为您找到与如何确保服务器安全相关的共200个结果:
网络服务器安全关系着用户隐私和企业数据的安全,越来越受到业界重视,稍不留神就可能会使网络遭受不必要的麻烦,那么你知道如何维护网络服务器安全吗?下面是读文网小编整理的一些关于如何维护网络服务器安全的相关资料,供你参考。
选用一套好的安全系统模型。一套完善的安全模型应该包括以下一些必要的组件:防火墙、入侵检测系统、路由系统等。
防火墙在安全系统中扮演一个保安的角色,可以很大程度上保证来自网络的非法访问以及数据流量攻击,如拒绝服务攻击等;入侵检测系统则是扮演一个监视器的角色,监视你的服务器出入口,非常智能地过滤掉那些带有入侵和攻击性质的访问。
浏览量:2
下载量:0
时间:
网络服务器安全关系着用户隐私和企业数据的安全,越来越受到业界重视,稍不留神就可能会使网络遭受不必要的麻烦,那么你知道如何防护网络服务器安全吗?下面是读文网小编整理的一些关于如何防护网络服务器安全的相关资料,供你参考。
账号和密码保护可以说是系统的第一道防线,目前网上的大部分对系统的攻击都是从截获或猜测密码开始的。一旦黑客进入了系统,那么前面的防卫措施几乎就没有作用,所以对服务器系统管理员的账号和密码进行管理是保证系统安全非常重要的措施。
系统管理员密码的位数一定要多,至少应该在8位以上,而且不要设置成容易猜测的密码,如自己的名字、出生日期等。对于普通用户,设置一定的账号管理策略,如强制用户每个月更改一次密码。对于一些不常用的账户要关闭,比如匿名登录账号。
浏览量:3
下载量:0
时间:
服务器安全关系着用户隐私和企业数据的安全,越来越受到业界重视,稍不留神就可能会使网络遭受不必要的麻烦,那么你知道服务器物理安全吗?下面是读文网小编整理的一些关于服务器物理安全的相关资料,供你参考。
服务器运行的物理安全环境是很重要的,很多人忽略了这点。物理环境主要是指服务器托管机房的设施状况,包括通风系统、电源系统、防雷防火系统以及机房的温度、湿度条件等。这些因素会影响到服务器的寿命和所有数据的安全。我不想在这里讨论这些因素,因为在选择IDC时你自己会作出决策。
在这里着重强调的是,有些机房提供专门的机柜存放服务器,而有些机房只提供机架。所谓机柜,就是类似于家里的橱柜那样的铁柜子,前后有门,里面有放服务器的拖架和电源、风扇等,服务器放进去后即把门锁上,只有机房的管理人员才有钥匙打开。而机架就是一个个铁架子,开放式的,服务器上架时只要把它插到拖架里去即可。这两种环境对服务器的物理安全来说有着很大差别,显而易见,放在机柜里的服务器要安全得多。
如果你的服务器放在开放式机架上,那就意味着,任何人都可以接触到这些服务器。别人如果能轻松接触到你的硬件,还有什么安全性可言?以下是几个不安全的事例:
很多Windows服务器采用终端服务进行管理,在一个机架式的机房里,你可以随便把显示器接在哪台服务器上。如果你碰巧遇到某台机器的管理员或使用者正通过终端使用这台机器,那么他的操作你可以一览无余。甚至,你可以把键盘接上去,把他killoff,然后完全控制这台机器。当然,这种事情比较少见,但不意味着不可发生。
另外,很多Unix系统的管理员在离开机房时,没有把root或其他帐号的shell从键盘退出,这样你只要把键盘和显示器接上去,就完全可以获取这个shell的权限。这可比远程攻击获取系统权限容易得太多。我有次在机房时想要一个unixshell临时使用一下,于是我把显示器在旁边机架的几台服务器上接了一下,很快就发现一个没有退出的rootshell,我把键盘接上去,做完我自己的事后,帮他退出了这个shell。如果我是一个不安好心的人,我完全可以在他的服务器里不带任何痕迹的安装一个木马(RootKit)。
某天我看到一个公司的维护人员在机房调试专线时,怀疑是协议转换仪有问题,于是他毫不犹豫的把旁边一个机架上的协议转换仪拔下来,接到他自己的专线上用于调试。被破坏的服务器数据传输会中断几分钟,这对某些公司可能是致命的,而他们的服务器管理人员可能到死也查不出原因!
还有,用一张Linux光盘引导Linux系统,你可以毫无障碍的重新获取主机的root权限;你可以无意中碰动别人的电源,等等,不在这里赘述。所有这些是要说明一点,放在开放机架上的服务器是不安全的。如果你的服务器硬件可以让其他人轻易接触,那么不出事是你的幸运,出事了你也找不到原因或找不到责任人。
而放在密封式机柜里的服务器会安全很多,一般情况下,你的所有服务器放在一起(同一个机柜或者几个机柜)是明智之举,机柜里不要有其他公司的服务器。如果你的服务器只有有限的几台,那么放在机柜里也会安全很多。因为不是任何人都可以打开机柜接触到你的硬件,就算同一个机柜的其他公司的服务器的维护人员有这个机会,但风险也要小得多。而且,就算出事了,你也可以追查到责任人。
有一次我们的服务器因为电源断掉,而中断几个小时,我们根据系统日志很快判断出服务器的down机情况,在追查责任时,我首先想到是IDC机房的维护人员的责任,因为在我们那个机柜里没有其他公司的服务器,别人不会接触到那里面的电源。后来经查实,果然是该IDC的电工在弄电时不小心把我们的服务器电源断掉,他们向我们出具了道歉声明。而如果在一个开放式机架的机房里,碰到这样的情况你无从查起。
如果你的服务器只能放在开放式机架的机房,那么你可以这样做:
1)将电源用胶带绑定在插槽上,这样避免别人无意中碰动你的电源;
2)安装完系统后,重启服务器,在重启的过程中把键盘和鼠标拔掉,这样在系统启动后,普通的键盘和鼠标接上去以后不会起作用(USB鼠标键盘除外)
3)跟机房值班人员搞好关系,不要得罪机房里其他公司的维护人员。这样做后,你的服务器至少会安全一些。
服务器的物理安全在网站主机中占有十分重要的位置,它是网站主机安全的基础,希望大家多多掌握,我们也会在今后的文章中,更多的与大家分享这方面的知识。
看过文章“服务器物理安全”
浏览量:2
下载量:0
时间:
越来越多的服务器攻击、服务器安全漏洞,以及商业间谍隐患时刻威胁着服务器安全,那么你知道服务器安全防范技巧吗?下面是读文网小编整理的一些关于服务器安全防范技巧的相关资料,供你参考。
服务器操作系统在安装时,会启动一些不需要的服务,这样会占用系统的资源,而且也会增加系统的安全隐患。对于一段时间内完全不会用到的服务器,可以完全关闭;对于期间要使用的服务器,也应该关闭不需要的服务,如Telnet等。另外,还要关掉没有必要开的TCP端口。
浏览量:2
下载量:0
时间:
服务器的安全问题在一定意义上讲是不容忽视的,越来越多的服务器攻击、服务器安全漏洞,以及商业间谍隐患时刻威胁着服务器安全,那么你知道服务器安全维护技巧吗?下面是读文网小编整理的一些关于服务器安全维护技巧的相关资料,供你参考。
每一个好的网络管理员都知道每天都备份网络服务器并将磁带记录远离现场进行保护以防意外灾害。但是,安全的问题远不止是备份那么简单。大多数人都没有意识到,你的备份实际上就是一个巨大的安全漏洞。
要理解这是为什么,试想一下,大多数的备份工作都是在大约晚上10:00或是11:00的时候开始的。整个备份的过程通常是在半夜的时候结束,这取决于你有多少数据要备份。现在,想象一下,时间已经到了早晨四点,你的备份工作已经结束。但是,没有什么东西能够阻止一些人偷走你磁带记录上的数据并将它们在自己家中或是你竞争对手办公室里的一台服务器上恢复它们。
不过,你可以阻止这种事情的发生。首先,可以通过密码保护你的磁带并且如果你的备份程序支持加密功能,你还可以加密这些数据。其次,你可以将备份程序完成工作的时间定在你早晨上班的时间。这样的话,即使有人前一天半夜想要溜进来偷走磁带的话,他们也会因为磁带正在使用而无法得逞。如果窃贼还是把磁带弹出来带走的话,磁带上的数据也就毫无价值了。
浏览量:3
下载量:0
时间:
Windows系统的安全一直是一个备受关注的问题,对于服务器来说安全是更为重要,那么你知道服务器安全设置吗?下面是读文网小编整理的一些关于服务器安全设置的相关资料,供你参考。
1、基于FileSystemObject组件的asp木马
cacls %systemroot%system32scrrun.dll /e /d guests https://禁止guests使用 regsvr32 scrrun.dll /u /s https://删除
2.基于shell.application组件的asp木马
cacls %systemroot%system32shell32.dll /e /d guests https://禁止guests使用 regsvr32 shell32.dll /u /s https://删除
3.将图片文件夹的权限设置为不允许运行。
4.如果网站中不存在有asp的话,禁用asp
防止SQL注入
1.尽量使用参数化语句
2.无法使用参数化的SQL使用过滤。
3.网站设置为不显示详细错误信息,页面出错时一律跳转到错误页面。
4.不要使用sa用户连接数据库
5、新建一个public权限数据库用户,并用这个用户访问数据库 6、[角色]去掉角色public对sysobjects与syscolumns对象的select访问权限
看过文章“服务器安全设置”
浏览量:2
下载量:0
时间:
现在服务器中存储的信息越来越多,而且也越来越重要;为防止服务器发生意外或受到意外攻击,而导致大量重要的数据丢失,服务器一般都会采用许多重要的安全保护技术来确保其安全,那么你知道服务器安全热点技术吗?下面是读文网小编整理的一些关于服务器安全热点技术的相关资料,供你参考。
自动重启技术是指PC服务器可以在无人管理的情况下完成重新启动过程,以极快的速度恢复系统运行。
浏览量:2
下载量:0
时间:
服务器中存储的信息越来越多,而且也越来越重要;为防止服务器发生意外或受到意外攻击,而导致大量重要的数据丢失,服务器一般都会采用许多重要的安全保护技术来确保其安全,那么你知道服务器安全管理吗?下面是读文网小编整理的一些关于服务器安全管理的相关资料,供你参考。
Linux和Solaris是另外两种种常见的服务器。Linux和Freebsd一样,是免费的操作系统,它们都广泛使用GNU(一个伟大的组织)的实用工具集,Linux容易上手,但不如Freebsd简洁。Solaris是SUN的商用操作系统,关于SUNOS的文章在网上被贴得到处都是,但遗憾的是,它看起来并不快,而且,你也要经常对它打补丁。下面就让我们看看这两种服务器的安全配置,以及服务器的安全管理的内容。
关于Solaris的安全配置网上有一篇非常好的文章,叫做《The SolarisSecurityFAQ》,照着做就可以了。
1)禁止root从网络直接登陆:修改/etc/default/login文件,确保CONSOLE=/dev/console被设置,该行只允许root从控制台登陆。将root用户加入/etc/ftpusers,保证root不可以远程使用ftp。
2)禁止rlogin和rsh访问:删除/etc/hosts.equiv和/.rhosts文件,从/etc/inetd.conf文件里注释掉所有以r打头的服务。
3) 帐号控制:删除、锁定或注释掉不必要的系统帐号,包括sys/uucp/nuucp/listen等
4) 改变/etc目录的访问权限:该目录下文件不应该对同组用户可写,执行:chmod –R g-w /etc (不推荐)
5) 在solaris2.5 以上版本的系统中,创建/etc/notrouter文件来关闭solaris默认的路由转发。
6) 禁止automounter:删除/etc/auto_*配置文件,删除/etc/init.d/autofs
7)禁止NFS服务:删除/etc/dfs/dfstab,重命名/etc/rc3.d/S15nfs.server,重命名/etc/rc2.d/S73nfs.client(不要再以S打头)
8) 禁止rpc服务:重命名/etc/rc2.d/S71RPC
9)修改/etc/inetd.conf文件,注释掉大部分不必要服务,只保留telnet和ftp服务,然后重启inetd进程。
10) 给系统打补丁:包括各版本Solaris通用补丁和单个补丁集合。
11) 将如下三行加进/etc/init.d/inetinit文件:
ndd -set /dev/ip ip_forward_directed_broadcasts 0
ndd -set /dev/ip ip_forward_src_routed 0
ndd -set /dev/ip ip_forwarding 0
这样在系统启动后就关闭了IP转发和IP源路由。
浏览量:3
下载量:0
时间:
服务器中存储的信息越来越多,而且也越来越重要;为防止服务器发生意外或受到意外攻击,而导致大量重要的数据丢失,服务器一般都会采用许多重要的安全保护技术来确保其安全,那么你知道如何提升nfs服务器的安全吗?下面是读文网小编整理的一些关于提升nfs服务器的安全的相关资料,供你参考。
(1)使用TCP_Wrappers
