服務器配置與管理論文
網絡服務器配置與管理課程理論與實操并重。下面是學習啦小編為大家整理的服務器配置與管理論文,供大家參考。
服務器配置與管理論文篇一
淺析FTP服務器配置與管理中的排錯方法
服務器配置與管理論文內容
FTP(文件傳輸協議)是一個用于從一臺主機向網絡中另外一臺主機傳送文件的協議。該協議的歷史可追溯至1971年,不過至今仍然極為流行。在一個典型的FTP會話中,用戶坐在本地主機前,想把文件傳送到一臺遠程主機(上傳)或者想把文件從一臺遠程主機傳送過來(下載)。該用戶必須提供一個合法的用戶名和口令才能訪問遠程主機。給出這些身份認證信息后,它就可以在本地文件系統和遠程文件系統之間傳送文件了。
用戶通過一個FTP用戶接口與FTP服務器交互。他首先提供一個遠程主機的主機名,這使得本地主機中的FTP客戶進程建立一個與遠程主機中的FTP服務器進程之間的連接。用戶接著提供用戶名和口令,這些信息將作為FTP命令參數經由TCP連接傳送到服務器。服務器批準后,該用戶就在本地文件系統和遠程文件系統之間傳輸文件。
FTP服務不受計算機類型以及操作系統的限制,無論是PC機、服務器、大型機,也不管操作系統是Linux、DOS還是Windows,只要建立FTP連接的雙方都支持FTP協議,就可以方便地傳輸文件。目前FTP服務主要應用于文件的上傳與下載、軟件的高速下載和Web站點的維護與更新。在Linux系統下常見的FTP服務器軟件有vsftpd、proftpd和wu-ftpd。
1 FTP工作原理
FTP服務采用客戶機/服務器模式,FTP客戶機和服務器使用TCP建立連接。FTP服務器使用兩個并行的TCP連接來傳送文件,一個是控制連接,一個是數據連接。
其中,控制連接用于在客戶主機和服務器主機之間發送控制信息,例如用戶名和口令、改變遠程目錄的命令、取來或放回文件的命令。數據連接用于真正傳輸文件。
在FTP客戶機和服務器的會話建立過程中,具體經歷以下幾個階段:
1.1當FTP客戶機啟動與遠程FTP服務器間的一個FTP會話時,FTP客戶機首先發起建立與FTP服務器21端口之間的控制連接,然后經由該控制連接把用戶名和口令發送給服務器。
1.2客戶機還經由該控制連接把本地臨時分配的數據端口告知服務器,以便服務器發起建立一個從FTP服務器20端口到客戶機指定端口之間的數據連接。
1.3當用戶每次請求傳送文件時,FTP將在服務器的20端口打開一個數據連接。當數據傳輸完畢后,用于建立數據連接的端口會自動關閉,到再有文件傳送請求時重新打開。
1.4在FTP會話中,控制連接在整個用戶會話期間一直處于打開狀態,而數據連接則為每次文件傳送請求重新打開一次。也就是說,在整個FTP會話過程中,控制連接是持久的,而數據連接是非持久的。
2 FTP的排錯方法
客戶機想訪問FTP服務器上的資源,首先要滿足能和FTP服務器通信。如果客戶和服務器不能通信,就不可能訪問服務器,更不用說下載資源了。還有服務器防火墻應放21端口(FTP端口)。在滿足這兩個條件后,下面我們分析FTP常見錯誤,探討FTP的排錯方法。
2.1拒絕賬戶登錄(錯誤提示:OOPS無法改變目錄)。當客戶端使用ftp賬號登錄服務器時,提示“500 OOPS”錯誤。
接收到該錯誤信息,其實并不是vsftpd.conf配置文件設置有問題,而重點是“cannot change directory”,無法更改目錄。造成這個錯誤,主要有以下兩個原因。①目錄權限設置錯誤。該錯誤一般在本地賬戶登錄時發生,如果管理員在設置該賬戶主目錄權限時,忘記添加執行權限(X),那么,就會收到該錯誤信息。FTP中的本地賬號,需要擁有目錄的執行權限,請作用chmod命令添加“X”權限,保證用戶能夠瀏覽目錄信息,否則拒絕登錄。對于FTP的虛擬賬號,即使不具備目錄的執行權限,也可以登錄FTP服務器,但會有其他錯誤提示。為了保證FTP用戶的正常訪問,請開戶目錄的執行權限。②SELinux。FTP服務器開啟了SELinux針對FTP數據傳輸的策略,也會造成“無法切換目錄”的錯誤提示,如果目錄權限設置正確,那么,需要檢查SELinux的配置。用戶可以通過setsebool命令,禁用SELinux的FTP傳輸審核功能。
[root@RHEL4~]# setsebool –P ftpd_disable_trans 1
重新啟動vsftpd服務,用戶能夠成功登錄FTP服務器。
