加固服務器防網絡被掛馬
網站安全,服務器和網站程序是關鍵
防止網站被掛馬,從技術層面上講,有兩個方面,一方面是服務器本身的安全,另外一方面是網站程序的安全。對于網站程序本身,可以進行代碼審計。如果沒有足夠的人力和物力,就用黑客工具進行掃面,檢查漏洞,降低程序本身的風險。對于服務器本身,有兩種情況,部分學校的二級網站是托管網絡中心的,就不需要擔心服務器安全的問題,只需踏踏實實地做好網站自身的管理。
對于服務器的安全加固,以Windows2003為例,sql服務器安全加固如下所述:安裝最新的mdac(http://www.microsoft.com/data/download.htm)
密碼策略
由于sql server不能更改sa用戶名稱,也不能刪除這個超級用戶,所以,我們必須對這個帳號進行最強的保護,當然,包括使用一個非常強壯的密碼,最好不要在數據庫應用中使用sa帳號。新建立一個擁有與sa一樣權的超級用戶來管理數據庫。同時養成定期修改密碼的好習慣。數據庫管理員應該定期查看是否有不符合密碼要求的帳號。比如使用下面的sql語句:
- use master
- select name,password from syslogins where password is null
數據庫日志的記錄
核數據庫登錄事件的"失敗和成功",在實例屬性中選擇"安全性",將其中的審核級別選定為全部,這樣在數據庫系統和操作系統日志里面,就詳細記錄了所有帳號的登錄事件。
管理擴展存儲過程
xp_cmdshell是進入操作系統的最佳捷徑,是數據庫留給操作系統的一個大后門。請把它去掉。使用這個sql語句:
- use master
- sp_dropextendedproc ’xp_cmdshell’
注:如果你需要這個存儲過程,請用這個語句也可以恢復過來。
sp_addextendedproc ’xp_cmdshell’, ’xpsql70.dll’
ole自動存儲過程(會造成管理器中的某些特征不能使用),這些過程包括如下(不需要可以全部去掉:
- sp_oacreate sp_oadestroy sp_oageterrorinfo sp_oagetproperty
- sp_oamethod sp_oasetproperty sp_oastop
去掉不需要的注冊表訪問的存儲過程,注冊表存儲過程甚至能夠讀出操作系統管理員的密碼來,如下:
- xp_regaddmultistring xp_regdeletekey xp_regdeletevalue xp_regenumvalues
- xp_regread xp_regremovemultistring xp_regwrite
防tcp/ip端口探測
在實例屬性中選擇tcp/ip協議的屬性。選擇隱藏 sql server 實例。請在上一步配置的基礎上,更改原默認的1433端口。在ipsec過濾拒絕掉1434端口的udp通訊,可以盡可能地隱藏你的sql server。
對網絡連接進行ip限制
使用操作系統自己的ipsec可以實現ip數據包的安全性。請對ip連接進行限制,保證只有自己的ip能夠訪問,拒絕其他ip進行的端口連接。通過以上的配置,禁止了服務器開放不必要的端口,防止服務被植入后門程序,通過配置目錄權限可以防止入侵者拿到welshell后提權,加強了服務器的安全性,避免了對服務器的攻擊和加強了TCP協議棧。
通過iis的配置提高了iis的安全性和穩定性。修改了sql server的默認端口,可以防止惡意用戶對服務器進行掃描嘗試暴力破解sa賬戶提供數據庫的安全性。對服務器實現了整體的安全加固。
安全性提高對于網站來說,還需加強管理,尤其是日志的查看等日常操作。只有通過不間斷的管理,才能及時的發現存在的問題,才能提高服務器的安全。安全沒有絕對的,所有管理員需要不斷地加固服務器。
【編輯推薦】
