服务器安全管理都有哪些漏洞
来源:asp之家 发布时间:2009-09-17 13:48:00
企业信息化技术的应用,以不可逆转。随着文件服务器、ERP管理软件等等在企业中生根发芽,应用服务器也逐渐在企业中普及起来。以前在企业中有一台应用服务器已经是了不起的事情,现在有两台、三台的,也不为怪了。
但是,企业应用服务器虽然增加了,可是对这个应用服务器的安全管理,却跟不上。随便到一家企业看看,总是可以看到一些明显的安全管理漏洞。下面笔者就把其中一些典型的漏洞列举出来,就当作抛砖引玉,提醒大家注意服务器的安全管理。
一、所有主机可以Telnet到服务器。
由于服务器往往都放在一个特定的空间中,若对于服务器的任何维护工作,如查看服务器的硬盘空间等等,这些工作都需要到服务器上面去查看的话,很明显不是很方便。我们希望能够在我们平时用的电脑上就可以对服务器进行一些日常的维护,而不用跑到存放服务器的房间中去。
所以,我们对于服务器的大部分维护工作,都可以通过Telnet到服务器上,以命令行的方式进行维护。这无疑为我们服务器的管理提供了一个方便的管理渠道,但是,也给服务器带来了一些隐患。
当非法攻击者利用某些特定的方法知道Telent的用户名与密码之后,就可以在企业任何一台主机上畅通无阻的访问服务器。特别是当一些心怀不满的员工,更容易借此发泄自己对企业的不满。以前我有个朋友在一家软件公司中当CIO,有个员工乘管理员不注意的时候,取得了文件服务器的Telent用户名与密码。后来因为其泄露客户的机密信息而被公司警告处分。这个员工心怀不满,就利用窃取过来的用户名与密码,登陆到文件服务器,删除了很多文件。还好,在文件服务器中采取了比较完善的备份制度,才避免了重大的损失。
所以,Telent技术为我们服务器管理提供了比较方便的手段,但是,其安全风险也不容忽视。一般来说,对于Telent技术,我们需要注意以下几个方面。
一是Telent用户名与密码跟服务器的管理员登陆用户名与密码最好不一样。也就是说,在服务器主机上登陆的用户名与密码,与远程Telent到服务器的管理员用户名与密码要不一样。如此的话,可以把用户名与密码泄露对服务器的危害降到最低。
二是最好能够限制Telent到服务器的用户主机。如我们可以在服务器上进行限制,只允许网络管理员的主机才可以远程Telent到服务器上去。这实现起来也比较简单。若是微软服务器系统的话,可以利用其本身自带的安全策略工具实现。或者可以借助防火墙来限制Telent到服务器上的IP地址或者MAC地址。如此的话,即使用户名或者密码泄露,由于有了IP地址或者MAC地址的限制,则其他人仍然无法登陆到服务器上去。如此的话,就可以最大限度的保障只有合法的人员才可以Telent到服务器上进行日常的维护工作。
三是若平时不用Telent到服务器管理的话,则把这个Telent服务关闭掉。没有必要为攻击者留下一个后门。
二、服务器的上的共享文件家所有用户都有访问权限。
在应用服务器上,我们有时会为了维护的方便,会在上面建立几个共享文件夹。但是,若这些共享文件夹管理不当,也会给应用服务器带来比较大的安全隐患。
如若我们某个共享文件夹设置所有用户都可以无限制的进行访问的话,则会出现一个问题,当网络中若有病毒的话,这些文件夹就很容易被感染。当我们在服务器上不小心打开这些共享文件夹的时候,服务器就会感染病毒,甚至会导致服务器当机。
所以,在服务器上设置共享文件夹的时候需要特别的注意,因为服务器崩溃后,对于企业的信息化应用来说,是致命的。一般情况下,不要在应用服务器上设置共享文件夹。若一定要的话,则也需要遵循如下的安全原则。
一是用好以后需要及时把文件加设置为不共享。当我们因为某种需要建立一个临时的共享文件夹时,当我们用完之后,需要及时把这个共享文件夹删除掉,或者改为不共享。及时清理共享文件夹,使保护共享文件夹安全的不二法则。
