＜IIS和网管员＞篇_我的地方我来管的技术博客_51CTO博客

＜IIS和网管员＞篇

关注 7177808

＜IIS和网管员＞篇

精选转载

7177808 2006-12-29 14:38:49

IIS的相关设置：

删除默认建立的站点的虚拟目录，停止默认web站点，删除对应的文件目录c:inetpub，配置所有站点的公共设置，设置好相关的连接数限制，带宽设置以及性能设置等其他设置。配置应用程序映射，删除所有不必要的应用程序扩展，只保留asp，php，cgi，pl，aspx应用程序扩展。对于php和cgi，推荐使用isapi方式解析，用exe解析对安全和性能有所影响。用户程序调试设置发送文本错误信息给户。对于数据库，尽量采用mdb后缀，不需要更改为asp，可在IIS中设置一个mdb的扩展映射，将这个映射使用一个无关的dll文件如C:WINNTsystem32inetsrvssinc.dll来防止数据库被下载。设置IIS的日志保存目录，调整日志记录信息。设置为发送文本错误信息。修改403错误页面，将其转向到其他页，可防止一些扫描器的探测。另外为隐藏系统信息，防止telnet到80端口所泄露的系统版本信息可修改IIS的banner信息，可以使用winhex手工修改或者使用相关软件如banneredit修改。

对于用户站点所在的目录，在此说明一下，用户的FTP根目录下对应三个文件佳，wwwroot，database，logfiles，分别存放站点文件，数据库备份和该站点的日志。如果一旦发生入侵事件可对该用户站点所在目录设置具体的权限，图片所在的目录只给予列目录的权限，程序所在目录如果不需要生成文件（如生成html的程序）不给予写入权限。因为是虚拟主机平常对脚本安全没办法做到细致入微的地步，更多的只能在方法用户从脚本提升权限：

ASP的安全设置：

设置过权限和服务之后，防范asp木马还需要做以下工作，在cmd窗口运行以下命令：

regsvr32/u C:\WINNT\System32\wshom.ocx

del C:\WINNT\System32\wshom.ocx

regsvr32/u C:\WINNT\system32\shell32.dll

del C:\WINNT\system32\shell32.dll

即可将WScript.Shell, Shell.application, WScript.Network组件卸载，可有效防止asp木马通过wscript或shell.application执行命令以及使用木马查看一些系统敏感信息。另法：可取消以上文件的users用户的权限，重新启动IIS即可生效。但不推荐该方法。

另外，对于FSO由于用户程序需要使用，服务器上可以不注销掉该组件，这里只提一下FSO的防范，但并不需要在自动开通空间的虚拟商服务器上使用，只适合于手工开通的站点。可以针对需要FSO和不需要FSO的站点设置两个组，对于需要FSO的用户组给予c:winntsystem32scrrun.dll文件的执行权限，不需要的不给权限。重新启动服务器即可生效。

对于这样的设置结合上面的权限设置，你会发现海阳木马已经在这里失去了作用！

PHP的安全设置：

默认安装的php需要有以下几个注意的问题：

C:\winnt\php.ini只给予users读权限即可。在php.ini里需要做如下设置：

Safe_mode=on

register_globals = Off

allow_url_fopen = Off

display_errors = Off

magic_quotes_gpc = On [默认是on，但需检查一遍]

open_basedir =web目录

disable_functions =passthru,exec,shell_exec,system,phpinfo,get_cfg_var,popen,chmod

默认设置com.allow_dcom = true修改为false[修改前要取消掉前面的；]

MySQL安全设置：

如果服务器上启用MySQL数据库，MySQL数据库需要注意的安全设置为：

删除mysql中的所有默认用户，只保留本地root帐户，为root用户加上一个复杂的密码。赋予普通用户updatedeletealertcreatedrop权限的时候，并限定到特定的数据库，尤其要避免普通客户拥有对mysql数据库操作的权限。检查mysql.user表，取消不必要用户的shutdown_priv,relo

ad_priv,process_priv和File_priv权限，这些权限可能泄漏更多的服务器信息包括非mysql的其它信息出去。可以为mysql设置一个启动用户，该用户只对mysql目录有权限。设置安装目录的data数据库的权限(此目录存放了mysql数据库的数据信息)。对于mysql安装目录给users加上读取、列目录和执行权限。

Serv-u安全问题：

安装程序尽量采用最新版本，避免采用默认安装目录，设置好serv-u目录所在的权限，设置一个复杂的管理员密码。修改serv-u的banner信息，设置被动模式端口范围（4001—4003）在本地服务器中设置中做好相关安全设置：包括检查匿名密码，禁用反超时调度，拦截“FTP bounce”攻击和FXP，对于在30秒内连接超过3次的用户拦截10分钟。域中的设置为：要求复杂密码，目录只使用小写字母，高级中设置取消允许使用MDTM命令更改文件的日期。

更改serv-u的启动用户：在系统中新建一个用户，设置一个复杂点的密码，不属于任何组。将servu的安装目录给予该用户完全控制权限。建立一个FTP根目录，需要给予这个用户该目录完全控制权限，因为所有的ftp用户上传，删除，更改文件都是继承了该用户的权限，否则无法操作文件。另外需要给该目录以上的上级目录给该用户的读取权限，否则会在连接的时候出现530 Not logged in, home directory does not exist。比如在测试的时候ftp根目录为d:soft，必须给d盘该用户的读取权限，为了安全取消d盘其他文件夹的继承权限。而一般的使用默认的system启动就没有这些问题，因为system一般都拥有这些权限的。

数据库服务器的安全设置

对于专用的MSSQL数据库服务器，按照上文所讲的设置TCP/IP筛选和IP策略，对外只开放1433和5631端口。对于MSSQL首先需要为sa设置一个强壮的密码，使用混合身份验证,加强数据库日志的记录,审核数据库登陆事件的”成功和失败”.删除一些不需要的和危险的OLE自动存储过程(会造成企业管理器中部分功能不能使用),这些过程包括如下:

Sp_OACreate Sp_OADestroy Sp_OAGetErrorInfo Sp_OAGetProperty

Sp_OAMethod Sp_OASetProperty Sp_OAStop

去掉不需要的注册表访问过程,包括有:

