分区管理
潜在的攻击就会尝试缓冲区溢出。以缓冲区溢出为类型的安全漏洞是为常见的一种形式。更为严重的是,缓冲区溢出漏洞占了远程网络攻击的绝大多数,这种攻击可以轻易使得一个匿名的Internet用户有机会获得一台主机的部分或全部的控制权。
Windows主机分区格式采用ntfs文件格式,对不同的文件夹设置不同的权限。为防止缓冲区溢出类型的网络攻击,安装相应的溢出漏洞补丁;日志文件放在非系统分区上。
广东昊霖企业管理有限公司主营认证项目范围有:ISOISOISO45001。售后服务认证、批发及零售服务认证。企业诚信管理体系认证。合规管理体系认证。SA8000社会责任管理体系认证。AAA诚信企业证书。
Linux主机可为/var开辟单独的分区,用来存放日志和邮件,以避免root分
区被溢出。为特殊的应用程序单独开一个分区,特别是可以产生大量日志的程序,为/home单独分一个区,这样可防止/home目录文件填满根分区,从而就避免了部分针对Linux分区溢出的恶意攻击。
防范网络嗅探:
嗅探器能够造成很大的安全危害,主要是因为它们不容易被发现。可使用
安全的拓扑结构、会话加密、使用静态的ARP地址来防范。
完整的日志管理
日志文件记录着系统运行情况,攻击者往往在攻击时修改日志文件,来隐
藏踪迹;需要对日志文件及目录设置严格的访问权限,禁止其他用户的读
取和写入权限。
Windows主机开启审核策略,对账户管理、登录事件、
对象访问、策略更改、特权使用、系统事件、目录服务访问、账户登录事
件的成功失败进行审核,产生日志文件,只有系统管理员对日志文件有访
问权限。
Linux主机要限制对/var/log文件的访问,禁止一般权限的用户去查看日
志文件;还可以安装icmp/tcp日志管理程序,如iplogger,来观察那些
可疑的多次的连接尝试。
使用安全工具软件:
Windows主机可部署防病毒软件,安装微软基线安全分析器MBSA扫描服务器操作系统漏洞,及时下载server pack和漏洞补丁。部署主机IDS(入侵检测系统);如免费的轻量级网络入侵检测系统snort,
Linux主机也有一些工具可以保障服务器的安全。如bastille linux,它是一套相当方便的软件,bastille linux 目的是希望在已经存在的linux 系统上,建构出一个安全性的环境。