portmap和rpc.nfsd结合起来,使NFS服务器上的文件即使没有任何权限也能容易得到。可以使用访问控制保障网络安全,在使用NFS时最好结合TCP_Wrappers来限制使用范围。
(2)注意配置文件语法错误
NFS服务器通过/etc/exports文件来决定要导出哪些文件系统,以及把这些目录导出到哪些主机上。编辑这个文件的时候要特别小心,不要添加额外的空格。
例如:/etc/exports文件的以下行会使主机bob.example.com 能够共享/tmp/nfs/目录。
/tmp/nfs/ bob.example.com(rw)
但是 /etc/exports 文件中这一行的情况却不同。它共享同一目录,让主机 bob.example.com 拥有只读权限,却给全局以读写权限。这全是由主机后面的一个空格造成的。
/tmp/nfs/
bob.example.com (rw)
使用 showmount 命令来校验哪些目录被共享,从而检查NFS共享配置是一个好习惯。showmount格式为:
showmount -e
(3)使用iptables防火墙
因为NFS在网络上明文传输所有信息,所以让NFS服务器在防火墙后、在一个分段的安全网络上运行就很重要。无论何时在不安全的网络上传递NFS信息都有被截取的危险。从这个角度讲,谨慎制定网络计划就有助于防御重要的安全破坏。限制RCP服务访问的办法一般是使用防火墙,除了TCP-Wrapper还有ipchians和iptalbes的防火墙。在全面使用Linux 2.4或更高版本内核的今天,了解iptables这种防火墙方法也就足够了。 缺省的状态下,portmap使用111端口,而NFS使用2049端口,可以通过iptables来限制对该端口的访问:
iptables -t filter -A INPUT -p udp -d 127.0.0.1 --dport 111 -j DROP
iptables -t filter -A INPUT -p udp -d 127.0.0.1 --dport 2049 -j DROP
iptables -t filter -A INPUT -p udp -s trusted_client -d this_server_ip --dport 2049 -j
ACCEPTiptables -t filter -A INPUT -p udp -s not_trusted_client -d this_server_ip -dport
2049 -j DROP
(4)把开放目录限制为只读权限
可以在/etc/exports文件中设定权限选项ro,通常需要把NFS服务器对客户开放的任何目录或文件系统设置为只读访问:
/app devpc.nitec.com(ro) 这样,devpc.nitec.com网络中的客户只能对/app目录进行只读访问。
(5)禁止对某些目录的访问
当开放一个完整的文件系统或者一个目录时,缺省情况下它的子目录会自动开放访问权限。如果希望限制对其子目录的访问可以使用noaccess访问选项,例如希望开放/pub目录权限但是禁止访问/pub/staff-only子目录:
/pub weblab-??.nitec.com (ro)
/pub/staff-only weblab-??.nitec.com (noaccess)
注意: “??”代表任意字符。
(6)root squashing访问问题
按照默认设置,root用户的用户ID和组群ID都是0。root权限压缩(Root squashing)把用户ID0和组群ID0映射为匿名的用户和组群ID,因此客户上的根用户就不会在NFS服务器上具备根特权。如果这个选项被选,root用户就不会被映射为匿名用户,客户上的root用户就会对导出的目录拥有根特权。选择这个选项会大大降低系统的安全性。除非绝对必要,请不要选择它。为了明确执行该规则,可以修改文件/etc/exports:
/www www1.nitec.com(rw, root_squash)
这样如果客户端的UID0(root)用户想要访问(读、写、删除)一个NFS文件系统,服务器端会用UID代替服务器的nobody账户。这样客户端的root用户不能修改和访问服务器端root用户才能访问和修改的文件。
(7)使用nosuid和noexec选项
SUID(Set User ID)或SGID(Set Group ID)程序可以让普通用户以超过自己权限的形式执行。很多SUID/SGID可执行程序是必须的,比如上面提到的passwd。SUID/SGID程序会被一些恶意的本地用户利用,获取本不应有的权限。运行以下命令可以找到所有具有这一属性的程序:
#find / ( -perm -4000 -o -perm -2000 )
使用者必须查看这一列表,尽量减少那些所有者是root或是在root组中却拥有SUID/SGID属性的文件,删除或对其属性进行更改。使用nosuid选项禁止set-UID程序在 NFS服务器上运行,可以修改文件/etc/exports加入一行:
/www www1.nitec.com(rw, root_squash, nosuid)
上面的例子说明:/www目录在www1.nitec.com上可以登录,www1.nitec.com的用户可以读取/www中的文件和目录,但是不能运行set- UID程序。
/www www1.nitec.com(rw, root_squash, noexec)
上面的例子说明/www目录在www1.nitec.com上可以登录,www1.nitec.com的用户可以读取/www中的文件和目录,但是禁止所登录文件系统中文件的执行。
NFS是非常重要的网络协议,许多企业通过NFS协议共享硬盘和其它设备。把能登录NFS目录设置为只读访问、提高portmap服务的安全性、squashing root访问、使用on set-UID 和non executable文件设置可以提高NFS服务器的安全。
看过文章“提升nfs服务器的安全”
浏览量:2
下载量:0
时间:
我们都知道,互联网最大的优势就来源于资源共享,我们有时则是使用nfs协议来完成共享的,服务器一般都会采用许多重要的安全保护技术来确保其安全,那么你知道nfs服务器安全策略吗?下面是读文网小编整理的一些关于nfs服务器安全策略的相关资料,供你参考。
当开放一个完整的文件系统或者一个目录时,缺省情况下它的子目录会自动开放访问权限。如果希望限制对其子目录的访问可以使用noaccess访问选项,例如希望开放/pub目录权限但是禁止访问/pub/staff-only子目录:
/pub weblab-??.nitec.com (ro)
/pub/staff-only weblab-??.nitec.com (noaccess)
注意: “??”代表任意字符。
浏览量:2
下载量:0
时间:
我们所用的服务器大多是windows平台的windows server系列的系统,而且服务器安全也是我们现在很多人关注的一点,那么你知道服务器维护安全策略是什么吗?下面是读文网小编整理的一些关于服务器维护安全策略的相关资料,供你参考。
Windows 2000默认不带防火墙,需要我们自己安装一个安全的软件防火墙;
1.开启前要先看看3389端口有没有加到例外里去,因为我们的服务器都放在机房,维护人员一般都是在远程维护,没有的话勾上“远程桌面”,然后再开启。
2.在例外中加入80、1433、21端口,总之,要什么端口才添加什么端口,不要的端口一律不加。(也可以:windows防火墙“高级”本地连接“设置”服务,勾上所要服务,如:远程桌面、http、ftp、smtp)。
3.允许ping服务器:windows防火墙—高级—本地连接“设置”ICMP,勾上第一个:允许传入响应请求。
4.在防火墙策略中在添加一个允许远程桌面的的IP地址通过。
浏览量:2
下载量:0
时间:
Web服务器攻击常利用Web服务器软件和配置中的漏洞,web服务器安全也是我们现在很多人关注的一点,那么你知道web服务器安全设置吗?下面是读文网小编整理的一些关于web服务器安全设置的相关资料,供你参考。
对于专用的MSSQL数据库服务器,按照上文所讲的设置TCP/IP筛选和IP策略,对外只开放1433和5631端口。对于MSSQL首先需要为sa设置一个强壮的密码,使用混合身份验证,加强数据库日志的记录,审核数据库登陆事件的”成功和失败”.删除一些不需要的和危险的OLE自动存储过程(会造成企业管理器中部分功能不能使用),这些过程包括如下:
Sp_OAcreate Sp_OADestroy Sp_OAGetErrorInfo Sp_OAGetProperty
Sp_OAMethod Sp_OASetProperty Sp_OAStop
去掉不需要的注册表访问过程,包括有:
Xp_regaddmultistring Xp_regdeletekey Xp_regdeletevalue
Xp_regenumvalues Xp_regread Xp_regremovemultistring
Xp_regwrite
去掉其他系统存储过程,如果认为还有威胁,当然要小心drop这些过程,可以在测试机器上测试,保证正常的系统能完成工作,这些过程包括:
xp_cmdshell xp_dirtree xp_dropwebtask sp_addsrvrolemember
xp_makewebtask xp_runwebtask xp_subdirs sp_addlogin
sp_addextendedproc
在实例属性中选择TCP/IP协议的属性。选择隐藏 SQL Server 实例可防止对1434端口的探测,可修改默认使用的1433端口。除去数据库的guest账户把未经认可的使用者据之在外。 例外情况是master和 tempdb 数据库,因为对他们guest帐户是必需的。另外注意设置好各个数据库用户的权限,对于这些用户只给予所在数据库的一些权限。在程序中不要用sa用户去连接任何数据库。网络上有建议大家使用协议加密的,千万不要这么做,否则你只能重装MSSQL了。
看过文章“web服务器安全设置”
浏览量:2
下载量:0
时间:
Nagios是一种监控软件,能够帮助用户迅速了解主机和互联网上出现的问题,并且可以将其配置为在任何网络使用,那么你知道如何提升nagios服务器安全吗?下面是读文网小编整理的一些关于如何提升nagios服务器安全的相关资料,供你参考。
Web界面
如果你按照互联网上提供的快速安装指南安装Nagios,很可能只是安装了web界面,因为Nagios使用Apache显示出很多其他安全选项。
下面是Nagios web界面的apache配置的例子:
Options:ExecCGIAllowOverride:NoneOrder allow:denyAllow from:allAuthName:"Nagios Access"AuthType:BasicAuthUserFile:/usr/local/nagios/etc/htpasswd.usersRequire:valid-user |
“Allow from”选项是用来明确只能向某些IP地址和/或网络提供访问权限的,上面例子中允许所有IP地址访问该web界面。其他安全选项是用于身份验证的,“AuthType”定义了使用哪种身份验证类型,只有两种类型可供选择Basic或者Digest,基本验证(Basic)会将用户密码和用户名作为纯文本提交,而Digest验证的密码则会作为MD5 digest提交,很明显后者更加安全。
为了提高安全性我们需要进行如下修改:
Options:ExecCGIAllowOverride:NoneOrder allow:denyAllow from:192.168.4.AuthName:"Nagios Access"AuthType:DigestAuthDigestFile:/usr/local/nagios/etc/htpasswd.usersRequire:valid-user |
这个配置中,只有192.168.4.0网络的电脑可以访问该web界面,并且我们现在使用Digest验证取代了不安全的基本验证方法。
现在我们需要添加允许访问web网络的用户以及密码,使用下列命令来为digest验证添加新用户:
# htdigest -c /usr/local/nagios/etc/htpasswd.users realm username
Digest验证确实比Basic验证更加安全,不过保护用户名和密码安全最好的方法还是使用SSL。
进行任何配置更改后都必须重新启动apache,命令如下:.
# /etc/init.d/apache2 restart
最佳做法
本节将列举出一些安装Nagios服务器的最佳安全做法,具体如下:
· 不要以root身份运行Nagios。需要有一个名为nagios的普通用户,如果Nagios作为root运行,那么当Nagios受到攻击时,攻击者就能够对用户系统为所欲为了。.
