bob 进行 Abczz 通讯，另一个用于与 Eve 进行通讯。因为 Bob 和 Eve 无需安全地互相通讯，所以 Bob 的策略中未添加任何规则，Eve 的策略中包含一个用于与 Alice 进行通讯的规则。

疑难解答

   使用 IPSecMon 测试策略

   Windows 2000 包括一个实用程序 (IPSecMonexe)，它可用于测试 IPSec 安全关联是否已成功建立。若要启动 IPSecMon，请：

   单击开始，然后单击运行。

键入：ipsecmon，然后按 ENTER 键。

单击选项。

将刷新间隔更改为 1。

必须在不同终结点之间建立通讯。可能会有一个延迟，这是由于终结点需要几秒钟时间来交换加密信息并完成安全关联。可在 IPSecMon 中观察此行为。当这两个终结点都建立了它们的安全关联，可在 IPSecMon 中观察到显示此行为的条目。

如果期望的安全协商没有建立，则返回并检查每个终结点上的筛选器列表。在您方便地将源地址和目标地址或端口反向时，确保已经收到所使用协议的正确定义。您可能要考虑创建一个指定所有通信的新筛选器列表。同样，可向使用此筛选器列表的策略添加一个新规则，然后禁用现有的规则。在两个终结点上执行这些步骤。然后，可使用 ping 命令测试连接性。ping 命令在安全关联阶段可显示"Negotiating IP security"（正在协商 IP 安全），然后显示建立安全关联之后的正常结果。

NAT 与 IPSec 不兼容

   如果在两个终结点之间有任何网络地址转换 (NAT)，则 IPSec 不起作用。IPSec 将终结点地址作为有效负载的一部分嵌入。在将数据包发送到电缆上之前进行数据包校验和计算时，IPSec 也使用源地址。NAT 可更改出站数据包的源地址，目标在计算自己的校验和时使用头中的地址。如果数据包中携带的用初始来源计算的校验和与用目标计算的校验和不符，则目标可丢弃这些数据包。不能将 IPSec 用于任何类型的 NAT 设备。

参考

   有关 Windows 2000 中 IPSec 的白皮书和详细的技术信息，请参阅以下 Microsoft Web 站点：

   http://wwwmicrosoftcom/windows2000/technologies/security/defaultasp

3如何更改Terminal Server的端口

   该修改需要在服务器端和客户端同时修改，如果不知道该服务器的端口号，客户端将无法连接服务器。

服务器端的修改：

Key: HKLM/SYSTEM/CurrentControlSet/Control/Terminal Server/Wds/rdpwd/Tds/tcp

Name: PortNumber

Type: DWORD

Valus:任意值

Key: HKLME/SYSTEM/CurrentControlSet/Control/Terminal Server/WinStations/RDP-Tcp

Name: PortNumber

Type: DWORD

value:和上面值一致

注：需重启后生效。

然后我们修改客户端，打开Terminal Server Client的客户端管理器，导出连接文件（后缀名为cns），用记事本打开该cns文件，搜索"Server Port"，修改该值，与服务器保持一致即可（注意进制的转换）。最后导入该cns文件至Terminal Server的客户端管理器。

4如何禁止Guest访问事件日志？

   在默认安装的Windows NT和Windows 2000中，Guest帐号和匿名用户可以查看系统的事件日志，可能导致许多重要信息的泄漏，建议修改注册表来禁止Guest访问事件日志。

应用日志：

Key: HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Eventlog/Application

Name: RestrictGuestAccess

Type: DWORD

value: 1

系统日志：

Key: HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Eventlog/System

Name: RestrictGuestAccess

Type: DWORD

value: 1

安全日志：

Key: HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Eventlog/Security

Name: RestrictGuestAccess

Type: DWORD

value: 1

5如何删除管理共享(C$,D$)？

   我们可以用Net Share命令来删除，但是机器重启后这个共享会自动出现，这时，我们可以修改注册表。

对于服务器而言：

Key: HKLM/SYSTEM/CurrentControlSet/Services/lanmanserver/parameters

Name: AutoShareServer

Type: DWORD

value: 0

对于工作站而言：

Key: HKLM/SYSTEM/CurrentControlSet/Services/lanmanserver/parameters

Name: AutoShareWks

Type: DWORD

value: 0

修改注册表后需要重启Server服务或重新启动机器。

注：这些键值在默认情况下在主机上是不存在的，需要自己手动添加。

6如何禁止恶意用户使用FileSystemObject？

   常见的有3种方法：

1、修改注册表，将FileSystemObject改成一个任意的名字，只有知道该名字的用户才可以创建该对象，

[HKEY_LOCAL_MACHINE/SOFTWARE/Classes/CLSID/{0D43FE01-F093-11CF-8940-00A0C9054228}/ProgID]

