文档库 最新最全的文档下载
当前位置:文档库 › free BSD 安全配置手册

free BSD 安全配置手册

free BSD 安全配置手册
free BSD 安全配置手册

FreeBSD安全配置手册v1.0 目录

第一部份:目的

第二部份:内容

一、必选配置选项

1、取消控制台信任设置

2、配置telnetd服务器

3、配置ftpd服务器

4、对inetd超级服务器里的其它服务做审核

5、检查/etc/rc.conf及/etc/default/rc.conf文件

二、推荐配置选项

1、使用ssh替代telnet及ftp

2、使用ipfilter进行加固

3、加入hosts.allow及hosts.deny

4、安全日志记录

5、设置安全级别

6、限制用户所能使用的资源

7、保证suid,sgid可执行程序的安全

三、参考配置选项

1、控制能su成root的用户

2、删除不必要的预置用户和组

3、改变系统的核心变量达到对外屏闭服务器没有使用的端口

4、关闭对广播类型的响应

5、对udp包的校验和计算

6、设置取消ctrl-alt-del组合键重启系统

四、参考FreeBSD技巧

1、更改shell并在配置文件中做设置

2、更改telnet banner

3、更改ftp banner

五、参考安全工具

1、tripwire

2、john

3、nmap

第三部份:目前本系统的补丁情况

一、FreeBSD补丁方法

1、下载并检查完整性

2、patch源文件

3、编译安装

4、攻击测试

二、FreeBSD补丁下载地点

三、FreeBSD官方安全邮件列表

第四部份:系统应用程序可能存在的安全问题

第五部份:施工注意事项

一、配置

1、对极其重要,不能中止服务的主机

2、对可以暂时停止服务进行配置工作的主机

二、审核

1、如何发现入侵

2、紧急处理需知

3、如何进行审核

目的

尽管BSD系列的操作系统发行版比大多数的系统就安全性而言都相对强健,但默认安装仍然存在许多脆弱点,同时它仍然有许多可以进一步加强的安全特性,因此本篇配置文档旨在让对unix操作系统有一定了解的人员能够通过阅读文档对照操作,将一台FreeBSD的服务器配置成安全脆弱性最小化的主机。本文档有一配套文档FreeBSD security checklist v1.0。

内容

一、必选配置选项

1、取消控制台信任设置

系统的控制台是一个非常重要的安全弱点所在的位置,因为一个使用者能接触控制台,那么就表示他得到管理人员的特殊信任。系统缺省赋予了控制台终端以较大的安全信任。此外,接触控制台还能从物理上访问系统硬件,包括重新启动系统、将硬盘窃取分析其中的数据等等。然而,物理安全等措施不是在这里要讨论的内容。

设置单用户模式启动需要密码验证

为了避免偶然的非法访问控制台造成的安全问题,所需要设置的第一件任务就是取消控制台的信任设置,这个设置位于/etc/ttys中。

su-2.05# cat /etc/ttys

---------------------snip----------------------

29 # If console is marked "insecure", then init will ask for the root password

30 # when going to single-user mode.

31 console none unknown off secure <--------这行

32 #

33 ttyv0 "/usr/libexec/getty Pc" cons25 on secure

34 # Virtual terminals

35 ttyv1 "/usr/libexec/getty Pc" cons25 on secure

36 ttyv2 "/usr/libexec/getty Pc" cons25 on secure

---------------------snip----------------------

在这里我们需要把上面所指的第31行:

console none unknown off secure

改成

console none unknown off insecure

初始设置为secure表示系统重新启动之后,如果管理员要求进入单用户状态,将不询问root 的口令进行验证,这是一个重要的安全漏洞。将secure更改为insecure可以使得进入单用户状态时首先验证root口令。当然它也有可能带来一定的问题,就是:一旦系统损坏了passwd 文件(主要是master.passwd文件),root口令无法认证,就没有办法进入单用户状态进行修复工作。解决方法是需要使用安装盘启动fixit 系统进行才能进行修正。

2、配置telnetd服务器

a、/etc/inetd.conf文件修改

设置inetd中服务的原则是尽量不暴露系统本身的信息,而且有必要的记录。就telnetd 而言,可以在telnetd那行后面加个–h:

telnet stream tcp nowait root /usr/libexec/telnetd telnetd -h

从telnetd的手册页可以知道:

-h 在登录成功之前不显示系统相关的信息。

b、telnetd服务器的问题及补丁

在当前FreeBSD所有版本中,也就是FreeBSD 5.0、FreeBSD 4.3、FreeBSD 4.2、FreeBSD 4.1.1、FreeBSD 4.1、FreeBSD 4.0、FreeBSD 3.x、FreeBSD 2.x的版本,其telnetd守护进程中存在一个致命的缓冲区溢出漏洞,该问题是由于telnetd在处理telnet协议选项的函数中没有进行有效的边界检查,当使用某些选项('AYT')时,可能发生缓冲区溢出。这会导致远程root 级别的安全威胁。

因此,如果一定要使用telnet服务的话,必须为服务器打上最新的patch,该patch可以从以下链接获得:

(注:通常有两个版本的telnetd服务器,有crypto及无crypto的版本,因此需要判断主机使用的是哪种版本的telnetd,这通常可以通过察看src文件来判断,比如# ls /usr/src/crypto/telnet/telnetd,如果不存在,则说明使用的是无crypto的版本了,在判别清楚之后再分别下载相关补丁文件)

crypto版本补丁:

ftp://https://www.wendangku.net/doc/9512010905.html,/pub/FreeBSD/CERT/patches/SA-01:49/telnetd-crypto.patch

ftp://https://www.wendangku.net/doc/9512010905.html,/pub/FreeBSD/CERT/patches/SA-01:49/telnetd-crypto.patch.asc

patch方法:

# cd /usr/src/

# patch -p < /path/to/patch

# cd /usr/src/secure/libexec/telnetd

# make depend && make all install

无crypto版本补丁:

ftp://https://www.wendangku.net/doc/9512010905.html,/pub/FreeBSD/CERT/patches/SA-01:49/telnetd.patch

ftp://https://www.wendangku.net/doc/9512010905.html,/pub/FreeBSD/CERT/patches/SA-01:49/telnetd.patch.asc

patch方法:

# cd /usr/src/

# patch -p < /path/to/patch

# cd /usr/src/libexec/telnetd

# make depend && make all install

3、配置ftpd服务器

a、/etc/inetd.conf文件的修改

如果需要启动ftp服务,虽然在inetd.conf中启动ftpd已经使用了-l参数,使ftpd将日志记录发送给syslogd,但是还需要配置syslogd才能接收ftpd发送的记录。如果/etc/syslog.conf 文件中没有下面的设置行用于记录ftp的日志,请修改syslog.conf加入。

ftp.* /var/log/ftpd

然后还需要建立/var/log/ftpd文件并且重启syslogd才能使该选项生效:

# touch /var/log/ftpd

# killall -HUP syslogd

这样,每个成功或是失败的ftp 登录尝试,都会以LOG_FTP 机制纪录下来。如果-l这个选项被指定了两次,所有的下载(get),上载(put),新增,删除,建立目录,及改名的操作和文件名都会被纪录下来。

ftp对访问进行了种种限制,这些限制对于网络安全都是非常重要的,当用户的shell不在/etc/shells 中的时候,ftp拒绝提供服务,当用户的用户名位于/etc/ftpusers文件中时,或者是/etc/ftpusers 中记录的组的成员,ftp同样也拒绝提供服务,这样就对使用ftp的用户进行了限制,尤其对于安全敏感的用户。如果/var/run/nologin文件存在时,ftp将拒绝一切用户访问。

ftp认证是通过标准认证过程进行的,因此也可以使用S/key等安全认证的方式。同样,/etc/ftphosts 可以设置对来自不同位置的主机访问ftp服务的限制。

很多情况下需要FreeBSD服务器提供匿名ftp服务功能,如果此时普通用户能通过更安全的方法访问系统,就应该屏蔽普通用户使用ftp服务的权力,而只允许匿名ftp,可以使用-A 选项启动ftp服务器,此时ftp将拒绝正常用户登录,避免ftp服务器出现安全问题的可能性及减少安全问题的影响。当使用-S选项时,ftp将所有匿名访问的传输日志也记录在/var/log/ftpd文件中。这两个选项对于提供匿名ftp服务非常有用。对于提供匿名ftp 的服务器,还可以不再使用FreeBSD提供的ftpd服务器,而使用wuftpd或ncftpd等其他种类的ftp 服务器,同样也需要针对这些服务器设置其安全性。

b、ftpd服务器的问题及补丁

FTPD守护程序包含一个glob()函数,它实现文件名的模式匹配,它遵循与Unix shell同样的原则。FreeBSD系统的glob()实现其内部处理函数中包含一些缓冲区溢出漏洞。这些溢出通常可以通过请求一个可以扩展为超长路径名的模板来触发,也可以设法使FTP守护程序将用户输入的模板通过glob()两次来触发。允许本地和远程攻击者在受影响的系统上获取root 权限。对于远程用户,如果他们可以在服务器上创建目录,就可以利用这些漏洞;在某些例外情况下,远程用户可以不需要有创建目录的权限。这一问题对FreeBSD 4.2、FreeBSD 4.1.1、FreeBSD 4.1、FreeBSD 4.0、FreeBSD 3.x都有影响,可能导致远程的root级别入侵。

因此如果一定要提供ftp服务的话,必须为服务器打上最新的patch,该patch可以从下面链接获得:

