WEB專用伺服器的安全設置的實戰技巧

WEB專用伺服器的安全設置的實戰技巧IIS的相關設置：刪除默認建立的站點的虛擬目錄，停止默認web站點，刪除對應的文件目錄c:inetpub，配置所有站點的公共設置，設置好相關的連接數限制，帶寬設置以及性能設置等其他設置。配置應用程序映射，刪除所有不必要的應用程序擴展，只保留asp，php，cgi，pl，aspx應用程序擴展。對於php和cgi，推薦使用isapi方式解析，用exe解析對安全和性能有所影響。用戶程序調試設置發送文本錯誤信息給戶。對於資料庫，盡量採用mdb後綴，不需要更改為asp，可在IIS中設置一個mdb的擴展映射，將這個映射使用一個無關的dll文件如C: WINNTsystem32inetsrvssinc.dll來防止資料庫被下載。設置IIS的日誌保存目錄，調整日誌記錄信息。設置為發送文本錯誤信息。修改403錯誤頁面，將其轉向到其他頁，可防止一些掃描器的探測。另外為隱藏系統信息，防止telnet到80埠所泄露的系統版本信息可修改IIS 的banner信息，可以使用winhex手工修改或者使用相關軟體如banneredit修改。對於用戶站點所在的目錄，在此說明一下，用戶的FTP根目錄下對應三個文件佳，wwwroot，database，logfiles，分別存放站點文件，資料庫備份和該站點的日誌。如果一旦發生入侵事件可對該用戶站點所在目錄設置具體的許可權，圖片所在的目錄只給予列目錄的許可權，程序所在目錄如果不需要生成文件(如生成html的程序)不給予寫入許可權。因為是虛擬主機平常對腳本安全沒辦法做到細緻入微的地步，更多的只能在方法用戶從腳本提升許可權：ASP的安全設置：設置過許可權和服務之後，防範asp木馬還需要做以下工作，在cmd窗口運行以下命令：regsvr32/u C:/WINNT/System32/wshom.ocxdel C:/WINNT/System32/wshom.ocxregsvr32/u C:/WINNT/system32/shell32.dlldel C:/WINNT/system32/shell32.dll即可將WScript.Shell, Shell.application, WScript.Network組件卸載，可有效防止asp木馬通過wscript或shell.application執行命令以及使用木馬查看一些系統敏感信息。另法：可取消以上文件的users用戶的許可權，重新啟動IIS即可生效。但不推薦該方法。另外，對於FSO由於用戶程序需要使用，伺服器上可以不註銷掉該組件，這裡只提一下FSO的防範，但並不需要在自動開通空間的虛擬商伺服器上使用，只適合於手工開通的站點。可以針對需要FSO和不需要FSO的站點設置兩個組，對於需要FSO的用戶組給予c: winntsystem32scrrun.dll文件的執行許可權，不需要的不給許可權。重新啟動伺服器即可生效。對於這樣的設置結合上面的許可權設置，你會發現海陽木馬已經在這裡失去了作用!PHP的安全設置：默認安裝的php需要有以下幾個注意的問題：C:/winnt/php.ini只給予users讀許可權即可。在php.ini里需要做如下設置：Safe_mode=onregister_globals = Offallow_url_fopen = Offdisplay_errors = Offmagic_quotes_gpc = On [默認是on，但需檢查一遍]open_basedir =web目錄disable_functions =passthru,exec,shell_exec,system,phpinfo,get_cfg_var,popen,chmod默認設置com.allow_dcom = true修改為false[修改前要取消掉前面的;]MySQL安全設置：如果伺服器上啟用MySQL資料庫，MySQL資料庫需要注意的安全設置為：刪除mysql中的所有默認用戶，只保留本地root帳戶，為root用戶加上一個複雜的密碼。