Xp_regaddmultistring Xp_regdeletekey Xp_regdeletevalue

Xp_regenumvalues Xp_regread Xp_regremovemultistring

Xp_regwrite

去掉其他系统存储过程，如果认为还有威胁，当然要小心Drop这些过程，可以在测试机器上测试，保证正常的系统能完成工作，这些过程包括：

xp_cmdshell xp_dirtree xp_dropwebtask sp_addsrvrolemember

xp_makewebtask xp_runwebtask xp_subdirs sp_addlogin

sp_addextendedproc

在实例属性中选择TCP/IP协议的属性。选择隐藏 SQL Server 实例可防止对1434端口的探测,可修改默认使用的1433端口。除去数据库的guest账户把未经认可的使用者据之在外。例外情况是master和 tempdb 数据库,因为对他们guest帐户是必需的。另外注意设置好各个数据库用户的权限，对于这些用户只给予所在数据库的一些权限。在程序中不要用sa用户去连接任何数据库。网络上有建议大家使用协议加密的，千万不要这么做，否则你只能重装MSSQL了。

入侵检测和数据备份

入侵检测工作

作为服务器的日常管理，入侵检测是一项非常重要的工作，在平常的检测过程中，主要包含日常的服务器安全例行检查和遭到入侵时的入侵检查，也就是分为在入侵进行时的安全检查和在入侵前后的安全检查。系统的安全性遵循木桶原理，木桶原理指的是：一个木桶由许多块木板组成，如果组成木桶的这些木板长短不一，那么这个木桶的最大容量不取决于长的木板，而取决于最短的那块木板。应用到安全方面也就是说系统的安全性取决于系统中最脆弱的地方，这些地方是日常的安全检测的重点所在。

日常的安全检测

日常安全检测主要针对系统的安全性，工作主要按照以下步骤进行：

1．查看服务器状态：

打开进程管理器，查看服务器性能，观察CPU和内存使用状况。查看是否有CPU和内存占用过高等异常情况。

2．检查当前进程情况

切换“任务管理器”到进程，查找有无可疑的应用程序或后台进程在运行。用进程管理器查看进程时里面会有一项taskmgr，这个是进程管理器自身的进程。如果正在运行windows更新会有一项wuauclt.exe进程。对于拿不准的进程或者说不知道是服务器上哪个应用程序开启的进程，可以在网络上搜索一下该进程名加以确定[进程知识库：[url]http://www.dofile.com/[/url]]。通常的后门如果有进程的话，一般会取一个与系统进程类似的名称，如svch0st.exe，此时要仔细辨别[通常迷惑手段是变字母o为数字0，变字母l为数字1]

3．检查系统帐号

打开计算机管理，展开本地用户和组选项，查看组选项，查看administrators组是否添加有新帐号，检查是否有克隆帐号。

4．查看当前端口开放情况

使用activeport，查看当前的端口连接情况，尤其是注意与外部连接着的端口情况，看是否有未经允许的端口与外界在通信。如有，立即关闭该端口并记录下该端口对应的程序并记录，将该程序转移到其他目录下存放以便后来分析。打开计算机管理==》软件环境==》正在运行任务[在此处可以查看进程管理器中看不到的隐藏进程]，查看当前运行的程序，如果有不明程序，记录下该程序的位置，打开任务管理器结束该进程，对于采用了守护进程的后门等程序可尝试结束进程树，如仍然无法结束，在注册表中搜索该程序名，删除掉相关键值，切换到安全模式下删除掉相关的程序文件。

5．检查系统服务

运行services.msc，检查处于已启动状态的服务，查看是否有新加的未知服务并确定服务的用途。对于不清楚的服务打开该服务的属性，查看该服务所对应的可执行文件是什么，如果确定该文件是系统内的正常使用的文件，可粗略放过。查看是否有其他正常开放服务依存在该服务上，如果有，可以粗略的放过。如果无法确定该执行文件是否是系统内正常文件并且没有其他正常开放服务依存在该服务上，可暂时停止掉该服务，然后测试下各种应用是否正常。对于一些后门由于采用了hook系统API技术，添加的服务项目在服务管理器中是无法看到的，这时需要打开注册表中的HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices项进行查找，通过查看各服务的名称、对应的执行文件来确定是否是后门、木马程序等。

6．查看相关日志

运行eventvwr.msc，粗略检查系统中的相关日志记录。在查看时在对应的日志记录上点右键选“属性”，在“筛选器”中设置一个日志筛选器，只选择错误、警告，查看日志的来源和具体描述信息。对于出现的错误如能在服务器常见故障排除中找到解决办法则依照该办法处理该问题，如果无解决办法则记录下该问题，详细记录下事件来源、ID号和具体描述信息，以便找到问题解决的办法。

7．检查系统文件

主要检查系统盘的exe和dll文件，建议系统安装完毕之后用dir *.exe /s >1.txt将C盘所有的exe文件列表保存下来，然后每次检查的时候再用该命令生成一份当时的列表，用fc比较两个文件，同样如此针对dll文件做相关检查。需要注意的是打补丁或者安装软件后重新生成一次原始列表。检查相关系统文件是否被替换或系统中是否被安装了木马后门等恶意程序。必要时可运行一次杀毒程序对系统盘进行一次扫描处理。

8．检查安全策略是否更改

打开本地连接的属性，查看“常规”中是否只勾选了“TCP/IP协议”，打开“TCP/IP”协议设置，点“高级”==》“选项”，查看“IP安全机制”是否是设定的IP策略，查看“TCP/IP”筛选允许的端口有没有被更改。打开“管理工具”=》“本地安全策略”，查看目前使用的IP安全策略是否发生更改。

9．检查目录权限

重点查看系统目录和重要的应用程序权限是否被更改。需要查看的目录有c:;c:winnt;

C:winntsystem32;c:winntsystem32inetsrv;c:winntsystem32inetsrvdata;c:documents and

Settings;然后再检查serv-u安装目录，查看这些目录的权限是否做过变动。检查system32下的一些重要文件是否更改过权限，包括：cmd，net，ftp，tftp，cacls等文件。