2.2客戶端連接FTP服務器超時。造成客戶端訪問服務器超時的原因,主要有以下幾種情況。①線路不通。使用ping命令測試網絡連通性,如果出現“Request Timed Out”,說明客戶端與服務器的網絡連接存在問題,檢查線路的故障。②防火墻設置。如果防火墻屏蔽了FTP服務器控制端口21,以及其他的數據端口,則會造成客戶端無法連接服務器,形成“超時”的錯誤提示。需要設置防火墻開放21端口,并且,還應該開啟主動模式的20端口,以及被動模式使用的端口范圍,防止數據的連接錯誤。
2.3賬戶登錄失敗。客戶端登錄FTP服務器時,還有可能會收到“登錄失敗”的錯誤提示。
登錄失敗,實際上牽扯到身份驗證,以及其他一些登錄的設置。①密碼錯誤。請保證登錄密碼的正確性,如果FTP服務器更新了密碼設置,則使用新密碼重新登錄。②PAM維模塊。當輸入密碼無誤,但仍然無法登錄FTP服務器時,很有可能是PAM模塊中vsftpd的配置文件錯誤造成的。PAM的配置比較復雜,其中auth字段主要是接受用戶名和密碼,進而對該用戶的密碼進行認證,account字段主要是檢查賬戶是否被允許登錄系統,賬戶是否已經過期,賬戶的登錄是否有時間段的限制等,保證這兩個字段配置的正確性,否則FTP賬號將無法登錄服務器。事實上,大部分賬號登錄失敗都是由這個錯誤造成的。③用戶目錄權限。FTP賬號對于主目錄沒有任何權限時,也會收到“登錄失敗”的錯誤提示,根據該賬號的用戶身份,重新設置其主目錄權限,重啟vsftpd服務,使配置生效。
服務器配置與管理論文文獻
[1]楊云等.Linux網絡服務器配置管理項目實訓教程[M] 北京:中國水利水電出版社 2010.07
[2]么麗穎.Linux系統管理和應用[M] 北京:中國鐵道出版社 2011.08
[3]謝樹新.Linux網絡服務器配置與管理項目教程[M] 北京:科學出版社 2011.08
服務器配置與管理論文篇二
淺談校園網的服務器的安全配置管理
服務器配置與管理論文摘要
摘要: 網絡安全管理是網絡管理的重中之重,特別是學校校園網的安全直接關系到教育教學活動的正常進行,必須引起人們的高度重視。對安全問題的來源進行分析,有針對性地預防,可以提高校園網的安全水平。
服務器配置與管理論文內容
關鍵詞:網絡安全;規劃設計;系統安全
中圖分類號:TP393.08
隨著高校信息化進程的推進,高校校園網上運行的應用系統越來越多,信息系統變得越來越龐大和復雜。外部網主要實現校園網與Internet 的基礎接入。校園網絡擁有著大規模的、高速的、開放的網絡環境;支撐著復雜的網上應用和業務類型;擁有著活躍的、不同使用水平的用戶群體。因此,安全風險的防御問題也就變得較為嚴重和復雜。
1 安全問題來源分析
1.1病毒入侵嚴重
目前,網絡病毒層出不窮,傳播速度快、破壞性強、傳播范圍廣,時刻威脅著校園網的安全。大量病毒以電子郵件、網絡共享、網頁瀏覽、即時通信或主動掃描等方式,感染校園網的服務器和客戶機,導致網絡的“拒絕服務”,嚴重時會造成網絡癱瘓。
1.2網絡的先天性不足
校園網絡一般基于Internet 技術構建,并與Internet 相連。Internet 的互聯性和開放性給社會帶來極大效益的同時,入侵者也得到了更多的機會。[2]因為Internet 本身缺乏相應的安全機制,不對機密信息和敏感信息提供保護。Web的精華是交互性,這也正是它的致命弱點。
1.3軟件系統的漏洞
沒有十全十美的軟件產品,系統中的安全漏洞和“后門”不可避免地存在。正是由于漏洞的存在,才讓黑客有了可乘之機。目前,在操作系統、通信協議、網絡應用軟件中均不同程度地存在安全漏洞或安全缺陷。
2 配置安全服務器
2.1端口
端口是計算機和外部網絡相連的邏輯接口,也是計算機的第一道屏障,端口配置正確與否直接影響主機的安全。一般來說,僅打開必須的端口是最明智的安全做法,配置方法是在“網卡屬性→TCP/IP協議→高級→選項、→TCP/IP篩選”中啟用“TCP/IP篩選”。
2.2IIS
IIS是微軟組件中迄今為止發現漏洞最多的一個,特別是它的默認安裝、此處應重點進行配置;其一、徹底刪除系統盤(一般是C盤)的Inetpub目錄、到其它盤新建一個目錄、而且起名最好不是Inetpub。
再到IIS管理器中將主目錄指向這個新建的非系統盤目錄。
其二,刪除IIS安裝時默認的Scripts等虛擬目錄、它們很容易暴露出本地網頁物理路徑。需要什么權限的目錄就自己建立一個,權限也一定要注意,特別是寫權限和執行程序的權限。
其三,在IIS管理器中刪除必須之外的任何無用映射,必須指出的是ASP、ASA和其它需用到的文件類型%在IIS管理器中右擊“主機→屬性→www服務編輯→主目錄→配置→應用程序映射” ,接著開始單獨刪除即可。[3]然后到應用程序調試標簽內將腳本錯誤消息更改為發送文本。
最后,還可以使用IIS的備份功能,將上述的設定備份以便隨時恢復IIS的安全配置。如果擔心IIS負荷過大而導致服務器死機的話,可以在性能中打開CPU限制,將其使用率限制為80%。
2.3帳號安全
Windows 2000 Server默認安裝后允許任何用戶通過139端口的空連接得到系統所有賬號名稱及共享列表。本來這是為方便校園局域網用戶共享文件設計的,但遠程用戶同樣也能得到這些敏感信息,從而使暴力破解用戶密碼成為可能。
打開注冊表編輯器,在“開始→運行”中填入“Regedit”并確定,找到Hkey_Local_Machines\Svstem\CnrrentControlSet\Control\LSA_RestrictAnonymous、令其值為“1",這樣即可禁止139端口的空連接訪問。
2.4安全日志
默認情況下Windows 2000 Server未打開任何安全審核,所以必須打開“本地安全策略”→審核策略下的“審核”進行如下的設置:賬戶管理――(成功、失敗),登錄事件――(成功、失敗),對象訪問――(失敗), 策略更改――(成功、失敗),特權使用――(失敗),系統事件――(成功、失敗),目錄服務訪問――(失敗),賬戶登錄事件――(成功、失敗)。同時在“賬戶策略→密碼策略”中也要設置:密碼復雜性――啟用,密碼長度最小值――6位,強制密碼歷史――5次,最長存留期――30天;還要在“賬戶策略→賬戶鎖定策略”中設置:賬戶鎖定――3次錯誤登錄,鎖定時間――20分鐘,復位鎖定計數――20分鐘。[4]
3 網絡病毒的防護
為保證服務器的安全,除了服務器端的工作外,對網絡用戶的客戶端也采取了相應措施,從有害攻擊的源頭抓起,對每個網絡用戶負責。
針對網絡時代病毒新的特點,在校園網上布置諾頓網絡防病毒系統,網絡中心安裝諾頓防病毒服務器,每個校園網用戶可方便下載、安裝客戶端軟件,整個系統自動、快速升級,實現實時防毒控制。[5]這樣,有效地控制了造成重大危害的蠕蟲病毒在校園網上的傳播。
校園網設置防病毒、垃圾郵件網關,對進出的郵件實時掃描、過濾,濾除有害的病毒郵件、垃圾郵件,并可設置靈活的針對特殊關鍵字的過濾,濾除有害信息。
4 管理員的安全意識
4.1管理模式
從網絡管理角度來看,在網絡管理中應實施“A-C-S 角色管理模型”,即A:Administrator 系統管理員,負責承擔日常的例行維護,他是管理計算機系統的主要人員;C :Configuation Manager 配置管理員,負責進行計算機設備的資產管理、網絡參數( 如網絡地址子網掩碼)的分配和登記;S:Security Consultant安全管理員,負責評估和審核計算機系統的安全狀況,關注網絡安全動態,調整相關安全設置,進行入侵防范,發出安全公告,緊急修復系統。上述三角色各有分工又相互協作,系統管理員接受安全管理員在安全方面的監督,接納其安全建議;配置管理員統管網絡資源分配,進行整個網絡的調整,向系統管理員和安全管理員提供網絡參數;安全管理員必須及時通知系統管理員相關的安全操作。
4.2堅持“最小授權”原則
網絡管理員要經常性地查看服務器打開的服務端口和服務器的運行狀態,關閉無需的服務端口。此外,管理員要經常性地總結經驗,通過查看服務器性能及運行狀態,判斷服務器是否存在可能的危險,關閉不清楚的或不知的進程,盡可能地做到防微杜漸。[6]“最小授權”原則還要求網絡中帳號設置、服務配置、主機間信任關系配置等,應該設為網絡正常運行所需的最小限度。
4.3口令安全策略
大多數黑客入侵,就是通過各種途徑取得管理員口令,因此,校園網管理員的口令安全策略顯得尤其重要。管理員口令安全策略主要有:
(1)不要使用比較容易猜的口令,最好使用字符和數字的混合口令。
(2)定期更換管理員口令。
(3 )設置系統安全策略,限制用戶錯誤口令登錄次數,防止用戶枚舉性地試探猜測管理員口令。
服務器配置與管理論文文獻
[1] 龔靜. 高校校園網的安全與防護[J]. 教育信息化 ,2005,(04) .
[2] 董慧娟. 校園網的網絡安全策略[J]. 無錫職業技術學院學報 ,2005,(02) .
有關服務器配置與管理論文推薦:
5.餐飲管理系統論文
服務器配置與管理論文
上一篇:服務運營管理論文
下一篇:酒店管理專業論文范文