FreeBSD 4.x

# fetch ftp://https://www.wendangku.net/doc/9512010905.html,/pub/FreeBSD/CERT/patches/SA-01:33/glob.4.x.patch

# fetch ftp://https://www.wendangku.net/doc/9512010905.html,/pub/FreeBSD/CERT/patches/SA-01:33/glob.4.x.patch.asc

FreeBSD 3.x

# fetch ftp://https://www.wendangku.net/doc/9512010905.html,/pub/FreeBSD/CERT/patches/SA-01:33/glob.3.x.patch

# fetch ftp://https://www.wendangku.net/doc/9512010905.html,/pub/FreeBSD/CERT/patches/SA-01:33/glob.3.x.patch.asc

patch方法:

# cd /usr/src

# patch -p < /path/to/patch

# cp /usr/src/include/glob.h /usr/include/

# cd /usr/src/lib/libc

# make all install

# cd /usr/src/libexec/ftpd

# make all install

4、对inetd超级服务器里的其它服务做审核

Unix系统中绝大多数服务进程还是通过超级服务器进程inetd来启动的。它的设置文件为/etc/inetd.conf ,以下为这个文件的一部分。

bash-2.03# cat /etc/inetd.conf

---------------------snip----------------------

# $FreeBSD: src/etc/inetd.conf,v 1.44 2000/03/05 20:23:44 shin Exp $

#

# Internet server configuration database

#

# @(#)inetd.conf 5.4 (Berkeley) 6/30/90

#

ftp stream tcp nowait root /usr/libexec/ftpd ftpd -l

telnet stream tcp nowait root /usr/libexec/telnetd telnetd

#shell stream tcp nowait root /usr/libexec/rshd rshd

#login stream tcp nowait root /usr/libexec/rlogind rlogind

#finger stream tcp nowait/3/10 nobody /usr/libexec/fingerd fingerd -s

#exec stream tcp nowait root /usr/libexec/rexecd rexecd

#uucpd stream tcp nowait root /usr/libexec/uucpd uucpd

#nntp stream tcp nowait usenet /usr/libexec/nntpd nntpd

# run comsat as root to be able to print partial mailbox contents w/ biff,

# or use the safer tty:tty to just print that new mail has been received.

#comsat dgram udp wait tty:tty /usr/libexec/comsat comsat

#ntalk dgram udp wait tty:tty /usr/libexec/ntalkd ntalkd

#tftp dgram udp wait nobody /usr/libexec/tftpd tftpd /tftpboot

#bootps dgram udp wait root /usr/libexec/bootpd bootpd

---------------------snip----------------------

在里面描述了每个服务怎么启动, 要以那个用户身份执行等信息。(man 5 inetd.conf)既然这个文件是许多网络服务的主要设置文件, 好好的设置它便一件十分重要的事。要关掉一个服务的话,只要在那一行前面加个"#" 符号。基本的概念是, 关掉那些不熟悉的服务。理想状态下, 无须要所有的service 都打开。例如, 系统只是要跑web server。这种情况下,只要启动ssh 和httpd 就行了。如果什么服务都不想跑, 最直接的方法是关掉inetd。

当需要启动某个守护进程的时候,inetd.conf中的第五列参数对安全性有重要影响,这个参数设置启动这个进程的用户标识,应该尽量不要使用root用户,以减少具备root身份的进程。如上例的finger服务是以nobody身份启动的。

5、检查/etc/rc.conf及/etc/default/rc.conf文件

一个普通常见的/etc/rc.conf文件如下:

su-2.05# cat /etc/rc.conf

---------------------snip----------------------

inetd_enable="YES"

kern_securelevel_enable="NO"

linux_enable="YES"

sendmail_enable="NO"

sshd_enable="NO"

usbd_enable="NO"

# -- sysinstall generated deltas -- #

ifconfig_ed0="inet 192.168.168.52 netmask 255.255.255.0"

defaultrouter="192.168.168.254"

portmap_enable="NO"

hostname="https://www.wendangku.net/doc/9512010905.html,"

---------------------snip----------------------

这里的配置选项需要灵活调整,具体可以参见/etc/defaults/rc.conf文件,并对其中的设置进行调整。

如果要关掉inetd的话,只需要编辑/etc/rc.conf 并且把

inetd_enable="YES"

改成

inetd_enable="NO"

如果决定要启动inetd 的话,应该启动log 选项, 并提高一个服务每分钟启动的上限数目。缺省值是256,建议提高到1024,因为上限值太低会容易受到拒绝服务攻击。攻击者可以简单的用一个shell script 同时搞出超过256 个连接,这样inetd 会很可能崩溃。因此, 在这行:

inetd_enable="YES"

下面加上一条

inetd_flags="-l -R 1024"

这会将连接的情况都记录下来(-l 参数)而且将同时最大连接数从缺省的256 增加到1024。

二、推荐配置选项

1、使用ssh替代telnet及ftp

在FreeBSD中默认使用了openssh,并且打开的端口22,只是由于还有部份管理员对ssh不够熟悉,因为总是使用telnet及ftp,由于本文档主要集中于FreeBSD本身,因此不对应用程序做更多讨论,默认安装后的FreeBSD其sshd选项是打开的,在/etc/rc.conf中可以做设定,它的配置文档都在/etc/ssh/目录下,主要需要察看学习的有ssh_config及sshd_config两份文件。

当然FreeBSD默认安装自带的openssh也存在一些安全问题,在2001年2月以前的FreeBSD 4.x, 4.2-STABLE prior,其中使用的SSH1协议存在漏洞,远程用户可以利用它来执行命令及代码,解决方案有两种:

一是将SSH1协议从配置文件sshd_config中去除。

二是到FreeBSD网站下载升级补丁:

FreeBSD 4.2-RELEASE.

# fetch ftp://https://www.wendangku.net/doc/9512010905.html,/pub/FreeBSD/CERT/patches/SA-01:24/sshd-4.2-release.patch

# fetch ftp://https://www.wendangku.net/doc/9512010905.html,/pub/FreeBSD/CERT/patches/SA-01:24/sshd-4.2-release.patch.asc

FreeBSD 4.2-STABLE which is running OpenSSH 2.3.0 (4.2-STABLE dated after 2000-12-05)

# fetch ftp://https://www.wendangku.net/doc/9512010905.html,/pub/FreeBSD/CERT/patches/SA-01:24/sshd-4.2-stable.patch

# fetch ftp://https://www.wendangku.net/doc/9512010905.html,/pub/FreeBSD/CERT/patches/SA-01:24/sshd-4.2-stable.patch.asc

patch方法:

# cd /usr/src/crypto/openssh

# patch -p < /path/to/patch

# cd /usr/src/secure/lib/libssh

# make all

# cd /usr/src/secure/usr.bin/ssh-agent

# make all install

# cd /usr/src/secure/usr.sbin/sshd

# make all install

2、使用ipfilter进行加固

a、重新编译内核

a-1.编辑/usr/src/sys/i386/conf/下的内核配置文件

[root@redhat conf]# cp GENERIC test

加入几行

---------------------snip----------------------

options IPFILTER

options IPFILTER_LOG

options IPFILTER_DEFAULT_BLOCK

---------------------snip----------------------

注意如果原来系统有ipfw的话,需要将其注释掉,因为IPFILTER与IPFW同为在内核级对IP数据包进行处理的系统,因此它们互相冲突,不能同时并存在一个内核内,否则内核的TCP/IP功能就不能正常执行。所以需要将:

---------------------snip----------------------

options IPFIREWALL

options IPDIVERT

---------------------snip----------------------

前加上#号注释掉。

a-2.编译内核并重新启动机器

[root@redhat conf]#config test

这样可以检查配置文件是否存在语法错误,如果一切如常,就可以:

[root@redhat conf]#cd ../../compile/test

[root@redhat conf]#make;make install

[root@redhat conf]#shutdown -r now

b、对/etc/rc.conf文件进行编辑,加入ipfilter的选项以便在启动时自运行,以下是我的/etc/rc.conf文件,其中与ipfilter及ipmon、ipnat有关的选项。

[root@redhat conf]# cat /etc/rc.conf

---------------------snip----------------------

ipfilter_enable="YES"

ipmon_enable="YES"

ipmon_flags="-Dsvn"

ipnat_enable="YES"

---------------------snip----------------------

c、对ipfilter及ipnat进行配置

c-1.创建log文件及更改syslog.conf

[root@redhat conf]#touch /var/log/firewall_logs

[root@redhat conf]#echo local0.* /var/log/firewall_logs>>/etc/syslog.conf

[root@redhat conf]#echo /var/log/firewall_logs 600 5 100 * Z>>/etc/newsyslog.conf

c-2.创建/etc/ipf.rule

[root@redhat /etc]# cat ipf.rules

---------------------snip----------------------

pass out quick on ed0 proto tcp from any to any keep state

pass out quick on ed0 proto udp from any to any keep state

pass out quick on ed0 proto icmp from any to any keep state

block out quick on ed0 all

pass in quick on ed0 proto udp from 192.168.168.130/32 to any port = 68 keep state

block return-rst in log quick on ed0 proto tcp from any to any

block return-icmp-as-dest(port-unr) in log quick on ed0 proto udp from any to any

block in log quick on ed0 all

---------------------snip----------------------

c-3.创建/etc/ipnat.rules

[root@redhat /etc]#cat ipnat.rules

map ed0 192.168.168.168.0/24 -> 0/32

3、加入hosts.allow及hosts.deny

FreeBSD缺省安装了TCP Wrappers,这是一个对网络服务访问进行控制很有用的工具。当inetd调用服务时,tcpd可以截获该调用并且对连接请求进行评价。在该过程中,tcpd把连接请求与各种规则相比。如果连接请求通过这些测试,tcpd启动申请的服务器,由服务器满足客户的请求。但如果连接不能通过tcpd的评价,连接被丢弃。要利用TCP Wrappers的连接评价能力,必须配置tcpd的配置文件/etc/hosts.deny与/etc/hosts.allow,下面是一个配置例子,具体细节看手册页。

第一步:编辑hosts.deny文件(vi /etc/hosts.deny)加入下面这些行:

Access is denied by default.