10．检查启动项

主要检查当前的开机自启动程序。可以使用AReporter来检查开机自启动的程序。

发现入侵时的应对措施

对于即时发现的入侵事件，以下情况针对系统已遭受到破坏情况下的处理，系统未遭受到破坏或暂时无法察觉到破坏先按照上述的检查步骤检查一遍后再酌情考虑以下措施。系统遭受到破坏后应立即采取以下措施：

视情况严重决定处理的方式，是通过远程处理还是通过实地处理。如情况严重建议采用实地处理。如采用实地处理，在发现入侵的第一时间通知机房关闭服务器，待处理人员赶到机房时断开网线，再进入系统进行检查。如采用远程处理，如情况严重第一时间停止所有应用服务，更改IP策略为只允许远程管理端口进行连接然后重新启动服务器，重新启动之后再远程连接上去进行处理，重启前先用AReporter检查开机自启动的程序。然后再进行安全检查。

以下处理措施针对用户站点被入侵但未危及系统的情况，如果用户要求加强自己站点的安全性，可按如下方式加固用户站点的安全：

站点根目录----只给administrator读取权限，权限继承下去。

wwwroot ------给web用户读取、写入权限。高级里面有删除子文件夹和文件权限

logfiles------给system写入权限。

database------给web用户读取、写入权限。高级里面没有删除子文件夹和文件权限

如需要进一步修改，可针对用户站点的特性对于普通文件存放目录如html、js、图片文件夹只给读取权限，对asp等脚本文件给予上表中的权限。另外查看该用户站点对应的安全日志，找出漏洞原因，协助用户修补程序漏洞。

数据备份和数据恢复

数据备份工作大致如下：

1．每月备份一次系统数据。

2．备份系统后的两周单独备份一次应用程序数据，主要包括IIS、serv-u、数据库等数据。

3．确保备份数据的安全，并分类放置这些数据备份。因基本上采用的都是全备份方法，对于数据的保留周期可以只保留该次备份和上次备份数据两份即可。

数据恢复工作：

1．系统崩溃或遇到其他不可恢复系统正常状态情况时，先对上次系统备份后发生的一些更改事件如应用程序、安全策略等的设置做好备份，恢复完系统后再恢复这些更改。

2．应用程序等出错采用最近一次的备份数据恢复相关内容。

服务器性能优化

1 服务器性能优化

系统性能优化

整理系统空间:

删除系统备份文件，删除驱动备份，刪除不用的輸入法，刪除系统的帮助文件，卸载不常用的组件。最小化C盘文件。

性能优化：

删除多余的开机自动运行程序；减少预读取，减少进度条等待时间；让系统自动关闭停止响应的程序；禁用错误报告,但在发生严重错误时通知；关闭自动更新,改为手动更新计算机；启用硬件和DirectX加速；禁用关机事件跟踪；禁用配置服务器向导；减少开机磁盘扫描等待时间；将处理器计划和内存使用都调到应用程序上；调整虚拟内存；内存优化；修改cpu的二级缓存；修改磁盘缓存。

IIS性能优化

1、调整IIS高速缓存

HKEY_LOCAL_MACHINE\ System\CurrentControlSet\Services\InetInfoParametersMemoryCacheSize

MemoryCacheSize的范围是从0道4GB，缺省值为3072000（3MB）。一般来说此值最小应设为服务器内存的10%。IIS通过高速缓存系统句柄、目录列表以及其他常用数据的值来提高系统的性能。这个参数指明了分配给高速缓存的内存大小。如果该值为0，那就意味着“不进行任何高速缓存”。在这种情况下系统的性能可能会降低。如果你的服务器网络通讯繁忙，并且有足够的内存空间，可以考虑增大该值。必须注意的是修改注册表后，需要重新启动才能使新值生效。

2．不要关闭系统服务: “Protected Storage”

3．对访问流量进行限制

A.对站点访问人数进行限制

B.站点带宽限制。保持HTTP连接。

C.进程限制, 输入CPU的耗用百分比

4．提高IIS的处理效率

应用程序设置”处的“应用程序保护”下拉按钮，从弹出的下拉列表中，选中“低（IIS进程）”选项,IIS服务器处理程序的效率可以提高20%左右。但此设置会带来严重的安全问题，不值得推荐。

5．将IIS服务器设置为独立的服务器

A.提高硬件配置来优化IIS性能硬盘：硬盘空间被NT和IIS服务以如下两种方式使用：一种是简单地存储数据；另一种是作为虚拟内存使用。如果使用Ultra2的SCSI硬盘，可以显著提高IIS的性能。

B.可以把NT服务器的页交换文件分布到多个物理磁盘上，注意是多个“物理磁盘”，分布在多个分区上是无效的。另外，不要将页交换文件放在与WIndows NT引导区相同的分区中。

C.使用磁盘镜像或磁盘带区集可以提高磁盘的读取性能。

D.最好把所有的数据都储存在一个单独的分区里。然后定期运行磁盘碎片整理程序以保证在存储Web服务器数据的分区中没有碎片。使用NTFS有助于减少碎片。推荐使用Norton的Speeddisk，可以很快的整理NTFS分区。

6．起用HTTP压缩

HTTP压缩是在Web服务器和浏览器间传输压缩文本内容的方法。HTTP压缩采用通用的压缩算法如gzip等压缩HTML、JavaScript或CSS文件。可使用pipeboost进行设置。

7．起用资源回收

使用IIS5Recycle定时回收进程资源

服务器常见故障排除

1． ASP“请求的资源正在使用中”的解决办法：

该问题一般与杀毒软件有关，在服务器上安装个人版杀毒软件所致。出现这种错误可以通过卸载杀毒软件解决，也可尝试重新注册vbscript.dll和jscript.dll来解决，在命令行下运行：regsvr32 vbscript.dll 和regsvr32 jscript.dll即可。

2．ASP500错误解决办法：

首先确定该问题是否是单一站点存在还是所有站点存在，如果是单一站点存在该问题，则是网站程序的问题，可打开该站点的错误提示，把IE的“显示友好HTTP错误”信息取消，查看具体错误信息，然后对应修改相关程序。如是所有站点存在该问题，并且HTML页面没有出现该问题，相关日志出现“服务器无法加载应用程序‘/LM/W3SVC/1/ROOT‘。错误是 ‘不支持此接口‘”。那十有八九是服务器系统中的ASP相关组件出现了问题，重新启动IIS服务，尝试是否可以解决该问题，无法解决重新启动系统尝试是否可解决该问题，如无法解决可重新修复一下ASP组件：