· 锁定Check Result Directory。 确保只有nagios用户拥有对check result directory的读取/写入权限,否则攻击者将可能发送伪造的主机和服务检查结果,该目录通常位于这个位置:/usr/local/nagios /var/spool/checkresults。
· 在Command Definitions中使用完整路径。当定义命令时,请明确完整的路径,而不是与正在执行的任何脚本或者二进制相关的路径。
· 保护远程代理安全。远程代理包括NRPE,、NSClient以及SNMP等,下文中我们将介绍保护NRPE远程代理的步骤。
保护远程代理(remote agent)
本节我们将研究如何保障NRPE安全的问题。该远程代理用于在远程主机上执行检查程序(检查负载或者磁盘使用等),我们不会希望任何程序或者用户能够在远程机器上执行命令,因此保障NRPE的安全性是非常重要的。
由于NRPE附带有对TCP wrappers的支持,我们可以定义哪些主机允许访问NRPE:
/etc/hosts.allow
nrpe:192.168.1.91
以上示例中,只有192.168.1.91可以在该主机上使用这个远程代理,你可以将你的Nagios客户端IP地址取代192.168.1.91,请注意应该同时用于你的Nagios服务器和客户端。
NRPE绝不能作为root或者任何其他superuser来运行,它只能作为nagios用户组中的nagios用户来运行,可以在/etc/nagios/nrpe.cfg位置查看NRPE是否作为nagios运行:
part of /etc/nagios/nrpe.cfg
nrpe_user=nagios
nrpe_group=nagios
NRPE的另一部分也可能成为安全漏洞,即允许command arguments。我们当然不希望看到攻击者通过发送恶意arguments攻击我们的系统,确实有时候需要允许Nagios发送command arguments,但如果大部分时候不需要启用此功能,那么一定要禁用。
禁用此功能需要编辑/etc/nagios/nrpe.cfg 并确保你执行下列命令:
dont_blame_nrpe=0
用户进行任何配置更改后都必须重新启动nrpe.cfg,想要了解更多关于NRPE安全的信息请阅读数据包源文件中的SECURITY文件。
保护通信渠道安全
在网络进行通信时,必然要涉及到通信安全问题,这也正是SSL的用武之地。
NRPE可以允许你启用SSL功能,但是数据包必须已经配置为–enable-ssl option(启用SSL选项),如果NRPE配置为使用SSL功能,请注意客户端和服务器都必须同时启用。
下一步我们还需要配置SSL以提高其安全性,这样才不至于发送简单的纯文本web界面密码:
# openssl genrsa -des3 -out server.3des-key 1024
# openssl rsa -in server.3des-key -out server.key
# openssl req -new -key server.key -x509 -out server.crt -days 365
# chmod 600 server.key
# rm server.3des-key
# mv server.crt /etc/ssl/
# mv server.key /etc/ssl/private/
现在我们已经生成了证书,需要告诉Apache来使用这些证书。
在Apache配置中,需要添加SSLRequireSSL选项,例如:
SSLRequireSSLOptions:ExecCGIAllowOverride:NoneOrder allow:denyAllow from:192.168.4.AuthName:"Nagios Access"AuthType:DigestAuthDigestFile:/usr/local/nagios/etc/htpasswd.usersRequire:valid-user |
请记住重新启动Apache:
# /etc/init.d/apache2 restart
现在Nagios服务器已经很安全了,下一步就是即使进行安全更新。
看过文章“如何提升nagios服务器安全”
浏览量:2
下载量:0
时间:
Web日志记录了web服务器接收处理请求,以及其运行时的错误等各种原始信息。通过对日志进行统计、分析、综合,就能有效地掌握服务器的运行状况,发现和排除错误、了解客户访问分布等,方便管理员更好地加强服务器的维护和管理,那么你知道如何保护日志服务器安全吗?下面是读文网小编整理的一些关于如何保护日志服务器安全的相关资料,供你参考。
通过上面的演示可以看到,如果将服务器的日志保存在本地是非常不安全的。而且,如果企业中的服务器非常多的话,查看日志会非常麻烦。基于以上考虑,打造专门的日志服务器,即有利于服务器日志的备份又有利用于集中管理。
笔者的做法是,搭建一个FTP服务器用来日志的集中和备份,可以在服务器中通过专门的工具或者计划任务来实现日志的自动上传备份。这部分内容比较简单,笔者就不演示了。其实不仅可以将服务器日志备份到专门的日志服务器上,日志服务器还可以实现网络设备的日志备份。
以路由器为例,首先在其上进行设置,指定记录日志的服务器,最后通过FTP协议将日志数据传输到FTP服务器上。搭建FTP服务器可以利用IIS的FTP或者Serv-u,但是笔者觉得IIS的FTP在权限分配上不够方便,而Serv-u有漏洞太多,因此推荐TYPSoft FTP。
1、架设日志服务器
TYPSoft FTP是绿色软件,下载解压后双击ftpserv.exe文件,启动typsoft fip主程序。启动后,点击主界面菜单中的“设定→用户”,建立新账户log。接着在用户界面中设置log账号所对应的用户密码和日志保存的目录,最后点击“保存”按钮使设置生效,这样日志服务器就架好了。
2、日志服务器的指定
当搭建好日志服务器后,只需要到相应的网络设置中通过SYSLOG或LOG命令指定要保存日志的服务器地址即可,同时加上设置好的账户名和密码即可完成传输配置工作。下面笔者就以Cisco6509设备上配置及指定日志服务器为例。
正常登录到设备上然后在全局配置模式下输入logging 192.168.1.10,它的意思是在路由器上指定日志服务器地址为192.168.1.10。接着输入logging trap,它的意思是设置日志服务器接收内容,并启动日志记录。trap后面可以接参数0到7,不同级别对应不同的情况,可以根据实际情况进行选择。如果直接使用logging trap进行记录的话是记录全部日志。配置完毕后路由交换设备可以发送日志信息,这样在第一时间就能发现问题并解决。日志服务器的IP地址,只要是能在路由交换设备上ping通日志服务器的IP即可,不一定要局限在同一网段内。因为FTP属于TCP/IP协议,它是可以跨越网段的。
看过文章“如何保护日志服务器安全”
浏览量:2
下载量:0
时间:
大多数Web站点的设计目标都是:以最易接受的方式,为访问者提供即时的信息访问。在过去的几年里,越来越多的黑客、病毒和蠕虫带来的安全问题严重影响了网站的可访问性,那么你知道如何保护web服务器安全吗?下面是读文网小编整理的一些关于如何保护web服务器安全的相关资料,供你参考。
每周搜索一次*.bat和*.exe文件,检查服务器上是否存在黑客最喜欢,而对你来说将是一场噩梦的可执行文件。在这些破坏性的文件中,也许有一些是*.reg文件。如果你右击并选择编辑,你可以发现黑客已经制造并能让他们能进入你系统的注册表文件。你可以删除这些没任何意义但却会给入侵者带来便利的主键。
浏览量:4
下载量:0
时间:
现如今,无论是个人用户还是企业用户都非常重视计算机的安全性,木马、钓鱼网站、病毒让互联网中的电脑每时每刻都在受到威胁。有些朋友会问加强电脑的安全性真的有必要吗?下面由读文网小编给你做出详细的确保电脑安全的4种方案介绍!希望对你有帮助!
像前一段流行的熊猫烧香这样的蠕虫病毒,不但对用户系统进行破坏,导致大量应用软件无法使用,还可删除扩展名为gho的所有文件,造成用户系统备份文件丢失,从而无法进行系统恢复,还能终止大量反病毒软件进程。除此之外,继熊猫烧香之后灰鸽子也成为威胁用户计算机安全的一个破坏程序,灰鸽子是国内一款著名后门程序,其丰富而强大的功能、灵活多变的操作、良好的隐藏性使其他后门都相形见绌。客户端简易便捷的操作使刚入门的初学者都能充当黑客。
如何提高电脑的安全性
先说一下个人用户,我们建议使用正版的杀毒软件及应用程序,一些免费的程序建议从国内知名的软件站去下载,如:华军、天空、驱动之家等。其次避免浏览一些不良网站及论坛,最后在使用移动设备时应该先使用电脑中的杀毒软件查一遍毒,确保安全后再使用。其次是网吧及企业用户,因为整个网络主要是以局域网构成,因此一旦一台电脑被感染中毒之后,病毒很快就会被传播。因此建议这类用户使用企业版杀毒软件并同一进行定期更新,关闭操作系统中不常用到的服务选项,屏蔽一些可能被入侵的端口,如果发现网内有一台电脑中病毒之后应及时与其他电脑进行隔离。总而言之,定期更新杀毒软件的病毒库是关键。
浏览量:3
下载量:0
时间:
开发网站的时候,常常需要自己配置Linux服务器。如何搭建一个安全的Linux服务器?下面跟着读文网小编一起来了解一下吧。
在Linux系统中,TCP/IP网络是通过若干个文本文件进行配置的,也许你需要编辑这些文件来完成联网工作,但是这些配置文件大都可以通过配置命令linuxconf(其中网络部分的配置可以通过netconf命令来实现)。下面介绍基本的TCP/IP网络配置文件。
*/etc/conf.modules文件
该配置文件定义了各种需要在激活时加载的模块的参数信息。这里主要着重讨论关于网卡的配置。在使用Linux做网关的情况下,Linux服务器至少需要配置两块网卡。为了减少激活时可能出现的问题,Linux内核不会自动检测多个网卡。对于没有将网卡的驱动编译到内核而是作为模块动态加载的系统若需要安装多块网卡,应该在“conf.modules”文件中进行相应的配置。
若设备驱动被编译为模块(内核的模块):对于PCI设备,模块将自动检测到所有已经安装到系统上的设备;对于ISA卡,则需要向模块提供IO地址,以使模块知道在何处寻找该卡,这些信息在“/etc/conf.modules”中提供。
对于PCI卡,仅仅需要alias命令来使ethN和适当的驱动模块名关联,PCI卡的IO地址将会被自动的检测到。对于PCI卡,编辑“conf.modules”文件如下:aliaseth03c905aliaseth13c905若驱动已经被编译进了内核:系统激活时的PCI检测程序将会自动找到所有相关的网卡。ISA卡一般也能够被自动检测到,但是在某些情况下,ISA卡仍然需要做下面的配置工作:
在“/etc/lilo.conf”中增加配置信息,其方法是通过LILO程序将激活参数信息传递给内核。对于ISA卡,编辑“lilo.conf”文件,增加如下内容:append="ether="0,0,eth0ether="0,0,eth1"注:先不要在“lilo.conf”中加入激活参数,测试一下你的ISA卡,若失败再使用激活参数。
如果用传递激活参数的方法,eth0和eth1将按照激活时被发现的顺序来设置。
*/etc/HOSTNAME文件:
该文件包含了系统的主机名称,包括完全的域名,如:deep.openarch.com
*/etc/sysconfig/network-scripts/ifcfg-ethN文件:
在RedHat中,系统网络设备的配置文件保存在“/etc/sysconfig/network-scripts”目录下,ifcfg-eth0包含第一块网卡的配置信息,ifcfg-eth1包含第二块网卡的配置信息。
*/etc/resolv.conf文件:
该文件是由域名解析器(resolver,一个根据主机名解析IP地址的库)使用的配置文件,示例如下:
searchopenarch.comnameserver208.164.186.1nameserver208.164.186.2
“searchdomainname.com”表示当提供了一个不包括完全域名的主机名时,在该主机名后添加domainname.com的后缀;“nameserver”表示解析域名时使用该地址指定的主机为域名服务器。其中域名服务器是按照文件中出现的顺序来查询的。
*/etc/host.conf文件:
该文件指定如何解析主机名。Linux通过解析器库来获得主机名对应的IP地址。下面是一个“/etc/host.conf”的示例:
orderbind,hosts
multion
ospoofon
“orderbind,hosts”指定主机名查询顺序,这里规定先使用DNS来解析域名,然后再查询“/etc/hosts”文件(也可以相反)。
“multion”指定是否“/etc/hosts”文件中指定的主机可以有多个地址,拥有多个IP地址的主机一般称为多穴主机。
“nospoofon”指不允许对该服务器进行IP地址欺骗。IP欺骗是一种攻击系统安全的手段,通过把IP地址伪装成别的计算器,来取得其它计算器的信任。
*/etc/sysconfig/network文件
该文件用来指定服务器上的网络配置信息。
*/etc/hosts文件
当机器激活时,在可以查询DNS以前,机器需要查询一些主机名到IP地址的匹配。这些匹配信息存放在/etc/hosts文件中。在没有域名服务器情况下,系统上的所有网络程序都通过查询该文件来解析对应于某个主机名的IP地址。
*/etc/inetd.conf文件
众所周知,作为服务器来说,服务端口开放越多,系统安全稳定性越难以保证。所以提供特定服务的服务器应该尽可能开放提供服务必不可少的端口,而将与服务器服务无关的服务关闭,比如:一台作为www和Ftp服务器的机器,应该只开放80和25端口,而将其它无关的服务如:fingerauth等服务关掉,以减少系统漏洞。
而inetd,也叫作“超级服务器”,就是监视一些网络请求的守护进程,其根据网络请求来调用相应的服务进程来处理连接请求。inetd.conf则是inetd的配置文件。inetd.conf文件告诉inetd监听哪些网络端口,为每个端口激活哪个服务。在任何的网络环境中使用Linux系统,第一件要做的事就是了解一下服务器到底要提供哪些服务。不需要的那些服务应该被禁止掉,最好卸载掉,这样黑客就少了一些攻击系统的机会。查看“/etc/inetd.conf”文件,了解一下inetd提供哪些服务。用加上注释的方法(在一行的开头加上#号),禁止任何不需要的服务,再给inetd进程发一个SIGHUP信号。
第一步:把文件的权限限改成600。
[root@deep]#chmod600/etc/inetd.conf
第二步:确信文件的所有者是root。
[root@deep]#stat/etc/inetd.conf
第三步:编辑“inetd.conf”文件(vi/etc/inetd.conf),禁止所有不需要的服务,如:ftp、telnet、shell、login、exec、talk、ntalk、imap、pop-2、pop-3、finger、auth,等等。如果你觉得某些服务有用,可以不禁止这些服务。但是,把这些服务禁止掉,系统受攻击的可能性就会小很多。改变后的“inetd.conf”文件的内容如下面所示:
#Tore-readthisfileafterchanges,justdoa'killall-HUPinetd'##echostreamtcpnowaitrootinternal#echodgramudpwaitrootinternal#discardstreamtcpnowaitrootinternal#discarddgramudpwaitrootinternal#daytimestreamtcpnowaitrootinternal#daytimedgramudpwaitrootinternal#chargenstreamtcpnowaitrootinternal#chargendgramudpwaitrootinternal#timestreamtcpnowaitrootinternal#timedgramudpwaitrootinternal##Thesearestandardservices.##ftpstreamtcpnowaitroot/usr/sbin/tcpdin.ftpd-l-a#telnetstreamtcpnowaitroot/usr/sbin/tcpdin.telnetd##Shell,login,exec,comsatandtalkareBSDprotocols.
看过“ 如何搭建一个安全的Linux服务器 ”
浏览量:2
下载量:0
时间:
win2003 虽然以出来很多年了,但还是有很大的用户群,那么Windows2003服务器怎么做好安全设置呢?今天读文网小编与大家分享下Windows2003服务器做好安全设置的具体操作步骤,有需要的朋友不妨了解下。
正确划分文件系统格式,选择稳定的操作系统安装盘
为了提高安全性,服务器的文件系统格式一定要划分成NTFS(新技术文件系统)格式,它比FAT16、FAT32的安全性、空间利用率都大大的提高,我们可以通过它来配置文件的安全性,磁盘配额、EPS文件加密等。如果你已经分成FAT32的格式了,可以用CONVERT 盘符 /FS:NTFS /V 来把FAT32转换成NTFS格式。正确安装windows 2003 server,在网安联盟http://cqhk.14023.com/Soft/yyrj/bigsoft/200504/502.asp>有windows 2003的企业可升级版,这个一个完全破解了的版本,可以直接网上升级,我们安装时尽量只安装我们必须要用的组件,安装完后打上最新的补丁,到网上升级到最新版本!保证操作系统本身无漏洞。
正确设置磁盘的安全性,具体如下(虚拟机的安全设置,我们以asp程序为例子)重点:
1、系统盘权限设置
C:分区部分:
c:
administrators 全部(该文件夹,子文件夹及文件)
CREATOR OWNER 全部(只有子文件来及文件)
system 全部(该文件夹,子文件夹及文件)
IIS_WPG 创建文件/写入数据(只有该文件夹)
IIS_WPG(该文件夹,子文件夹及文件)
遍历文件夹/运行文件
列出文件夹/读取数据
读取属性
创建文件夹/附加数据
读取权限
c:Documents and Settings
administrators 全部(该文件夹,子文件夹及文件)
Power Users (该文件夹,子文件夹及文件)
读取和运行
列出文件夹目录
读取
SYSTEM全部(该文件夹,子文件夹及文件)
C:Program Files
administrators 全部(该文件夹,子文件夹及文件)
CREATOR OWNER全部(只有子文件来及文件)
IIS_WPG (该文件夹,子文件夹及文件)
读取和运行
列出文件夹目录
读取
Power Users(该文件夹,子文件夹及文件)
修改权限
SYSTEM全部(该文件夹,子文件夹及文件)
TERMINAL SERVER USER (该文件夹,子文件夹及文件)
修改权限
2、网站及虚拟机权限设置(比如网站在E盘)
说明:我们假设网站全部在E盘wwwsite目录下,并且为每一个虚拟机创建了一个guest用户,用户名为vhost1...vhostn并且创建了一个webuser组,把所有的vhost用户全部加入这个webuser组里面方便管理
E:
Administrators全部(该文件夹,子文件夹及文件)
E:wwwsite
Administrators全部(该文件夹,子文件夹及文件)
system全部(该文件夹,子文件夹及文件)
service全部(该文件夹,子文件夹及文件)
E:wwwsitevhost1
Administrators全部(该文件夹,子文件夹及文件)
system全部(该文件夹,子文件夹及文件)
vhost1全部(该文件夹,子文件夹及文件)
3、数据备份盘
数据备份盘最好只指定一个特定的用户对它有完全操作的权限
比如F盘为数据备份盘,我们只指定一个管理员对它有完全操作的权限
4、其它地方的权限设置
请找到c盘的这些文件,把安全性设置只有特定的管理员有完全操作权限
下列这些文件只允许administrators访问
net.exe
net1.exet
cmd.exe
tftp.exe
netstat.exe
regedit.exe
at.exe
attrib.exe
cacls.exe
format.com
5.删除c:inetpub目录,删除iis不必要的映射,建立陷阱帐号,更改描述
第三招:禁用不必要的服务,提高安全性和系统效率
Computer Browser 维护网络上计算机的最新列表以及提供这个列表
??Task scheduler 允许程序在指定时间运行
??Routing and Remote Access 在局域网以及广域网环境中为企业提供路由服务
??Removable storage 管理可移动媒体、驱动程序和库
??Remote Registry Service 允许远程注册表操作
??Print Spooler 将文件加载到内存中以便以后打印。要用打印机的朋友不能禁用这项
??IPSEC Policy Agent 管理IP安全策略以及启动ISAKMP/OakleyIKE)和IP安全驱动程序
??Distributed Link Tracking Client 当文件在网络域的NTFS卷中移动时发送通知
??Com+ Event System 提供事件的自动发布到订阅COM组件
Alerter 通知选定的用户和计算机管理警报
Error Reporting Service 收集、存储和向 Microsoft 报告异常应用程序
Messenger 传输客户端和服务器之间的 NET SEND 和 警报器服务消息
Telnet 允许远程用户登录到此计算机并运行程序#p#副标题#e#
第四招:修改注册表,让系统更强壮
1、隐藏重要文件/目录可以修改注册表实现完全隐藏:HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows Current-VersionExplorerAdvancedFolderHi-ddenSHOWALL”,鼠标右击 “CheckedValue”,选择修改,把数值由1改为0
2、启动系统自带的Internet连接_blank">防火墙,在设置服务选项中勾选Web服务器。
3、防止SYN洪水攻击
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters
新建DWORD值,名为SynAttackProtect,值为2
EnablePMTUDiscovery REG_DWORD 0
NoNameReleaseOnDemand REG_DWORD 1
EnableDeadGWDetect REG_DWORD 0
KeepAliveTime REG_DWORD 300,000
PerformRouterDiscovery REG_DWORD 0
EnableICMPRedirects REG_DWORD 0
4. 禁止响应ICMP路由通告报文
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParametersInterfacesinterface
新建DWORD值,名为PerformRouterDiscovery 值为0
5. 防止ICMP重定向报文的攻击
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters
将EnableICMPRedirects 值设为0
6. 不支持IGMP协议
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters
新建DWORD值,名为IGMPLevel 值为0
7.修改终端服务端口
运行regedit,找到[HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Control Terminal Server Wds rdpwd Tds tcp],看到右边的PortNumber了吗?在十进制状态下改成你想要的端口号吧,比如7126之类的,只要不与其它冲突即可。
2、第二处HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Control Terminal Server WinStations RDP-Tcp,方法同上,记得改的端口号和上面改的一样就行了。
8、禁止IPC空连接:
cracker可以利用net use命令建立空连接,进而入侵,还有net view,nbtstat这些都是基于空连接的,禁止空连接就好了。打开注册表,找到Local_MachineSystemCurrentControlSetControlLSA-RestrictAnonymous 把这个值改成”1”即可。
9、更改TTL值
cracker可以根据ping回的TTL值来大致判断你的操作系统,如:
TTL=107(WINNT);
TTL=108(win2000);
TTL=127或128(win9x);
TTL=240或241(linux);
TTL=252(solaris);
TTL=240(Irix);
实际上你可以自己更改的:HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters:DefaultTTL REG_DWORD 0-0xff(0-255 十进制,默认值128)改成一个莫名其妙的数字如258,起码让那些小菜鸟晕上半天,就此放弃入侵你也不一定哦
10. 删除默认共享
有人问过我一开机就共享所有盘,改回来以后,重启又变成了共享是怎么回事,这是2K为管理而设置的默认共享,必须通过修改注册表的方式取消它:HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameters:AutoShareServer类型是REG_DWORD把值改为0即可
11. 禁止建立空连接
默认情况下,任何用户通过通过空连接连上服务器,进而枚举出帐号,猜测密码。我们可以通过修改注册表来禁止建立空连接:
Local_MachineSystemCurrentControlSetControlLSA-RestrictAnonymous 的值改成”1”即可。
其它安全手段
1.禁用TCP/IP上的NetBIOS
网上邻居-属性-本地连接-属性-Internet协议(TCP/IP)属性-高级-WINS面板-NetBIOS设置-禁用TCP/IP上的NetBIOS。这样cracker就无法用nbtstat命令来读取你的NetBIOS信息和网卡MAC地址了。
2. 账户安全
首先禁止一切账户,除了你自己,呵呵。然后把Administrator改名。我呢就顺手又建了个Administrator账户,不过是什么权限都没有的那种,然后打开记事本,一阵乱敲,复制,粘贴到“密码”里去,呵呵,来破密码吧~!破完了才发现是个低级账户,看你崩溃不?
创建2个管理员用帐号
虽然这点看上去和上面这点有些矛盾,但事实上是服从上面的规则的。 创建一个一般权限帐号用来收信以及处理一些*常事物,另一个拥有Administrators 权限的帐户只在需要的时候使用。可以让管理员使用 “ RunAS” 命令来执行一些需要特权才能作的一些工作,以方便管理
3.更改C:WINDOWSHelpiisHelpcommon404b.htm内容改为这样,出错了自动转到首页
4. 安全日志
我遇到过这样的情况,一台主机被别人入侵了,系统管理员请我去追查凶手,我登录进去一看:安全日志是空的,倒,请记住:Win2000的默认安装是不开任何安全审核的!那么请你到本地安全策略->审核策略中打开相应的审核,推荐的审核是:
账户管理 成功 失败
登录事件 成功 失败
对象访问 失败
策略更改 成功 失败
特权使用 失败
系统事件 成功 失败
目录服务访问 失败
账户登录事件 成功 失败
审核项目少的缺点是万一你想看发现没有记录那就一点都没辙;审核项目太多不仅会占用系统资源而且会导致你根本没空去看,这样就失去了审核的意义
5. 运行防毒软件
我见过的Win2000/Nt服务器从来没有见到有安装了防毒软件的,其实这一点非常重要。一些好的杀毒软件不仅能杀掉一些著名的病毒,还能查杀大量木马和后门程序。这样的话,“黑客”们使用的那些有名的木马就毫无用武之地了。不要忘了经常升级病毒库,我们推荐mcafree杀毒软件+blackice_blank">防火墙
6.sqlserver数据库服务器安全和serv-u ftp服务器安全配置,更改默认端口,和管理密码
7.设置ip筛选、用blackice禁止木马常用端口
一般禁用以下端口
135 138 139 443 445 4000 4899 7626
8.本地安全策略和组策略的设置,如果你在设置本地安全策略时设置错了,可以这样恢复成它的默认值.
打开 %SystemRoot%Security文件夹,创建一个 "OldSecurity"子目录,将%SystemRoot%Security下所有的.log文件移到这个新建的子文件夹中.
在%SystemRoot%Securitydatabase下找到"Secedit.sdb"安全数据库并将其改名,如改为"Secedit.old".
启动"安全配置和分析"MMC管理单元:"开始"->"运行"->"MMC",启动管理控制台,"添加/删除管理单元",将"安全配置和分析"管理单元添加上.
右击"安全配置和分析"->"打开数据库",浏览"C:WINNTsecurityDatabase"文件夹,输入文件名"secedit.sdb",单击"打开".
当系统提示输入一个模板时,选择"Setup Security.inf",单击"打开".
如果系统提示"拒绝访问数据库",不管他.
你会发现在"C:WINNTsecurityDatabase"子文件夹中重新生成了新的安全数据库,在"C:WINNTsecurity"子文件夹下重新生成了log文件.安全数据库重建成功.
看过“Windows2003服务器怎么做好安全设置”
浏览量:3
下载量:0
时间: