3.1 服務器操作系統

服務器操作系統可以實現對計算機硬件與軟件的直接控制和管理協調。

3.1.1 Windows Server

Windows Server是微軟在2003年4月24日推出的Windows服務器操作系統，其核心是Microsoft Windows Server System(WSS)。重要版本有Windows Server 2003、Windows Server 2003 R2、Windows Server 2008、Windows Server 2008 R2、Windows Server 2012、Windows Server 2012 R2、Windows Server 2016、Windows Server 2019。Windows服務器操作系統應用，結合.NET開發環境，為微軟企業用戶提供了良好的應用框架。

1.Windows Server系統的優缺點及應用

● 優點：Windows Server系統相對于其他服務器系統而言，極其易用，極大降低了使用者的學習成本。

● 缺點：Windows Server系統對服務器硬件要求較高、穩定性不是很好。

● 應用：Windows Server系統適用于中、低檔服務器中。

2.Windows Server系統安全加固

安全加固是企業安全中重要的一環，其主要內容包括賬戶安全、口令安全、授權、IP安全、審計安全和設備其他配置操作等。

（1）賬戶安全

● 對于管理員賬戶，要求更改缺省賬戶名稱，并且禁用guest（來賓）賬戶。

● 按照用戶分配賬戶，根據系統要求，設定不同的賬戶和賬戶組、管理員用戶、數據庫用戶、審計用戶和來賓用戶等。

● 刪除或鎖定與設備運行、維護等工作無關的賬戶。

（2）口令安全

● 密碼復雜度設置，最短6個字符，四分之三原則（大寫字母、小寫字母、數字和特殊字符四選三組合）。

● 設置密碼最長使用期限，如3個月。

● 賬戶鎖定策略，如輸錯密碼多少次鎖定賬戶。

（3）授權

● 在本地安全設置中將從遠端系統強制關機只指派給Administrators組。

● 在本地安全設置中將取得文件或其他對象的所有權只指派給Administrators組。

● 在本地安全設置中配置只有指定授權用戶允許本地登錄此計算機。

● 在組策略中只允許授權用戶從網絡訪問（包括網絡共享等，但不包括終端服務）此計算機。

（4）IP安全

● 啟動SYN攻擊保護。

● 指定觸發SYN洪水攻擊保護所必須超過的TCP連接請求數閥值為5。

● 指定處于SYN_RCVD狀態的TCP連接數的閥值為500。

● 指定處于至少已發送一次重傳的SYN_RCVD狀態中的TCP連接數的閥值為400。

（5）審計安全

● 審核策略更改：成功。

● 審核登錄事件：成功或失敗。

● 審核對象訪問：成功。

● 審核進程跟蹤：成功或失敗。

● 審核目錄服務訪問：成功或失敗。

● 審核系統事件：成功或失敗。

● 審核賬戶登錄事件：成功或失敗。

● 審核賬戶管理：成功或失敗。

（6）設備其他配置操作

● 在非域環境中，關閉默認共享。

● 查看每個共享文件夾的共享權限，只允許授權的賬戶擁有權限共享此文件夾。

● 列出所需要服務的列表（包括所需的系統服務），不在此列表中的服務需關閉。

● 列出系統啟動時自動加載的進程和服務列表，不在此列表中的需關閉。

● 關閉遠程桌面，如需開啟，修改端口。

● 關閉Windows自動播放功能。

● 對于遠程登錄的賬號，設置不活動斷連時間15min。

3.1.2 NetWare

Novell公司的NetWare是一個真正的網絡操作系統，而不是其他操作系統下的應用程序。它直接對微處理器編程，隨著最新微處理器的發展，它充分利用微處理器的高性能來實現高效服務。

NetWare的特點是支持各種硬件，以及多種網絡平臺的互聯，如DOS、OS/2、Windows、Macintosh等。Novell提供了多種互連選項，如內部網橋、外部網橋和遠程網橋，以連接具有相同或不同網絡接口卡、協議和拓撲結構的網絡。另外NetWare，還具有出色的容錯特性，可以提供一、二、三級容錯，整體系統具有良好的保密性和安全性。NetWare 4.0之后的版本提供的目錄服務，可以更好地支持多服務器網絡，實現了單一、全局的系統管理。

1.Netware系統的優缺點及應用

● 優點：Netware系統具有優秀的批量處理功能和安全、穩定的系統性能，且兼容DOS命令，支持豐富的應用軟件，對無盤站和游戲有著較好的支持，對網絡硬件要求較低。

● 缺點：Netware系統的操作大部分依靠手工命令實現，不夠人性化；對硬盤識別最高只能達到1GB，無法滿足TB級數據的存儲。

● 應用：Netware系統適用于低檔服務器，常應用在中小型企業、學校和游戲廳等。

2.Netware系統安全加固

NetWare的用戶類型有網絡管理員（通過設置用戶權限來實現網絡安全保護措施）、組管理員、網絡操作員（FCONSOLE操作員、隊列操作員、控制臺操作員）和普通網絡用戶。