首先删除com组件中的关于IIS的三个东西，需要先将属性里的高级中“禁止删除”的勾选取消。

命令行中，输入“cd winnt\system32\inetsrv”字符串命令，单击回车键后，再执行“rundll32 wamreg.dll,CreateIISPackage”命令，接着再依次执行“regsvr32 asptxn.dll”命令、“iisreset”命令，最后重新启动一下计算机操作系统，这样IIS服务器就能重新正确响应ASP脚本页面了。

3. IIS出现105错误：

在系统日志中“服务器无法注册管理工具发现信息。管理工具可能无法看到此服务器” 来源：w3svc ID：105解决办法：

在网络连接中重新安装netbios协议即可，安装完成之后取消掉勾选。

4．MySQL服务无法启动【错误代码1067】的解决方法

启动MySQL服务时都会在中途报错！内容为：在本地计算机无法启动MySQL服务错误1067：进程意外中止。

解决方法：查找Windows目录下的my.ini文件，编辑内容（如果没有该文件，则新建一个），至少包含

basedir，datadir这两个基本的配置。

[mysqld]

# set basedir to installation path, e.g., c:/mysql

# 设置为MYSQL的安装目录

basedir=D:/www/WebServer/MySQL

# set datadir to location of data directory,

# e.g., c:/mysql/data or d:/mydata/data

# 设置为MYSQL的数据目录

datadir=D:/www/WebServer/MySQL/data

注意，我在更改系统的temp目录之后没有对更改后的目录给予system用户的权限也出现过该问题。

5．DllHotst进程消耗cpu 100%的问题

服务器正常CPU消耗应该在75%以下，而且CPU消耗应该是上下起伏的，出现这种问题的服务器，CPU会突然一直处100%的水平，而且不会下降。

查看任务管理器，可以发现是DLLHOST.EXE消耗了所有的CPU空闲时间，管理员在这种情况下，只好重新启动IIS服务，奇怪的是，重新启动IIS服务后一切正常，但可能过了一段时间后，问题又再次出现了。

直接原因：

有一个或多个ACCESS数据库在多次读写过程中损坏， MDAC系统在写入这个损坏的ACCESS文件时，ASP线程处于BLOCK状态，结果其他线程只能等待，IIS被死锁了，全部的CPU时间都消耗在DLLHOST中。

解决办法：

把数据库下载到本地，然后用ACCESS打开，进行修复操作。再上传到网站。如果还不行，只有新建一个ACCESS数据库，再从原来的数据库中导入所有表和记录。然后把新数据库上传到服务器上。

6．Windows installer出错：

在安装软件的时候出现“不能访问windows installer 服务。可能你在安全模式下运行 windows ，或者windows installer 没有正确的安装。请和你的支持人员联系以获得帮助” 如果试图重新安装InstMsiW.exe，提示：“指定的服务已存在”。

解决办法：

关于installer的错误，可能还有其他错误提示，可尝试以下解决办法：

首先确认是否是权限方面的问题，提示信息会提供相关信息，如果是权限问题，给予winnt目录everyone权限即可[安装完把权限改回来即可]。如果提示的是上述信息，可以尝试以下解决方法：运行“msiexec /unregserver”卸载Windows Installer服务，如果无法卸载可使用SRVINSTW进行卸载，然后下载windows installer的安装程序[地址：[url]http://www.newhua.com/cfan/200410/instmsiw.exe[/url]]，用winrar解压该文件，在解压缩出来的文件夹里面找到msi.inf文件，右键单击选择“安装”，重新启动系统后运行“msiexec /regserver”重新注册Windows Installer服务。

服务器管理

服务器日常管理安排

服务器管理工作必须规范严谨，尤其在不是只有一位管理员的时候，日常管理工作包括：

1．服务器的定时重启。每台服务器保证每周重新启动一次。重新启动之后要进行复查，确认服务器已经启动了，确认服务器上的各项服务均恢复正常。对于没有启动起来或服务未能及时恢复的情况要采取相应措施。前者可请求托管商的相关工作人员帮忙手工重新启动，必要时可要求让连接上显示器确认是否已启动起来；后者需要远程登陆上服务器进行原因查找并根据原因尝试恢复服务。

2．服务器的安全、性能检查，每服务器至少保证每周登陆两次粗略检查两次。每次检查的结果要求进行登记在册。如需要使用一些工具进行检查，可直接在e:tools中查找到相关工具。对于临时需要从网络上找的工具，首先将IE的安全级别调整到高，然后在网络上进行查找，不要去任何不明站点下载，尽量选择如华军、天空等大型网站进行下载，下载后确保当前杀毒软件已升级到最新版本，升级完毕后对下载的软件进行一次杀毒，确认正常后方能使用。对于下载的新工具对以后维护需要使用的话，将该工具保存到e:tools下，并在该目录中的readme.txt文件中做好相应记录，记录该工具的名称，功能，使用方法。并且在该文件夹中的rar文件夹中保留一份该工具的winrar压缩文件备份，设置解压密码。

3．服务器的数据备份工作，每服务器至少保证每月备份一次系统数据，系统备份采用ghost方式，对于ghost文件固定存放在e:ghost文件目录下，文件名以备份的日期命名，如0824.gho，每服务器至少保证每两周备份一次应用程序数据，每服务器至少保证每月备份一次用户数据，备份的数据固定存放在e:databak文件夹，针对各种数据再建立对应的子文件夹，如serv-u用户数据放在该文件夹下的servu文件夹下，iis站点数据存放在该文件夹下的iis文件夹下。

4．服务器的监控工作，每天正常工作期间必须保证监视所有服务器状态，一旦发现服务停止要及时采取相应措施。对于发现服务停止，首先检查该服务器上同类型的服务是否中断，如所有同类型的服务都已中断及时登陆服务器查看相关原因并针对该原因尝试重新开启对应服务。

