服務(wù)器配置與管理論文
網(wǎng)絡(luò)服務(wù)器配置與管理課程理論與實(shí)操并重。下面是學(xué)習(xí)啦小編為大家整理的服務(wù)器配置與管理論文,供大家參考。
服務(wù)器配置與管理論文篇一
淺析FTP服務(wù)器配置與管理中的排錯(cuò)方法
服務(wù)器配置與管理論文內(nèi)容
FTP(文件傳輸協(xié)議)是一個(gè)用于從一臺(tái)主機(jī)向網(wǎng)絡(luò)中另外一臺(tái)主機(jī)傳送文件的協(xié)議。該協(xié)議的歷史可追溯至1971年,不過(guò)至今仍然極為流行。在一個(gè)典型的FTP會(huì)話中,用戶坐在本地主機(jī)前,想把文件傳送到一臺(tái)遠(yuǎn)程主機(jī)(上傳)或者想把文件從一臺(tái)遠(yuǎn)程主機(jī)傳送過(guò)來(lái)(下載)。該用戶必須提供一個(gè)合法的用戶名和口令才能訪問(wèn)遠(yuǎn)程主機(jī)。給出這些身份認(rèn)證信息后,它就可以在本地文件系統(tǒng)和遠(yuǎn)程文件系統(tǒng)之間傳送文件了。
用戶通過(guò)一個(gè)FTP用戶接口與FTP服務(wù)器交互。他首先提供一個(gè)遠(yuǎn)程主機(jī)的主機(jī)名,這使得本地主機(jī)中的FTP客戶進(jìn)程建立一個(gè)與遠(yuǎn)程主機(jī)中的FTP服務(wù)器進(jìn)程之間的連接。用戶接著提供用戶名和口令,這些信息將作為FTP命令參數(shù)經(jīng)由TCP連接傳送到服務(wù)器。服務(wù)器批準(zhǔn)后,該用戶就在本地文件系統(tǒng)和遠(yuǎn)程文件系統(tǒng)之間傳輸文件。
FTP服務(wù)不受計(jì)算機(jī)類型以及操作系統(tǒng)的限制,無(wú)論是PC機(jī)、服務(wù)器、大型機(jī),也不管操作系統(tǒng)是Linux、DOS還是Windows,只要建立FTP連接的雙方都支持FTP協(xié)議,就可以方便地傳輸文件。目前FTP服務(wù)主要應(yīng)用于文件的上傳與下載、軟件的高速下載和Web站點(diǎn)的維護(hù)與更新。在Linux系統(tǒng)下常見(jiàn)的FTP服務(wù)器軟件有vsftpd、proftpd和wu-ftpd。
1 FTP工作原理
FTP服務(wù)采用客戶機(jī)/服務(wù)器模式,F(xiàn)TP客戶機(jī)和服務(wù)器使用TCP建立連接。FTP服務(wù)器使用兩個(gè)并行的TCP連接來(lái)傳送文件,一個(gè)是控制連接,一個(gè)是數(shù)據(jù)連接。
其中,控制連接用于在客戶主機(jī)和服務(wù)器主機(jī)之間發(fā)送控制信息,例如用戶名和口令、改變遠(yuǎn)程目錄的命令、取來(lái)或放回文件的命令。數(shù)據(jù)連接用于真正傳輸文件。
在FTP客戶機(jī)和服務(wù)器的會(huì)話建立過(guò)程中,具體經(jīng)歷以下幾個(gè)階段:
1.1當(dāng)FTP客戶機(jī)啟動(dòng)與遠(yuǎn)程FTP服務(wù)器間的一個(gè)FTP會(huì)話時(shí),F(xiàn)TP客戶機(jī)首先發(fā)起建立與FTP服務(wù)器21端口之間的控制連接,然后經(jīng)由該控制連接把用戶名和口令發(fā)送給服務(wù)器。
1.2客戶機(jī)還經(jīng)由該控制連接把本地臨時(shí)分配的數(shù)據(jù)端口告知服務(wù)器,以便服務(wù)器發(fā)起建立一個(gè)從FTP服務(wù)器20端口到客戶機(jī)指定端口之間的數(shù)據(jù)連接。
1.3當(dāng)用戶每次請(qǐng)求傳送文件時(shí),F(xiàn)TP將在服務(wù)器的20端口打開一個(gè)數(shù)據(jù)連接。當(dāng)數(shù)據(jù)傳輸完畢后,用于建立數(shù)據(jù)連接的端口會(huì)自動(dòng)關(guān)閉,到再有文件傳送請(qǐng)求時(shí)重新打開。