NetWare的四級安全保密機制包括注冊安全性、用戶信任者權限、最大信任者權限屏蔽、目錄與文件服務。

NetWare操作系統的系統容錯技術主要包括以下幾種。

● 三級容錯機制：第一級系統容錯SFT I采用了雙重目錄與文件分配表，磁盤熱修復與寫后讀驗證等措施。第二級系統容錯SFT II包括硬盤鏡像與硬盤雙工功能。第三級系統容錯SFT III提供了文件服務器鏡像功能。

● 事務跟蹤系統（TTS）：NetWare的事務跟蹤系統用來防止在寫數據庫記錄的過程中因為系統故障而造成數據丟失。

3.1.3 UNIX

UNIX在1969年誕生于美國AT&T公司的貝爾實驗室，是一個多用戶、多任務的操作系統。UNIX已發展為兩個重要的分支，一個分支是AT&T公司的UNIX System V，在個人計算機上主要采用該版本；另一分支是UNIX伯克利版本（BSD），主要運行于大、中型計算機上。

UNIX操作系統在結構上分為核心層和應用層。核心層用于處理硬件與提供系統服務，應用層提供用戶界面。核心層把應用層與硬件分離，使應用層獨立于硬件，便于移植。UNIX的核心部分集成了網絡傳輸協議，因而UNIX操作系統本身具有通信功能。

1.UNIX系統的優缺點及應用

● 優點：UNIX系統支持大型文件系統服務、數據服務應用，功能強大、穩定性和安全性能好。

● 缺點：UNIX系統的操作主要以命令的方式進行，不容易掌握。

● 應用：UNIX適用于大型網站或大型企、事業局域網中。

2.UNIX系統安全加固

UNIX系統安全加固包括的內容很多，以下舉兩個例子說明。

1）關閉不必要的服務，如收發郵件服務。先關閉sendmail服務自動啟動功能，使用root用戶編輯/etc/rc.config.d/mailservs文件，把export SENDMAIL_SERVER=1改為export SENDMAIL_SERVER=0。然后使用ps -ef | grep sendmail命令檢查進程是否已經終止了，root用戶執行/sbin/init.d/sendmail stop關閉sendmail進程，執行/sbin/init.d/SnmpMaster stop關閉SNMP服務。

2）通過IP限制用戶遠程登錄。在etc下創建hosts.allow和hosts.deny文件，用來完成主機訪問權限控制。hosts.deny文件設置工作站拒絕的IP地址和服務范圍。hosts.allow文件設置工作站允許的IP地址和服務范圍。如果客戶端的IP地址不在hosts.allow和hosts.deny文件中，則允許訪問。

注意：

host.allow的優先級大于host.deny。

在/etc/hosts.deny文件中加入ALL:ALL就可以禁止所有計算機訪問服務器，然后在/etc/hosts.allow文件中加入允許訪問服務器的計算機，這種做法是最安全的。這樣做的結果是所有的服務、訪問位置如果沒有被明確的允許，也就是在/etc/hosts.allow中找不到匹配的項，就是被禁止的。

3.1.4 Linux

Linux，全稱GNU/Linux，是一套免費使用和自由傳播的類UNIX操作系統，有數百種不同的發行版本。1991年，林納斯·本納第克特·托瓦茲首次發布了它的內核，它主要受到Minix和UNIX思想的啟發，是一個基于POSIX和UNIX的多用戶、多任務、支持多線程和多CPU的操作系統。它可以運行主要的UNIX工具軟件、應用程序和網絡協議，支持32位和64位硬件。Linux繼承了UNIX以網絡為核心的設計思想，是一個穩定的多用戶網絡操作系統。

1.Linux系統的優缺點及應用

● 優點：Linux系統是開源系統，受到所有開發者的共同監督，已經是非常成熟的服務器系統，并且擁有著一套完整的權限機制，安全性與穩定性都很高。

● 缺點：Linux系統的操作需要一定的學習時間。

● 應用：Linux系統適用于中、高檔服務器中。

2.Linux系統安全加固

對Linux系統進行安全加固，主要策略涉及如下幾點。

● 取消所有服務器的root遠程SSH登錄，限制su - root的用戶權限，同時SSH登錄端口調整，外網SSH登錄全部調整。

● 調整密碼過期時間和復雜度。

● 調整網絡泛洪、SYN等防攻擊策略參數。

● 清理服務器無效賬戶如lp、news等，調整系統關鍵目錄權限。

● 優化服務器連接數參數。

● 管理日志，如記錄登錄認證等。