构建安全的网站服务器;武汉大学网络拓扑; 对任何网络应用来说,网站服务器都是必不可少的,但服务器的安全一直是另人烦恼的问题。如何配置一台相对安全的服务器是我们必须要了解的,由于Windows系统的漏洞和安全问题相对而言比较多,因此在网络应用中使用UNIX操作系统构建web站点是较为合适的选择。下面就以Solaris为例,介绍在Solaris系统上的安全配置经验。;1、正确安装系统;2、关闭不需要的服务和端口; 可以将这些命令写成脚本直接在系统中执行,下面以solaris9为例,关闭作为网站服务器不需要的服务:
cd /etc/rc2.dmv S47asppp xS47aspppmv S47pppd xS47pppdmv S70uucp xS70uucpmv S71ldap.client xS71ldap.clientmv S72autoinstall xS72autoinstallmv S72inetsvc xS72inetsvcmv S72slpd xS72slpdmv S73cachefs.daemon xS73cachefs.daemonmv S73nfs.client xS73nfs.clientmv S74autofs xS74autofsmv S80lp xS80lpmv S80spc xS80spcmv S88sendmail xS88sendmailmv S90wbem xS90wbem;由于solaris自带的ftp(文件传输)和telnet(远程登录)服务都有安全漏洞,建议用porftp和openssh代替,这样就可以将/etc/inetd.conf中的服务都关掉,以后有需要时再添加服务,相应的etc/rc2.d中的inet也可以关闭,因为现在inet没有启用任何服务。
关闭不需要的端口,将/etc/services中的端口都关闭,只留ftp和ssh等相应的端口。;4、修改系统参数防止攻击;/etc/init.d/inetinit中加入ndd -set /dev/ip ip_forwarding 0ndd -set /dev/ip ip_forward_src_routed 0ndd -set /dev/ip ip_respond_to_timestamp_broadcast 0ndd -set /dev/ip ip_ignore_redirect 1ndd -set /dev/ip ip_send_redirects 0ndd -set /dev/ip ip_respond_to_timestamp 0说明:关闭IP转发和广播,防止路由欺骗。;ndd -set /dev/tcp tcp_conn_req_max_q0 4096ndd -set /dev/tcp tcp_conn_req_max_q 1024ndd -set /dev/tcp tcp_ip_abort_interval 60000ndd -set /dev/tcp tcp_time_wait_interval 60000ndd -set /dev/tcp tcp_fin_wait_2_flush_interval 67500说明:防止SYN_flood和连接耗尽攻击。
;5、安装OpenSSH和TCP Wrapper; 到此,服务器设置已经基本完成,剩下的就是维护和管理了。虽然上面的各项安全设置已经做了,但是还是要定时查看和检查系统状况,及时了解最新的安全事件和安全漏洞。; 谢 谢 !