1.4在FTP會(huì)話中,控制連接在整個(gè)用戶會(huì)話期間一直處于打開狀態(tài),而數(shù)據(jù)連接則為每次文件傳送請(qǐng)求重新打開一次。也就是說(shuō),在整個(gè)FTP會(huì)話過(guò)程中,控制連接是持久的,而數(shù)據(jù)連接是非持久的。
2 FTP的排錯(cuò)方法
客戶機(jī)想訪問(wèn)FTP服務(wù)器上的資源,首先要滿足能和FTP服務(wù)器通信。如果客戶和服務(wù)器不能通信,就不可能訪問(wèn)服務(wù)器,更不用說(shuō)下載資源了。還有服務(wù)器防火墻應(yīng)放21端口(FTP端口)。在滿足這兩個(gè)條件后,下面我們分析FTP常見(jiàn)錯(cuò)誤,探討FTP的排錯(cuò)方法。
2.1拒絕賬戶登錄(錯(cuò)誤提示:OOPS無(wú)法改變目錄)。當(dāng)客戶端使用ftp賬號(hào)登錄服務(wù)器時(shí),提示“500 OOPS”錯(cuò)誤。
接收到該錯(cuò)誤信息,其實(shí)并不是vsftpd.conf配置文件設(shè)置有問(wèn)題,而重點(diǎn)是“cannot change directory”,無(wú)法更改目錄。造成這個(gè)錯(cuò)誤,主要有以下兩個(gè)原因。①目錄權(quán)限設(shè)置錯(cuò)誤。該錯(cuò)誤一般在本地賬戶登錄時(shí)發(fā)生,如果管理員在設(shè)置該賬戶主目錄權(quán)限時(shí),忘記添加執(zhí)行權(quán)限(X),那么,就會(huì)收到該錯(cuò)誤信息。FTP中的本地賬號(hào),需要擁有目錄的執(zhí)行權(quán)限,請(qǐng)作用chmod命令添加“X”權(quán)限,保證用戶能夠?yàn)g覽目錄信息,否則拒絕登錄。對(duì)于FTP的虛擬賬號(hào),即使不具備目錄的執(zhí)行權(quán)限,也可以登錄FTP服務(wù)器,但會(huì)有其他錯(cuò)誤提示。為了保證FTP用戶的正常訪問(wèn),請(qǐng)開戶目錄的執(zhí)行權(quán)限。②SELinux。FTP服務(wù)器開啟了SELinux針對(duì)FTP數(shù)據(jù)傳輸?shù)牟呗?,也?huì)造成“無(wú)法切換目錄”的錯(cuò)誤提示,如果目錄權(quán)限設(shè)置正確,那么,需要檢查SELinux的配置。用戶可以通過(guò)setsebool命令,禁用SELinux的FTP傳輸審核功能。
[root@RHEL4~]# setsebool –P ftpd_disable_trans 1
重新啟動(dòng)vsftpd服務(wù),用戶能夠成功登錄FTP服務(wù)器。
2.2客戶端連接FTP服務(wù)器超時(shí)。造成客戶端訪問(wèn)服務(wù)器超時(shí)的原因,主要有以下幾種情況。①線路不通。使用ping命令測(cè)試網(wǎng)絡(luò)連通性,如果出現(xiàn)“Request Timed Out”,說(shuō)明客戶端與服務(wù)器的網(wǎng)絡(luò)連接存在問(wèn)題,檢查線路的故障。②防火墻設(shè)置。如果防火墻屏蔽了FTP服務(wù)器控制端口21,以及其他的數(shù)據(jù)端口,則會(huì)造成客戶端無(wú)法連接服務(wù)器,形成“超時(shí)”的錯(cuò)誤提示。需要設(shè)置防火墻開放21端口,并且,還應(yīng)該開啟主動(dòng)模式的20端口,以及被動(dòng)模式使用的端口范圍,防止數(shù)據(jù)的連接錯(cuò)誤。
2.3賬戶登錄失敗。客戶端登錄FTP服務(wù)器時(shí),還有可能會(huì)收到“登錄失敗”的錯(cuò)誤提示。
