高防服务器安全加固的方法

　　随着高防服务器技术的增高，高防服务器的防御形式也从当初的防火墙，入侵检测和防病毒三剑客发展成当今的漏洞扫描、、身份认证、Web应用防火墙(WAF)等全面防御策略，因而在租用高防服务器上也更有保障，但是需要注意的是，网络安全不但要需要安全产品，更需要服务器的安全加固。

　　

　　服务器安全加固思路

　　服务器的安全加固(也称为服务器防入侵加固)思路是在对抗入侵的过程中逐步建立起来的，具体的高防服务器加固方法有三种:配置加固，合规性加固 反控制加固。

　　配置加固阶段：

　　所谓配置加固就是对操作系统的安全配置进行安全加固升级，提升服务器的安全保护等级。常见的做法有下面几个方面：

　　1) 限制连续密码错误的登录次数，是对抗的重要手段;

　　2) 拆分系统管理员的权限，取消超级管理员，从而限制入侵者获取管理员账户时的权限;

　　3) 删除不需要的各种账户，避免被攻击者利用;

　　4) 关闭不需要的服务端口，一是减少攻击者的入侵点，二是避免被入侵者当作后门利用;

　　5) 限制远程登录者的权限，尤其是系统管理权限;

　　配置加固主要是静态安全策略的提升，入侵者入侵后可以再打开或修改这些配置。这种加固方式一般是人工的定期检查与加固，留给入侵者的“窗口”比较大，或者入侵者完成自己的潜伏后，还可以恢复你的配置，把管理者蒙在鼓里。

　　主机IDS可以动态监控上面的安全配置，发现异常进行报警，也可以主动检查“用户”的行为，发现异常及时报警，还可以根据自己的攻击特征库，发现恶意代码进入立即报警…这在一定程度上为入侵者带来了麻烦。

　　但是主机IDS的误报率很高，让管理者不胜其烦，虱子多了不痒，报警多了不理，目前用户选择的越来越少了。另外，很多正常的操作，也产生大量的入侵报警，就像我们安装了防病毒软件，进行其他安装软件时，提示多得让人不知道该怎么做。

　　合规性加固：

　　做信息安全的人都熟悉一个词汇：强制性访问控制。也就是在用户访问数据时，不仅查看访问者的身份，确认他的访问权限，同时还要查看被访问的数据的安全等级，是否与访问者的安全等级相匹配，若不符合安全策略规定，同样决绝访问。

　　合规性加固是要为用户提供一个账户与数据文件安全等级管理的平台，以及访问时的控制机制，广义上的强制性访问不仅包括文件、数据，还包括进程、内存、网络连接等。

　　合规性加固不只是强制性访问控制，还有很多安全策略的贯彻，比如：三权分立。从安全管理角度来讲，分权是必须的：

　　系统管理员：负责系统的维护工作，如账户开通、数据备份、应用安装等;

　　系统安全员：负责系统安全操作，如权限分配，口令修复，日志管理等;

　　安全审计员：负责对系统管理员、安全员的行为进行审计。

　　三员的身份需要分开，尤其是安全员与审计员不能兼任。

　　反控制加固：

　　反控制(anti-control)是明确对服务器的管理权提出了要求，也就是安全底线的保障。

　　反控制有几方面的含义：

　　掌握控制权：

　　对服务器的控制就是可以随意支配服务的资源满足自己的需求，如安装扫描器，扫描本网络内其他计算机的漏洞;如安装攻击工具，直接攻击其他目标。对服务器的控制一般有几个重要的环节：

　　a) 管理员账户登录：可以直接部署各种服务;

　　b) 远程桌面进程：远程直接操纵管理服务器;

　　c) 上传工具软件：没有这些工具，就如同没有爪牙的老虎，能在服务器上安装各种工具软件是把服务器变成攻击工具的必经阶段。

　　发现隐藏者：要控制服务器，就必须设法隐藏自己，一旦被发现，管理者就可以立即它，的所有努力就付之东流。隐藏自己技术很多，常见的有：

　　a) 进程注入：隐藏在系统进程内，用户很难识别;

　　b) 不启动：服务器内文件多达几十万，隐藏起来很容易，它不启动，你就不容易抓住它。当然，通过定时或远程召唤等方式，在需要的时候启动就可以完成入侵者的意图;

　　c) Rootkit：就是替换系统驱动，当然是隐藏了自己的代码，或监控代码。

　　切断回家者

　　入侵不同于病毒，入侵者为了控制你的服务器，就需要与他的“老板”联系，接收命令，回送信息，控制住它的“回家连接”，切断入侵者的控制通道，就可以让隐藏者成为无人控制的“傻子”。回家有很多种技术，常见的有：

　　a) 在你上网时，偷偷访问它的“老家”网站;

　　b) 伪装为各种软件(如防病毒等)的升级连接，当然先检测是否安装了该软件;

　　c) 发送邮件;

　　d) 移动介质摆渡;

　　e) 后门服务;

　　监控操作者：

　　无论入侵者如何狡猾，总要运行它的“恶意代码”，否则就一事无成。因此监控系统内的各种关键进程与重要操作，是确保自己控制权的关键。如下面重要的操作：

　　a) 账户操作;

　　b) 安装软件与打补丁;

　　c) 打开控制台进程，如桌面窗口、shell、webshell等;

　　d) 开通或停止服务;

　　服务器租用、托管，只有您想不到的，没有我们做不到的，只要您选择了我们三三在线http://www.33o***/，我们就会竭诚为您服务!!!。企点Q：2852361322电话：13924367540