賦予普通用戶 updatedeletealertcreatedrop許可權的時候，並限定到特定的資料庫，尤其要避免普通客戶擁有對mysql資料庫操作的許可權。檢查 mysql.user表，取消不必要用戶的shutdown_priv,reload_priv,process_priv和File_priv許可權，這些許可權可能泄漏更多的伺服器信息包括非mysql的其它信息出去。可以為mysql設置一個啟動用戶，該用戶只對mysql目錄有許可權。設置安裝目錄的data資料庫的許可權(此目錄存放了mysql資料庫的數據信息)。對於mysql安裝目錄給users加上讀取、列目錄和執行許可權。Serv-u安全問題：安裝程序盡量採用最新版本，避免採用默認安裝目錄，設置好serv-u目錄所在的許可權，設置一個複雜的管理員密碼。修改serv-u的 banner信息，設置被動模式埠範圍(4001—4003)在本地伺服器中設置中做好相關安全設置：包括檢查匿名密碼，禁用反超時調度，攔截「FTP bounce」攻擊和FXP，對於在30秒內連接超過3次的用戶攔截10分鐘。域中的設置為：要求複雜密碼，目錄只使用小寫字母，高級中設置取消允許使用 MDTM命令更改文件的日期。更改serv-u的啟動用戶：在系統中新建一個用戶，設置一個複雜點的密碼，不屬於任何組。將servu的安裝目錄給予該用戶完全控制許可權。建立一個FTP根目錄，需要給予這個用戶該目錄完全控制許可權，因為所有的ftp用戶上傳，刪除，更改文件都是繼承了該用戶的許可權，否則無法操作文件。另外需要給該目錄以上的上級目錄給該用戶的讀取許可權，否則會在連接的時候出現530 Not logged in, home directory does not exist。比如在測試的時候ftp根目錄為d:soft，必須給d盤該用戶的讀取許可權，為了安全取消d盤其他文件夾的繼承許可權。而一般的使用默認的 system啟動就沒有這些問題，因為system一般都擁有這些許可權的。資料庫伺服器的安全設置對於專用的MSSQL資料庫伺服器，按照上文所講的設置TCP/IP篩選和IP策略，對外只開放1433和5631埠。對於MSSQL首先需要為sa設置一個強壯的密碼，使用混合身份驗證,加強資料庫日誌的記錄,審核資料庫登陸事件的」成功和失敗」.刪除一些不需要的和危險的OLE自動存儲過程(會造成企業管理器中部分功能不能使用),這些過程包括如下:Sp_OACreate Sp_OADestroy Sp_OAGetErrorInfo Sp_OAGetPropertySp_OAMethod Sp_OASetProperty Sp_OAStop去掉不需要的註冊表訪問過程,包括有:Xp_regaddmultistring Xp_regdeletekey Xp_regdeletueXp_regenumvalues Xp_regread Xp_regremovemultistringXp_regwrite去掉其他系統存儲過程，如果認為還有威脅，當然要小心Drop這些過程，可以在測試機器上測試，保證正常的系統能完成工作，這些過程包括：xp_cmdshell xp_dirtree xp_dropwebtask sp_addsrvrolememberxp_makewebtask xp_runwebtask xp_subdirs sp_addloginsp_addextendedproc在實例屬性中選擇TCP/IP協議的屬性。選擇隱藏 SQL Server 實例可防止對1434埠的探測,可修改默認使用的1433埠。除去資料庫的guest賬戶把未經認可的使用者據之在外。例外情況是master和 tempdb 資料庫,因為對他們guest帳戶是必需的。另外注意設置好各個資料庫用戶的許可權，對於這些用戶只給予所在資料庫的一些許可權。在程序中不要用sa用戶去連接任何資料庫。網路上有建議大家使用協議加密的，千萬不要這麼做，否則你只能重裝MSSQL了。