登錄失敗,實(shí)際上牽扯到身份驗(yàn)證,以及其他一些登錄的設(shè)置。①密碼錯(cuò)誤。請(qǐng)保證登錄密碼的正確性,如果FTP服務(wù)器更新了密碼設(shè)置,則使用新密碼重新登錄。②PAM維模塊。當(dāng)輸入密碼無(wú)誤,但仍然無(wú)法登錄FTP服務(wù)器時(shí),很有可能是PAM模塊中vsftpd的配置文件錯(cuò)誤造成的。PAM的配置比較復(fù)雜,其中auth字段主要是接受用戶名和密碼,進(jìn)而對(duì)該用戶的密碼進(jìn)行認(rèn)證,account字段主要是檢查賬戶是否被允許登錄系統(tǒng),賬戶是否已經(jīng)過(guò)期,賬戶的登錄是否有時(shí)間段的限制等,保證這兩個(gè)字段配置的正確性,否則FTP賬號(hào)將無(wú)法登錄服務(wù)器。事實(shí)上,大部分賬號(hào)登錄失敗都是由這個(gè)錯(cuò)誤造成的。③用戶目錄權(quán)限。FTP賬號(hào)對(duì)于主目錄沒(méi)有任何權(quán)限時(shí),也會(huì)收到“登錄失敗”的錯(cuò)誤提示,根據(jù)該賬號(hào)的用戶身份,重新設(shè)置其主目錄權(quán)限,重啟vsftpd服務(wù),使配置生效。
服務(wù)器配置與管理論文文獻(xiàn)
[1]楊云等.Linux網(wǎng)絡(luò)服務(wù)器配置管理項(xiàng)目實(shí)訓(xùn)教程[M] 北京:中國(guó)水利水電出版社 2010.07
[2]么麗穎.Linux系統(tǒng)管理和應(yīng)用[M] 北京:中國(guó)鐵道出版社 2011.08
[3]謝樹新.Linux網(wǎng)絡(luò)服務(wù)器配置與管理項(xiàng)目教程[M] 北京:科學(xué)出版社 2011.08
服務(wù)器配置與管理論文篇二
淺談校園網(wǎng)的服務(wù)器的安全配置管理
服務(wù)器配置與管理論文摘要
摘要: 網(wǎng)絡(luò)安全管理是網(wǎng)絡(luò)管理的重中之重,特別是學(xué)校校園網(wǎng)的安全直接關(guān)系到教育教學(xué)活動(dòng)的正常進(jìn)行,必須引起人們的高度重視。對(duì)安全問(wèn)題的來(lái)源進(jìn)行分析,有針對(duì)性地預(yù)防,可以提高校園網(wǎng)的安全水平。
服務(wù)器配置與管理論文內(nèi)容
關(guān)鍵詞:網(wǎng)絡(luò)安全;規(guī)劃設(shè)計(jì);系統(tǒng)安全
中圖分類號(hào):TP393.08
隨著高校信息化進(jìn)程的推進(jìn),高校校園網(wǎng)上運(yùn)行的應(yīng)用系統(tǒng)越來(lái)越多,信息系統(tǒng)變得越來(lái)越龐大和復(fù)雜。外部網(wǎng)主要實(shí)現(xiàn)校園網(wǎng)與Internet 的基礎(chǔ)接入。校園網(wǎng)絡(luò)擁有著大規(guī)模的、高速的、開放的網(wǎng)絡(luò)環(huán)境;支撐著復(fù)雜的網(wǎng)上應(yīng)用和業(yè)務(wù)類型;擁有著活躍的、不同使用水平的用戶群體。因此,安全風(fēng)險(xiǎn)的防御問(wèn)題也就變得較為嚴(yán)重和復(fù)雜。
1 安全問(wèn)題來(lái)源分析
1.1病毒入侵嚴(yán)重
目前,網(wǎng)絡(luò)病毒層出不窮,傳播速度快、破壞性強(qiáng)、傳播范圍廣,時(shí)刻威脅著校園網(wǎng)的安全。大量病毒以電子郵件、網(wǎng)絡(luò)共享、網(wǎng)頁(yè)瀏覽、即時(shí)通信或主動(dòng)掃描等方式,感染校園網(wǎng)的服務(wù)器和客戶機(jī),導(dǎo)致網(wǎng)絡(luò)的“拒絕服務(wù)”,嚴(yán)重時(shí)會(huì)造成網(wǎng)絡(luò)癱瘓。
1.2網(wǎng)絡(luò)的先天性不足
校園網(wǎng)絡(luò)一般基于Internet 技術(shù)構(gòu)建,并與Internet 相連。Internet 的互聯(lián)性和開放性給社會(huì)帶來(lái)極大效益的同時(shí),入侵者也得到了更多的機(jī)會(huì)。[2]因?yàn)镮nternet 本身缺乏相應(yīng)的安全機(jī)制,不對(duì)機(jī)密信息和敏感信息提供保護(hù)。Web的精華是交互性,這也正是它的致命弱點(diǎn)。
1.3軟件系統(tǒng)的漏洞