   @="ScriptingFileSystemObject"

2、运行Regsvr32 scrrundll /u，所有用户无法创建FileSystemObject。

3、运行cacls %systemroot%/system32/scrrundll /d guests，匿名用户（包括IUSR_Machinename用户）无法使用FileSystemObject，我们可以对ASP文件或者脚本文件设置NTFS权限，通过验证的非Guests组用户可以使用FileSystemObject。

7如何禁止显示上次登陆的用户名？

   我们可以通过修改注册表来实现：

Key: HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Winlogon

Name: DontDisplayLastUserName

Type: REG_DWORD

value: 1

8如何禁止匿名用户连接你的IPC$共享？

   我们可以通过修改注册表来实现

Key:HKLM/SYSTEM/CurrentControlSet/Control/Lsa

Name: RestrictAnonymous

Type: REG_DWORD

value: 1 | 2

说明：把该值设为1时，匿名用户无法列举主机用户列表；

把该值设为2时，匿名用户无法连接你的IPS$共享，不建议使用2，否则可能会造成你的一些服务无法启动，如SQL Server

DDOS防护功能是服务器安全狗中一个非常重要的功能，提醒用户要做好安全设置工作。下面我们一起来看看，DDOS防护功能如何设置，才能达到最佳的防护效果。

软件下载：服务器安全狗 v40 http://www/softs/35203html

说明：这次我们使用2台服务器进行测试，IP分别是19216873128和19216873129（这里我们用虚拟机进行模拟）。由19216873129对另外一台发起SYN Flood攻击。

Flood是当前最流行的DoS（拒绝服务攻击）与DDoS（分布式拒绝服务攻击）的方式之一，这是一种利用TCP协议缺陷，发送大量伪造的TCP连接请求，从而使得被攻击方资源耗尽（CPU满负荷或内存不足）的攻击方式。其中19216873128装了服务器安全狗。过程这里就不做说明了，我们可以从服务器安全狗的防护日志上看到攻击的信息。

当攻击开始的时候，我们可以看到屏幕右下脚的服务器安全狗标志在闪红预警，这说明你的服务器正在遭受攻击。这时候你就可以到服务器安全狗的防护日志里查看日志，如下图：

图1防护日志

这说明，我们的服务器安全狗已经起作用了，拦截了对方的DDOS攻击。而起拦截作用的就是服务器安全狗网络防火墙模块中的DDOS防火墙。接下来我们来进行详细的了解下DDOS攻击防护能力及其设置：

图2DDOS防火墙

用户可以通过单击操作界面右上方的“已开启”/“已关闭”按钮来开启/关闭DDOS防火墙功能。建议用户安装完服务器安全狗之后，立即开启DDOS防火墙。只有DDOS防火墙开启，才能实现防御DDOS攻击的功能，如下图所示：

图3DDOS防火墙开启

参数设置：DDOS防火墙各项参数，全部是针对单个IP的设置。所有参数都是根据实验测试得出的最佳值，所以一般情况下建议用户直接使用系统默认设置。同时，在使用过程中，用户也可以根据实际攻击情况随时修改各项参数值，如图所示：

图4DDOS防火墙参数设置

在这里我们来详细介绍下这些参数。

“IP冻结时间”用以设置被安全狗判断为攻击的IP将会被禁止访问的时间长度，时间单位为分钟，取值需为大于1的整数，用户可以视攻击情况修改限制访问的时间长度，如下图所示：

图5IP冻结时间设置

“SYN攻击”设置单位时间内单个IP的TCP连接请求响应次数，此功能用于SYN攻击防护，时间单位为秒钟，取值需为大于1的整数，一般使用默认的参数500，如果攻击情况比较严重，可以适当调低连接请求参数，那什么是TCP呢？这个就要涉及到TCP/IP协议了。

TCP/IP(Transmission Control Protocol/Internet Protocol) 即传输控制协议/网间协议,是一个工业标准的协议集,它是为广域网(WAN)设计的。