5．服务器的相关日志操作，每服务器保证每月对相关日志进行一次清理，清理前对应的各项日志如应用程序日志、安全日志、系统日志等都应选择“保存日志”。所有的日志文件统一保存在e:logs下，应用程序日志保存在e:logsapp中，系统程序日志保存在e:logssys中，安全日志保存在e:logssec中。对于另外其他一些应用程序的日志，也按照这个方式进行处理，如ftp的日志保存在e:logsftp中。所有的备份日志文件都以备份的日期命名，如20050824.evt。对于不是单文件形式的日志，在对应的记录位置下建立一个以日期命名的文件夹，将这些文件存放在该文件夹中。

6．服务器的补丁修补、应用程序更新工作，对于新出的漏洞补丁，应用程序方面的安全更新一定要在发现的第一时间给每服务器打上应用程序的补丁。

7．服务器的隐患检查工作，主要包括安全隐患、性能等方面。每服务器必须保证每月重点的单独检查一次。每次的检查结果必须做好记录。

8．不定时的相关工作，每服务器由于应用软件更改或其他某原因需要安装新的应用程序或卸载应用程序等操作必须知会所有管理员。

9．定期的管理密码更改工作，每服务器保证至少每两个月更改一次密码，对于SQL服务器由于如果SQL采用混合验证更改系统管理员密码会影响数据库的使用则不予修改。

相关建议：对每服务器设立一个服务器管理记载，管理员每次登陆系统都应该在此中进行详细的记录，共需要记录以下几项：登入时间，退出时间，登入时服务器状态[包含不明进程记录，端口连接状态，系统帐号状态，内存/CPU状态]，详细操作情况记录[详细记录下管理员登陆系统后的每一步操作]。无论是远程登陆操作还是物理接触操作都要进行记录，然后将这些记录按照各服务器归档，按时间顺序整理好文档。

对于数据备份、服务器定时重启等操作建议将服务器分组，例如分成四组，每月的周六晚备份一组服务器的数据，每周的某一天定时去重启一组的服务器，这样对于工作的开展比较方便，这些属于固定性的工作。另外有些工作可以同步进行，如每月一次的数据备份、安全检查和管理员密码修改工作，先进行数据备份，然后进行安全检查，再修改密码。对于需要的即时操作如服务器补丁程序的安装、服务器不定时的故障维护等工作，这些属于即时性的工作，但是原则上即时性的工作不能影响固定工作的安排。

管理员日常注意事项

在服务器管理过程中，管理员需要注意以下事项：

1．对自己的每一次操作应做好详细记录，具体见上述建议，以便于后来检查。

2．努力提高自身水平，加强学习。

SoftEther 設定教程

SoftEther 設定教程
1. 首先下載softether 軟件. 廢話!!

家中設定:
2. 在家中的PC安裝這軟件. Virtual lan card 和virtual hub都要選.
安裝後reboot PC.

3. 執行 "SoftEther Virtual HUB Administration"

4. 剔 "This Computer (localhost)", 然後按 "Connect"

5. 這裡是管理 virtual hub 的介面. 預設password 是 admin

開帳戶:
6. 選 1 - User Administration, 然後 2 - Create User
輸入帳戶名稱. 這裡是test

7. 跟著的問題全給預設值, 按Enter鍵跳過.

8. 執行 "SoftEther Connection Manager", 選 "New Account".

9. "Name" 這個連接的名字. 這裡我輸入"local hub"

10. 剔 "Use authentication to......", 跟著輸入之前建立的帳戶名及密碼.
跟桌選"Direct TCP/IP Connection", 然後按 "Configure"

12. Address 輸入 127.0.0.1 或PC的本地IP都可以

(以下部驟不詳細說明)
- 跟著的就是設定virtual lan card的IP e.g 192.168.100.1
- 然後給上網的網卡啟動ICS. (p.s.. 當然你家的PC要長開著上網)
- 將virtual lan card連接自己的virtual hub (double click 之前建立的 "local hub")

*** 到這裡在家的設定完畢, 跟著就是公司PC的設定 ***

公司PC設定:
1. 執行 "SoftEther Connection Manager", 選 "New Account".

2. "Name" 這個連接的名字. 這裡我輸入"home hub"

如公司的firewall是nat 的請繼續，如果是proxy 的跳至 5

3. 剔 "Use authentication to......", 跟著輸入之前建立的帳戶名及密碼.
跟桌選"Direct TCP/IP Connection", 然後按 "Configure"

4. 這裡address 是家裡PC上網的公共IP地址

如公司proxy 的請繼續
5. 第一個address 是公司proxy服務器的IP地址和port.
第二個address 就是家裡PC上網的公共IP地址

(以下部驟不詳細說明)
- 跟著的就是設定virtual lan card的IP, 這要跟在家的virtual lan card同一個內網或
e.g 192.168.100.2
- 按"home hub"就可以上網!!

到這裡所有設定完畢，如設定無誤，應該能暢通無阻地上網

小結:
- win2k/xp的ICS只能用192.168.0.x , 如果你想用其他的 e.g. 192.168.103.x, 請用如winroute 作nat
- sample hub 的是不需要用戶認証，但暫是不懂如何設定不需要用戶認証

SoftEther(虚拟网卡) 一个新的软件,试一试吧!
去年年底，日本不少IT媒体都报道了一个免费软件的公开。
这是筑波大学一年级学生登大游自编的软件，名叫SoftEther。
此软件简而言之，就是模拟以太网卡的工作顺序，甚至可以模拟HUB功能
使用tunnel特性，实现×××的功能。
使得系统把此软件完全无碍的识别成一块网卡
有了这个东西，可以不再买××× 路由器，而实现从Internet访问自家LAN的目标

主要实现思路是：
1）在OSI Level2(数据链路层)上软件模拟网络通讯，把物理层的通讯内容封包到TCP Package里去(软件模拟Ethernet)
2）把自己的通讯包变成SSL Session，用HTTPS协议穿越Internet，甚至混过Firewall（128bit RC4）

然而，此后没两天，日本信息处理事业协会（IPA，负责日本Internet运营管理/安全的机构）就要求这个筑波大学学生停止公开此程序，理由自然也很简单：有了这个东西，可以毫不夸张地说，所有的Firewall保护下的LAN都要面临重大的安全性挑战了，因为只要内网中有一台机器通过此软件虚拟成LAN网卡，就可以通过Internet毫无障碍地访问内网........恐怖

上述实现思路中，第一条并不能成为合法的罪名
只有第二条，成为勉强的借口。

但禁令维持了仅有三四天，IPA就不得不同意此人再次公开下载的主页。

经历了这么一场风波，SoftEther名气更大。
有兴趣的朋友不妨下载一个玩玩

安装这个，需要你有LAN的管理权。
比如自己家的LAN，就可以安上一个，来实现从Internet访问自家Server的功能；
而单位的LAN，就那个那个啥了.

下载地址：
[url]http://www.softether.com/jp/download/[/url]

补充说明：
请注意，本软件于1月14日推出v0.50 beta 3，
请使用最新软件
否则，有可能会产生虚拟HUB/虚拟网卡之间不兼容的问题

是不是还有人没明白这东西的划时代意义啊？呵呵

再来通俗的介绍一下吧！

这东西说白了，就是用来打破一般用的那些防火墙限制的东西。
使内网和Internet可以相互自由访问

具体举几个例子来说吧！

比如你的公司有防火墙，只能http/https出去，外面的人无论是FTP也好，TELNET也好，都别想进到你们公司的内网里面来，更别指望能找到你的机器接续了。
所以，回了家想要从家里的宽带上操作办公室的计算机，就是不可能的，对吧？

但有了这个东西，我们来看看如何把这种“mission impossible”变为可能！

1）在自己的机器上安装这个软件，然后再定义一个虚拟HUB，定义上用户/密码，并把家里这台机器挂上Internet地址

2）在办公室的机器上安装这个软件，然后接续家里的虚拟HUB，这个软件就成了一枚动态的（Runtime）虚拟网卡。

3）从自己家里就可以访问这台办公室的机器拉（走的是HTTPS协议，看到的是LAN）

如果你还不甘心，还要贪婪地想要从家里连接办公室别的网络资源，也好说，在办公室那台你自己的机器上，把办公室的物理LAN和step 3）接好的那个虚拟网卡所在LAN之间架设网桥（bridge），就可以从家里一直访问到办公室所有资源啦！

这bridge，在WinXP/Win2K3都是有内置功能的。可惜Win2K稍微麻烦一些......

补充一件重要的事情！

这个软件装好后，在HUB管理画面里，可以看到一个默认的“通用HUB”
这个虚拟HUB，就是设在筑波大学的

有了这个，你就可以确认自己的安装是否成功；

但我奉劝大家试验连接这个之前，千万千万要慎重：
因为世界所有人装上这个软件，都会有接续这个虚拟HUB的倾向；如果你也接上去，就已经和成百上千的人同在一个LAN下了！！（据俺看，那个虚拟LAN里，一直保持着至少有三五十台机器.....）
小心遭到黑客攻击哦！

不过，有了这么一台虚拟HUB，这个软件的另一个功能也就发挥出来了：你所受限制的任何internet协议，经由这个虚拟HUB，都不再受限制......

1）比如你所在的公司，不许使用QQ，只要接上这个虚拟HUB，就立即能用了，呵呵呵

2）又比如你所在的国家地区，有啥不能访问的网站，都不用担心访问不了了，呵呵呵

1）和2），都是通过HTTPS封包走出去/走进来的，所以你那里的网络只要能通过HTTPS协议，就可以搞定！

结论:
这款另类软件对现有网络的冲击是何等的强烈。SoftEther里所使用的技术，并不是什么独创；甚至软件的实现，也许同样不是领先。但它的公布，对现有×××软件市场将形成很大的冲击，一些实现类似功能却向客户收取高额服务费用的厂商，将无可避免地面临沉重的打击。

　　与此同时，生产防火墙软硬件的厂商，也会遇上一个老大难的问题。SoftEther这样堂而皇之把通讯内容隐藏到HTTPS协议里面，为现有防火墙产品所无法识别。虽然作者本人好意地在通讯时故意留下了“SoftEther Protocol”这样的破绽，可以让防火墙厂商暂时利用一下，但随着SoftEther的进一步公开源代码，这样的破绽将很容易被取消，届时又将如何?

　　SoftEther带来的另一个巨大影响，自然就是对网络管理员们而言了。有了SoftEther，网络用户可以说是如鱼得水；而管理员们如何制定相应的管理策略，如何有效地执行管理，这也是今后网管们需要仔细思考的课题

举例说明使用:
在办公室的机器和家中的机器上分别安装SoftEther，并配置成为虚拟网卡；然后在一台从办公室和从家里都能访问到的机器上，安装SoftEther并配置成虚拟HUB。接下来，从办公室和家中分别用自己装好的虚拟网卡，去连接那台配置好的公共虚拟HUB；接通后两台机器上都可以看到虚拟网卡“活了”，和普通的物理网卡一般无二的运作。
　　你试图从家里访问办公室整个LAN的话，只要在办公室那台机器上，待与虚拟HUB接通后，把虚拟出来的网卡与物理网卡桥接，即可!

比较实用的一点:
宽带内网用户架设FTP服务器,以前主要两种方法:

方法1:PortTunnel端口映射-必须控制网关服务器,不可行.

方法2:科迈网TrueHost-收费,更不划算.

SoftEther(虚拟网卡)
提供了上述解决方案.我已试过,的确可行!
装上SoftEther(虚拟网卡)软件
的用户都在一个虚拟HUB内,简直太神奇了!

功过难评　SoftEther
作者:东方蜘蛛发表于：2004-03-06 11:31:22

2003年12月底，日本一名19岁的大学生在自己的主页上公布了一款免费网络软件——SoftEther。该软件是由两部分所组成：一为虚拟HUB，一为虚拟网卡。你可以在天极的mydown下载到这个软件。

　　采访实录

　　SoftEther软件作者是日本筑波大学一年级新生登大遊。虽说他是独立构思、设计、开发、维护此软件，可另一方面也受到了日本经济产业部下辖部门——情报处理振兴事业协会（以下简称IPA）的赞助。该软件巧妙利用了“EtherNetoverTCP的隧道+HTTPS实现物理传输”技术，算是开创了×××软件应用的先河。最近，本报记者通过E-mail联系到了该款软件的作者，并就中国用户所关心的一些问题对他进行了采访。

　　本报记者问：SoftEther是一款×××软件，你在主页上说你开发这款软件的目的是为了“让普通用户更自由地使用网络，而不受过多的限制”。现在我们看到，完成后的SoftEther和传统的×××软件相比而言，其特点是“EtherNetoverTCP的隧道技术+HTTPS实现物理传输”。这样巧妙的想法，你是如何构思出来的?

　　登大遊答：传统的隧道技术（PPTPL2TP/IPsec）之类的协议，是使用GRE/IPsec这样特殊的IP数据包来实现通讯。但这样的数据包，很难通过NAT、防火墙或路由器。而当前的现实是，从公司内部访问Internet时，在大多场合下必须通过代理服务器。这样一来，传统的×××系统就完全无法发挥其效力了。由此，我觉得有必要设计一种在这种受限制的网络环境中，也能构筑虚拟网络的软件。

--------------------------------------------------------------------------------
东方蜘蛛回复于：2004-03-06 11:31:53
　　本报记者问：SoftEther这类思路的软件，今后应该会有很大的应用前途。登先生能否为我们描述一下你所期待的前景?

　　登大遊答：SoftEther是一个谁都可以轻松上手的软件，用途用法也很广泛，比如个人用户可以用它在家庭之间构筑×××，这样就可以彼此安全地共享文件；也可以玩那些从前只有在局域网上才能跑的网络游戏……

　　而且，因为SoftEther可以支持SSL，所有通讯内容都被很好地加密。从而企业用户也可以安心地用它在各地分支机构之间构筑×××，甚至完全取代公司现有的内部局域网。据我了解，日本已经有一些公司开始在实践了!

　　本报记者问：SoftEther的源代码，以及虚拟HUB和虚拟网卡之间所使用的通讯协议，是否有公开的打算?现在除了公开的Windows版之外，是否有Linux版的开发计划?

　　登大遊答：由于现在在与IPA间的合同上有些限制，所以暂时还不能公开源代码。但我还是考虑在未来适当时候把代码放出来的；至于虚拟网卡和虚拟HUB之间使用的通讯协议，我打算最晚今年3月就完全公开出来!至于Linux/FreeBSD版的问题，现在我可以告诉大家，筑波大学的一些朋友正在开发。

　　本报记者问：这个软件大大增加了网络用户的自由度，但同时也给网络管理带来了新的难度。请问，网络管理员如何才能防止局域网内未经许可地乱用SoftEther呢?

　　登大遊答：防火墙可以从连接的目标主机那里检测到标示SoftEther的“SoftEtherProtocol”字符串，用它就可以发现谁正在使用SoftEther。

　　我也是一名网管，今后我还会开发一个可以检测局域网中是否有人使用SoftEther的软件。

　　本报记者问：我们了解到，SoftEther的开发，得到了IPA的赞助。请问具体是怎样形式的赞助呢?现在回顾起来，这样的官方援助对于个人开发软件是否有益处?

　　登大遊答：IPA会对其“创造前人未曾尝试软件”项目进行赞助（译注：SoftEther也是2003年度受赞助对象），每个项目一年可以得到最多300万日元（约合人民币23万元）的预算。

　　但就算在日本，“创造前人未曾尝试软件”这类官方赞助也不过独此一家，真希望今后这类的赞助项目能够多起来。

--------------------------------------------------------------------------------
东方蜘蛛回复于：2004-03-06 11:32:18
技术原理

　　为何说它特别?先让我们来看看它的工作方式和原理：用户下载安装软件后，可以根据自己的需要，选择安装虚拟网卡或虚拟HUB，当然，也可以两者一起安装。

　　虚拟网卡是这个软件的客户端，负责把要传输的通讯内容，转换成只有本软件才能识别的格式，然后发送给虚拟HUB；而虚拟HUB则是这个软件的服务器端，负责接收虚拟网卡传来的特别格式的数据，然后还原为原始的通讯内容，并送回到物理的网络世界中。

　　如果再说具体一些，其技术实现就是用软件模拟OSI网络模型第二层（数据链路层）以上的工作机制，把物理通讯内容封包到TCP数据包中发送。

　　优势所在

　　由于该软件使用了隧道(Tunnel)技术，可以把本地的网络操作封包，通过TCP协议（HTTPS）传输到远方，并在那里复原成原来的网络操作。这样，就可以把在物理上相隔遥远的局域网通过软件虚拟地连接在一起。

　　其次，由于虚拟网卡和虚拟HUB之间的物理通讯使用了HTTPS协议，因此在网络传输过程中，可以有效地避开防火墙、NAT、路由器的拦截；同时，SSL加密也在很大程度上为通讯本身提供了安全保障。

　　软件的作者在谈及他开发SoftEther的过程时，也介绍了为何要使用EthernetoverTCP这种特别的隧道Tunnel技术。开发之初，他最先尝试的是TCPoverTCP技术，但实践结果表明，由于TCPoverTCP协议的缺陷，使得传输效率很低。在百兆网络里，用虚拟网络测试速度，居然只有500Kbps。

　　最后作者下决心改用EthernetoverTCP，并利用运行在Windows内核模式的虚拟网卡程序把数据链路层的通讯内容封包到TCP，传给远方的虚拟HUB，这种方式使得通讯效率大为提高。

　　据软件作者测试，通过现在的SoftEther所构筑的虚拟网络进行传输测试，其效率大概能相当于物理网络传输速度的80%~90%。

　　下面让我们用几个实例来了解其威力!

--------------------------------------------------------------------------------
东方蜘蛛回复于：2004-03-06 11:33:34
　　实际案例

　　通过Internet的连接构筑虚拟的LAN环境

　　很多类似CS这样的游戏对LAN环境的要求远远低于Internet环境。这时候，如果我们利用这个软件，在Internet玩家之间虚拟出一个LAN来，岂不是可以随心所欲了么?

　　具体操作很简单，只要各个玩家都装上SoftEther，并配置成为虚拟网卡；然后在一台大家都访问得到的机器上，安装SoftEther并配置成虚拟HUB，就大功告成了。接通后大家仿佛都在一个LAN之内，而实际上，也许其中有人是拨号上网，有人是宽带连接，甚至有人还可能是从公司防火墙后面连接过来的……

　　在图1中，PC2/PC3/PC4就可以通过虚拟出来的网卡连接PC1上虚拟出来的HUB，并分别设定相应的IP地址，从而能实现在虚拟LAN下互相沟通的目的。

图1

　　这样一来，PC1上运行CS服务器，PC2/PC3/PC4无论原来的物理连接类型如何，都可以仿佛在一个LAN中一样，通过虚拟网卡直接连接到PC1了!

--------------------------------------------------------------------------------
东方蜘蛛回复于：2004-03-06 11:34:36
　　打破防火墙（对内）的限制自由地访问外面的世界

　　有时候，我们想要在公司的LAN中使用ICQ类的程序联络客户，却发现由于公司的网络没有开放相应的端口，使得ICQ无法正常工作。

　　没关系，此时不用劳网管大驾，只要你们那里可以用HTTPS访问外面，就可以让SoftEther来满足你的需要。

　　此时，大家仅仅需要安装SoftEther，并配置成一块虚拟网卡，然后连接Internet上有访问ICQ自由的任何一台虚拟HUB；连接通了，你那台在防火墙限制下的机器，也就可以立即使用从前受限制的各种功能了!

　　如图2所示，公司LAN内受到各种限制。但只要能够使用HTTP/HTTPS协议访问Internet，就可以连接到一台能够进行ICQ操作的虚拟HUB上去。一旦你的虚拟网卡与远方的虚拟HUB建立起连接（此时自己的PC上就有了两张网卡一块物理网卡、一块虚拟网卡，都处于连通状态），无论是ICQ/QQ/MSN，还是FTP/Telnet/IRC……由于模拟出来的是虚拟LAN环境，因此就算是要求再苛刻的局域网游戏软件，通过这种方法就可以畅通无阻访问外面。

图2

--------------------------------------------------------------------------------
东方蜘蛛回复于：2004-03-06 11:35:33
　　打破防火墙（对外）的限制从家中访问办公室里受防火墙保护的机器

　　如今，SOHO一族越来越多，对于IT界的朋友来说，“办公室”和“家”仅凭字面意思，已经越来越难以区分其功能界限了。如果说在办公室想要访问自家的计算机资源，还算是有点办法的话；在家里访问被各类防火墙防护得森严之至的办公室的计算机资源，恐怕就是接近于痴心妄想了。可是有了SoftEther，不仅从家里访问办公室自己电脑成为了可能，就连访问办公室的整个LAN，也不再是什么难事了!

　　你只要在办公室的机器和家中的机器上分别安装SoftEther，并配置成为虚拟网卡；然后在一台从办公室和从家里都能访问到的机器上，安装SoftEther并配置成虚拟HUB，就大功告成了。接下来，从办公室和家中分别用自己装好的虚拟网卡，去连接那台配置好的公共虚拟HUB；接通后两台机器上都可以看到虚拟网卡“活了”，和普通的物理网卡一般无二的运作。

　　如图3所示，你试图从家里访问办公室整个LAN的话，只要在办公室那台机器上，待与虚拟HUB接通后，把虚拟出来的网卡与物理网卡桥接，即可!

图3

　　网卡的桥接，在WinXP上简直就是举手之劳。但如此一来，原本被防火墙设备严密保护起来的公司局域网，就会被神不知鬼不觉地打开了一个缺口。经由SoftEther的虚拟网络进入公司局域网的通讯内容，由于得到SSL加密的强力保护，根本无法由防火墙检测到通讯内容是否有害。就算是病毒由此侵入，木马软件从此渠道流入，防火墙都无法发现!因此，不当的使用这一功能，会对现有公司网络安全构成重大隐患。

--------------------------------------------------------------------------------
东方蜘蛛回复于：2004-03-06 11:36:18
一把双刃剑

　　作者在公开该软件7天后，就受到了IPA的强烈“呼吁”，要求暂停此软件的下载。理由很有趣：IPA本身正是负责日本网络安全的政府机构，而某些公司/地×××府向IPA抱怨说：“SoftEther的公布，会使现有的网络安全产生严重的漏洞。”面临压力，IPA也只得向软件作者要求暂停……

　　但作者认为当初参加IPA举办的活动评选时，早就把创作思路说得清清楚楚。那时候IPA不表示反对，并签了赞助合同，现在眼看合约要履行完毕了，IPA却来反悔，岂不太过分?公说公有理，婆说婆有理，于是双方找来了若干懂行的专家分析，也得出结论：SoftEther原理上和×××软件没有本质的区别，没有理由禁止其开发和公开下载，只是在使用上需要加以引导……

　　实际上也的确如此，它就像一把刀一样，你可以用刀做坏事，也可以用刀做好事；做坏事的时候，受谴责的不应该是刀，而是背后使刀的人。SoftEther软件不也正和这个例子里的刀一样么?

　　于是，该软件下载中止了3天后，又重新对外开放了!经历这么一波三折的变故，SoftEther及其作者反而变得更加有名。日本IT界知名媒体几乎都曾大篇幅地报道了这个软件掀起的风波。

　　编后

　　通过对SoftEther这款软件作者登大遊先生的采访，我们深刻感受到这款另类软件对现有网络的冲击是何等的强烈。SoftEther里所使用的技术，并不是什么独创；甚至软件的实现，也许同样不是领先。但它的公布，对现有×××软件市场将形成很大的冲击，一些实现类似功能却向客户收取高额服务费用的厂商，将无可避免地面临沉重的打击。

　　与此同时，生产防火墙软硬件的厂商，也会遇上一个老大难的问题。SoftEther这样堂而皇之把通讯内容隐藏到HTTPS协议里面，为现有防火墙产品所无法识别。虽然作者本人好意地在通讯时故意留下了“SoftEtherProtocol”这样的破绽，可以让防火墙厂商暂时利用一下，但随着SoftEther的进一步公开源代码，这样的破绽将很容易被取消，届时又将如何?

　　SoftEther带来的另一个巨大影响，自然就是对网络管理员们而言了。有了SoftEther，网络用户可以说是如鱼得水；而管理员们如何制定相应的管理策略，如何有效地执行管理，这也是今后网管们需要仔细思考的课题。

2006-12-2914:49:44