# Deny access to everyone.

ALL: ALL@ALL, PARANOID #Matches any host whose name does not match its address, see bellow.

这样做的意思是:所有的服务、访问位置,如果没有被明确地允许,也就是在“/etc/hosts.allow”中找不到匹配的项,就是被禁止的。

注意:加上“PARANOID”参数之后,如果要在服务器上使用telnet或ftp服务,就要在服务器的“/etc/hosts”文件中加入允许使用telnet和ftp服务的客户端计算机的名字和IP地址。否则,在显示登录提示之前,因为DNS的域名解析,可能要等上几分钟时间。

第二步:编辑“hosts.allow”文件(vi /etc/hosts.allow)。例如,可以加入下面这些行(被授权访问的计算机要被明确地列出来):

telnet: 202.106.147.50 https://www.wendangku.net/doc/9512010905.html,

被授权访问的计算机的IP地址是:202.106.147.50,主机名是:https://www.wendangku.net/doc/9512010905.html,,允许使用的服务是:telnet。

第三步:tcpdchk是检查TCP_W APPERS配置的程序。它检查TCP_W APPERS的配置,并报告它可以发现的问题或潜在的问题。在所有的配置都完成了之后,请运行tcpdchk程序:bash-2.03# tcpdchk

4、安全日志记录

Unix系统使用Syslog记录应用软件发送的日志记录,日志记录对于安全管理非常重要,因为管理员可以从这些日志中发现系统遭受攻击的痕迹及证据。然而syslogd本身也是一个服务程序,能接收网络上的消息,因此其本身也存在安全问题。

这样,syslog就存在两个矛盾的问题,为了安全起见syslogd不应该接收网络上的其他计算机发送的日志记录。由于接收消息是通过UDP传送并且没有加密保护,因此syslog消息可能是伪造的,即便攻击者不使用伪造信息进行欺骗,仅仅使用服务阻塞的方法,就能导致正常的日志记录系统不能正常使用,此后攻击者就能放心进行入侵操作而无需担心留下踪迹。那么即使syslogd没有因为这种阻塞攻击而崩溃,大量无意义的syslog记录,也使得其他有用的日志记录被迅速淹没或清除(为了防止日志文件占用过多的磁盘空间,系统中缺省情况下会自动进行日志的清理工作)。

为了使得syslogd不理会其他计算机的记录,可以使用-s参数重新启动syslogd。在rc.conf 中更改syslogd_flags的值为"-s"。

FreeBSD系统中用于管理syslog日志文件的程序为newsyslog,它由crontab来启动,它检查由newsyslog.conf中指定的日志文件,当这些文件达到一定大小时,就截断原文件,重新启动syslogd ,并压缩保存原有记录。为了避免占用太多的磁盘空间,newsyslog保存的日志备份文件有数量的限制,因此就使得阻塞攻击清除日志的攻击方式成为了可能。可以增加newsyslog保存的日志备份文件的数量,和进行备份时文件的大小,增大系统日志文件的容量。

然而,当一台计算机仅仅使用自己硬盘来记录日志的话,那么一旦入侵者成功入侵这台计算机,他就能按照syslogd 的配置文件syslog.conf的设置,清除相关的日志记录,以便为以后继续潜伏在系统中做打算。甚至可以直接删除/var/log目录下文件以及其他syslog.conf中指明的文件,消灭入侵踪迹及证据。这样,将syslog 日志记录保留在其他计算机系统中也是一个有效增强安全审计的重要因素。

因此,可以设定一台用于记录日志的计算机,其syslogd屏蔽外部计算机的日志请求,只记录本地可信任的计算机系统的日志。这样,就需要在使用"-s"参数屏蔽任意计算机请求的同时,使用"-a"加上信任的计算机主机名,或者子网号,域名等,这样就只会记录这些计算机的日志记录。为了安全起见,这台计算机最好是专用于这一项服务,不执行任何服务程序,

以避免遭受入侵。然而由于syslogd对系统要求不高,因此这台计算机可以不必使用很高的硬件配置,除了需要足够的硬盘空间以容纳大量日志记录。

此外,还可以通过将特别重要的syslog的记录直接发送到行式打印机的方式,避免入侵者清除日志记录。

由于日志记录会迅速增加,特别是在遭受攻击的时候更为显著,因此需要使用一些日志分析工具来帮助分析这些日志文件,以快速定位发生的安全问题,否则面临庞大的日志文件,很难找到有用的日志记录。logcheck或其他具备相似功能的程序就用来完成这个任务。https://www.wendangku.net/doc/9512010905.html,/abacus/abacus_logcheck.html为logcheck的主页。

5、设置安全级别

FreeBSD内核有一个安全级别(securelevel)的概念,这是指系统内核运行使用的安全等级,不同的等级具备不同的保护和检查机制。因为这是内核的检查机制,因此相当严格,没有办法能绕过这个机制提供的保护,因此就对保护FreeBSD的安全性十分有用。

内核的安全级别按照提供安全保护的程度分为-1、0、1、2共分为四个级别,安全级别能提供的保护有:

系统文件:系统文件可以设置保护标志"不可更改"和"只能附加" ,具有这些保护标志的文件在系统的文件属性之外,还受这些保护标志的保护。安全级别可以规定这些标志能否取消。

磁盘设备文件:磁盘设备文件具备两种访问方式,随机访问的方式对应的块设备文件和顺序访问方式对应的字符设备文件,其中字符设备文件可以直接读取硬件设备,因此对于安全至关重要。内核安全级别可以决定是否允许以直接读取硬件的方式操作硬盘设备文件。

直接内存访问:/dev/mem和/dev/kmem是系统内存的映射文件,访问它们就能直接访问系统内存,一些需要获取系统信息和需要进程间共享内存机制的程序需要访问这两个设备文件以直接访问内存,然而访问内存空间显然也影响系统的安全运行。内核安全级别可以决定是否允许访问系统内存。

安全级别-1为一种永久性的不安全级别,系统内核不提供任何额外的保护。系统缺省就处于这个级别,此时系统文件的保护标志能被root用户取消,所有的设备,包括磁盘设备和内存映射设备,均能按照其属性来访问。

安全级别0为不安全的级别,它和等级-1一样没有对系统提供额外的安全保护,但它影响到内核进程init的行为。当内核处于级别-1时,内核init程序不会自动更改运行级别,因此一直到进入能够登录的状态,系统安全级别仍然为-1。这是系统的缺省行为,没有打开安全级别保护机制。但如果安全级别不为-1,init在进入单用户状态时将改变为0级别,在进入多用户模式时改变为安全级别1。因此安全级别0为设置了安全级别保护之后,单用户状态下的安全级别。

安全级别1为安全的级别,提供了对系统的保护能力。此时系统文件的那两个保护标志不能

被取消,已安装文件系统对应的磁盘设备,以及/dev/mem,/dev/kmem不可以用写入模式打开。

安全级别2与级别1类似,只是进一步增加了对磁盘设备低级操作的限制,不管该磁盘设备是否安装,都不允许直接以写入方式访问,这样就无法进行fdisk、disklabel以及newfs等操作。

可以使用sysctl来查看当前系统的安全级别,但如果没有经过特别设置,FreeBSD的缺省安全级别应该为-1:

bash-2.03# sysctl kern.securelevel

kern.securelevel: -1

安全级别中最重要的一点是,除了内核的init进程之外,即使是root用户,也只能不断提高安全级别,没有办法将安全级别降低。这样就基本上保证远程入侵者在没有重新启动计算机的情况下,无法降低系统运行级别。如果root 想提高系统运行的安全级别,也需要使用sysctl 命令。

bash-2.03# sysctl -w kern.securelevel=0

kern.securelevel: -1 -> 0

安全级别的意义就在于对文件和设备的保护,如果要对文件提供保护,就需要对文件设置保护标志schg。设置这个标志需要使用chflags命令,系统文件如/kernel,系统安全的时候就具备这个保护标志。即使在非安全级别下要更改这些文件的时候,也要首先取消保护标志才能进行正常操作。

bash-2.03# mv /kernel /kernel.bak

mv: rename /kernel to /kernel.bak: Operation not permitted

bash-2.03# chflags noschg /kernel

bash-2.03# mv /kernel /kernel.bak

bash-2.03# mv /kernel.bak /kernel

bash-2.03# chflags schg /kernel

上面操作先取消了kernel文件的不可更改标志schg,显然这是在非安全级别下的操作。当安全级别处于1或2时,就不能使用chflags改变文件的保护标志了。

bash-2.03# chflags noschg /kernel

chflags: /kernel: Operation not permitted

可以使用带-o参数的ls来查看文件具备的标志。

bash-2.03# ls -lo /kernel

-r-xr-xr-x 1 root wheel schg 1061679 Jun 30 01:27 /kernel

因此可以将系统安全相关的很多程序都设置保护标志,这样入侵者就不能轻易更改这些文件了。建议将/bin,/sbin下的文件都设置这个标志。

bash-2.03# chflags schg /bin

bash-2.03# chflags schg /bin/*

bash-2.03# chflags schg /sbin

bash-2.03# chflags schg /sbin/*

这里首先将相关目录本身设置保护标志,这样入侵者就不能通过将目录更改名字的方法创造一个新的/sbin或/bin目录。

当文件具备了保护标志,并且安全级别高于1时,保护标志就无法取消,这些文件就不能更改,因此就带来一些必要的操作无法进行,例如重新生成内核的操作等。此时就必须再重新启动系统进入单用户状态执行这些操作。

