摘

 要：本文以 Windows2003 操作系统的服务器为例，介绍一些网站服务器安全维护的技巧。

 

　　关键词：网站；服务器；安全维护

 

　　

1 转换角色，模拟可能的攻击 

　　多数时候，我们若只是站在网站维护员的位置上思考问题，可能很难发觉网站服务器
的漏洞。相反，维护员若能换个角度，把自身当作可能的攻击者，从他们的角色出发，揣测
他们可能会运用哪些手段对网站服务器的漏洞进行攻击，或许就可以发现网站服务器可能
存在的安全漏洞，从而修补漏洞，避免被木马或者病毒攻击，防患于未然。

 

　　从外网访问自身的网站服务器，执行完整的检测，然后模拟攻击者攻击自身的站点，
看会有什么结果，无疑是一种很好的网站安全性检测方法。自己充当攻击者，运用黑客常用
的扫描工具对网站服务器执行扫描，就会发觉一些日常可能不会引起重视，但可能会被他
们调用的服务或者漏洞。如在网站服务器安装的时候，操作系统会默认安装并启动一些不需
要的服务，或者在服务器配置的时候，需要启动一些服务，但是事后没有及时关上，从而
给不法攻击者留下攻击的机会。常见的如

SNMP 服务（基本网络维护协议），这个服务在

系统安装完毕后默认是开启的。但是，这个服务可以为攻击者提供服务器系统的详细信息，
如网站服务器采用了什么操作系统，开启了什么服务与对应的端口等重要信息，攻击者只
要清楚这些基本的信息就能开展攻击。安全维护人员在日常工作中可能不会发觉这个问题，
若借助黑客的扫描工具，就能发现问题所在。

 

　　

2 合理的权限维护 

　　大多时候，一台服务器不仅运行了网站的应用，而且还会运行诸如

FTP 服务器和流媒

体服务器之类的网络服务。在同一台服务器上使用多种网络服务很可能造成服务之间的相互
感染。也就是说，攻击者只需要攻破其中一种服务，就可以运用这个服务平台从内部攻击其
他服务，通常来说，从内部执行攻击要比外部执行攻击方便得多。

 

　　或许有人会说，不同的服务采用不同服务器就可以了。当然可以，但这样浪费很大，因
为从性能上讲，在服务器上同时部署

Web 服务与 FTP 服务及流媒体服务的话，是完全可行

的。为此，从成本考虑，我们使用一个服务器同时运行三种服务：一个是传统的网站服务；
二是

FTP 服务；三是流媒体服务，因为该服务是 mms 模式的，互联网上也可以直接访问流

媒体服务器，所以也就部署同一台服务器上。由于选用的服务器配置比较高，所以，运行这
三个服务没有太大问题，性能也不会受到影响。但是这给网站安全维护者出了一个难题：两
种、甚至两种以上的服务同时部署在一台服务器上，怎么才能保障安全、防止彼此相互感染
呢？

 

　　通常采用的文件系统是

FAT 或者 FAT32。NTFS 是微软 WindowsNT 内核的系列操作系

统支持的、一个特别为网络和磁盘配额、文件加密等管理安全特性设计的磁盘格式。在

NTFS

文件系统里可以为任何一个磁盘分区单独设置访问权限，把敏感信息和服务信息分别放在
不同的磁盘分区。这样，即使黑客通过某些方法获得服务文件所在磁盘分区的访问权限，还
需要想方设法突破系统的安全设置才能进一步访问保存在其他磁盘上的敏感信息。我们采用
Windows2003 服务器，为了实现这个安全需求，把服务器中所有的硬盘都转换为 NTFS 分
区。通常来说，

NTFS 分区比 FAT 分区安全性高很多。运用 NTFS 分区自带的功能，合理为

它们分配相关的权限。如为这三个服务配置不同的维护员账户，不同的账户只能对特定的分
区与目录执行访问。如此一来，即使某个维护员账户失窃，天下论文网攻击者也只能访问某
个服务的存储空间，而不能访问其他服务的。例如把网站服务装在分区

D，而把 FTP 服务放

在分区

E。若 FTP 的账户信息泄露而被攻击，但是因为 FTP 账户没有对分区 D 具有读写的

权利，所以，不会对网站服务器上的内容执行任何的读写操作。这样可以保障即使黑客攻陷