那什么又是TCP连接请求呢？具体大家可以 到网络上找到大量的比较正式的解释，这里我们先稍微介绍下。举个例子，比如你要去朋友家玩，这个朋友是新认识的，所以你不知道他家地址，那你就需要问他家的地址，然后你找个时间去找他。这里“TCP连接”代表“你和朋友面对面接触并商量好”的这个过程，而“朋友给你的地址”就代表了IP地址。那就如我们设置的10秒响应TCP连接请求数500，就代表了你10秒内要向这个朋友问他的地址500次（当然这个只是比喻现实不太可能实现），这样就造成了很大的负载，导致计算机可能负载很大就无法正常运行了。比喻可能比较通俗也不是非常的准确，但最少可以让大家知道是这么个意思。具体设置如下图：

图6单个IP单位时间相应连接请求设置

扫描攻击指的是通过一些软件对服务器的端口或者漏洞进行扫描然后入侵计算机。“扫描攻击”主要是设置单位时间内的服务器请求响应次数，时间单位为秒钟，取值需为大于1的整数，一般使用默认的参数500，如果攻击情况比较严重，可以适当调低响应请求次数，具体设置如下图：

图7扫描攻击参数设置

“流量攻击”设置单位时间内服务器最多接收单个IP发送的TCP/UDP包次数，时间单位为秒钟，取值需为大于1的整数，一般使用默认的参数500，如果攻击情况比较严重，可以适当调低响应请求次数，这种攻击消耗网络带宽或使用大量数据包淹没一个或多个路由器、服务器和防火墙；带宽攻击的普遍形式是大量表面看合法的TCP、UDP或ICMP数据包被传送到特定目的地，我们通过安全狗设置当这些数据包达到一定数的时候进行防御。设置如下图：

图8流量攻击参数设置

当全部都设置完成之后，点击“保存”，这样就完成了设置。具体如下图：

图9设置成功

DDOS攻击防护很重要，用户朋友们一定要认真设置，以达到最佳的防护效果。

服务器要保证数据安全，首先要勤打补丁，windows系统是通过高手的不断应用发现漏洞的，补丁就是补漏洞；其次要安装正规的杀毒软件，一定要服务器版的杀毒软件并保证杀毒软件病毒库样本更新到最新，这样一般的渗入网络攻击就可以防范，第三，根绝服务器的用途，封锁一些不常用的端口，使外部攻击无门可入；第四，安装网络看门狗，监控一些常用的端口，设置一些安全的策略；最主要的一点是第五要加强服务器用户的培训教育，防范内鬼，我们知道，防火墙是防范外部的攻击，防水墙才是防范内鬼的。完善服务器日志，加强对服务器资源的审计。服务器安全是一项长期的工作，不可能是一劳永逸的。

如何配置网络服务器安全

1、安装补丁程序任何操作系统都有漏洞，作为网络系统管理员就有责任及时地将“补丁”打上。大部分中小企业服务器使用的是微软的 Windows2000/2003操作系统，因为使用的人特别多，所以发现的Bug也比较多，同时，蓄意攻击它们的人也很多。微软公司为了弥补操作系统的 安全漏洞，在其网站上提供了许多补丁，可以到网上下载并安装相关升级包。对于Windows2003，至少要升级到SP1，对于Windows2000， 至少要升级至ServicePack2。

2、安装和设置防火墙现在有许多基于硬件或软件的防火墙，如华为、神州数码、联想、瑞星等厂商的 产品。对于企业内部网来说，安装防火墙是非常必要的。防火墙对于非法访问具有很好的预防作用，但是并不是安装了防火墙之后就万事大吉了，而是需要进行适当 的设置才能起作用。如果对防火墙的设置不了解，需要请技术支持人员协助设置。

3、安装网络杀毒软件现在网络上的病毒非常猖獗，这就需要在网络服务器上安装网络版的杀毒软件来控制病毒的传播，目前，大多数反病毒厂商(如瑞星、冠群金辰、趋势、赛门铁克、熊猫等)都已经推出了网络版的杀毒软件。同时，在网络版的杀毒软件使用中，必须要定期或及时升级杀毒软件。

4、账号和密码保护账号和密码保护可以说是系统的第一道防线，目前网上的大部分对系统的攻击都是从截获或猜测密码开始的。一旦黑客进入了系统，那么前面的防卫措施几乎就没有作用，所以对服务器系统管理员的账号和密码进行管理是保证系统安全非常重要的措施。

5、监测系统日志通过运行系统日志程序，系统会记录下所有用户使用系统的情形，包括最近登录时间、使用的账号、进行的活动等。日志程序会定期生成报表，通过对报表进行分析，你可以知道是否有异常现象。

6、关闭不需要的服务和端口　　服务器操作系统在安装的时候，会启动一些不需要的服务，这样会占用系统的资源，而且也增加了系统的安全隐患。对于假期期间完全不用的服务器，可以完全关闭;对于假期期间要使用的服务器，应关闭不需要的服务，如Telnet等。另外，还要关掉没有必要开的TCP端口。

7、定期对服务器进行备份为防止不能预料的系统故障或用户不小心的非法操作，必须对系统进行安全备份。除了对全系统进行每月一次的备份外，还应对修改过的数据进行每周一次的备份。

形，包括最近登录时间、使用的账号、进行的活动等。日志程序会定期生成报表，通过对报表进行分析，你可以知道是否有异常现象。

6、关闭不需要的服务和端口　　服务器操作系统在安装的时候，会启动一些不需要的服务，这样会占用系统的资源，而且也增加了系统的安全隐患。对于假期期间完全不用的服务器，可以完全关闭;对于假期期间要使用的服务器，应关闭不需要的服务，如Telnet等。另外，还要关掉没有必要开的TCP端口。

7、定期对服务器进行备份为防止不能预料的系统故障或用户不小心的非法操作，必须对系统进行安全备份。除了对全系统进行每月一次的备份外，还应对修改过的数据进行每周一次的备份。

1安装和配置一个防火墙

一个配置适当的防火墙不仅是系统有效应对外部攻击的第一道防线，也是最重要的一道防线。在新系统第一次连接上Internet之前，防火墙就应该被安装并且配置好。防火墙配置成拒绝接收所有数据包，然后再打开允许接收的数据包，将有利于系统的安全。Linux为我们提供了一个非常优秀的防火墙工具，它就是netfilter/iptables。它完全是免费的，并且可以在一台低配置的老机器上很好地运行。防火墙的具体设置方法请参见iptables使用方法。

2、关闭无用的服务和端口

任何网络连接都是通过开放的应用端口来实现的。如果我们尽可能少地开放端口，就使网络攻击变成无源之水，从而大大减少了攻击者成功的机会。把Linux作为专用服务器是个明智的举措。例如，希望Linux成为的Web服务器，可以取消系统内所有非必要的服务，只开启必要服务。这样做可以尽量减少后门，降低隐患，而且可以合理分配系统资源，提高整机性能。以下是几个不常用的服务：

① fingerd（finger服务器）报告指定用户的个人信息，包括用户名、真实姓名、shell、目录和****，它将使系统暴露在不受欢迎的情报收集活动下，应避免启动此服务。

② R服务（rshd、rlogin、rwhod、rexec）提供各种级别的命令，它们可以在远程主机上运行或与远程主机交互，在封闭的网络环境中登录而不再要求输入用户名和口令，相当方便。然而在公共服务器上就会暴露问题，导致安全威胁。

3、删除不用的软件包

在进行系统规划时，总的原则是将不需要的服务一律去掉。默认的Linux就是一个强大的系统，运行了很多的服务。但有许多服务是不需要的，很容易引起安全风险。这个文件就是/etc/xinetdconf，它制定了/usr/sbin/xinetd将要监听的服务，你可能只需要其中的一个：ftp，其它的类如telnet、shell、login、exec、talk、ntalk、imap、finger、auth等，除非你真的想用它，否则统统关闭。

4、不设置缺省路由

在主机中，应该严格禁止设置缺省路由，即default route。建议为每一个子网或网段设置一个路由，否则其它机器就可能通过一定方式访问该主机。

5、口令管理

口令的长度一般不要少于8个字符，口令的组成应以无规则的大小写字母、数字和符号相结合，严格避免用英语单词或词组等设置口令，而且各用户的口令应该养成定期更换的习惯。另外，口令的保护还涉及到对/etc/passwd和/etc/shadow文件的保护，必须做到只有系统管理员才能访问这2个文件。安装一个口令过滤工具加npasswd，能帮你检查你的口令是否耐得住攻击。如果你以前没有安装此类的工具，建议你现在马上安装。如果你是系统管理员，你的系统中又没有安装口令过滤工具，请你马上检查所有用户的口令是否能被穷尽搜索到，即对你的／ect／passwd文件实施穷尽搜索攻击。用单词作密码是根本架不住暴力攻击的。黑客们经常用一些常用字来破解密码。曾经有一位美国黑客表示，只要用“password”这个字，就可以打开全美多数的计算机。其它常用的单词还有：account、ald、alpha、beta、computer、dead、demo、dollar、games、bod、hello、help、intro、kill、love、no、ok、okay、please、sex、secret、superuser、system、test、work、yes等。

密码设置和原则：

a足够长，指头只要多动一下为密码加一位，就可以让攻击者的辛苦增加十倍;

b 不要用完整的单词，尽可能包括数字、标点符号和特殊字符等;

c混用大小写字符;

d经常修改。

6、分区管理

一个潜在的攻击，它首先就会尝试缓冲区溢出。在过去的几年中，以缓冲区溢出为类型的安全漏洞是最为常见的一种形式了。更为严重的是，缓冲区溢出漏洞占了远程网络攻击的绝大多数，这种攻击可以轻易使得一个匿名的Internet用户有机会获得一台主机的部分或全部的控制权！。

为了防止此类攻击，我们从安装系统时就应该注意。如果用root分区记录数据，如log文件，就可能因为拒绝服务产生大量日志或垃圾邮件，从而导致系统崩溃。所以建议为/var开辟单独的分区，用来存放日志和邮件，以避免root分区被溢出。最好为特殊的应用程序单独开一个分区，特别是可以产生大量日志的程序，还建议为/home单独分一个区，这样他们就不能填满/分区了，从而就避免了部分针对Linux分区溢出的恶意攻击。

很多Linux桌面用户往往是使用Windows、Linux双系统。最好使用双硬盘。方法如下：首先将主硬盘的数据线拆下，找一个10GB左右的硬盘挂在计算机上，将小硬盘设置为从盘，按照平常的操作安装Linux服务器版本，除了启动的引导程序放在MBR外，其它没有区别。 安装完成，调试出桌面后，关闭计算机。将小硬盘的数据线拆下，装上原硬盘，并设定为主盘（这是为了原硬盘和小硬盘同时挂接在一个数据线上），然后安装Windows软件。将两个硬盘都挂在数据线上，数据线是IDE 0接口，将原硬盘设定为主盘，小硬盘设定为从盘。如果要从原硬盘启动，就在CMOS里将启动的顺序设定为“C、D、CDROM”，或者是“IDE0(HDD-0)”。这样计算机启动的时候，进入Windows界面。如果要从小硬盘启动，就将启动顺序改为“D、C、CDROM”，或者是“IDE1(HDD-1)”，启动之后，将进入Linux界面。平时两个操作系统是互相不能够访问的。

7、防范网络嗅探：

嗅探器技术被广泛应用于网络维护和管理方面，它工作的时候就像一部被动声纳，默默的接收看来自网络的各种信息，通过对这些数据的分析，网络管理员可以深入了解网络当前的运行状况，以便找出网络中的漏洞。在网络安全日益被注意的今天我们不但要正确使用嗅探器还要合理防范嗅探器的危害嗅探器能够造成很大的安全危害，主要是因为它们不容易被发现。对于一个安全性能要求很严格的企业，同时使用安全的拓扑结构、会话加密、使用静态的ARP地址是有必要的。

8、完整的日志管理

日志文件时刻为你记录着你的系统的运行情况。当黑客光临时，也不能逃脱日志的法眼。所以黑客往往在攻击时修改日志文件，来隐藏踪迹。因此我们要限制对／var／log文件的访问，禁止一般权限的用户去查看日志文件。

另外要使用日志服务器。将客户机的日志信息保存副本是好主意，创建一台服务器专门存放日志文件，可以通过检查日志来发现问题。修改/etc/sysconfig/syslog文件加入接受远程日志记录。

/etc/sysconfig/syslog SYSLOGD_OPTIONS="-m r 0"

还应该设定日志远程保存。修改/etc/syslogconf文件加入日志服务器的设置，syslog将保存副本在日志服务器上。

/etc/syslogconf @log_server_IP

可以使用彩色日志过滤器。彩色日志loco过滤器，目前版本是032。使用loco /var/log/messages | more可以显示出彩色的日志，明显标记出root的位置和日志中异常的命令。这样可以减少分析日志时人为遗漏。还要进行日志的定期检查。Red Hat Linux中提供了logwatch工具，定期自动检查日志并发送邮件到管理员信箱。需要修改/etc/logd/conf/ logwatchconf文件，在MailTo = root参数后增加管理员的邮件地址。Logwatch会定期检查日志，过滤有关使用root、sudo、telnet、ftp登录等信息，协助管理员分析日常安全。完整的日志管理要包括网络数据的正确性、有效性、合法性。对日志文件的分析还可以预防入侵。例如、某一个用户几小时内的20次的注册失败记录，很可能是入侵者正在尝试该用户的口令。

9、终止正进行的攻击

假如你在检查日志文件时，发现了一个用户从你未知的主机登录，而且你确定此用户在这台主机上没有账号，此时你可能正被攻击。首先你要马上锁住此账号(在口令文件或shadow文件中，此用户的口令前加一个Ib或其他的字符)。若攻击者已经连接到系统，你应马上断开主机与网络的物理连接。如有可能，你还要进一步查看此用户的历史记录，查看其他用户是否也被假冒，攻击音是否拥有根权限。杀掉此用户的所有进程并把此主机的ip地址掩码加到文件hostsdeny中。

10、使用安全工具软件：

Linux已经有一些工具可以保障服务器的安全。如bastille linux和Selinux。 bastille linux对于不熟悉 linux 安全设定的使用者来说，是一套相当方便的软件，bastille linux 目的是希望在已经存在的 linux 系统上，建构出一个安全性的环境。增强安全性的Linux（SELinux）是美国安全部的一个研发项目，它的目的在于增强开发代码的Linux内核，以提供更强的保护措施，防止一些关于安全方面的应用程序走弯路，减轻恶意软件带来的灾难。普通的Linux系统的安全性是依赖内核的，这个依赖是通过setuid/setgid产生的。在传统的安全机制下，暴露了一些应用授权问题、配置问题或进程运行造成整个系统的安全问题。这些问题在现在的操作系统中都存在，这是由于他们的复杂性和与其它程序的互用性造成的。SELinux只单单依赖于系统的内核和安全配置政策。一旦你正确配置了系统，不正常的应用程序配置或错误将只返回错误给用户的程序和它的系统后台程序。其它用户程序的安全性和他们的后台程序仍然可以正常运行，并保持着它们的安全系统结构。用简单一点的话说就是：没有任何的程序配置错误可以造成整个系统的崩溃。安装SELinux SELinux的内核、工具、程序/工具包，还有文档都可以到增强安全性的Linux网站上上下载你必须有一个已经存在的Linux系统来编译你的新内核，这样才能访问没有更改的系统补丁包。

11使用保留IP地址

维护网络安全性最简单的方法是保证网络中的主机不同外界接触。最基本的方法是与公共网络隔离。然而，这种通过隔离达到的安全性策略在许多情况下是不能接受的。这时，使用保留IP地址是一种简单可行的方法，它可以让用户访问Internet同时保证一定的安全性。- RFC 1918规定了能够用于本地 TCP/IP网络使用的IP地址范围，这些IP地址不会在Internet上路由，因此不必注册这些地址。通过在该范围分配IP地址，可以有效地将网络流量限制在本地网络内。这是一种拒绝外部计算机访问而允许内部计算机互联的快速有效的方法。 保留IP地址范围:

---- 1000 0 - 10255255255

---- 1721600 - 17231255255

--- 19216800 - 192168255255。

来自保留IP地址的网络交通不会经过Internet路由器，因此被赋予保留IP地址的任何计算机不能从外部网络访问。但是，这种方法同时也不允许用户访问外部网络。IP伪装可以解决这一问题。

12、合理选择Linux发行版本：

对于服务器使用的Linux版本，既不使用最新的发行版本，也不选择太老的版本。应当使用比较成熟的版本：前一个产品的最后发行版本如RHEL 30等。毕竟对于服务器来说安全稳定是第一的。

13、部署Linux防范病毒软件

Linux操作系统一直被认为是Windows系统的劲敌，因为它不仅安全、稳定、成本低，而且很少发现有病毒传播。但是，随着越来越多的服务器、工作站和个人电脑使用Linux软件，电脑病毒制造者也开始攻击这一系统。对于Linux系统无论是服务器，还是工作站的安全性和权限控制都是比较强大的，这主要得力于其优秀的技术设计，不仅使它的作业系统难以宕机，而且也使其难以被滥用。Unix经过20多年的发展和完善，已经变得非常坚固，而Linux基本上继承了它的优点。在Linux里，如果不是超级用户，那么恶意感染系统文件的程序将很难得逞。速客一号(Slammer)、冲击波(Blast)、霸王虫(Sobig)、 米虫(Mimail)、劳拉（Win32Xorala）病毒等恶性程序虽然不会损坏Linux服务器，但是却会传播给访问它的Windows系统平台的计算机。