入侵檢測和數據備份入侵檢測工作作為伺服器的日常管理，入侵檢測是一項非常重要的工作，在平常的檢測過程中，主要包含日常的伺服器安全例行檢查和遭到入侵時的入侵檢查，也就是分為在入侵進行時的安全檢查和在入侵前後的安全檢查。系統的安全性遵循木桶原理，木桶原理指的是：一個木桶由許多塊木板組成，如果組成木桶的這些木板長短不一，那麼這個木桶的最大容量不取決於長的木板，而取決於最短的那塊木板。應用到安全方面也就是說系統的安全性取決於系統中最脆弱的地方，這些地方是日常的安全檢測的重點所在。日常的安全檢測日常安全檢測主要針對系統的安全性，工作主要按照以下步驟進行：1.查看伺服器狀態：打開進程管理器，查看伺服器性能，觀察CPU和內存使用狀況。查看是否有CPU和內存佔用過高等異常情況。2.檢查當前進程情況切換「任務管理器」到進程，查找有無可疑的應用程序或後台進程在運行。用進程管理器查看進程時裡面會有一項taskmgr，這個是進程管理器自身的進程。如果正在運行windows更新會有一項wuauclt.exe進程。對於拿不準的進程或者說不知道是伺服器上哪個應用程序開啟的進程，可以在網路上搜索一下該進程名加以確定[進程知識庫：[url]http://www.dofile.com/[/url]]。通常的後門如果有進程的話，一般會取一個與系統進程類似的名稱，如svch0st.exe，此時要仔細辨別[通常迷惑手段是變字母o為數字0，變字母l為數字1]3.檢查系統帳號打開計算機管理，展開本地用戶和組選項，查看組選項，查看administrators組是否添加有新帳號，檢查是否有克隆帳號。4.查看當前埠開放情況使用activeport，查看當前的埠連接情況，尤其是注意與外部連接著的埠情況，看是否有未經允許的埠與外界在通信。如有，立即關閉該埠並記錄下該埠對應的程序並記錄，將該程序轉移到其他目錄下存放以便後來分析。打開計算機管理==》軟體環境==》正在運行任務[在此處可以查看進程管理器中看不到的隱藏進程]，查看當前運行的程序，如果有不明程序，記錄下該程序的位置，打開任務管理器結束該進程，對於採用了守護進程的後門等程序可嘗試結束進程樹，如仍然無法結束，在註冊表中搜索該程序名，刪除掉相關鍵值，切換到安全模式下刪除掉相關的程序文件。5.檢查系統服務運行services.msc，檢查處於已啟動狀態的服務，查看是否有新加的未知服務並確定服務的用途。對於不清楚的服務打開該服務的屬性，查看該服務所對應的可執行文件是什麼，如果確定該文件是系統內的正常使用的文件，可粗略放過。查看是否有其他正常開放服務依存在該服務上，如果有，可以粗略的放過。如果無法確定該執行文件是否是系統內正常文件並且沒有其他正常開放服務依存在該服務上，可暫時停止掉該服務，然後測試下各種應用是否正常。對於一些後門由於採用了hook系統API技術，添加的服務項目在服務管理器中是無法看到的，這時需要打開註冊表中的 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices項進行查找，通過查看各服務的名稱、對應的執行文件來確定是否是後門、木馬程序等。6.查看相關日誌運行eventvwr.msc，粗略檢查系統中的相關日誌記錄。在查看時在對應的日誌記錄上點右鍵選「屬性」，在「篩選器」中設置一個日誌篩選器，只選擇錯誤、警告，查看日誌的來源和具體描述信息。對於出現的錯誤如能在伺服器常見故障排除中找到解決辦法則依照該辦法處理該問題，如果無解決辦法則記錄下該問題，詳細記錄下事件來源、ID號和具體描述信息，以便找到問題解決的辦法。7.檢查系統文件主要檢查系統盤的exe和dll文件，建議系統安裝完畢之後用dir *.exe /s >1.txt將C盤所有的exe文件列表保存下來，然後每次檢查的時候再用該命令生成一份當時的列表，用fc比較兩個文件，同樣如此針對dll文件做相關檢查。需要注意的是打補丁或者安裝軟體後重新生成一次原始列表。檢查相關係統文件是否被替換或系統中是否被安裝了木馬後門等惡意程序。必要時可運行一次程序對系統盤進行一次掃描處理。8.檢查安全策略是否更改打開本地連接的屬性，查看「常規」中是否只勾選了「TCP/IP協議」，打開「TCP/IP」協議設置，點「高級」==》「選項」，查看 「IP安全機制」是否是設定的IP策略，查看「TCP/IP」篩選允許的埠有沒有被更改。打開「管理工具」=》「本地安全策略」，查看目前使用的IP安全策略是否發生更改。9.檢查目錄許可權重點查看系統目錄和重要的應用程序許可權是否被更改。需要查看的目錄有c:;c:winnt;C:winntsystem32;c:winntsystem32inetsrv;c:winntsystem32inetsrvdata;c:documents andSettings;然後再檢查serv-u安裝目錄，查看這些目錄的許可權是否做過變動。檢查system32下的一些重要文件是否更改過許可權，包括：cmd，net，ftp，tftp，cacls等文件。10.檢查啟動項主要檢查當前的開機自啟動程序。可以使用AReporter來檢查開機自啟動的程序。發現入侵時的應對措施對於即時發現的入侵事件，以下情況針對系統已遭受到破壞情況下的處理，系統未遭受到破壞或暫時無法察覺到破壞先按照上述的檢查步驟檢查一遍後再酌情考慮以下措施。系統遭受到破壞後應立即採取以下措施：視情況嚴重決定處理的方式，是通過遠程處理還是通過實地處理。如情況嚴重建議採用實地處理。如採用實地處理，在發現入侵的第一時間通知機房關閉伺服器，待處理人員趕到機房時斷開網線，再進入系統進行檢查。如採用遠程處理，如情況嚴重第一時間停止所有應用服務，更改IP策略為只允許遠程管理埠進行連接然後重新啟動伺服器，重新啟動之後再遠程連接上去進行處理，重啟前先用AReporter檢查開機自啟動的程序。然後再進行安全檢查。以下處理措施針對用戶站點被入侵但未危及系統的情況，如果用戶要求加強自己站點的安全性，可按如下方式加固用戶站點的安全：站點根目錄----只給administrator讀取許可權，許可權繼承下去。wwwroot ------給web用戶讀取、寫入許可權。高級裡面有刪除子文件夾和文件許可權logfiles------給system寫入許可權。database------給web用戶讀取、寫入許可權。高級裡面沒有刪除子文件夾和文件許可權如需要進一步修改，可針對用戶站點的特性對於普通文件存放目錄如html、js、圖片文件夾只給讀取許可權，對asp等腳本文件給予上表中的許可權。另外查看該用戶站點對應的安全日誌，找出漏洞原因，協助用戶修補程序漏洞。數據備份和數據恢複數據備份工作大致如下：1. 每月備份一次系統數據。2. 備份系統後的兩周單獨備份一次應用程序數據，主要包括IIS、serv-u、資料庫等數據。3. 確保備份數據的安全，並分類放置這些數據備份。因基本上採用的都是全備份方法，對於數據的保留周期可以只保留該次備份和上次備份數據兩份即可。數據恢復工作：1.系統崩潰或遇到其他不可恢復系統正常狀態情況時，先對上次系統備份後發生的一些更改事件如應用程序、安全策略等的設置做好備份，恢復完系統後再恢復這些更改。2.應用程序等出錯採用最近一次的備份數據恢復相關內容。伺服器性能優化1 伺服器性能優化系統性能優化整理系統空間:刪除系統備份文件，刪除驅動備份，刪除不用的輸入法，刪除系統的幫助文件，卸載不常用的組件。最小化C盤文件。性能優化：刪除多餘的開機自動運行程序;減少預讀取，減少進度條等待時間;讓系統自動關閉停止響應的程序;禁用錯誤報告,但在發生嚴重錯誤時通知;關閉自動更新,改為手動更新計算機;啟用硬體和DirectX加速;禁用關機事件跟蹤;禁用配置伺服器嚮導;減少開機磁碟掃描等待時間;將處理器計劃和內存使用都調到應用程序上;調整虛擬內存;內存優化;修改cpu的二級緩存;修改磁碟緩存。