二是为共享文件夹设置最小权限。平时在设置共享文件夹的时候,我们可能系习惯了不设置访问权限,所以员工都可以不受限制的访问共享文件夹。但是,若在文件服务器上面设置共享文件夹的时候,一定需要注意,在设置共享的时候,就需要设置访问的用户,最好只有特定的用户才可以访问这个共享文件夹,特别是读写权限需要严格控制。有些人可能会以为我只是暂时共享一下,中间不超过十分钟。可是,若网络中有病毒的话,则会自需要一秒钟的时间就可以感染共享文件夹。故在服务器管理的时候,不能够有这种侥幸心理。
猜你喜欢
- 融资15亿美元(仅次于google当年的17亿),市值257亿美元(当日涨幅192%,几乎等于“百度+腾讯”),市盈率309倍(百度200倍
- 一、链接的统一性搜索引擎排名最主要的因素就是网站内容和链接,假如网站内部链接不一致,在很大程度上直接影响着网站在搜索引擎中的排名。二、合理利
- 新浪科技讯 7月21日傍晚消息,据谷歌中国证实,该公司将在AdSense广告联盟中引入电子支付方式。这是该业务在中国本地化提速的重要一步,谷
- Godaddy主机Linux系统主机帐户的绝对路径是:/home/content/1/2/3/username/html/在路径里, &qu
- 图片采集归类的方法有两种,一种是根据图片的注释,一种是进行图像的人工智能分析。显然这两种方法都不能令人满意。对于第一种,图片的发布者很容易作
- 站长朋友们在使用CMS建站的过程中有时候少不了要做一些供用户填写信息的表单,如果是单独去写程序去实现又显得小提大作,或者也显得麻烦,需要创建
- 服务器不仅仅是企业网络设备的中枢,也是企业软件及数据库应用的主体。在实际运行中服务器经常会出现这样或那样的故障,软件的或者硬件的。很多故障是
- 最近,给单位做一个内部站点,和主站放在一个服务器里。用的都是科讯CMS系统,主站建在根目录,子站点建在子目录,挂在同一个域名下面。也就是在一
- 专门盯住知名企业、名人等域名进行抢注的人,被称为“域名虫”,这个称呼演化为“米虫
- UCenter Home 默认有 8 个分组,如下图所示: 很多会员想修改默认的会员分组,下面我们仔细讲解如何修改好友分组的名称。
- 随着信息化办公的普及,远程访问的需求也水涨船高。一些远程访问工具,也纷纷面世。如电子邮件、FTP、远程桌面等工具为流离在外的企业员工,提供了
- Text Link Ads是什么?Text Link Ads是一家专门提供文字链接交易的平台,用户可以通过它出售和购买文字链接。这里要和大家
- 内容摘要:今天来简单的谈谈如何写软文,可能大家会觉得:软文,不就是写个小作文,后面带上自己的链接吗,但现在越来越重视软文的结果,就是各个站长
- 大型网站优化,是很多seoer喜欢的工作,作为媒体型的大型网站企业,往往有专职的美工程序,专职的编辑团队,经过seoer合理的seo建议,往
- 我是来自创业资讯网的小编,今天我们来讲讲如果勾引蜘蛛, 让蜘蛛为我所用快速更新网站内容和快照,有很多网站在发布后, 百度谷歌的更新速度很慢,
- 打开排行空白的请用最新的包里面的mood_ranking.php文件替换老文件-----DEDECMS简易心情评论插件v2.0 beta1
- 有GoDaddy用户问“从我的旧服务器的域名服务器重新定位前,能在我的新托管帐户上运行脚本吗?”答案是否定的,此时还没有到服务器的真实路径,
- IIS日志分析工具可以考虑使用开源的awstats来分析 下面是我写的安装手记,希望对你能有参考 AWStats在IIS6.0下的安装手记
- 经常听到读计算机专业学生,毕业之后发出感叹:“我在大学什么也没学到,现在计算机的东西都不会!”。就其原因来看,不外乎是其一,学生自身原因。有
- GG AD我觉得很多都是靠运气,好多作弊的人第一个月都可以收到支票,而那些没作弊的站长朋友很多都还没收到PIN都已经被K了,经常在这里看到很