沒(méi)有十全十美的軟件產(chǎn)品,系統(tǒng)中的安全漏洞和“后門”不可避免地存在。正是由于漏洞的存在,才讓黑客有了可乘之機(jī)。目前,在操作系統(tǒng)、通信協(xié)議、網(wǎng)絡(luò)應(yīng)用軟件中均不同程度地存在安全漏洞或安全缺陷。
2 配置安全服務(wù)器
2.1端口
端口是計(jì)算機(jī)和外部網(wǎng)絡(luò)相連的邏輯接口,也是計(jì)算機(jī)的第一道屏障,端口配置正確與否直接影響主機(jī)的安全。一般來(lái)說(shuō),僅打開必須的端口是最明智的安全做法,配置方法是在“網(wǎng)卡屬性→TCP/IP協(xié)議→高級(jí)→選項(xiàng)、→TCP/IP篩選”中啟用“TCP/IP篩選”。
2.2IIS
IIS是微軟組件中迄今為止發(fā)現(xiàn)漏洞最多的一個(gè),特別是它的默認(rèn)安裝、此處應(yīng)重點(diǎn)進(jìn)行配置;其一、徹底刪除系統(tǒng)盤(一般是C盤)的Inetpub目錄、到其它盤新建一個(gè)目錄、而且起名最好不是Inetpub。
再到IIS管理器中將主目錄指向這個(gè)新建的非系統(tǒng)盤目錄。
其二,刪除IIS安裝時(shí)默認(rèn)的Scripts等虛擬目錄、它們很容易暴露出本地網(wǎng)頁(yè)物理路徑。需要什么權(quán)限的目錄就自己建立一個(gè),權(quán)限也一定要注意,特別是寫權(quán)限和執(zhí)行程序的權(quán)限。
其三,在IIS管理器中刪除必須之外的任何無(wú)用映射,必須指出的是ASP、ASA和其它需用到的文件類型%在IIS管理器中右擊“主機(jī)→屬性→www服務(wù)編輯→主目錄→配置→應(yīng)用程序映射” ,接著開始單獨(dú)刪除即可。[3]然后到應(yīng)用程序調(diào)試標(biāo)簽內(nèi)將腳本錯(cuò)誤消息更改為發(fā)送文本。
最后,還可以使用IIS的備份功能,將上述的設(shè)定備份以便隨時(shí)恢復(fù)IIS的安全配置。如果擔(dān)心IIS負(fù)荷過(guò)大而導(dǎo)致服務(wù)器死機(jī)的話,可以在性能中打開CPU限制,將其使用率限制為80%。
2.3帳號(hào)安全
Windows 2000 Server默認(rèn)安裝后允許任何用戶通過(guò)139端口的空連接得到系統(tǒng)所有賬號(hào)名稱及共享列表。本來(lái)這是為方便校園局域網(wǎng)用戶共享文件設(shè)計(jì)的,但遠(yuǎn)程用戶同樣也能得到這些敏感信息,從而使暴力破解用戶密碼成為可能。
打開注冊(cè)表編輯器,在“開始→運(yùn)行”中填入“Regedit”并確定,找到Hkey_Local_Machines\Svstem\CnrrentControlSet\Control\LSA_RestrictAnonymous、令其值為“1",這樣即可禁止139端口的空連接訪問(wèn)。
2.4安全日志
默認(rèn)情況下Windows 2000 Server未打開任何安全審核,所以必須打開“本地安全策略”→審核策略下的“審核”進(jìn)行如下的設(shè)置:賬戶管理――(成功、失敗),登錄事件――(成功、失敗),對(duì)象訪問(wèn)――(失敗), 策略更改――(成功、失敗),特權(quán)使用――(失敗),系統(tǒng)事件――(成功、失敗),目錄服務(wù)訪問(wèn)――(失敗),賬戶登錄事件――(成功、失敗)。同時(shí)在“賬戶策略→密碼策略”中也要設(shè)置:密碼復(fù)雜性――啟用,密碼長(zhǎng)度最小值――6位,強(qiáng)制密碼歷史――5次,最長(zhǎng)存留期――30天;還要在“賬戶策略→賬戶鎖定策略”中設(shè)置:賬戶鎖定――3次錯(cuò)誤登錄,鎖定時(shí)間――20分鐘,復(fù)位鎖定計(jì)數(shù)――20分鐘。[4]
3 網(wǎng)絡(luò)病毒的防護(hù)
為保證服務(wù)器的安全,除了服務(wù)器端的工作外,對(duì)網(wǎng)絡(luò)用戶的客戶端也采取了相應(yīng)措施,從有害攻擊的源頭抓起,對(duì)每個(gè)網(wǎng)絡(luò)用戶負(fù)責(zé)。
