借鉴自戴尔的图,并非给戴尔打广告:
1台2台3台主机服务器虚拟化vsphere平台架构图
IBM3650系列服务器前故障诊断面板灯显示含义
公司机房里面有很多IBMsystem3650系列的服务器,出现故障的时候很多同事都不知道从何判断问题所在,今天说说IBM前诊断面板指示灯的含义,从中可以判断大部分的硬件故障。
| 指示灯 | 描述 | 操作 |
| OVERSPEC | 没有足够的电量为系统供电。NONRED和LOG指示灯可能也点亮 | 1、如果只安装了一个电源,请添加一个可选电源。2、使用220V交流电输入功率。3、重新安装以下组件:电源 电源底板。 |
| PS | 一个电源故障或者被电源未插 | IBM工程师处理 |
| LINK | 保留 | IBM工程师处理 |
| CPU | CPU出现故障、丢失或者未正确安装 | IBM工程师处理 |
| VRM | 直流电-直流电稳压器丢失或者故障 | IBM工程师处理 |
| LOG | BMC日志或者系统错误日志满(系统错误日志达到75%满) | 专IBM工程师处理 |
| MEM | 内存故障 | IBM工程师处理 |
| NMI | 系统已收到一个硬件错误报告。(PCI和MEM指示灯也可能点亮) | IBM工程师处理 |
| PCI | PCI适配器出现故障 | IBM工程师处理 |
| SP | Remote Supervisor Adapter II SlimLine中出现故障 | IBM工程师处理 |
| DASD | 硬盘出现故障或者被卸下 | IBM工程师处理 |
| RAID | RAID适配器出现故障 | IBM工程师处理 |
| NONRED | 服务器使用非冗余电源或者其交流电源出现故障,系统将超出规范。 | IBM工程师处理 |
| TEMP | 系统温度或者组件超出规范。(风扇FAN可能也被点亮) | IBM工程师处理 |
| FAN | 风扇出现故障或者被卸下 | IBM工程师处理 |
| PCI BRD | PCI-X板出现故障 | IBM工程师处理 |
| CPU BRD | CPU托盘出现故障 | IBM工程师处理 |
| I/O BRD | I/O板出现故障 | IBM工程师处理 |
邮件服务器mdaemon 12.5概念转变
下载了最新版的mdaemon 12.54安装时发现启动界面图片变为了如下界面,细心的你可能已发现mdaemon已经由原来的Email server 变成了Messaging Server.
也就是说不只单纯地提供邮件收发功能,统一为消息传递的服务器。
联想到前段时间参加的微软的Lync体验,看来ALT-N公司紧跟微软的步伐,Lync Server 2010 是微软最新一代整合通讯产品,即为大家所熟知的 Office Communications Server 2007 R2 ,硬件包括PBX、电话机、手机、服务器,软件包括Lync Server 2010、Exchange 2010,整合了会议语音、即时通讯、邮件等服务。而MDaemon除了前面时候推出了Black Berry邮件推送功能后,暂没发现其他动作,首先Black Berry在国外已现颓势,被iphone等给打败,国内通信运营商支持Black Berry邮件推送业务刚开通不久,貌似还要另外收费,普及率相对比较低,从MDaemon 12版本开始捆绑Black Berry安装文件,现在分离出独立的安装包,。
期待MDaemon进一步大动作。
什么是NAS与文件服务器区别
1.什么是NAS
| NAS即Network Attached Storage的简称,中文名为网络附加存储。NAS是一种专用网络存储设备,整体架构只有存储器件和内嵌系统,没有传统电脑的显卡、声卡、键盘鼠标等配件和接口,我们可以把它看作一台精简型电脑,专门用于文件存储服务。由于它具有独立系统,因此无需额外的操作系统或服务器就能自行运作,非常适合集中存储和管理网络上的数据,降低应用服务器的负载,同时也可以降低企业的总体拥有成本。NAS这种网络存储设备原本应用于大中型企业,价格高昂。现在随着SOHO用户和中小企业的业务增长,他们对于数据存储的需求也越来越大,因此不少网络设备厂商也适时推出了平价的入门级NAS。那么,对于SOHO用户和中小企业来说,NAS能给企业办公带来什么好处?为什么不使用普通PC作为文件服务器呢? 使用NAS的四大理由:
问题:对于许多公司来说,文件柜简直就是垃圾箱!纸质文件既浪费自然资源,又占用宝贵的办公室空间,并且难以寻找、容易丢失,检索起来相对麻烦,容易降低客户满意度。 问题:每当办公电脑出现磁盘空间不足时,选择为其升级或增加硬盘都要耗费管理者不少的精力,并且在升级过程中会耽误员工的正常工作。
3.集中存储降低磁盘空间消耗 问题:如果每位用户都备份公共文件,会耗用多台电脑上的磁盘空间,这种磁盘空间的重复占用没有必要。 解决方案:将公共文件存储备份在NAS中,多个用户可以同时访问一个共享文件,节省了大量的磁盘空间。 问题:随着存储量的增长,各用户办公PC中分散的文件无法进行良好的管理和备份,办公PC损坏往往导致资料丢失,令管理人员非常头疼。 |
2.NAS的优点
简单概括,NAS的主要优点如下:首先,轻松实现共享;其次,容量扩展非常简单,可以通过NAS设备的USB接口扩大容量,也可以在网络中增加一台新的NAS;第三,性能稳定,维护简单,由于采用linux操作系统,无需担心日常的病毒。第四,实现同样的功能,性能价格比最好。
3.不使用台式PC作为文件服务器的四大理由
1.PC运行效率不高
问题:PC和它采用的操作系统没有针对文件服务器或其它应用服务器进行优化,例如同时运行Web网站服务和文件服务,会导致这两项服务的效率都不高,事倍功半。
解决方案:专业的NAS能够提供更高效的文件服务。
2.PC稳定性堪忧
问题:普通PC经常会遭遇蓝屏、死机等问题,不适合用于7×24小时服务。并且采用Windows操作系统的PC非常容易受到病毒、木马等侵袭,导致系统无法正常运行。
解决方案:NAS通常采用内嵌的Linux操作系统,不易中毒,长期运行的稳定性更佳。
3.PC管理不便
问题:使用普通PC作为文件服务器,用户、用户群和磁盘配额的管理都不够方便,需要借助第三方软件,操作起来较为复杂。
解决方案:NAS具有更好的易用性,对于用户、用户群和磁盘配额的设置非常简单。
4.PC不节能
问题:一台PC的耗电量往往在100W以上,长期运行不够经济。
解决方案:一台NAS加上两块3.5英寸硬盘的总体耗电量仅有30W左右,有利于降低长期运营成本。
对于SOHO用户和中小企业用户来说,一般数据存储量不会太大,但对数据安全性有一定的要求,因此我们建议使用双盘位NAS。双盘位NAS支持RAID 0/1模式,用户可以使用RAID 1模式对数据进行冗余备份,即使NAS中的某一块硬盘损坏也不会导致数据丢失。
NAS与服务器磁盘阵列柜区别对比
随着IT产品作为当前重要的信息工具大量的应用在我们日常生活、工作当中后,导致从个人到企业拥有电子数据成几何级增长,数据量的膨胀增长直接刺激各种形态的存储设备市场的蓬勃发展。近几年各存储设备生产厂商针对IT产品的消费大户之一的中小型企业对存储设备的需求研制生产出各式各样的存储设备,其中代表当前主流的两种存储设备NAS及磁盘阵列柜在各行各业得到大量的应用,近期在存储界针对NAS与磁盘阵列柜哪一种存储设备更适合在中小型企业当中应用成了他们的热门话题。事实又是如何呢?让我们一起来对这两种设备进行具体分析。
一、NAS与磁盘阵列柜的概念介绍:
NAS英文全称为Network Attached Storage,可译为网络附加存储,是一种专用网络数据存储\备份器。它以数据为中心,将存储设备与服务器彻底分离,集中管理数据,从而释放带宽、提高性能、降低总拥有成本、保护投资。其成本远远低于使用服务器存储,而效率却远远高于后者。NAS能够满足那些希望降低存储成本但又无法承受SAN昂贵价格的中小企业的需求,具有相当好的性价比。
磁盘阵列柜
磁盘阵列简称RAID(Redundant Arrays of Inexpensive Disks),有”价格便宜且多余的磁盘阵列”之意。其原理是利用数组方式来作磁盘组,配合数据分散排列的设计,提升数据的安全性。磁盘阵列主要针对硬盘,在容量及速度上,无法跟上CPU及内存的发展,提出改善方法。磁盘阵列是由很多便宜、容量较小、稳定性较高、速度较慢磁盘,组合成一个大型的磁盘组,利用个别磁盘提供数据所产生的加成效果来提升整个磁盘系统的效能。同时,在储存数据时,利用这项技术,将数据切割成许多区段,分别存放在各个硬盘上。 磁盘阵列还能利用同位检查(Parity Check)的观念,在数组中任一颗硬盘故障时,仍可读出数据,在数据重构时,将故障硬盘内的数据,经计算后重新置入新硬盘中。而磁盘阵列柜就是装配了众多硬盘的外置的RAID
二、NAS与磁盘阵列柜的特点比较:
1)成本比较:
磁盘阵列柜是一种很成熟的数据存储设备,对磁盘阵列应用的发展经历了纯软件、内置板卡和独立外设三个阶段,对现有的应用有两大类型:a、低成本的纯软件和内置板卡方式;b、高成本的独立外设方式。
a、纯软件和内置板卡RAID成本较低,但占用主机资源,性能受限且难于优化,尤其是与应用系统没有解耦,当主机环境损毁时,若不能保证完全恢复配置,可能导致盘阵中的数据无法恢复。
而NAS其本身就是一台独立的、外设的、功能强大的RAID,成本虽比纯软件和内置板卡方式略高,但不管从占用主机资源还是数据安全的角度来说,都是值得选择的。
b、高成本的独立外设方式相对NAS而言,其成本差异就非常大,稳定性高磁盘阵列柜从几十万元到过百万元都有,磁盘阵列柜比较适合大型企业(集团)作为大、中型网络的中央存储、备份设备使用,NAS比较适合小型企业或个人工作室作为储存备份设备使用。
2)设置和使用方便性比较:
RAID的设置和与服务器之间的配合需要对计算机网络非常熟悉的专业人员进行管理,但NAS的使用和操作界面(如加拿大著名存储设备生产厂商自由遁为开拓中国市场专门开发出带简体中文界面的控制管理软件,大大方便国内用户的使用习惯)都很容易,不需要专业性很强的人员就能很好地管理,因此网络日常管理的成本也有很大的差异;
3)控制系统损坏后,恢复方式的比较:
RAID卡损坏后,对该存储系统可以说是灾难性的,这时你需要将硬盘取出来,交给专业的数据恢复公司进行数据恢复。而NAS硬件损坏,你可以将硬盘安按原来的排列方式装到另一台同型号的NAS上,数据就可以正常使用。
4)对操作系统的支持方面,磁盘阵列柜在异构平台的支持方面较弱,目前市面上大多数磁盘阵列柜产品通常仅仅只能支持一种操作系统,若企业内部存在两种操作系统时,如设计部门使用MAC的操作系统,而财务部门使用WINDOWS的操作系统,当发生这种状况NAS与磁盘阵列柜在存储两个部门的数据时较麻烦;而NAS在对于处理异构操作平台方面相对于磁盘阵列柜来说具有绝对的优势,因为它能支持当前绝大部分主流操作系统的同时在一种网络下的使用即你可以同时将WINDOW、LINUX、MAC的数据存储在NAS里面,而不需要对相关的数据作特别的处理;
5)数据备份功能方面,由于磁盘阵列柜一般采用台式机的CPU作为处理器,相对于NAS采用的嵌入式、低功耗的专用CPU来说,磁盘阵列柜在数据存储速度比NAS更快,而在数据备份方面,由于NAS采取的是专用的备份软件,数据备份采取的是更可靠、更精准的磁轨式的备份方式,这一点相对于磁盘阵列柜更具优势,同时由于NAS采取的是专门设计的备份软件,在功能方面相对于磁盘阵列柜采取的通用软件来说更为可靠,如自由遁NAS随机附带的备份软件具有易用、高效、可靠的特点;
6)、从数据安全的角度来看,在正常的数据存储备份的状况下,两者均能达到较高的数据安全度,NAS是一台完全独立的设备,而磁盘阵列柜则是一台依赖服务器的设备。这意味着如果一旦服务器损坏,NAS中的数据依然可以通过其它计算机进行读取,而磁盘阵列柜中的数据则只可以在服务器修复以后才能读取。在数据安全的另一重点数据容灾方面,NAS由于不受地域的限制,更容易构建数据容灾系统,同时在灾后数据危机处理方面,NAS的应对能力更胜一筹,这也是为什么NAS在国外的中小型企业的数据容灾系统中得到大量应用的主要原因。
三、NAS与磁盘阵列柜的适用场合
1、磁盘阵列柜
由于磁盘阵列柜具有数据存储速度快、存储容量大等优点,所以磁盘阵列柜通常比较适合在企业内部的中小型中央集群网存储区域进行海量数据存储;
2、NAS
由于NAS具有不受地域限制、高扩展性、低功耗、高度自动化、高可用性群集、数据备份安全精确等特点,因此NAS企业内部更适合用于重要部门如财务、人事、客户等部门的数据存储备份的场合因为这些部门的数据通常数据量不大但不宜公开,所以保密系数相对于其他部门来说更高,在数据容灾方面,也是NAS的一个重要施展的平台。
四、小结
通过以上对NAS与磁盘阵列柜的综合对比及应用场合的细分,相信各位对于NAS与磁盘阵列柜这两种在中小型企业中得到大量应用的存储设备会有一个清晰的认识,对于它们在企业内部的正式应用,笔者建议,可将两者结合在一起使用,这样可有效提升企业内外部的数据安全,如可将磁备阵列柜用于常规性大流量的数据存储,而将NAS用于重要部门的数据备份,也可将NAS采取异地放置的方式构成企业内部的数据容灾。
企业服务器安全防护的七个切入点
作为一名网络工程师,确保企业服务器的安全,保证其正常的运行,是网络管理工作中的首要问题。那么如何才能切实有效的保护服务器的安全呢?根据笔者十年来的工作经验,大体从以下七点来建立防护体系。
切入点一:确立强有力的网络安全体系
要将企业的服务器不能孤立开来,一个个体的加以“保护”,作为网络中的核心部件,应当将它与周围的其他设备合为一个整体,统筹规划安排,才能全面解决安全问题,更好地确保服务器安全。
因此,必须建立一个整体的、完善的、强有力的计算机网络安全体系。只有对整个网络制定并实施统一地安全体系,才能有效地保护网络中涉及到的服务器等各部件。同时要求企业中的每一个员工都清楚并熟知这个安全体系,并知道它是强行执行的。
一个完整地安全体系包括两部分:安全管理和安全技术。安全管理从管理角度出发,利用规章、制度等书面形式规范、约束各种计算机网络行为,如各种网络设备的操作规范;安全技术顾名思义是从技术角度出发,利用各种软件(比如杀毒软件、防火墙软件等)和硬件(如硬件防火墙)、各种技巧和方法来管理整个计算机网络。
具体到服务器,一方面需要严格规范对服务器地操作,禁止一切可能有害于服务器及其数据的行为,特别是针对“写”、“删除”这类行为;加强中心机房的管理,禁止除网络管理人员以外人士随便操作服务器。另一面,药尽可能地利用现有地各种安全技术来保障服务器地安全。例如,可利用windows2000/2003Sever提供的“用户权限”功能根据每个工作人员的业务特点单独地为其制定访问服务器地特殊使用权限,从而避免因使用统一的访问服务器权限而带来的安全隐患。
切入点二:建立必要的防护基础
因为漏洞的存在,导致了相应的安全问题。对于每一次对网络的攻击都是从安全方面的漏洞开始的。因此为了服务器的安全,必须建立必要的防护基础,尽可能的采用现有的安全技术(如系统文件格式、操作系统等方面)来构建服务器,直至整个计算机网络。这样从根本上确保服务器的安全。
比如对于非法入侵者(包括黑客在内的所有未经许可的非法访问者)而言,存储在FAT格式下磁盘数据要比在NTFS格式下更加容易访问及破坏。所以,对于服务器而言,将它的磁盘分区设定为FAT格式是不安全的做法。要从基础做起,尽可能地将服务器上所有地磁盘分区都转换为NTFS格式,特别是那些有敏感特性的数据所在的磁盘分区。
作为一个企业,购买一款正宗地网络监测软件对整个网络运行全天候地不间断监视应当不成问题,特别是对“非法入侵”和“对服务器的操作”两个方面的实时监控报告,能及时的通知网络维护人员快速响应,将损失减少到最低限度。同时,针对当前日益增长的木马、病毒数量,企业花钱买款网络版的杀毒软件也是首要的,必须的。
切入点三:定期做好备份数据工作
前面的工作做好了,也有可能出现或多或少的损失,但天灾人祸是不可避免的,为了尽量的避免它,我们还要利用现有技术定期备份数据(比如企业ERP数据等记录公司日常业务的数据)并妥善地保存好,是网络管理人员日常管理中必须完成的,也是优秀网络管理员必须养成的良好的工作习惯。
备份好数据就万无一失了吗?还存在偷窃地行为。所以,在备份数据时应当考虑通过采取锁进保险柜,进行“密码保护”等方式进行第二次、第三次保护您的备份介质(如磁盘、磁带)。最好在做备份时同步地对企业数据进行加密处理,这样地话,最大限度保证数据即使被偷窃也不会解密。
切入点四:加强客户端的管理
在网络中除了服务器外,客户端就是使用频繁地网络设备了,也是通向服务器的一个个端口。所以尽量将其更换为稳定的操作系统Windows2000/Xp,甚至是Windows2003等其他更安全地系统。这样您就可以用“权限管理”功能来锁定客户端,使得那些没有安全访问权限地人很难甚至不可能获得网络配置信息。
当然也可以采用另一种方式,将客户端的功能限定为一个“灵活而单纯”的终端,即让程序和数据统一驻留在网络中的服务器上,却在客户端上运行,所有安装在客户端上的是一份操作系统的拷贝及指向驻留在服务器上地应用程序的快捷键图标。当双击快捷键图标运行程序时,这个程序将使用客户端本地地资源来运行,而不是直接消耗服务器资源。这种方法能够减轻客户端被破坏带来地对服务器的损伤,当出现了故障排查起来会增加点难度。
切入点五:对远程访问的管理
计算机网络的一个优点是借助必要工具,利用网络实现对计算机网络的远程访问(RAS)。Windows操作系统从NT开始就内置了这种功能。但也同时打开了安全隐患的大门,他们只需要知道能够进行RAS的电话号码就可以轻松实现入侵。因此,如果您存在远程访问的需求,就必须对远程用户进行强化管理,监管您的远程用户如何使用RAS。如果您的远程用户经常是从家里或不经常变动的地方远程访问,就建议您使用其中的“回叫”功能。这个功能允许在远程用户从远程登录计算机网络后立即切断连接,然后由RAS服务器拨打一个预先设定的电话号码来再次接通该用户,此后再由该用户进行RAS。如此设置就切断非法入侵者的入侵,因为非法入侵者一般没有机会知晓RAS服务器回叫的号码,也就无法实现非法入侵。
另外还可用其他方法,就是利用“防火区”的原理将所有的远程访问都限定在一台单一的服务器上,这台服务器与整个计算机网络的联系是通过人工手动完成的。这样即使非法入侵者闯入,也会被隔离在一台单一的机器上,对服务器的攻击也就限定在一台机器上。另外,还可用一些非常用的协议技术和方法(如蜜罐)来迷惑非法入侵者。这样也就增加了技术成本,技术程度要求较高。
切入点六:及时升级补丁
软件不可能都是完美的,随着运行会逐渐发现它的漏洞,这是很正常的。而且其隐含的漏洞与软件规模是成比例的。发现漏洞就必须弥补,否则漏洞就会变成一扇非法入侵者敞开的大门,任其出入。软件开发商们都自己组件或雇佣了专门的人员来检测已经推广应用的软件隐含的漏洞隐患,一旦发现漏洞,会以服务包的形式发布相应的补丁程序。所以定期查看下载、安装最新公布的补丁是非常必要的。但需要按照相应的逻辑顺序使用这些补丁包,避免导致一些文件运行的错误。另外,也要对网络中安装的防毒软件定期升级,有效的防止新病毒对网络的破坏。
切入点七:实时检查安全设备及端口
企业与外部网络进行通信,安装防火墙等安全设备是必须的。防火墙等安全设备既能将您公司的计算机与来自外部网络的非法入侵者隔离开来,实现物理隔离,又能保证与外部通讯的通畅。
为了保护企业内网的安全,应当确定防火墙等安全设备不会向外界开放任何IP地址,特别是服务器及客户端的IP地址必须隐藏起来。IP地址开放的越多,网络受到攻击的可能性就越大,服务器就越会危险。当然,至少要有一个IP地址对外进行通讯,如果有Web服务器或邮件服务器,它们的IP也是要公开的。
一个IP地址与外界的通讯是通过端口来实现的,而端口有很多很多,因此通过软件来查看端口,排查您不必要开放的端口,将其屏蔽掉,尽可能的减少由于操作系统或其他软件漏洞而带来的危机。
不能上网时如何判断服务器工作是否正常 建立手机WAP站点
不能上网时如何判断服务器工作是否正常
By 混子2 Comments technology
现在很多假日,很多站长回家或出门办事的时候,都无法知道自己的服务器是否正常。
当然国内有一些公司已经提供这方面的有偿服务,今天混子就给大伙DIY一个自己如何判断服务器是否正常的方法。
现在很多手机都有wap浏览功能,因此呢,我们可以在服务器上建立一个简单的wap网站,这样访问时能返回你的页面的时候,说明服务器是正常的。
如何在IIS上搭建一个WAP网站,很简单。Follow me~
My server is available !
把以上代码另存为index.html文件,
在你的服务器上新建一个网站,步骤跟之前的你建立网站的方法一样。然后打开你所建立网站的属性,点击“http 头”选项卡,再点击“MIME类型”按钮,新建如下
wml text/vnd.wap.wml
wmlc application/vnd.wap.wmlc
wbmp image/vnd.wap.wbmp
wmlsc application/vnd.wap.wmlscriptc
wmls text/vnd.wap.wmlscript
wsc application/vnd.wap/wmlscriptc
然后上传index.html文件到这个目录。
这样,你就可以使用手机来浏览了,大家来看看我的服务器工作是否正常 http://wap.biaozhun.net
来源:混子的夜生活
linux下架设FTP服务器
在linux下架设ftp服务器,首选的当然是vsftpd程序。
先去ftp://vsftpd.beasts.org/users/cevans/ 下载vsftpd。目前最新的是2.0.5版的。 别的版本安装方法都一样。
下载好文件名为vsftpd-2.0.5.tar.gz 的压缩包。
进入存放vsftpd-2.0.5.tar.gz的文件夹。执行tar zvxf vsftpd-2.0.5.tar.gz 进行解压。
然后接着执行cd vsftpd-2.0.5 //进入程序文件夹
接下来创建一些必要文件夹和用户名。
useradd nobody //创建nobody用户(相当于windows下的来宾用户)
mkdir /usr/share/empty //创建empty目录
mkdir /var/ftp/
useradd -d /var/ftp ftp //创建ftp用户并将该用户的主目录指定为/var/ftp
chown root.root /var/ftp //改变/var/ftp文件夹的所属人为root组中的root用户
chmod og-w /var/ftp //去除组用户跟其它用户对ftp目录的写限
按下来开始安装
执行 make //进行编辑 需要有安装gcc软件包。
执行 make install 命令进行安装
接下来使用vi命令打开 vsftpd的配置文件在最后添加listen=YES
操作为
vi /etc/vsftpd.conf
然后将光标移到最下面。按I 进行插入listen=YES 输入完后,再按esc键返回。
最后再输入:wq 进行退出保存 (输入需包括:)
经过以上几步,已经它装完成了。
执行
/var/usr/local/sbin/vsftpd & 命令运行vsftpd程序。
好了,现在就可以开始连接了。
不过如果就这样的话,那么可能并不能达到我们的要求,我们需要再对它进行一些配置。如果你对配置文件不熟晰的话,那么你可以去安装webmin。然后就可以以交互式的方式进行配置了。
自己动手做好Win2003服务器安全
1.将mysql运行在普通用户权限下,这是最重要的一点,大部分的入侵都是利用数据库的权限进行的。
MYSQL的降权运行
新建立一个用户比如mysqlstart
net user mysqlstart fuckmicrosoft /add
net localgroup users mysqlstart /del
不属于任何组
如果MYSQL装在d:mysql ,那么,给 mysqlstart 完全控制的权限
然后在系统服务中设置,MYSQL的服务属性,在登录属性当中,选择此用户 mysqlstart 然后输入密码,确定。
重新启动 MYSQL服务,然后MYSQL就运行在低权限下了。
2.使用附件里的IP策略关闭所有没用的端口
管理工具—–本地安全策略—–IP安全策略—-所有任务—导入策略 然后指派…
3.所有盘的根目录都不能有everyone,users 的读与运行权限。
C盘只给administrators 和system权限
其他的盘也可以这样设置
Windows目录要加上给users的默认权限,否则ASP和ASPX等应用程序就无法运行
另外在c:/Documents and Settings/这里相当重要,后面的目录里的权限根本不会继承从前的设置,如果仅仅只是设置了C盘给administrators权限,而在All Users/Application Data目录下会 出现everyone用户有完全控制权限,这样入侵这可以跳转到这个目录,写入脚本或只文件,再结合其他漏洞来提升权限;譬如利用serv-u的本地溢出提升权限,或系统遗漏有补丁,数据库的弱点
把不必要的服务都禁止掉,尽管这些不一定能被攻击者利用得上,但是按照安全规则和标准上来说,多余的东西就没必要开启,减少一份隐患。
4.加强PHP的安全
关闭危险函数
如果打开了安全模式,那么函数禁止是可以不需要的,但是我们为了安全还是考虑进去。比如,
我们觉得不希望执行包括system()等在那的能够执行命令的php函数,或者能够查看php信息的
phpinfo()等函数,那么我们就可以禁止它们:
disable_functions = system,passthru,exec,shell_exec,popen,phpinfo
关闭PHP版本信息在http头中的泄漏
我们为了防止黑客获取服务器中php版本的信息,可以关闭该信息斜路在http头中:
expose_php = Off
比如黑客在 telnet www.12345.com 80 的时候,那么将无法看到PHP的信息。
(1) 关闭注册全局变量
在PHP中提交的变量,包括使用POST或者GET提交的变量,都将自动注册为全局变量,能够直接访问,
这是对服务器非常不安全的,所以我们不能让它注册为全局变量,就把注册全局变量选项关闭:
register_globals = Off
当然,如果这样设置了,那么获取对应变量的时候就要采用合理方式,比如获取GET提交的变量var,
那么就要用$_GET['var']来进行获取,这个php程序员要注意。
(2) 打开magic_quotes_gpc来防止SQL注入
SQL注入是非常危险的问题,小则网站后台被入侵,重则整个服务器沦陷,
所以一定要小心。php.ini中有一个设置:
magic_quotes_gpc = Off
这个默认是关闭的,如果它打开后将自动把用户提交对sql的查询进行转换,
比如把 ' 转为 '等,这对防止sql注射有重大作用。所以我们推荐设置为:
magic_quotes_gpc = On
(3) 错误信息控制
一般php在没有连接到数据库或者其他情况下会有提示错误,一般错误信息中会包含php脚本当
前的路径信息或者查询的SQL语句等信息,这类信息提供给黑客后,是不安全的,所以一般服务器建议禁止错误提示:
display_errors = Off
如果你却是是要显示错误信息,一定要设置显示错误的级别,比如只显示警告以上的信息:
error_reporting = E_WARNING & E_ERROR
当然,我还是建议关闭错误提示。
(4) 错误日志
建议在关闭display_errors后能够把错误信息记录下来,便于查找服务器运行的原因:
log_errors = On
同时也要设置错误日志存放的目录,建议根apache的日志存在一起:
error_log = D:/usr/local/apache2/logs/php_error.log
注意:给文件必须允许apache用户的和组具有写的权限。
如果是在windos平台下搭建的apache我们还需要注意一点,apache默认运行是system权限,
这很恐怖,这让人感觉很不爽.那我们就给apache降降权限吧。
net user apache fuckmicrosoft /add
net localgroup users apache /del
ok.我们建立了一个不属于任何组的用户apche。
我们打开计算机管理器,选服务,点apache服务的属性,我们选择log on,选择this account,我们填入上面所建立的账户和密码,
重启apache服务,ok,apache运行在低权限下了。
实际上我们还可以通过设置各个文件夹的权限,来让apache用户只能执行我们想让它能干的事情,给每一个目录建立一个单独能读写的用户。
这也是当前很多虚拟主机提供商的流行配置方法哦,不过这种方法用于防止这里就显的有点大材小用了。
.不要装PCanywhere或Radmin因为它们本身就存在安全问题,可以直接用windows 2003自带的3389,它比任何远程控制软件都安全。
.不要在服务器上双击运行任何程序,不然你中了木马都不知道。
.不要在服务器上用IE打开用户的硬盘中的网页,这是危险的行为。
.不要在服务器上浏览图片,以前windows就出过GDI 的安全漏洞。
.确保你自己的电脑安全,如果你自己的电脑不安全,服务器也不可能安全。
.检查sytem32目录的net.exe,cmd.exe,tftp.exe,netstat.exe,regedit.exe,at.exe,attrib.exe,cacls.exe只能有adms,system的全权权限.
网站目录也要用普通用户运行,附件和头像目录不能有执行权限。。
在网上邻居 右键属性 把打印和共享卸载掉
打开组策略编辑器,依次展开“计算机配置→Windows 设置→安全设置→本地策略→安全选项”,在右侧窗口中找到“网络访问:可远程访问的注册表路径”,然后在打开的窗口中,将可远程访问的注册表路径和子路径内容全部设置为空
为了防止登陆到其中的用户,随意启动服务器中的应用程序,给服务器的正常运行带来不必要的麻烦,我们很有必要根据不同用户的访问权限,来限制
他们去调用应用程序。实际上我们只要使用组策略编辑器作进一步的设置,即可实现这一目的,具体步骤如下:
打开“组策略编辑器”的方法为:依次点击“开始→运行”,在“运行”对话框中键入“gpedit.msc”命令并回车,即可打开“组策略编辑器”窗口。然后依次打开“组策略控制台→用户配置→管理模板→系统”中的“只运行许可的Windows应用程序”并启用此策略
然后点击下面的“允许的应用程序列表”边的“显示”按钮,弹出一个“显示内容”对话框,在此单击“添加”按钮来添加允许运行的应用程序即可,以后一般用户只能运行“允许的应用程序列表”中的程序
PS:关于ASP
目前比较流行的ASP木马主要通过三种技术来进行对服务器的相关操作。
开始 运行 regedit.exe 进行下面的操作
一、使用FileSystemObject组件
FileSystemObject可以对文件进行常规操作
可以通过修改注册表,将此组件改名,来防止此类木马的危害。
HKEY_CLASSES_ROOTScripting.FileSystemObject
改名为其它的名字,如:改为FileSystemObject_ChangeName
自己以后调用的时候使用这个就可以正常调用此组件了
也要将clsid值也改一下
HKEY_CLASSES_ROOTScripting.FileSystemObjectCLSID项目的值
也可以将其删除,来防止此类木马的危害。
注销此组件命令:RegSrv32 /u C:WINDOWSSYSTEMscrrun.dll
禁止Guest用户使用scrrun.dll来防止调用此组件。
使用命令:cacls C:WINDOWSsystem32scrrun.dll /e /d guests
二、使用WScript.Shell组件
WScript.Shell可以调用系统内核运行DOS基本命令
可以通过修改注册表,将此组件改名,来防止此类木马的危害。
HKEY_CLASSES_ROOTWScript.Shell
及HKEY_CLASSES_ROOTWScript.Shell.1
改名为其它的名字,如:改为WScript.Shell_ChangeName或WScript.Shell.1_ChangeName
自己以后调用的时候使用这个就可以正常调用此组件了
也要将clsid值也改一下
HKEY_CLASSES_ROOTWScript.ShellCLSID项目的值
HKEY_CLASSES_ROOTWScript.Shell.1CLSID项目的值
也可以将其删除,来防止此类木马的危害。
三、使用Shell.Application组件
Shell.Application可以调用系统内核运行DOS基本命令
可以通过修改注册表,将此组件改名,来防止此类木马的危害。
HKEY_CLASSES_ROOTShell.Application
及HKEY_CLASSES_ROOTShell.Application.1
改名为其它的名字,如:改为Shell.Application_ChangeName或Shell.Application.1_ChangeName
自己以后调用的时候使用这个就可以正常调用此组件了
也要将clsid值也改一下
HKEY_CLASSES_ROOTShell.ApplicationCLSID项目的值
HKEY_CLASSES_ROOTShell.ApplicationCLSID项目的值
也可以将其删除,来防止此类木马的危害。
禁止Guest用户使用shell32.dll来防止调用此组件。
使用命令:cacls C:WINDOWSsystem32shell32.dll /e /d guests
注:操作均需要重新启动WEB服务后才会生效
摘自SIne安全小组 http://www.sinesafe.cn
IDC服务器托管之技术名词解释
1.服务器:
服务器的英文名称是"Server",指的是在网络环境中为客户机(Client)提供各种服务的、特殊的专用计算机系统。这里的"客户机"指安装有DOS、Windows 9x等普通用户使用说明文件的操作系统的PC机。从服务器的概念可以看出,服务器也是计算机的一种,只不过它是为其他计算机提供服务的特殊的计算机,而且具有区别于普通计算机的独有的特性。
2.U的概念:
1U=1.75英寸= 4.445cm。机房提供一个U单位的空间4.5*58*62 cm(高*宽*深),放置一台机架式服务器及其附属设备。
3.CPU(Central Processing Unit)
中央处理器, CPU是计算机的心脏,包括运算部件和控制部件,是完成各种运算和控制的核心,也是决定计算机性能的最重要的部件。主要的参数是工作的主频和一次传送或处理的数据的位数。
4.硬盘:
硬盘是最重要资料储存的地方。很执行时需要的资料,大部分从硬盘读取。一旦硬盘损坏,就无法使用任何资料了,所以硬盘是最重要的储存资料装置。而硬盘的容量越大,当然服务器能够储存的资料就越多。
硬盘的容量:常听到硬盘空间是3.5GB或4.5GB。GB正是容量的单位,1GB约等于一百万位字节(Byte),也约等于1000MB。硬盘的容量当然越大越好,容量越大可以储存的资料越多。
硬盘的速度:硬盘速度指的是硬盘马达的转速,转速越快,读写资料的速度就越快。所以转速越快的硬盘,价格也就比较高。目前的硬盘转速,常见的有5400转和7200转两种。
5.内存:
DDR:DDR(双重数据传输率)SDRAM 提供双重内存带宽,比 SDR(单一数据传输率)SDRAM的效率更高。
RAM:随机存取内存RAM ( Random Access Memory):RAM是可被读取和写入的内存,我们在写资料到RAM内存时也同时可从RAM读取资料,这和ROM内存有所不同。但是RAM必须由稳定流畅的电力来保持它本身的稳定性,所以一旦把电源关闭则原先在RAM里头的资料将随之消失。
ECC:Error Checking and Correcting(错误检查和纠正)的简写。它广泛应用于各种领域的计算机指令中经过内存的纠错,计算机的操作指令才可以继续执行。
在内存中绝大多数常见的出错都是:单位错,多位错,列错,行错。它们都比较相似。单位错大多发生在读一个完整的比特或词的时候有一位比特出错。当读相同的比特和词时总是同一位数据出错,则称为多位错。单位错发生在很多词中,就称列错或行错。
这些错误是怎样被纠正的:ECC内存使用额外的比特(bit)存储一个用数据加密的代码。当数据被写入内存,相应的ECC代码与此同时也被保存下来。当重新读回刚才存储的数据时,保存下来的ECC代码就会和读数据时产生的ECC代码做比较。如果两个代码不相同,他们则会被解码,以确定数据中的那一位是不正确的。然后这一错误位会被抛弃,内存控制器则会释放出正确的数据。被纠正的数据很少会被放回内存。假如相同的错误数据再次被读出,则纠正过程再次被执行。重写数据会增加处理过程的开销,这样则会导致系统性能的明显降低。如果是随机事件而非内存的缺点产生的错误,则这一内存地址的错误数据会被再次写入的其他数据所取代。
6.RAID:
RAID(独立磁盘冗余阵列)存储技术可以提高数据存储子系统的性能和可靠性。开发RAID的最初目的是将大量数据分布到小磁盘阵列中,对于服务器的操作系统来说,这些小磁盘就好象一个"逻辑"硬盘。
英特尔集成式RAID控制器和软件有助于存储子系统(包含5个、8个或更多独立磁盘)中的电子商务应用获得RAID优势。选择RAID意味着即使硬盘发生故障,服务器和网络也能保持全面运行状态,且不会丢失数据。在RAID发展的早期阶段,RAID中的"I"代?quot;价格经济"。随着大容量硬盘成本的急剧下降,业界逐渐改变了字母"I"的含义。它现在的含义是"独立式"。这说明了RAID子系统的一个主要优势:独立式磁盘,具有保护数据、提高网络存储性能并保持服务器正常运行的能力。
某个硬盘发生故障会导致服务器停机、网络性能下降及电子商务应用的中断,经过适当配置的RAID阵列有助于防止此类事情的发生。
选择RAID意味着即使硬盘发生故障,服务器和网络也能保持全面运行状态,且不会丢失数据。某些情况下,网络上的用户甚至不会注意到硬盘发生了故障。
借助英特尔集成式RAID软件支持的"热插拔"功能,可以在服务器正常运行时拆卸和更换故障硬盘。快速大容量硬盘价格的持续下降使RAID成为更吸引电子商务企业的存储技术。
7. 流量:
网络流量反映的是通过网络的数据包的数量以及其拥挤程度。
Byte:是一种计量文件大小的单位,它通常也用来描述驱动器或磁盘的大小,8 bits = 1 byte。
8. 带宽:
用来衡量一台服务器的连接到INTERNET上的数据传输速度,单位为 bps(bit per second) 。
输入带宽:从服务器的角度看,我们定义输入带宽 (Inbound Bandwidth)为从Internet到服务器可传输数据的速度。
输出带宽:从服务器的角度看,我们定义输出带宽 (Outbound Bandwidth)为从服务器至Internet传输数据的的速度。
带宽计量单位为:Bit,Bit称为位元,是电脑记忆的最小单位,1Bit有0和1两种变化。