IIS性能優化1、調整IIS高速緩存HKEY_LOCAL_MACHINE/ System/CurrentControlSet/Services/InetInfoParametersMemoryCacheSizeMemoryCacheSize的範圍是從0道4GB，預設值為3072000(3MB)。一般來說此值最小應設為伺服器內存的10%。 IIS通過高速緩存系統句柄、目錄列表以及其他常用數據的值來提高系統的性能。這個參數指明了分配給高速緩存的內存大小。如果該值為0，那就意味著「不進行任何高速緩存」。在這種情況下系統的性能可能會降低。如果你的伺服器網路通訊繁忙，並且有足夠的內存空間，可以考慮增大該值。必須注意的是修改註冊表後，需要重新啟動才能使新值生效。2.不要關閉系統服務: 「Protected Storage」3.對訪問流量進行限制A.對站點訪問人數進行限制B.站點帶寬限制。保持HTTP連接。C.進程限制, 輸入CPU的耗用百分比4.提高IIS的處理效率應用程序設置」處的「應用程序保護」下拉按鈕，從彈出的下拉列表中，選中「低(IIS進程)」選項,IIS伺服器處理程序的效率可以提高20%左右。但此設置會帶來嚴重的安全問題，不值得推薦。5.將IIS伺服器設置為獨立的伺服器A.提高硬體配置來優化IIS性能硬碟：硬碟空間被NT和IIS服務以如下兩種方式使用：一種是簡單地存儲數據;另一種是作為虛擬內存使用。如果使用Ultra2的SCSI硬碟，可以顯著提高IIS的性能。B.可以把NT伺服器的頁交換文件分布到多個物理磁碟上，注意是多個「物理磁碟」，分布在多個分區上是無效的。另外，不要將頁交換文件放在與WIndows NT引導區相同的分區中。C.使用磁碟鏡像或磁碟帶區集可以提高磁碟的讀取性能。D.最好把所有的數據都儲存在一個單獨的分區里。然後定期運行磁碟碎片整理程序以保證在存儲數據的分區中沒有碎片。使用NTFS有助於減少碎片。推薦使用Norton的Speeddisk，可以很快的整理NTFS分區。6.起用HTTP壓縮HTTP壓縮是在和瀏覽器間傳輸壓縮文本內容的方法。HTTP壓縮採用通用的壓縮演算法如gzip等壓縮HTML、javascript或CSS文件。可使用pipeboost進行設置。7.起用資源回收使用IIS5Recycle定時回收進程資源。伺服器常見故障排除1. ASP「請求的資源正在使用中」的解決辦法：該問題一般與軟體有關，在伺服器上安裝個人版軟體所致。出現這種錯誤可以通過卸載軟體解決，也可嘗試重新註冊 vbscript.dll和jscript.dll來解決，在命令行下運行：regsvr32 vbscript.dll 和regsvr32 jscript.dll即可。2.ASP500錯誤解決辦法：首先確定該問題是否是單一站點存在還是所有站點存在，如果是單一站點存在該問題，則是網站程序的問題，可打開該站點的錯誤提示，把IE的 「顯示友好HTTP錯誤」信息取消，查看具體錯誤信息，然後對應修改相關程序。如是所有站點存在該問題，並且HTML頁面沒有出現該問題，相關日誌出現 「伺服器無法載入應用程序『/LM/W3SVC/1/ROOT『。錯誤是 『不支持此介面『」。那十有八九是伺服器系統中的ASP相關組件出現了問題，重新啟動IIS服務，嘗試是否可以解決該問題，無法解決重新啟動系統嘗試是否可解決該問題，如無法解決可重新修復一下ASP組件：首先刪除com組件中的關於IIS的三個東西，需要先將屬性里的高級中「禁止刪除」的勾選取消。命令行中，輸入「cd winnt/system32/inetsrv」字元串命令，單擊回車鍵後，再執行「rundll32 wamreg.dll,CreateIISPackage」命令，接著再依次執行「regsvr32 asptxn.dll」命令、「iisreset」命令，最後重新啟動一下計算機，這樣IIS伺服器就能重新正確響應ASP腳本頁面了。3. IIS出現105錯誤：在系統日誌中「伺服器無法註冊管理工具發現信息。管理工具可能無法看到此伺服器」 來源：w3svc ID：105解決辦法：在網路連接中重新安裝netbios協議即可，安裝完成之後取消掉勾選。4.MySQL服務無法啟動【錯誤代碼1067】的解決方法啟動MySQL服務時都會在中途報錯!內容為：在 本地計算機 無法啟動MySQL服務 錯誤1067：進程意外中止。解決方法：查找Windows目錄下的my.ini文件，編輯內容(如果沒有該文件，則新建一個)，至少包含basedir，datadir這兩個基本的配置。[mysqld]# set basedir to installation path, e.g., c:/mysql# 設置為MYSQL的安裝目錄basedir=D:/www/WebServer/MySQL# set datadir to location of data directory,# e.g., c:/mysql/data or d:/mydata/data# 設置為MYSQL的數據目錄datadir=D:/www/WebServer/MySQL/data注意，我在更改系統的temp目錄之後沒有對更改後的目錄給予system用戶的許可權也出現過該問題。5.DllHotst進程消耗cpu 100%的問題伺服器正常CPU消耗應該在75%以下，而且CPU消耗應該是上下起伏的，出現這種問題的伺服器，CPU會突然一直處100%的水平，而且不會下降。查看任務管理器，可以發現是DLLHOST.EXE消耗了所有的CPU空閑時間，管理員在這種情況下，只好重新啟動IIS服務，奇怪的是，重新啟動IIS服務後一切正常，但可能過了一段時間後，問題又再次出現了。直接原因：有一個或多個ACCESS資料庫在多次讀寫過程中損壞， MDAC系統在寫入這個損壞的ACCESS文件時，ASP線程處於BLOCK狀態，結果其他線程只能等待，IIS被死鎖了，全部的CPU時間都消耗在DLLHOST中。解決辦法：把資料庫下載到本地，然後用ACCESS打開，進行修復操作。再上傳到網站。如果還不行，只有新建一個ACCESS資料庫，再從原來的資料庫中導入所有表和記錄。然後把新資料庫上傳到伺服器上。6.Windows installer出錯：在安裝軟體的時候出現「不能訪問windows installer 服務。可能你在安全模式下運行 windows ，或者windows installer 沒有正確的安裝。請和你的支持人員聯繫以獲得幫助」 如果試圖重新安裝InstMsiW.exe，提示：「指定的服務已存在」。解決辦法：關於installer的錯誤，可能還有其他錯誤提示，可嘗試以下解決辦法：首先確認是否是許可權方面的問題，提示信息會提供相關信息，如果是許可權問題，給予winnt目錄everyone許可權即可[安裝完把許可權改回來即可]。如果提示的是上述信息，可以嘗試以下解決方法：運行「msiexec /unregserver」卸載Windows Installer服務，如果無法卸載可使用SRVINSTW進行卸載，然後下載windows installer的安裝程序[地址：[url]http://www.newhua.com/cfan/200410/instmsiw.exe[/url]]，用WinRAR解壓該文件，在解壓縮出來的文件夾裡面找到msi.inf文件，右鍵單擊選擇「安裝」，重新啟動系統後運行「msiexec /regserver」重新註冊Windows Installer服務。伺服器管理伺服器日常管理安排伺服器管理工作必須規範嚴謹，尤其在不是只有一位管理員的時候，日常管理工作包括：1.伺服器的定時重啟。每台伺服器保證每周重新啟動一次。重新啟動之後要進行複查，確認伺服器已經啟動了，確認伺服器上的各項服務均恢復正常。對於沒有啟動起來或服務未能及時恢復的情況要採取相應措施。前者可請求託管商的相關工作人員幫忙手工重新啟動，必要時可要求讓連接上顯示器確認是否已啟動起來;後者需要遠程登陸上伺服器進行原因查找並根據原因嘗試恢復服務。2.伺服器的安全、性能檢查，每伺服器至少保證每周登陸兩次粗略檢查兩次。