通常情况下,如果FreeBSD系统只提供网络服务,那么使用安全级别1或2毫无问题。然而如果要运行X Server ,由于X Server使用了共享内存机制,需要访问/dev/mem和/dev/kmem,这样就会带来问题。这时的一种解决办法是在启动X Server之后(例如使用Xdm),再升高安全级别,以避开这个问题,但此时X Server已经打开了/dev/mem和/dev/kmem,安全级别的保护就不再是完美无缺的了。

如果不使用X Server之类的程序,那么就可以将设置安全级别的命令直接放入系统的启动rc文件中,以便自动提高安全级别。这需要在rc.conf文件中设置两个变量:kern_securelevel_enable和kern_securelevel。

kern_securelevel_enable=”YES”

kern_securelevel=0

上面将安全级别设置为0,那么在启动之后将自动更改为1,这是一种标准的做法。

如果系统提供shell服务,系统管理员有时也不希望用户占用太多的系统资源,在有些Unix 系统中入侵者能通过普通帐户,启动大量的进程或产生大量的文件,从而使系统死掉或不能提供正常操作,而FreeBSD下则不必有此担忧,因为可以通过login.conf 和用户的口令数据来设置用户类别,限制用户对系统资源的占用。

6、限制用户所能使用的资源

从4.3 BSD Net/2开始,BSD Unix引入了登录类别这种分类机制来管理用户使用的资源、记账和环境设置。FreeBSD系统使用/etc/login.conf中描述的数据来将用户按照登录环境、强制性的资源限制以及记账管理等分为不同的登录类别,每个用户的登录类别记录在/etc/master.passwd中的该用户的设置中。以下是一个缺省安装的/etc/login.conf的部份内容。bash-2.03# cat login.conf

---------------------snip----------------------

default:\

:copyright=/etc/COPYRIGHT:\

:welcome=/etc/motd:\

:setenv=MAIL=/var/mail/$,BLOCKSIZE=K,FTP_PASSIVE_MODE=YES:\ :path=~/bin /bin /usr/bin /usr/local/bin /usr/X11R6/bin:\

:nologin=/var/run/nologin:\

:cputime=unlimited:\

:datasize=unlimited:\

:stacksize=unlimited:\

:memorylocked=unlimited:\

:memoryuse=unlimited:\

:filesize=unlimited:\

:coredumpsize=unlimited:\

:openfiles=unlimited:\

:maxproc=unlimited:\

:priority=0:\

:ignoretime@:\

:umask=022:

#

# A collection of common class names - forward them all to 'default'

# (login would normally do this anyway, but having a class name

# here suppresses the diagnostic)

#

standard:\

:tc=default:

xuser:\

:tc=default:

staff:\

:tc=default:

daemon:\

:tc=default:

news:\

:tc=default:

dialer:\

:tc=default:

#

# Root can always login

#

# N.B. login_getpwclass(3) will use this entry for the root account,

# in preference to 'default'.

root:\

:ignorenologin:\

:tc=default:

---------------------snip----------------------

利用login.conf可以方便地对用户的登录环境和资源许可进行设置,缺省的设置对用户所能使用的资源几乎没有限制,可以把login.conf改为如下内容:

---------------------snip----------------------

default:\

:cputime=infinity:\

:datasize-cur=64M:\

:stacksize-cur=64M:\

:memorylocked-cur=10M:\

:memoryuse-cur=100M:\

:filesize=infinity:\

:coredumpsize=infinity:\

:maxproc-cur=64:\

:openfiles-cur=64:\

:priority=0:\

:requirehome@:\

:umask=022:\

:tc=auth-defaults:

---------------------snip----------------------

上面设置了default登录类别中的几个参数,如果没有在master.passwd文件中明确指定用户的登录类别,就使用这个缺省类别来作为用户的登录类别。

cputime设置了用户的每个进程可以使用的CPU时间,缺省是无限制(infinity)。如果加以限制,有些需要大量CPU时间进行运算的进程就不能正常执行到结束。

datasize-cur设置了用户使用的数据段最大为64M,但-cur设置不是强制的,用户实际使用的数据有可能超过这个值,但最大不能超过datasize-max设置的值(缺省没有设置)。如果没有-cur和-max 后缀,仅仅定义datasize,则表示datasize-cur和datasize-max同样都为datasize 设置的值。同样stacksize定义了对栈的限制。

memorylocked-cur设置了用户每进程可以锁定的最大内存。

memoryuse-cur设置了每进程使用的最大内存。

filesize-cur设置了用户产生的文件大小。

coredumpsize设置了在应用程序发生问题时产生的core dump文件的大小。

maxproc-cur设置了用户可以同时执行的最大进程数。

openfiles-cur设置了每进程最多打开的文件数。

priority设置用户进程的优先级。

requirehome设置用户登录时是否需要主目录,@符号表示不需要主目录。

umask项设置缺省的umask,用于用户创建文件的属性。

tc设置系统认证策略为使用缺省的认证策略。

如果要创建新类别,并不需要对每个值都重新设置,系统缺省先应用default类别的设置,然后再应用具体类别的设置,因此只需要设置与default类别不同的项就可以了。

---------------------snip----------------------

users:\

:manpath=/usr/share/man /usr/X11R6/man /usr/local/man:\

:cputime=4h:\

:openfiles=32:\

:maxproc=48:\

:tc=default:

---------------------snip----------------------

上面是设置了一个新类users,可以看出它为用户设置了环境变量MANPATH,并重置了cputtime 、openfile、maxproc和tc的值。每次更改login.conf之后,都要进行更新登录类别数据库的操作。

bash-2.03# cap_mkdb /etc/login.conf

由于登录类别保存在master.passwd文件中,通常在使用adduser添加用户的时候设置用户的登录类别。如果要进行更改,必须使用vipw来修改/etc/master.passwd文件的第5个域。下面为master.passwd 中的一行,该行指定这个用户的登录类别为user:

缺省为:

bash-2.03# cat master.passwd

# $FreeBSD: src/etc/master.passwd,v 1.25 1999/09/13 17:09:07 peter Exp $

inburst:TioxhDpCtDaRE:1004:0::0:0:stardust:/home/stardust:/usr/local/bin/bash

改为:

inburst:TioxhDpCtDaRE:1004:0:users:0:0:stardust:/home/stardust:/usr/local/bin/bash

设定系统中用户的可用空间也是系统免受本地拒绝服务攻击重要的一方面,在未设定quota 的系统上的用户可以随意的灌爆硬盘。要把quota这项功能打开,可以修改/etc/rc.conf 中的这项设定:

check_quotas="NO" # Check quotas (or NO).

改成

check_quotas="YES" # Check quotas (or NO).

请先看看以下的man page,这些文件说明如何使用quota 的各项设定,并且有一些设定的范例:quotaon, edquota, repquota, quota,要确定在/etc/fstab 中有加入"userquota" , 详见man 5 fstab。

7、保证suid,sgid可执行程序的安全

在UNIX类操作系统中,当黑客取得了本地shell权限,绝大多数情况下,他们通过攻击有缺陷的suid,sgid程序来获得root或高一级的访问权限。因此有缺陷的suid,sgid程序构成了对本地安全的极大威胁。管理员有必要订阅相关的安全邮件列表,了解最新被发现的漏洞,在被攻击者利用之前及时修补,这样才有可能保证本地安全,如何订阅邮件列表将在以后的讨论中提到。作为预防,建议找出系统中所有的suid,sgid程序,了解它们的功能,对那些不常使用的程序一律去其suid,sgid位,只保留那些对系统正常运行所必须的程序的特权位。用如下命令找出那些特权程序:

bash-2.03# find / -type f \(-perm -4000 -o -2000 \) -exec ls -l {} \;

---------------------snip----------------------

-r-sr-sr-x 1 uucp dialer 121640 Mar 20 2000 /usr/bin/cu

-r-sr-xr-x 1 uucp wheel 86552 Mar 20 2000 /usr/bin/uucp

-r-sr-xr-x 1 uucp wheel 36348 Mar 20 2000 /usr/bin/uuname

-r-sr-sr-x 1 uucp dialer 95100 Mar 20 2000 /usr/bin/uustat

-r-sr-xr-x 1 uucp wheel 87184 Mar 20 2000 /usr/bin/uux

-r-sr-xr-x 1 man wheel 28088 Mar 20 2000 /usr/bin/man

-r-s--x--x 2 root wheel 50356 Mar 20 2000 /usr/bin/suidperl

-r-s--x--x 2 root wheel 50356 Mar 20 2000 /usr/bin/sperl5.00503

-r-sr-xr-x 4 root wheel 19116 Mar 20 2000 /usr/bin/at

-r-sr-xr-x 4 root wheel 19116 Mar 20 2000 /usr/bin/atq

-r-sr-xr-x 4 root wheel 19116 Mar 20 2000 /usr/bin/atrm

-r-sr-xr-x 4 root wheel 19116 Mar 20 2000 /usr/bin/batch

-r-sr-xr-x 6 root wheel 31492 Dec 23 01:06 /usr/bin/chpass

-r-sr-xr-x 6 root wheel 31492 Dec 23 01:06 /usr/bin/chfn

-r-sr-xr-x 6 root wheel 31492 Dec 23 01:06 /usr/bin/chsh

-r-sr-xr-x 6 root wheel 31492 Dec 23 01:06 /usr/bin/ypchpass

-r-sr-xr-x 6 root wheel 31492 Dec 23 01:06 /usr/bin/ypchfn

-r-sr-xr-x 6 root wheel 31492 Dec 23 01:06 /usr/bin/ypchsh

-r-xr-sr-x 1 root kmem 11024 Mar 20 2000 /usr/bin/fstat

-r-xr-sr-x 1 root kmem 9680 Mar 20 2000 /usr/bin/ipcs

-r-sr-xr-x 1 root wheel 510 Mar 20 2000 /usr/bin/keyinfo

-r-sr-xr-x 1 root wheel 7056 Mar 20 2000 /usr/bin/keyinit

---------------------snip----------------------

上面的列表只是一部份,FreeBSD的缺省安装中有相当多的suid,sgid程序,其中的很多只是管理员应该使用的程序,比如一些系统管理工具,管理员完全可以su到root后使用。有些程序基本不会被用到,比如uucp类的程序。有些是针对特定服务的,而这些服务并不是系统所提供的,如果系统不运行SUN的NIS服务的话,yp系统命令就是无用的。因此可以也应该去掉所有这些程序的特权位,甚至取消它们的执行权限,这样既使在那些程序中有被发现安全漏洞,也不至于对系统安全构成威胁。

另外,在安装系统的时候,可以通过合理分区,把一般用户可写的分区分割开来,而这些分区就可以用"nosuid" 的方式来mount。一般会有个分区给一般使用者使用:/home 或/usr/home。可以另外开个分区给/var/tmp 然后再把/tmp 指到这里:

bash-2.03# rm -rf /tmp

bash-2.03# ln -s /var/tmp /tmp

可以参考下面这个例子:

bash-2.03# cat /etc/fstab

---------------------snip----------------------

# Device Mountpoint FStype Options Dump Pass#

/dev/sd0s1b none swap sw 0 0

/dev/sd0s1a / ufs rw 1 1

/dev/sd0s1g /usr ufs rw 2 2

/dev/sd0s1h /usr/home ufs rw,nosuid 2 2

/dev/sd0s1f /var ufs rw 2 2

/dev/sd0s1e /var/tmp ufs rw,nosuid 2 2

proc /proc procfs rw 0 0

---------------------snip----------------------

现在一般用户可以写入的目录/usr/home和/var/tmp是以"-nosuid" 的方式被mount的,如此可以减少一些可能的安全风险。

当系统作为NFS服务器,设置共享出去的NFS文件系统时,应该使用maproot或mapall参数,以便隔离危险,使得即使在远程系统被侵入的情况下,防止从这个允许安装文件系统的客户上对本机的入侵。还可以考虑使用安全的NFS协议,使用DES算法进行服务器和客户机的认证。如果系统不使用NFS及其他RPC服务时,最好屏蔽相关的选项,如portmap_enable 选项。

三、参考配置选项

1、控制能su成root的用户

在FreeBSD系统中,只有wheel组的成员,也就是说用户的组ID为0,才能su成为root。因为缺省加入用户时,用户被赋于组ID为0,所以几乎所有加入用户都能su成root,这在一般情况下是不需要的。应该严格控制可以su成root的用户,对于那些没有必要成为root 的用户,用vipw把/etc/passwd和/etc/master,passwd,把他们的组ID,改到其他组对应的ID,组名和它的ID可以在/etc/group里找到:

bash-2.03# cat /etc/group

---------------------snip----------------------

wheel:*:0:root

daemon:*:1:daemon

kmem:*:2:root

sys:*:3:root

tty:*:4:root

operator:*:5:root

mail:*:6:

bin:*:7:

news:*:8:

man:*:9:

games:*:13:

staff:*:20:root

guest:*:31:root

bind:*:53:

uucp:*:66:

xten:*:67:xten

dialer:*:68:

network:*:69:

qnofiles:*:81:

qmail:*:82:

mysql:*:88:

casper:*:1001:

admin:*:1009:

nogroup:*:65533:

nobody:*:65534:

---------------------snip----------------------

2、删除不必要的预置用户和组

禁止操作系统中不必要的预置帐号(每次升级或安装完都要检查一下)。FreeBSD系统中就提供这样一些你可能不需要的预置帐号。如果确实不需要这些帐号,就把它们删掉。系统中有越多的帐号,就越容易受到攻击。

bash-2.03# cat passwd

Informix数据库dbaccess工具执行SQL语句操作说明

【文档名称】:Informix数据库dbaccess工具执行SQL语句操作说明 【背景说明】 部分工程经常要对数据库进行操作,而各省客服及驻点同事对相关操作不熟悉,现整理一份实用的操作说明。 【适用范围】 适用设备:Informix-9.4,Informix-11.5 【文档正文】 1)用informix账户登录操作系统,在开始菜单中打开“ol_实例名”。 2)直接输入dbaccess并回车。选择Connection,然后选择Connect。

3)选择数据库实例。一般只有一个,直接回车即可。 4)输入用户名informix,回车。

5)输入数据库密码,回车。 6)下方提示已连接。 7)直接按回车,然后选择Exit回车。 8)选择第一个Query-language回车。

9)选择Use-editor回车。 10)直接回车,默认用记事本打开编辑器。 11)将SQL语句粘贴到记事本。 12)关闭,选择保存,然后选择Run,回车,查看返回结果是否成功。

常用SQL语句: 1、导出某张表。(需注意当前用户对该目录是否有写入权限,否则会导出失败)unload to 'C:\_analarmtype' select * from _analarmtype; 导出_analarmtype表并保存到C盘根目录。 2、删除某张表。 delete from _analarmtype; 3、导入某张表。 load from 'C:\ _analarmtype ' insert into _analarmtype; 4、查询某张表的条目数。 select count(*) from analarmhis; 查询历史告警条目数 select count(*) from ancurrentalarm; 查询当前告警条目数 DBACCESS基本讲解. doc

Windows Server 2008 R2 WEB 服务器安全设置指南(四)之禁用不必要的服务和关闭端口

Windows Server 2008 R2 WEB 服务器安全设置指南(四)之禁用不必要的服务和关闭端口 安全是重中之重,以最少的服务换取最大的安全。通过只启用需要用到的服务、关闭暂时用不到的服务或不用的服务,这样最大程度来提高安全性。 作为web服务器,并不是所有默认服务都需要的,所以像打印、共享服务都可以禁用。当然了,你的系统补丁也需要更新到最新,一些端口的漏洞已经随着补丁的更新而被修复了。网上的一些文章都是相互复制且是基于win2003系统较多,而win2008相比win2003本身就要安全很多。 那我们为什么还要谈关闭端口呢,因为我们要防患于未然,万一服务器被黑就不好玩了。 禁用不必要的服务 控制面板―――管理工具―――服务:把下面的服务全部停止并禁用。 TCP/IP NetBIOS Helper Server 这个服务器需要小心。天翼云主机需要用到这个服务,所以在天翼云主机上不能禁用。 Distributed Link Tracking Client Microsoft Search 如果有,则禁用

Print Spooler Remote Registry 因为我们使用的是云主机,跟单机又不一样,所以有些服务并不能一概而论,如上面的Server服务。例如天翼云的主机,上海1和内蒙池的主机就不一样,内蒙池的主机需要依赖Server服务,而上海1的不需要依赖此服务,所以上海1的可以禁用,内蒙池就不能禁用了。 所以在禁用某一项服务时必须要小心再小心。 删除文件打印和共享 本地连接右击属性,删除TCP/IPV6、Microsoft网络客户端、文件和打印共享。

nbu配置手册(oracle+informix)

Windows平台Nbu配置手册 一、系统架构 Master server: windows2003 hostname:nbu Media server: windows 2003 hostname:client01 Oracle:test实例运行在client01主机上 rman库运行在nbu主机上 二、安装nbu软件 安装软件之前确定好hosts表里面对应的ip和host名 1、安装master server Solaris:首先安装NetBackup_6.5_ICS_Solaris.tar.gz, 都选第一个(PBX)。 6.0版本还需要安装一个rs的包 然后再开始安装master server Windows: 将安装光盘放入光驱,选择Launch.exe双击运行 NEXT,直到出现选择master server、Media server 和admin console的界面时输入license 之后master server和media server变为可选状态,选择master server进行安装 选择typical方式安装 配置企业介质管理服务器,一般默认选择master server 2、安装media server 同master server 安装类似,只是在选择界面选择media server即可 3、安装client 端 可以将介质传到客户端进行安装,也可以通过在master server上安装同时分发到各个客户端,我们选择分发的方式进行安装。 选择install client software→select from available computers on the network/typical→输入master server,选择LAN方式然后进行安装 4、安装补丁包: 在NBU中远程分发客户端软件 到客户端主机上面安装nbu软件client端或: step1:创建新的policy 客户端总是和一个具体的备份策略(Policy)相绑定,客户端不能独立于Policy而存在.所以通过在Master Server上以”PUSH”方式向客户端分发NBU客户软件之前,必须先创建合适的Policy.(在Server上分发客户端软件,必须确保相应的客户端软件已存在于服务器上.) step2:分发客户端软件.