針對(duì)網(wǎng)絡(luò)時(shí)代病毒新的特點(diǎn),在校園網(wǎng)上布置諾頓網(wǎng)絡(luò)防病毒系統(tǒng),網(wǎng)絡(luò)中心安裝諾頓防病毒服務(wù)器,每個(gè)校園網(wǎng)用戶可方便下載、安裝客戶端軟件,整個(gè)系統(tǒng)自動(dòng)、快速升級(jí),實(shí)現(xiàn)實(shí)時(shí)防毒控制。[5]這樣,有效地控制了造成重大危害的蠕蟲病毒在校園網(wǎng)上的傳播。
校園網(wǎng)設(shè)置防病毒、垃圾郵件網(wǎng)關(guān),對(duì)進(jìn)出的郵件實(shí)時(shí)掃描、過(guò)濾,濾除有害的病毒郵件、垃圾郵件,并可設(shè)置靈活的針對(duì)特殊關(guān)鍵字的過(guò)濾,濾除有害信息。
4 管理員的安全意識(shí)
4.1管理模式
從網(wǎng)絡(luò)管理角度來(lái)看,在網(wǎng)絡(luò)管理中應(yīng)實(shí)施“A-C-S 角色管理模型”,即A:Administrator 系統(tǒng)管理員,負(fù)責(zé)承擔(dān)日常的例行維護(hù),他是管理計(jì)算機(jī)系統(tǒng)的主要人員;C :Configuation Manager 配置管理員,負(fù)責(zé)進(jìn)行計(jì)算機(jī)設(shè)備的資產(chǎn)管理、網(wǎng)絡(luò)參數(shù)( 如網(wǎng)絡(luò)地址子網(wǎng)掩碼)的分配和登記;S:Security Consultant安全管理員,負(fù)責(zé)評(píng)估和審核計(jì)算機(jī)系統(tǒng)的安全狀況,關(guān)注網(wǎng)絡(luò)安全動(dòng)態(tài),調(diào)整相關(guān)安全設(shè)置,進(jìn)行入侵防范,發(fā)出安全公告,緊急修復(fù)系統(tǒng)。上述三角色各有分工又相互協(xié)作,系統(tǒng)管理員接受安全管理員在安全方面的監(jiān)督,接納其安全建議;配置管理員統(tǒng)管網(wǎng)絡(luò)資源分配,進(jìn)行整個(gè)網(wǎng)絡(luò)的調(diào)整,向系統(tǒng)管理員和安全管理員提供網(wǎng)絡(luò)參數(shù);安全管理員必須及時(shí)通知系統(tǒng)管理員相關(guān)的安全操作。
4.2堅(jiān)持“最小授權(quán)”原則
網(wǎng)絡(luò)管理員要經(jīng)常性地查看服務(wù)器打開的服務(wù)端口和服務(wù)器的運(yùn)行狀態(tài),關(guān)閉無(wú)需的服務(wù)端口。此外,管理員要經(jīng)常性地總結(jié)經(jīng)驗(yàn),通過(guò)查看服務(wù)器性能及運(yùn)行狀態(tài),判斷服務(wù)器是否存在可能的危險(xiǎn),關(guān)閉不清楚的或不知的進(jìn)程,盡可能地做到防微杜漸。[6]“最小授權(quán)”原則還要求網(wǎng)絡(luò)中帳號(hào)設(shè)置、服務(wù)配置、主機(jī)間信任關(guān)系配置等,應(yīng)該設(shè)為網(wǎng)絡(luò)正常運(yùn)行所需的最小限度。
4.3口令安全策略
大多數(shù)黑客入侵,就是通過(guò)各種途徑取得管理員口令,因此,校園網(wǎng)管理員的口令安全策略顯得尤其重要。管理員口令安全策略主要有:
(1)不要使用比較容易猜的口令,最好使用字符和數(shù)字的混合口令。
(2)定期更換管理員口令。
(3 )設(shè)置系統(tǒng)安全策略,限制用戶錯(cuò)誤口令登錄次數(shù),防止用戶枚舉性地試探猜測(cè)管理員口令。
服務(wù)器配置與管理論文文獻(xiàn)
[1] 龔靜. 高校校園網(wǎng)的安全與防護(hù)[J]. 教育信息化 ,2005,(04) .
[2] 董慧娟. 校園網(wǎng)的網(wǎng)絡(luò)安全策略[J]. 無(wú)錫職業(yè)技術(shù)學(xué)院學(xué)報(bào) ,2005,(02) .
有關(guān)服務(wù)器配置與管理論文推薦: