网管内幕 — 服务器管理之不传之秘

作者：徐成国

   大多数网管都不会泄露自己所采用的安全策略。泄露防护策略，就会给他人可乘之机，等于给自己惹麻烦，更严重的，还要承担因此而造成的后果，所以网络管理一直以来都是个黑幕，在公开的资料上，你很难找到高价值的信息。本文中所述的防护方法，大都简便易行。其中有技术层面的，也有非技术层面的，两者都是同等重要的。巧妙运用这些简单的方法，足可以让顶尖黑客望洋兴叹。

    一、看看谁在扫描你。

    扫描是黑客攻击的前奏曲，查到扫描，最好用防火墙把扫描者IP整个网段屏蔽掉，因为其它原因，无法屏蔽IP的，你就要格外小心了，必要时就得采取其它措施了。

    对于来自网上的扫描，大多不必太担心，很多人以网络攻击为乐，网海茫茫，哪有那么容易被黑客找上门来！但如果扫描者的IP，就是你身边的人，那你可要格外小心，他（她）注定会对你的服务器下手，在你管理服务器的整个工作期间，你都要小心提防。

    二、服务器伪装

    呵呵，一说到伪装，总会让人想起战场上的伪装，防御方制造大量假目标，欺骗敌军来攻击，从而达到保护真实目标的目的。服务器伪装和战场伪装其实是同一种思路，简单的伪装，可以用低廉的代价阻止大多数攻击者。

    我这个y768网站是做在我们学校服务器上的，同一台服务器上还有学校的网站。服务器的IP是222.62.187.20，但你从地址栏中输入IP，会立即显示“找不到网页”。这种效果很容易设置，只要把名为“222.62.187.20”的虚拟服务器目录指向一个不存在的目录就可以了。

    这里顺带说一下404。http 404的意思是找不到网页。有的攻击者会用目录扫描软件，扫描你网站某目录里的东西，日志上你会发现同一IP有大量的404记录，类似这样的记录：

192.168.0.170 - - [08/Sep/2005:12:20:46 -0800] "GET /images/menu_bg1.gif HTTP/1.1" 404 973 "http://

    当你的WEB日志中含有大量404记录的时候，你就要小心了，如果大量的404记录来源于相同的IP，肯定是有人在扫描你的记录。

    攻击者做目录扫描的目的，是想获得你网站目录里的敏感信息。就说较常见的虚拟主机用户，他们的网站根目录就指向FTP空间根目录，很多用户经常把备份的数据库文件放到根目录中去，目录扫描，就是要窃取这些敏感的信息。

    三、武装到牙齿

    网站的安全防护较为复杂，你必须有编程基础。

    一般的网站建设者，经常会在关键部位进行IP限制，比如管理后台，只允许指定IP登陆。但这种限制有时候很不方便，比如我在家用宽带猫上网，用铁通宽带，要想在家里进网站后台，就要允许铁通用户的IP，实际上，IP限制之后，还是有许多IP有机会潜入你的后台。此外，在局网中，IP和MAC地址都是可以造假的，IP限制在局网中并不安全。

    我的做法是用数字证书（2048位，RSA，SSLv3），在关键部位进行数字证书审核，就算你偷了我的管理密码，没我的数字证书，你一样进不了后台，成不了超管。配合防火墙使用，网站安全可以达到商业级的水平。国家金融系统，用的就是这东西！

    你可能没有想到，像我这个y768，一个小小的个人网站，居然会用到商业级的安全技术。这么做是偶然的，因为我教计算机课，学生课程里有商务网站方面的内容，做这个东西，主要还是为了教学（这个网站就是上学期网站建设课的教具）。商务网站的教材中，安全防护方面缺乏实例。像数字证书这样的小技巧，学生很容易理解。呵呵，扯远了~

    你还要知道两个单位的联系方法：1、公安部网络违法案件举报网站：http://www.cyberpolice.cn 。2、市公安局网监处。前者有兴趣就点链接进去看看，后者可以打电话问114。小心行得万年船，且记！且记！
 

    四、加密隧道

    加密隧道不是很常用，当然，这是受大多数单位计算机应用水平限制。当你的单位使用大型数据库，并涉及到金钱、物资管理的时候，就要考虑网络上数据加密的问题了。

    开学初的时候，我和肖老师对校内招生管理系统做了安全检测。这套系统应该说很有档次，学生报名、交费、安排宿舍、分班，学生就读期间学籍管理等等，一系列工作全部计算机化，至少在葫芦岛市，能独立开发这样一套系统的单位少之又少。

     这套系统用SQL SERVER做后端数据库，前端是用C++编写的。我试着截获客户端发给服务器的报文，发现SQL SERVER就用明文传送密码，连简单的字节替代都没有！虽说字接替代可以用差分攻击解开，但这种方法起码可以对付一些门外汉，直接传送明文，风险实在太大了。

    在大型企事业单位，明文传送密码的保密问题，可以用昂贵的三层、四层交换机来解决，而中小型单位，就要考虑成本问题了。一种廉价、简易的方法就是用加密隧道。

    五、使用代理服务器

    教学楼上的四个机房，都是通过代理服务器，连接到主控服务器，再通过路由方式，联接到互联网。因为对教师和学生限制程度不一样，防火墙主要用于服务器本身的安全防护，对于路由方式上网，限制能力很有限。上学期，就碰到一件很头疼的事，有的学生在机房内听歌，还有偷偷看电影的。没办法，四月底的时候，我用主控机房里的数据备份电脑做了个代理服务器，用squid代理。

    不要小瞧代理。代理服务器属于应用级防火墙，能提供更好的过滤功能。从长远来看，单位上网，最好从一开始就使用代理服务器。代理服务器访问控制能力强，更重要的是，有谁访问非法网站，在服务器上都是有记录的。

    普通防火墙可以使用代理服务器绕过去。上学期有段时间，单位QQ泛滥，领导很是恼火。没办法，只好编了个小程序，用来抓QQ，用的就是应用级防火墙上的技术，小程序不大，用代理上QQ的都可以揪出来。我对内谎称：“服务器装监控了”，从此大家也就不那么疯狂上QQ了。我不希望像限制学生那样限制老师，谁上网没个网友？说这件事无非是告诉大家，防火墙的安全防护能力是很有限的，要两手准备。

    六、做好保密

    密码当然要保密，我用的任何一个密码，就连我老婆都不知道，她也是搞计算机的。

    安全防护策略更需要保密。因为人的思维具有片面性，总会有疏漏的地方，别人知道了你的防护策略，很可能找到可乘之机。

    七、谁会黑你？

     虽说很多人用黑客软件干着无聊的事，但网海茫茫，谁也不会轻易被人黑着。我爱人是一个教育论坛的版主，几天前，删垃圾广告的时候，不小心弄丢了版里的帖子。总管以前是我爸爸的同事，都是教育系统内的人，也就放心地把管理员密码交给了我，我也有机会参观了别人的网站。

     这个论坛的安全实在是太垃圾了。论坛数据库用的就是默认的数据库名，很容易被人下载，ACCESS的数据库，下载后发现所有的内容可一览无余（想做论坛的，不访先去偷几个，数据整理后，你就可以在建站之初，拥有大量资料）。管理密码全用的是数字，这样的密码，破译用不了几分钟。进了后台发现，居然连邮件认证都没打开。难怪有这么多垃圾广告，不少人用发贴器注册、发广告，各版全是广告，弄得正常的访问都无法进行。

    就这样一个论坛，居然在网上奇迹般地生存了三年，所以说网站也不是那么容易被攻击的。那么，到底谁会黑你呢？

    六类人：主机用户、会员、竞争者、朋友、同事、网友。换句话说，就是你身边的人，他们才是真正的攻击者。

    主机用户是最大的安全威胁。任何管理上的漏洞，都会造成重大隐患，我就曾在开放目录里丢过密码，幸亏不是超管密码。且记，做网管的不要相信任何人，谁都有不厚道的时候，缺乏对同主机用户的防范，迟早会酿成大祸！需要警惕的是，当你觉得有主机用户向你索要过多的权限时，他一定会成为攻击者。索要权限是最主要的黑客攻击手段之一，很多安全屏障，都不是用技术突破的！

    SQLSQL注入攻击，相信大家都不陌生，只有网站会员才有此机会。竞争者雇佣攻击者，对你的网站下手，也是很常见的事。在黑客流行的俄罗斯，甚至有职业的攻击者，专门干此事。

    同事、朋友等，有机会和你直接接触，他们了解你的行事方法，有机会窃听你的网落数据，甚至有机会亲眼看见你输入密码，这也是个不小的隐患。

    八、使用长密码。

    合格的网管不会担心密码丢失，至少LINUX上是如此。上学期我丢过两次mysql管理密码，都捞回来了。即使root密码忘了，也一样可以改回来，因为我们可以直接使用服务器。既然密码丢了可以改回来，我们就应该使用尽可能长的密码，这样做也是对单位和你自己负责。我的密码都是14位的，字母、数字和标点的组合。