安全经验谈连载之：防护服务器的安全

任何网络的核心都在于服务器，包括数据库服务器、Web服务器、DNS服务器、文件和打印服务器等等。这些服务器为网络提供了大量的资源，通常，大多数重要的信息都存储在这些服务器上，这就意味着这些计算机对骇客来说是尤其诱人的，首当其冲，当然应该重点防护。

对于防护服务器来说，除了应用防护个人工作站的措施以外，还应该有些额外的重要措施。服务器上不会有人处理文档和电子表格，所以对服务器的防护不会像个人终端那样情况复杂。

首先，应该应用个人工作站的防护措施。打补丁，安装防病毒、防间谍软件，严格管理服务器的使用，除此之外还需要额外的防护措施。大多操作系统（如Windows2003、Linux）都有日志功能，包括登陆日志、安装软件日志等等，应该确保所有安全相关行为都有日志，并定期对这些日志做检查。要知道服务器上的数据要比一般计算机上的数据有价值的多，正因为此，服务器上的数据一般都有定期备份。建议每天备份一次，但通常情况下，一礼拜备份一次也就够了。备份磁带应该放在不联网的地方（例如单位的保险库）、且防火的地方。对备份磁带进行安全管理与对服务器进行安全管理一样重要。对于任何计算机来说，所有不需要的服务都应该关闭，对于服务器，可能要把不需要的服务和操作系统组件彻底卸载。但是执行之前要慎重，显然游戏和办公软件服务器并不需要，浏览器对于更新补丁来说是需要的。对于服务器来说还需要做的一点，大多服务器都有内建账户，例如Windows就有三个内建账户：administrator、guest、power guest。骇客猜测账户密码会首先从这些内建账户开始。事实上，互联网上有很多自动化的工具为骇客做这项工作。首先，应该自己创建一个账户不要显示账户的权限级别。例如，创建一个账户basic_user，并禁用administrator账户，设置basic_user为管理员账户，并赋予相应的权限。（当然，这个账户是给具有管理员资格的人用的）这样做了以后，骇客就不会马上对这个账户感兴趣。要知道骇客总是想要管理员权限，为管理员账户做掩护对于防止骇客攻击来说是非常重要的。

对于Windows来说，还有一系列注册表设置可以提高计算机安全。使用Cerberus，可以扫描出注册表设置的一些漏洞。什么样的设置会引起安全问题呢？通常要检查以下项目：

登陆：假如注册表设置在登陆时显示上一次登陆账户，那么黑客就少了一半工作要做。当黑客知道了密码，只需要破解密码就行了。

默认共享：一些文件及驱动器是默认共享的，打开这些共享是极不安全的。

在Windows组册表还有一些潜在的安全问题，Cerberus不但能把这些问题扫描出来，还会提出解决这些问题的建议。

下面总结一下，对服务器的常规动作：

1、应用个人工作站常规防护措施。

2、定期做好备份，并做好灾备方案。

3、打开日志功能，定期做好审计。

4、为管理员账户加以伪装。

做好了工作站与服务器的安全防护措施，下面介绍一下如何防护整个网络，如果有兴趣的话请看下篇：防护企业网络.