每次檢查的結果要求進行登記在冊。如需要使用一些工具進行檢查，可直接在e:tools中查找到相關工具。對於臨時需要從網路上找的工具，首先將IE的安全級別調整到高，然後在網路上進行查找，不要去任何不明站點下載，盡量選擇如華軍、天空等大型網站進行下載，下載後確保當前軟體已升級到最新版本，升級完畢後對下載的軟體進行一次，確認正常後方能使用。對於下載的新工具對以後維護需要使用的話，將該工具保存到e:tools下，並在該目錄中的readme.txt文件中做好相應記錄，記錄該工具的名稱，功能，使用方法。並且在該文件夾中的rar文件夾中保留一份該工具的winrar壓縮文件備份，設置解壓密碼。3.伺服器的數據備份工作，每伺服器至少保證每月備份一次系統數據，系統備份採用ghost方式，對於ghost文件固定存放在e: ghost文件目錄下，文件名以備份的日期命名，如0824.gho，每伺服器至少保證每兩周備份一次應用程序數據，每伺服器至少保證每月備份一次用戶數據，備份的數據固定存放在e:databak文件夾，針對各種數據再建立對應的子文件夾，如serv-u用戶數據放在該文件夾下的servu文件夾下， iis站點數據存放在該文件夾下的iis文件夾下。4.伺服器的監控工作，每天正常工作期間必須保證監視所有伺服器狀態，一旦發現服務停止要及時採取相應措施。對於發現服務停止，首先檢查該伺服器上同類型的服務是否中斷，如所有同類型的服務都已中斷及時登陸伺服器查看相關原因並針對該原因嘗試重新開啟對應服務。5.伺服器的相關日誌操作，每伺服器保證每月對相關日誌進行一次清理，清理前對應的各項日誌如應用程序日誌、安全日誌、系統日誌等都應選擇 「保存日誌」。所有的日誌文件統一保存在e:logs下，應用程序日誌保存在e:logsapp中，系統程序日誌保存在e:logssys中，安全日誌保存在e:logssec中。對於另外其他一些應用程序的日誌，也按照這個方式進行處理，如ftp的日誌保存在e:logsftp中。所有的備份日誌文件都以備份的日期命名，如20050824.evt。對於不是單文件形式的日誌，在對應的記錄位置下建立一個以日期命名的文件夾，將這些文件存放在該文件夾中。6.伺服器的補丁修補、應用程序更新工作，對於新出的漏洞補丁，應用程序方面的安全更新一定要在發現的第一時間給每伺服器打上應用程序的補丁。7.伺服器的隱患檢查工作，主要包括安全隱患、性能等方面。每伺服器必須保證每月重點的單獨檢查一次。每次的檢查結果必須做好記錄。8.不定時的相關工作，每伺服器由於應用軟體更改或其他某原因需要安裝新的應用程序或卸載應用程序等操作必須知會所有管理員。9.定期的管理密碼更改工作，每伺服器保證至少每兩個月更改一次密碼，對於SQL伺服器由於如果SQL採用混合驗證更改系統管理員密碼會影響資料庫的使用則不予修改。相關建議：對每伺服器設立一個伺服器管理記載，管理員每次登陸系統都應該在此中進行詳細的記錄，共需要記錄以下幾項：登入時間，退出時間，登入時伺服器狀態[包含不明進程記錄，埠連接狀態，系統帳號狀態，內存/CPU狀態]，詳細操作情況記錄[詳細記錄下管理員登陸系統後的每一步操作]。無論是遠程登陸操作還是物理接觸操作都要進行記錄，然後將這些記錄按照各伺服器歸檔，按時間順序整理好文檔。對於數據備份、伺服器定時重啟等操作建議將伺服器分組，例如分成四組，每月的周六晚備份一組伺服器的數據，每周的某一天定時去重啟一組的伺服器，這樣對於工作的開展比較方便，這些屬於固定性的工作。另外有些工作可以同步進行，如每月一次的數據備份、安全檢查和管理員密碼修改工作，先進行數據備份，然後進行安全檢查，再修改密碼。對於需要的即時操作如伺服器補丁程序的安裝、伺服器不定時的故障維護等工作，這些屬於即時性的工作，但是原則上即時性的工作不能影響固定工作的安排。管理員日常注意事項在伺服器管理過程中，管理員需要注意以下事項：1.對自己的每一次操作應做好詳細記錄，具體見上述建議，以便於後來檢查。2.努力提高自身水平，加強學習。
推薦閱讀：