淺談服務器安全維護的幾個技巧

【摘 要】筆者通過對工作經驗的總結，詳細介紹了防護服務器安全的7個技巧，以供同行參考。

【關鍵詞】服務器；安全維護；技巧

服務器經常有一些不能隨意公開的重要數據，尤其是我們氣象部門的服務器，它保存的數據是預報員作出及時而準確的天氣預報的重要工具，也是旗縣氣象局共享氣象數據的基礎。而在當今這個網絡飛速發展的時代，服務器遭受的風險往往也特別大，越來越多的病毒、心懷不軌的黑客和一些商業間諜都將服務器當做目標，因此，維護服務器的安全刻不容緩。下面是我總結的幾個簡單的維護服務器安全的技巧。

1 從基本做起

從基本做起是最保險的方式。必須將服務器上含有機密數據的區域通通轉換成NTFS格式；同時，防毒程序也必須按時更新，建議同時在服務器和桌面電腦上安裝防毒軟件，這些軟件還應該設定成每天自動下載最新的病毒定義文件。另外，Exchange Server（郵件服務器）也應該安裝防毒軟件，這類軟件可掃描所有寄進來的電子郵件，尋找被病毒感染的附件，若發現病毒，郵件就會馬上被隔離，減低了使用者被感染的機會。

另一個保護網絡的好方法是依上班時間來限定使用者登錄網絡的權限。例如，上白天班的職工不該有權限在三更半夜登錄網絡。

最后，存取網絡上的任何數據皆須通過密碼登錄。強迫大家在設定密碼時必須混用大小寫字母、數字和特殊字符。此外，還應該定期更新密碼且密碼長度不得少于8個字符。若還是擔心密碼不安全，可嘗試從網絡上下載一些黑客工具，然后測試一下這些密碼的安全度。

2 保護備份

大多數人都沒有意識到備份本身就是一個巨大的安全漏洞。試想，大多數的備份工作多在晚上10點或11點開始，依數據多寡，備份完成后大概也是夜半時分了，很容易被有心人士趁機偷走備份磁盤而導致數據泄露。為防止這種情況發生，首先，可利用密碼保護你的磁盤，若備份程序支持加密功能，還可以將數據進行加密；其次，將備份完成的時間定在早上進辦公室的時間，即使有人半夜想溜進來偷走磁盤也無法讀取那些損毀的數據。

3 使用RAS的回撥功能

Windows NT最酷的功能之一就是支持服務器遠端存取（RAS），但這也是它的一個弱點，黑客可以很容易的通過RAS進入主機讀取數據。不過你可以采取一些方法來保護RAS服務器的安全。

你所采用的技術主要端賴于遠端存取者的工作方式。如果遠端用戶經常是從家里或是固定的地方上網，建議你使用回撥功能，它允許遠端用戶登錄后即掛斷，然后RAS服務器會撥出預設的電話號碼接通用戶，因為此電話號碼已經預先在程序中了，黑客也就沒有機會指定服務器回撥的號碼了。

另一個辦法是限定遠端用戶只能存取單一服務器。可以將用戶經常使用到的數據復制到RAS服務器的一個特殊共用點上，再將遠端用戶的登錄限制在一臺服務器上。如此一來，即使黑客入侵主機，他們也只能在單一機器上作怪，可間接減少破壞程度。

還有一個方法就是在RAS服務器上使用另類網絡協議。以TCP/IP協議當做RAS協議，利用TCP/IP協議本身的性質與接受程度，如此選擇相當合理，但是RAS還支持IPX/SPX和NetBEUI協議，如果你使用NetBEUI當做RAS協議，黑客若一時不察鐵定會被搞得暈頭轉向。

4 考慮工作站的安全問題

在服務器安全的文章里提及工作站安全感覺似乎不太搭邊，但是，工作站正是進入服務器的大門，加強工作站的安全能夠提高整體網絡的安全性。對于初學者，建議在所有工作站上使用Windows 2000。Windows 2000是一個非常安全的操作系統，如果你沒有Windows 2000，那至少使用Windows NT，如此你便能將工作站鎖定，若沒有權限，一般人將很難取得網絡配置信息。

另一個技巧是限制使用者只能從特定工作站登錄。還有一招是將工作站當做簡易型的終端機（dumb terminal），或者說智慧型的簡易終端機。換言之，工作站上不會存有任何數據或軟件，當你將電腦當作dumb terminal使用時，服務器必須執行Windows NT 終端服務程序，而且所有應用程序都只在服務器上運作，工作站只能被動地接收并顯示數據而已。這意味著工作站上只能安裝最少的Windows版本和一份微軟Terminal Server Client，這種方法應該是最安全的網絡設計方案。

5 執行最新修補程序

微軟內部有一組人力專門檢查并修補安全漏洞，這些修補程序（補丁）有時會被收集成service pack（服務包）發布。服務包通常有兩種不同版本：一個任何人都可以使用的40位的版本，另一個是只能在美國和加拿大發行的128位版本。128位的版本使用128位的加密算法，比40位的版本要安全得多。一個服務包有時得等上好幾個月才發行一次，但是微軟會定期將重要的修補程序發布在它的FTP站上，這些最新修補程序都尚未收錄到最新一版的服務包里，因此建議經常去看看最新修補程序。但要注意的是，修補程序一定要按時間順序來使用，若使用錯亂可能導致一些文件的版本錯誤，也可能造成Windows當機。

6 頒布嚴格的安全政策

另一個提高安全性的方式就是制定強有力的安全策略，確保每一個人都了解并強制執行。若你使用Windows 2000 Server，你可以將部分權限授權給特定代理人而無須將全部的網管權利交出。即使你核定代理人某些權限，你依然可限制其權限大小，例如無法開設新的使用者賬號、改變權限等。

7 仔細檢查防火墻

最后一個技巧是仔細檢查防火墻的設置。防火墻是網絡規劃中很重要的一部分，因為它能使公司電腦不受外界惡意破壞。首先，不要公布非必要的IP地址。你至少要有一個對外的IP地址，所有的網絡通訊都必須經由此地址。如果你還有DNS注冊的Web服務器或是電子郵件服務器，這些IP地址也要穿過防火墻對外公布。但是，工作站和其他服務器的IP地址則必須隱藏。此外，還可以查看所有的通訊端口，確定不常用的已經全數關閉。例如，TCP/IP port 80是用于HTTP流量煩人，不能堵掉這個端口，而port 81應該永遠都用不著，所以就可以關掉。

8 總結

氣象局服務器的維護責任特別重大，它涉及氣象資料的及時、準確傳輸和預報的及時和準確，因此，服務器維護員必須在日常工作中加強對服務器的維護，努力學習和鉆研新知識，注意總結經驗，增強責任心，在出現小故障時盡可能自己排除，保證服務器正常運行，為我們的氣象事業作出自己應有的貢獻。