本文檔與站點服務器安全有關,由本人根據實際工作經驗編寫而成;這里只是一個初稿,以后有時間我會更新它。站點服務器通常指托管在IDC機房的服務器,如果你有服務器托管在IDC那里,就不得不對它們的安全予以關注。如果你是網絡程序員或系統管理員,本文或許會對你有所幫助,如果你是專業安全管理員,那么看一下本文也無妨。
站點安全應該包括幾部分:物理安全、網絡安全、系統安全以及安全管理,下面從這幾方面予以闡述。
一. 物理安全
服務器運行的物理安全環境是很重要的,很多人忽略了這點。物理環境主要是指服務器托管機房的設施狀況,包括通風系統、電源系統、防雷防火系統以及機房的溫度、濕度條件等。這些因素會影響到服務器的壽命和所有數據的安全。我不想在這里討論這些因素,因為在選擇IDC時你自己會作出決策。
在這里著重強調的是,有些機房提供專門的機柜存放服務器,而有些機房只提供機架。所謂機柜,就是類似于家里的櫥柜那樣的鐵柜子,前后有門,里面有放服務器的拖架和電源、風扇等,服務器放進去后即把門鎖上,只有機房的管理人員才有鑰匙打開。而機架就是一個個鐵架子,開放式的,服務器上架時只要把它插到拖架里去即可。這兩種環境對服務器的物理安全來說有著很大差別,顯而易見,放在機柜里的服務器要安全得多。
如果你的服務器放在開放式機架上,那就意味著,任何人都可以接觸到這些服務器。別人如果能輕松接觸到你的硬件,還有什么安全性可言?以下是幾個不安全的事例:
很多Windows服務器采用終端服務進行管理,在一個機架式的機房里,你可以隨便把顯示器接在哪臺服務器上。如果你碰巧遇到某臺機器的管理員或使用者正通過終端使用這臺機器,那么他的操作你可以一覽無余。甚至,你可以把鍵盤接上去,把他kill off,然后完全控制這臺機器。當然,這種事情比較少見,但不意味著不可發生。
另外,很多Unix系統的管理員在離開機房時,沒有把root或其他帳號的shell從鍵盤退出,這樣你只要把鍵盤和顯示器接上去,就完全可以獲取這個shell的權限。這可比遠程攻擊獲取系統權限容易得太多。我有次在機房時想要一個unix shell臨時使用一下,于是我把顯示器在旁邊機架的幾臺服務器上接了一下,很快就發現一個沒有退出的root shell,我把鍵盤接上去,做完我自己的事后,幫他退出了這個shell。如果我是一個不安好心的人,我完全可以在他的服務器里不帶任何痕跡的安裝一個木馬(RootKit)。
某天我看到一個公司的維護人員在機房調試專線時,懷疑是協議轉換儀有問題,于是他毫不猶豫的把旁邊一個機架上的協議轉換儀拔下來,接到他自己的專線上用于調試。被破壞的服務器數據傳輸會中斷幾分鐘,這對某些公司可能是致命的,而他們的服務器管理人員可能到死也查不出原因!
還有,用一張Linux光盤引導Linux系統,你可以毫無障礙的重新獲取主機的root權限;你可以無意中碰動別人的電源,等等,不在這里贅述。所有這些是要說明一點,放在開放機架上的服務器是不安全的。如果你的服務器硬件可以讓其他人輕易接觸,那么不出事是你的幸運,出事了你也找不到原因或找不到責任人。
而放在密封式機柜里的服務器會安全很多,一般情況下,你的所有服務器放在一起(同一個機柜或者幾個機柜)是明智之舉,機柜里不要有其他公司的服務器。如果你的服務器只有有限的幾臺,那么放在機柜里也會安全很多。因為不是任何人都可以打開機柜接觸到你的硬件,就算同一個機柜的其他公司的服務器的維護人員有這個機會,但風險也要小得多。而且,就算出事了,你也可以追查到責任人。
有一次我們的服務器因為電源斷掉,而中斷幾個小時,我們根據系統日志很快判斷出服務器的down機情況,在追查責任時,我首先想到是IDC機房的維護人員的責任,因為在我們那個機柜里沒有其他公司的服務器,別人不會接觸到那里面的電源。后來經查實,果然是該IDC的電工在弄電時不小心把我們的服務器電源斷掉,他們向我們出具了道歉聲明。而如果在一個開放式機架的機房里,碰到這樣的情況你無從查起。
如果你的服務器只能放在開放式機架的機房,那么你可以這樣做:1)將電源用膠帶綁定在插槽上,這樣避免別人無意中碰動你的電源;2)安裝完系統后,重啟服務器,在重啟的過程中把鍵盤和鼠標拔掉,這樣在系統啟動后,普通的鍵盤和鼠標接上去以后不會起作用(USB鼠標鍵盤除外)3)跟機房值班人員搞好關系,不要得罪機房里其他公司的維護人員。這樣做后,你的服務器至少會安全一些。
二. 網絡安全
網絡安全是指你機房的服務器要有合理的安全拓撲結構。安全的網絡環境會讓你的系統管理任務輕松很多,否則你會時刻提心吊膽。例如,如果你的NFS服務器直接面對互聯網,那么你的麻煩就來了。因此,在服務器的前面,至少要有網絡屏蔽設施,或稱為防火墻。
從頭部署新的防火墻策略是一件復雜的事情,你要綜合考慮許多方面。一般來說,防火墻有兩種工作模式,稱為路由模式和透明模式,在路由模式下,防火墻就象一個路由器,能進行數據包的路由。不同的是,它能識別網絡第四層協議(即傳輸層)的信息,因此它能基于TCP/UDP端口來進行過濾。在該模式下,防火墻本身要配備兩個或多個網絡地址,你的網絡結構會被改變。在透明模式下,防火墻更象一個網橋,它不干涉網絡結構,從拓撲中看來,它似乎是不存在的(因此稱為透明)。但是,透明模式的防火墻同樣具備數據包過濾的功能。透明模式的防火墻不具備IP地址。這兩種模式的防火墻都提供網絡訪問控制功能,例如你可以在防火墻上設置,過濾掉來自因特網的對服務器的NFS端口的訪問請求。
在網絡中使用哪種工作模式的防火墻壬能少的用戶。一般域中兩個用戶就夠了,一個Administrators組的用戶,一個普通用戶。請記住,域的Administrators組的用戶(通常是administrator)對你的每一臺加入域的服務器都有生死控制權,所以你應絕對保證這個帳戶的安全。
不管是系統的root密碼還是普通用戶密碼,都應定期更改。我一般每兩個月更改一次系統root密碼。當然,如發現系統有被入侵跡象,應馬上更改密碼。對于用戶密碼,不管在什么系統中,都可以設置密碼過期期限,用戶使用一段時間后必須更改密碼。有的用戶安全意識并不強烈,他們使用自己容易記住的詞匯作為口令,例如自己的英文名或者生日。這些都容易被猜測,你可以使用工具破解這些簡單口令。Unix下的John和Windows下的LC3都是非常好的密碼破解工具,在系統上運行它們幾分鐘就可以破解出一堆弱口令。口令過于簡單的用戶,一定要強制他們更改口令,否則后患無窮。如果用戶拒絕更改口令,那就刪除他們,我就做過這樣的事。
4.5 安全巡檢
最后要講的是安全巡檢,有時間就跑到機房看看去吧,看看服務器運行的環境,檢查一下電源和網線,摸摸機表的溫度,跟機房的值班人員聊聊天,都對你有好處。一般來說,就算服務器正常運行,每月也應去機房兩次。當然,來去打車的費用,希望你的公司給你報銷。
