机房的管理与维护精要.docVIP

机房、数据处理中心和数据交换中心。在IT业，机房普遍指政府或者企业等，存放服务器，为用户以及员工提供服务的地方，机房里面通常放置各种服务器和小型机，例如IBM小型机，HP小型机，SUN小型机，等等，机房的温度和湿度以及防静电措施都有严格的要求，非专业项目人员一般不能进入，机房里的服务器运行着很多业务，，通话业务等。机房重要机房计算机机房是企业信息数据汇集、转发的重要场所。企业的协同办公系统、财务系统、营销系统、等重要系统的服务器都集中在机房，所以企业对计算机机房的稳定性、可靠性、安全性要求较高。对机房环境支撑系统、监控设备、计算机主机设备定期检测、维护和保养，保障机房设备运行稳定，降低故障率。确保机房在突发事故导致硬件设备故障，影响机房正常运作情况下，可及时得到设备供应商或机房服务维护的产品维修和技术支持，并快速解决故障。Windows主机可采用定义安全策略的方法关闭隐患端口；也可采用筛选tcp端口添加允许的端口，其余端口就被自动排除。 Linux主机可检查inetd．conf文件。在该文件中注释掉那些永不会用到的服务(如：echo、gopher、rsh、rlogin、rexec、ntalk、finger等)。 ②删除不用的软件包 将不需要的服务一律去掉，如果服务器运行了很多的服务。但有许多服务是不需要的，很容易引起安全风险；同时可以腾出空间运行必要的服务，既节省资源又能保证服务器安全。 ③不设置缺省路由 在服务器中，应该严格禁止设置缺省路由，建议为每一个子网或网段设置一个路由，否则其它机器就可能通过一定方式访问该服务器而造成安全隐患。 ④口令管理 服务器登陆口令的长度一般不少于8个字符，口令的组成应以无规则的大小写字母、数字和符号相结合，严格避免用英语单词或词组等设置口令，定期更换。 Windows主机可以通过组策略中的密码策略强制使用强密码并要求定期修改，还需要为administrator账号改名。 Linux主机口令的保护涉及到对/etc/passwd和/etc/shadow文件的保护，必须做到只有系统管理员才有权限访问这2个文件。安装口令过滤工具加npasswd，可检查系统口令是否可经受攻击。 ⑤分区管理 　　潜在的攻击首先就会尝试缓冲区溢出。以缓冲区溢出为类型的安全漏洞是最为常见的一种形式。更为严重的是，缓冲区溢出漏洞占了远程网络攻击的绝大多数，这种攻击可以轻易使得一个匿名的Internet用户有机会获得一台主机的部分或全部的控制权。 Windows主机分区格式采用ntfs文件格式，对不同的文件夹设置不同的权限。为防止缓冲区溢出类型的网络攻击，安装相应的溢出漏洞补丁；日志文件放在非系统分区上。 Linux主机可为/var开辟单独的分区，用来存放日志和邮件，以避免root分区被溢出。为特殊的应用程序单独开一个分区，特别是可以产生大量日志的程序，为/home单独分一个区，这样可防止/home目录文件填满根分区，从而就避免了部分针对Linux分区溢出的恶意攻击。 ⑥防范网络嗅探： 　嗅探器能够造成很大的安全危害，主要是因为它们不容易被发现。可使用安全的拓扑结构、会话加密、使用静态的ARP地址来防范。 ⑦完整的日志管理 　　日志文件记录着系统运行情况，攻击者往往在攻击时修改日志文件，来隐藏踪迹；因此需要对日志文件及目录设置严格的访问权限，禁止其他用户的读取和写入权限。 Windows主机开启审核策略，对账户管理登录事件对象访问策略更改特权使用系统事件目录服务访问账户登录事件Linux主机要限制对／var／log文件的访问，禁止一般权限的用户去查看日志文件；另外，还可以安装icmp／tcp日志管理程序，如iplogger，来观察那些可疑的多次的连接尝试。 ⑧使用安全工具软件： Windows主机可部署防病毒软件，安装微软基线安全分析器MBSA扫描服务器操作系统漏洞，及时下载server pack和漏洞补丁。部署主机IDS（入侵检测系统）；如免费的轻量级网络入侵检测系统snort， 　　Linux主机也有一些工具可以保障服务器的安全。如bastille linux，它是一套相当方便的软件，bastille linux 目的是希望在已经存在的 linux 系统上，建构出一个安全性的环境。 网络设备安全 ①交换机的安全 启用VLAN技术：在交换机的端口上定义VLAN ，所有连接到这个特定端口的终端都是虚拟网络的一部分，并且整个网络可以支持多个VLAN。VLAN通过建立网络防火墙使不必要的数据流量减至最少，隔离各个VLAN间的传输和可能出现的问题，使网络吞吐量大大增加，减少了网络延迟。在虚拟网络环境中，可以通过划分不同的虚拟网络来控制处于同一物理网段中的用户之间的通信。这样一来有效的实现了数据的必威体育官网网址工作