联想网御网闸(SIS-3000)配置过程

联想网御网闸(SIS-3000)设备测试报告 一、设备管理、拓扑结构 1、通过笔记本管理网闸,需要先在笔记本上导入管理证书(光盘——管理证书文件夹下,密码:hhhhhh),管理IP:10.0.0.200 ,掩码:255.255.255.0 。 2、登录内网:用网线连接内网专用管理口,在IE浏览器输入:https://10.0.0.1:8889 3、输入用户名/密码:administrator/ administrator (超级用户)或输入:admin/admin123(管理员用户)。 4、登录外网:用网线连接外网专用管理口,在IE浏览器输入:https://10.0.0.2:8889或输入用户名/密码:administrator/ administrator (超级用户) 或输入:admin/admin123(管理员用户)。 测试拓扑结构: FTP客户端 FTP服务端注:网闸的工作模式有两种,普通模式、透明模式。 “访问类别”功能是网闸的主要应用之一,根据外部应用客户端跨网闸访问“目的服务器地址”的不同,分为“透明访问”、“普通访问”两种模式。 两种应用模式具体的比较如下

区别透明访问普通访问 含义外部客户端,“无视”网闸的存在,直接访 问网闸另一侧的真实服务器地址;外部客户端通过访问相连网闸地址,再由网闸连接真实服务器; 原理区别两者相同两者相同 配置区别1)只需配置网闸客户端任务,无需配置网 闸服务端任务; 2)客户端添加一条路由,指向网闸;必须同时配置网闸客户端、服务端任务,且对应任务之间的任务号必须相同; 访问目的地址网闸另一侧的真实服务器地址与客户端相连一侧的网闸地址网闸两侧网络 地址同网段 支持支持 网闸两侧网络 地址不同网段 支持支持 双机热备支持支持 负载均衡不支持支持 ◆硬件架构原理图如下 二、网闸主要配置抓图 2.1、内网配置抓图: ◆登陆界面

联想网御最终配置手册

联想网御防火墙配置手册 1 登陆方法 1.1 使用电子钥匙方式登陆防火墙 在Web 界面管理中,管理主机默认只能连接防火墙的fe1,如果需要连接其它网口,必须进行相应的设置。默认的管理主机IP 地址是10.1.5.200,Web 界面管理使用SSL 协议来加密管理数据通信,因此使用IE 来管理防火墙时,在地址栏输入https://a.b.c.d:8888/,来登录防火墙。其中防火墙的地址“a.b.c.d”初始值为“10.1.5.254”,登录防火墙的初始用户名和口令都是“administrator”,“administrator”中所有的字母都是小写的。 注意:用Web 界面管理时,建议管理主机设成小字体,分辨率为1024*768;其他字体和分辨率可能使界面显示不全或顺序混乱。 管理员通过Web 方式管理防火墙有两种认证方式,电子钥匙认证和证书认证。使用电子钥匙时,首先将电子钥匙插入管理主机的usb 口,启动用于认证的客户端ikeyc.exe,输入PIN 密码,默认为12345678,系统会读出用于认证的ikey 信息,此时窗口右边的灯是红的。(如下图所示) 选择“连接”,连接进行中灯是黄的,如果连接成功,灯会变绿,并且出现通过认证的提示框,“确定”后,就可以通过https://10.1.5.254:8888 连接防火墙了。(如下图所示)

注意:防火墙管理过程中,请不要拔下电子钥匙,也不要关闭防火墙管理认证客户端,否则可能无法管理。 1.2使用管理证书认证方式远程登陆防火墙 1.2.1远程登陆防火墙的条件 1、必须在先使用电子钥匙登陆防火墙,在“系统配置>>管理配置>>管理证书” 页面上载防火墙证书。(附图1) 2、在准备登陆防火墙的计算机上导入浏览器认证证书“admin.p12”。(附图2) 3、在“系统配置〉〉管理配置〉〉管理主机”页面添加管理主机。(附图3) 4、对“网络配置〉〉网络设备”页面中的fe4口进行操作(附图4)。打开“用 于管理”选项。(附图5) 附图1 说明:选择好相应的证书和密钥,点击“导入”即可。

服务器基本安全配置

服务器基本安全配置 1.用户安全 (1)运行lusrmgr.msc,重命名原Administrator用户为自定义一定长度的名字,并新建同名 Administrator普通用户,设置超长密码去除所有隶属用户组。 (2)运行gpedit.msc——计算机配置—安全设置—账户策略—密码策略 启动密码复杂性要求,设置密码最小长度、密码最长使用期限,定期修改密码保证服务器账户的密码安全。 (3)运行gpedit.msc——计算机配置—安全设置—账户策略—账户锁定策略 启动账户锁定,设置单用户多次登录错误锁定策略,具体设置参照要求设置。

(4)运行gpedit.msc——计算机配置—安全设置—本地策略—安全选项 交互式登录:不显示上次的用户名;——启动 交互式登录:回话锁定时显示用户信息;——不显示用户信息 (5)运行gpedit.msc——计算机配置—安全设置—本地策略—安全选项 网络访问:可匿名访问的共享;——清空 网络访问:可匿名访问的命名管道;——清空 网络访问:可远程访问的注册表路径;——清空 网络访问:可远程访问的注册表路径和子路径;——清空 (6)运行gpedit.msc——计算机配置—安全设置—本地策略 通过终端服务拒绝登陆——加入一下用户(****代表计算机名)ASPNET Guest IUSR_***** IWAM_***** NETWORK SERVICE SQLDebugger 注:用户添加查找如下图:

(7)运行gpedit.msc——计算机配置—安全设置—本地策略—策略审核 即系统日志记录的审核消息,方便我们检查服务器的账户安全,推荐设置如下: (8)

第 9 部分 Informix 复制技术

第9 部分: Informix 复制技术 关于本教程 本教程讨论 IDS 11.50 提供的各种复制和高可用性技术。它解释了如何配置High Availability Data Replication (HDR)、Enterprise Replication (ER)、Remote Standalone secondary (RSS) 服务器、Shared Disk secondary (SDS) 服务器和持续日志恢复。 目标 本教程主要帮助您熟悉: ?IDS 提供的各种复制技术 ?各种复制技术之间的区别 ?不同的复制术语 ?如何设置 HDR、ER、RSS、SDS 和持续日志恢复

?容量释放:您可以将 OLTP 数据传播到备份站点,可以在报告时将用户引导到备份站点。这样,就可以在主站点上为与 OLTP 相关的用户提供更多的容量。 ?高可用性:在主站点更新数据,然后再复制到备份站点。当主站点出现故障时,备份站点将成为主站点。 ?数据合并:您可以将远程数据合并到中央服务器中。例如,您可以合并分支机构的数据。 ?分布式可用性:您可以从中央服务器将数据分布到不同位置。例如,您可以从总部将数据分发到分支机构。 ?就地更新:以点对点的方式在任意站点上更新数据,从而保持数据的一致性。 ?主服务器和备份服务器的操作系统和硬件相同。不能在不同的操作系统之间设置 HDR。

?添加到每个服务器的块的磁盘布局必须相同。必须在备份服务器上创建可用的驻留数据库块的设备,并且其 PATH 值必须与主服务器一样。这可以通过符号链接来实现。 ?HDR 主服务器和备份服务器上的 IDS 的版本必须一样。 ?必须记录数据库日志。 ?如果使用 blob 数据库类型,那么它们必须储存在 dbspace 中。将不复制存储在 dbspace 中的 blob 数据类型。 ?如果根块(chunk)被映射到主服务器,那么也必须将它映射到备份服务器。 ?HDR 使用 TCP/IP 连接。数据库服务器的名称(DBSERVERANME 配置参数的值)必须设置为 sqlhosts 文件中的 TCP/IP 连接。 ?主服务器和备份服务器都必须是可信的。为用户 informix 修改 .rhosts 或 /etc/hosts.equiv 以建立可信通信。 ?DRAUTO:DRAUTO 配置参数决定在主服务器失败时备份服务器采取什么操作。该参数的设置在主服务器和备份服务器中必须相同。需要谨慎地使用该参数。如果出现临时的网络失败,每个服务器都能感知对方宕机。对于这种情况,如果 DRAUTO 设置为 1,备份服务器将转变为标准服务器,而主服务器停止复制。客户端将分别尝试在这两个服务器上更新数据。这可能导致服务器不能保持同步。根据 DRAUTO 的设置不同,备份服务器可能执行以下操作之一: o如果 DRAUTO 设置为 0,备份服务器将保持只读状态,直至手动地将其切换为主服务器或切换到标准模式。 o如果 DRAUTO 设置为 1(RETAIN_TYPE),备份服务器在主服务器失败时自动切换为标准服务器。当 HDR 对重新启动时,该服务器 将重新切换回到备份服务器。 o如果 DRAUTO 设置为 2(REVERSE_TYPE),备份服务器在主服务器失败时自动切换成主服务器。当 HDR 对重新启动之后,该服务器 将切换为主服务器(而原先的主服务器切换为备份服务器)。 ?DRINTERVAL:DRINTERVAL 指定 HDR 数据缓冲区刷新之间的最大秒数。该参数在主服务器和备份服务器上的设置必须相同。 HDR 有两个主要操作模式:同步和异步。让我们看看更新如何从主服务器传播到备份服务器。 当主服务器开始将共享内存中的逻辑日志缓冲区的内容转储到磁盘的逻辑日志时,它同样将逻辑日志缓冲区的内容复制到一个数据复制缓冲区。

联想网御Power V系列配置案例集11(静态、默认、策略、ISP路由配置案例)

11.1 静态路由配置 配置需求:访问目的网络2.2.2.0/24,下一跳为192.168.83.108。 (1)进入到【路由管理】-【基本路由】-【静态路由表】中,新建一条静态路由表。 (2)目的地址:需要访问的目标网络 掩码:目标网络的掩码 下一跳地址:防火墙流出网口的对端设备地址 Metric:优先级,metric值越小优先级越高 网络接口:防火墙的流出接口 (3)在进入到【状态监控】-【状态信息】-【网络测试】中选择【routeshow】,开始调试。 如果静态路由生效,如下图所示。

注意事项: (1)下一跳地址一定要输入正确,这个地址不是防火墙的出口地址。 (2)下一跳地址一定可达有效的地址,可以在【状态监控】-【状态信息】-【网络测试】测试下可达性。 11.2 默认路由配置 配置需求:经过防火墙的数据包全部转发给211.211.211.210. (1)进入到【路由管理】-【基本路由】-【默认路由】中,新建一条默认路由。 (2)默认网关:211.211.211.210; 权重值:多条默认路由时使用,权重越大负载分担时流经的数据包所占比重越高

(3)在进入到【状态监控】-【状态信息】-【网络测试】中选择【routeshow】,开始调试。 如果默认路由生效,如下图所示。 注意事项: (1) 配置多条默认路由时,一定勾选【启用基于状态回包功能】,权重值越大,分担的流量越多。 (2) 默认路由生效了,在【状态监控】-【状态信息】-【网络测速】中选择【ping】下网关地址,确保可达性。 11.3 策略路由配置

配置需求:内网192.168.1.0/24网段访问8.8.8.0/24通过eth0口路由出去。 (1)进入到【路由管理】-【基本路由】-【策略路由】中,新建一条高级路由表。 命名路由表名称和路由表ID 点击新建路由表后面的操作按钮,新建路由表内容

AWS服务器配置部署手册

A W S服务器配置部署手 册 Company Document number:WTUT-WT88Y-W8BBGB-BWYTT-19998

aws服务器配置部署手册 一、实例的启动(创建) 1.什么是实例 在所有工作之前,我们来看一看什么是AmazonEC2.根据其官方文档的解释如下: 在知道什么是AmazonEC2,之后我们就可以开始我们的工作了。 AmazonEC2提供不同的实例类型,以便可以选择需要的CPU、内存、存储和网络容量来运行应用程序。登录帐号,进入EC2的控制面板,启动实例。 2.实例的相关配置 根据我们的需求选择MicrosoftWindowsServer2012R2Base,。 其他过程直接选择默认配置,点击配置安全组。 默认的安全组只有一个规则,这条规则对应的是远程桌面连接的端口。但是只有这条规则是不够的,为了方便我们之后服务器的配置以及网站的部署,我们得添加其他的规则,下图是我配置帕累托后台所用的安全组。(有关安全组端口作用在附件中有部分说明,详见附件1) 完成相关工作之后,点击审核和启动,会跳出如下页面,这一步很重要!因为在这创建的密钥对,以后都会用到。 在保存好密钥对之后就可以启动实例了。 3.绑定弹性IP 在导航栏中找到弹性IP,点击分配新地址。创建好之后右击,选择关联地址,将其关联到我们的实例上。

二、服务器的配置 1.远程桌面连接 实例在创建完成之后,就要配置服务器了。在配置服务器时,需要通过远程桌面连接进入实例进行配置。 首先查看我们实例的安全组有没有配置远程连接的端口,如果没有进行添加配置(导航栏中找到安全组,点击进入)。 若实例需要添加安全组,在安全组创建之后可以右击实例更改安全组进行安全组的绑定。 在完成端口的开放之后,就可以进行远程桌面连接了。右击我们的实例,点击连接,跳出如下画面。 首先通过之前保存的密钥对获取密码,然后通过下载的远程桌面文件和解密得到的密码进行连接。 2.服务器配置之添加角色和功能 进入后点击开始按钮,选择服务器管理器(实例中默认的服务器只有一个,我们的工作只需要一个,所以暂不做添加修改。) 点击第二项添加角色和功能,一路下一步,直到服务器和角色页面,勾选Web 服务器(IIS)选项(根据个人需求进行相关筛选), 在功能页面同样勾选需要的功能,最后确认并安装。 3.服务器配置之防火墙配置 在服务器配置中还有一个非常重要的步骤——防火墙的配置。之前因为没有对防火墙进行相关配置,导致本人焦头烂额,始终无法从外部网络连接至服务器。

数据库安装配置文档

鸿蚨电子商务平台 数据库 安装配置文档
数据库安装配置 ....................................................................................................................... 2 安装流程 ............................................................................................................................... 2 1. 2. 3. 根据服务器安装配置文档,配置服务器 (略) ................................................ 2 FTP 上传数据库二进制文件 ............................................................................. 2 添加数据库用户 ................................................................................................ 2
3.1. 3.2. 添加数据库用户组 ............................................................................................... 2 添加数据库用户 ................................................................................................... 2
4.
安装 ncurses ....................................................................................................... 3
4.1. 4.2. 4.3. 4.4. 4.5. FTP 上传源码安装包 ............................................................................................ 3 解压缩源码安装包 ............................................................................................... 3 进入安装目录 ....................................................................................................... 3 配置安装变量 ....................................................................................................... 3 编译安装 ............................................................................................................... 3
5.
安装数据库 ........................................................................................................ 3
5.1. 5.2. FTP 上传 mysql 源码安装包................................................................................. 3 解压缩 mysql 压缩包 ........................................................................................... 3

web服务器的安全配置(以windows为例)

6、先关闭不需要的端口开启防火墙导入IPSEC策略 在” 网络连接”里,把不需要的协议和服务都删掉,这里只安装了基本的Internet协议(TCP/IP),由于要控制带宽流量服务,额外安装了Qos数据包计划程序。在高级tcp/ip设置里--"NetBIOS"设置"禁用tcp/IP上的NetBIOS(S)"。在高级选项里,使用"Internet连接防火墙",这是windows 2003 自带的防火墙,在2000系统里没有的功能,虽然没什么功能,但可以屏蔽端口,这样已经基本达到了一个IPSec 的功能。 然后点击确定—>下一步安装。(具体见本文附件1) 3、系统补丁的更新 点击开始菜单—>所有程序—>Windows Update 按照提示进行补丁的安装。 4、备份系统 用GHOST备份系统。 5、安装常用的软件 例如:杀毒软件、解压缩软件等;安装完毕后,配置杀毒软件,扫描系统漏洞,安装之后用GHOST再次备份

修改3389远程连接端口 修改注册表. 开始--运行--regedit 依次展开HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/ TERMINAL SERVER/WDS/RDPWD/TDS/TCP 右边键值中PortNumber 改为你想用的端口号.注意使用十进制(例10000 ) HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/TERMINAL SERVER/ WINSTATIONS/RDP-TCP/ 右边键值中PortNumber 改为你想用的端口号.注意使用十进制(例10000 )

informix安装手册

网管三期informix安装配置手册 亿阳信通股份有限公司 2003年9月

版权所有 本产品或文档受版权保护,其使用、复制、发行和反编译均受许可证限制。未经亿阳及其授权者事先的书面许可,不得以任何形式、任何手段复制本产品及其文档的任何部分。

目录 目录__________________________________________________________________________ 3第一章前言 ________________________________________________________________ 4 1.1目的______________________________________________________________________ 4 1.2内容______________________________________________________________________ 4 1.3谁应该读这本书_____________________________________________________________ 4第二章准备安装 __________________________________________________________ 5 2.1准备用户__________________________________________________________________ 5 2.2准备安装媒介_______________________________________________________________ 5 2.3准备环境变量_______________________________________________________________ 5第三章安装与配置 _______________________________________________________ 6 3.1安装Informix Online _______________________________________________________ 6 3.2 Informix系统环境设置_____________________________________________________ 6 3.3 Informix运行环境设置_____________________________________________________ 6 3.4准备数据库服务器硬盘空间___________________________________________________ 7第三章 informix client安装_________________________________________ 10附录: ______________________________________________________________________ 10

联想网御PowerV系列配置案例集9(双出口端口映射配置案例)

9.1网络需求 某企业网络接入联通,电信两个运营商,要将内网web 服务器(192.168.1.11 ) 的web 端口映射到公网。为了提高互联网访问速度,实现电信用户访问电信接口 地址,联通用户访问联通接口地址进行访问 9.2网络拓扑 9.3配置流程 配置端口映射策略,将内网服务器映射到公网 配置安全策略,允许外网用户访问内网 9.4配置步骤 (1) 配置网络连通性 保证防火墙外网接口到互联网能够连通,内网接口到服务器能够连通 联通 警理員 电信 UJLQ 用户 用户 (1) 配置网络联通性 定义IP 地址对象、 开放端口对象 Internet 网御防火墙 交掬机 Internet

(2)定义IP地址对象、开放端口对象 在【防火墙】--【地址】--【地址】定义内网服务器地址。此处掩码必须配255.255.255.255 L nJ ■ an* 在【防火墙】--【服务】--【基本服务】定义开放的端口号 Infm 注:源端口低和高一般不需要填写,除非是客户端限定了访问源端口(3)配置端口映射规则 在【防火墙】--【策略】--【NAT策略】--选择端口映射 ■IM I ■BUM

公开地址:需要映射的外网口地址 (必须为物理接口或者别名设备地址) 拨号用户选择拨号获取到的公网地址即可 内部地址:在地址列表里定义的服务器地址 对外服务:需要对外开放的端口,此处选择 web 端口 注:系统预定义大量常用端口,可以直接使用 对内服务:内网服务器需要开放的端口,此处选择 web 端口 注:对内服务、对外服务可以不一致,即对外服务为 8080,对内服 务可以为80 * Rt -NML ■窗Hi ■马 ■纠删 -H*lMt ? b!h?? -RMtfi 肿讯 a^RQ 9K3 ■毗 I FWWV Hit 首初 1 SMI9 口

2003服务器安全配置教程

WEB+FTP+Email服务器安全配置手册 作者:阿里西西 2006-8-11

目录第一章:硬件环境 第二章:软件环境 第三章:系统端口安全配置 第四章:系统帐户及安全策略配置 第五章:IIS和WEB站点文件夹权限配置第六章:FTP服务器安全权限配置 第七章:Email服务器安全权限配置 第八章:远程管理软件配置 第九章:其它安全配置建议 第十章:篇后语

一、硬件环境 服务器采用1U规格的机架式托管主机,大概配置为Nocona2.8G/1G DDR2/160G*2SATA 硬盘/双网卡/光驱软驱/3*USB2.0。 二、软件环境 操作系统:Windows Server 2003 Enterprise Edition sp1 WEB系统:Win操作系统自带IIS6,支持.NET 邮件系统:MDaemon 8.02英文版 FTP服务器系统:Serv-U 6.0.2汉化版 防火墙: BlackICE Server Protection,中文名:黑冰 杀毒软件:NOD32 2.5 远程管理控件:Symantec pcAnywhere11.5+Win系统自带的MSTSC 数据库:MSSQL2000企业版 相关支持组件:JMail 4.4专业版,带POP3接口;ASPJPEG图片组件 相关软件:X-SCAN安全检测扫描软件;ACCESS;EditPlus [相关说明] *考虑服务器数据安全,把160G*2硬盘做成了阵列,实际可用容易也就只有一百多G了。 *硬盘分区均为NTFS分区;NTFS比FAT分区多了安全控制功能,可以对不同的文件夹设置不同的访问权限,安全性增强。操作系统安装完后,第一时间安装NOD32杀毒软件,装完后在线更新病毒库,接着在线Update操作系统安全补丁。 *安装完系统更新后,运行X-SCAN进行安全扫描,扫描完后查看安全报告,根据安全报告做出相应的安全策略调整即可。 *出于安全考虑把MSTSC远程桌面的默认端口进行更改。

windows系统下Informix_11.7安装手册

windows系统下Informix 11.7安装手册1. 概述 Informix在windows系统下的安装过程与Linux下的有些不同,这里通过实际操作,详细描述了Informix在windows系统下的安装,创建实例,配置数据库的过程. 2. 安装环境 超级用户:informix 密码:informix 一般用户:XYRZ 密码:XYRZ 实例名:ol_informix1170 端口:9088 数据库名:xydb 3 informix软件安装 得到Informix 11.7 developer edition在windows32位系统下的安装包iif.11.70.TC5DE.win2003,大小约为498MB,安装包为.zip的压缩文件。 因Informix软件需要使用Informix账户进行管理,所以在安装之前需要创建Informix用户。如果系统中没有预先创建Informix账户,则Informix Server的安装过程中将自动创建该用户,下面以没有预先创建Informix账户的环境为例,详细介绍安装过程。 1)将得到的安装包解压到合适的位置。 2)双击启动安装程序ids_install.exe,得到如下图所示安装界面,单击next按钮进入 下一步

单击“next”按钮。 4)单击next按钮后得到如下安装界面。选择合适的安装位置来安装Informix Server, 默认为:C:\Program Files\IBM\Informix\11.70。这里选择e盘下的Informix文件夹作为安装位置(e:\Informix),在地址栏里输入e:\Informix。也可以通过点击“choose” 按钮来选择安装位置或点击“Restore Default Folder”来重新使用默认安装路径。 然后单击“next”按钮。

服务器硬件配置和服务器安全配置信息(全能)

WEB 服务器硬件配置方案 一、入门级常规服务器硬配置方案: 备注:作为WEB服务器,首先要保证不间断电源,机房要控制好相对温度和湿度。这里有额外配置的UPS不间断电源和稳压器,此服务器配置能胜基本的WEB请求服务,如大量的数据交换,文件读写,可能会存在带宽瓶颈。 二、顶级服务器配置方案

备注: 1,系统支持Windows Server 2003 R2 Enterprise Edition、Windows Server 2003 R2 Web Edition、Windows Server 2003 R2 x64 Enterprise Edition、Windows Server 2003 R2 x64 Standard Edition、Windows Storage Server 2003 R2 Workgroup Edition 2,工作环境:相对工作温度10℃-35℃,相对工作湿度20%-80% 无冷凝,相对存储温度-40℃-65℃,相对湿度5%-95% 无冷凝 3,以上配置为统一硬件配置,为DELL系列服务器标准配置,参考价位¥13000 WEB 服务器软件配置和安全配置方案 一、系统的安装 1、按照Windows2003安装光盘的提示安装,默认情况下2003没有把IIS6.0安装在系统里面。 2、IIS6.0的安装 开始菜单—>控制面板—>添加或删除程序—>添加/删除Windows组件 应用程序———https://www.wendangku.net/doc/9512010905.html,(可选) |——启用网络COM+ 访问(必选)

|——Internet 信息服务(IIS)———Internet 信息服务管理器(必选) |——公用文件(必选) |——万维网服务———Active Server pages(必选) |——Internet 数据连接器(可选) |——WebDAV 发布(可选) |——万维网服务(必选) |——在服务器端的包含文件(可选) 然后点击确定—>下一步安装。 3、系统补丁的更新 点击开始菜单—>所有程序—>Windows Update 按照提示进行补丁的安装。 4、备份系统 用GHOST备份系统。 5、安装常用的软件 例如:杀毒软件、解压缩软件等;安装之后用GHOST再次备份系统。 二、系统权限的设置 1、磁盘权限 系统盘及所有磁盘只给Administrators 组和SYSTEM 的完全控制权限 系统盘\Documents and Settings 目录只给Administrators 组和SYSTEM 的完全控制权限 系统盘\Documents and Settings\All Users 目录只给Administrators 组和SYSTEM 的完全控制权限 系统盘\Inetpub 目录及下面所有目录、文件只给Administrators 组和SYSTEM 的完全控制权限 系统盘\Windows\System32\cacls.exe、cmd.exe、net.exe、net1.exe 文件只给Administrators 组和SYSTEM 的完全控制权限 2、本地安全策略设置 开始菜单—>管理工具—>本地安全策略 A、本地策略——>审核策略 审核策略更改成功失败 审核登录事件成功失败 审核对象访问失败 审核过程跟踪无审核 审核目录服务访问失败 审核特权使用失败 审核系统事件成功失败 审核账户登录事件成功失败 审核账户管理成功失败 B、本地策略——>用户权限分配 关闭系统:只有Administrators组、其它全部删除。 通过终端服务拒绝登陆:加入Guests、User组 通过终端服务允许登陆:只加入Administrators组,其他全部删除 C、本地策略——>安全选项 交互式登陆:不显示上次的用户名启用 网络访问:不允许SAM帐户和共享的匿名枚举启用 网络访问:不允许为网络身份验证储存凭证启用 网络访问:可匿名访问的共享全部删除

INFORMIX-ESQL/C介绍

第二章INFORMIX-ESQL/C简介

融海咨询 本章介绍INFORMIX-ESQL/C产品和它在Informix提供的应用程序开发工具集中所处的地位。 介绍INFORMIX-ESQL/C的总体概貌,使你了解该产品在应用开发过程中所起的作用。 介绍随INFORMIX-ESQL/C产品所带的示例数据库。 简短地回顾一下特定于INFORMIX的环境变量,使用户可以设置自己的环境来使用INFORMIX-ESQL/C。

融海咨询 INFORMIX-ESQL/C是一个应用开发工具,它使得构建应用程序的C程序员拥有一个访问Informix数据库的接口。 开发人员使用库、头文件和预编译器来直接在C程序中嵌入SQL 语句。 INFORMIX-ESQL/C具有众多的组织成库形式的例程来帮助用户— ●使用所有的SQL数据类型 ●解释状态消息 ●使用Informix子进程 INFORMIX-ESQL/C有时简称为ESQL/C。在本教程中,几乎无一例外地使用后一种称呼。

融海咨询 在使用ESQL/C之前,必须设置好下面的环境变量: INFORMIXDIR INFORMIX- ESQL/C所位于的目录 PATH 执行程序的搜索路径 用户可以在系统提示符下或在.profile( B shell )文件或.login( C shell )文件中设置这些变量。如果是在系统提示符下设置环境变量,则用户每次登录时要重新设置它们。如果是在.profile或.login文件中设置,则用户每次登录时,环境变量会自动被设置。 使用Bourne shell时,设置环境变量如下: INFORMIXDIR=usr/informix/; export INFORMIXDIR PATH=$INFORMIXDIR/bin:$PATH; export PATH 使用C shell时,设置如下: setenv INFORMIXDIR /usr/informix setenv PATH ${INFORMIXDIR}/bin:${PATH}当用户运行INFORMIX-OnLine时,还应当把环境变量SQLEXEC 设置为$INFORMIXDIR/lib/sqlturbo,把环境变量TBCONFIG设置为合适的值。 运行INFORMIX-NET、INFORMIX-STAR或INFORMIX-OnLine时,可能还有其它的环境变量需要设置。

最新最新版本服务器系统安全配置

2003服务器系统安全配置-中级安全配置 08-06-16 05:27 发表于:《玉色主流空间》分类:未分类 [作者:墨鱼来源:互联网时间:2008-6-14QQ书签搜藏]【大中小】 2003服务器系统安全配置-中级安全配置!做好此教程的设置可防御一般 入侵,需要高级服务器安全维护,请联系我。我们一起交流一下!做为一 个网管,应该在处理WEB服务器或者其他服务器的时候配合程序本身或者 代码本身去防止其他入侵,例如跨站等等!前提,系统包括软件服务等的 密码一定要强壮! 服务器安全设置 1.系统盘和站点放置盘必须设置为NTFS格式,方便设置权限. 2.系统盘和站点放置盘除administrators 和system的用户权限全部去 除. 3.启用windows自带防火墙,只保留有用的端口,比如远程和 Web,Ftp(3389,80,21)等等,有邮件服务器的还要打开25和130端口.

4.安装好SQL后进入目录搜索 xplog70 然后将找到的三个文件改名或者删除.

5.更改sa密码为你都不知道的超长密码,在任何情况下都不要用sa这个帐户. 6.改名系统默认帐户名并新建一个Administrator帐户作为陷阱帐户,设置超长密码,并去掉所有用户组.(就是在用户组那里设置为空即可.让这个帐号不属于任何用户组)同样改名禁用掉Guest用户.

7.配置帐户锁定策略(在运行中输入gpedit.msc回车,打开组策略编辑器,选择计算机配置-Windows设置-安全设置-账户策略-账户锁定策略,将账户设为“三次登陆无效”,“锁定时间30分钟”,“复位锁定计数设为30分钟”。) 8.在安全设置里本地策略-安全选项将 网络访问:可匿名访问的共享 ; 网络访问:可匿名访问的命名管道 ; 网络访问:可远程访问的注册表路径 ; 网络访问:可远程访问的注册表路径和子路径 ; 以上四项清空.

相关文档
相关文档 最新文档