作者promiselove (奔放的旋律)
看板NetSecurity
标题[问题] 对於网管的新手 作业系统的建议
时间Fri Jan 14 08:40:50 2011
最近开始要管系上的server
不知道哪个系统比较好? 比较不会被攻击...
学校只有买 windows 2003 server
还是另外架一个Linux的会比较好 谢谢^^
--
※ 发信站: 批踢踢实业坊(ptt.cc)
◆ From: 118.165.75.237
1F:推 asadfish:我遇到的攻击面积来说都是by协定及ap…Orz…系统关联小 01/14 08:46
2F:→ promiselove:感谢 01/14 08:49
※ 编辑: promiselove 来自: 118.165.75.237 (01/14 08:57)
3F:→ promiselove:这样讲好了 目前这台server一直持续遭受到攻击... 01/14 09:03
4F:→ promiselove:Hacked By 03storic Infected Security Team 01/14 09:04
5F:→ promiselove:上面这个团队 大概两三天来一趟 我这个新手很无奈... 01/14 09:06
6F:→ mp607:server遭受攻击很正常阿..Orz 01/14 15:59
7F:→ mp607:会不会被攻击跟使用的作业系统没关系吧 01/14 15:59
8F:→ Jeffxx:看上面跑的service有什麽吧 ? 2003有更新到最新patch吗? 01/15 00:16
9F:推 netnk:内部:2003 外部:Cent OS 01/15 20:00
10F:→ netnk:如是跑www真的不建议win的东西...太容易被当箭靶了 XD 01/15 20:03
11F:推 FireGenie:ap 问题大... 01/17 18:43
12F:→ wst2080:架构要设计DMZ跟Reverse Proxy当作Web的前端 01/19 22:55
13F:→ wst2080:这样後端不管是跑 IIS 或者 Apache 都OK了 01/19 22:56
16F:推 luciferii:这种被攻击通常跟你跑IIS还是Apache都没关系 01/20 00:57
17F:→ luciferii:问题十之八九都在你写的网页程式本身 01/20 00:57
18F:→ luciferii:当然也不是去调防火墙或作NAT就可以解决的 01/20 00:58
19F:推 firedrake:同意luciferii的说法。 01/27 00:27
20F:→ firedrake:你的首先步骤应该是先判断攻击手法 01/27 00:28
21F:→ firedrake:找出真正被打的原因,再来想对策。 01/27 00:28
22F:→ wst2080:一般来说 Reverse Proxy 可以阻断不少的攻击 02/09 20:43
23F:→ wst2080:事实上跟OS的平台或者NAT无关 有关的是你的服务建置架构 02/09 20:44
24F:→ wst2080:而我那篇文章并不是强调NAT的功能 而是讲求Reverse Proxy 02/09 20:44
25F:→ wst2080:只是顺道提了一下NAT的部分而已~~~ 02/09 20:45
26F:→ wst2080:Reverse Proxy是可以提供外部与内部web之间的桥梁 02/09 20:45
27F:→ wst2080:而web server不提供外部 而是透过Reverse Proxy来提供 02/09 20:45
28F:→ wst2080:就算被攻击 也只是Reverse Proxy垮台 并不影响Web Service 02/09 20:46
29F:→ wst2080:而可以在Reverse Proxy当中下达ACL以及Filter部分 02/09 20:46
30F:→ wst2080:像IIS的就可以透过Reverse Proxy中的设定 阻挡code red 02/09 20:47
31F:→ wst2080:当外部使用者要求Reverse Proxy下达Code Red的字串 02/09 20:48
32F:→ wst2080:而Reverse Proxy可以从中阻断这些有害的字串 02/09 20:48
33F:→ wst2080:如此在内部多台的web server当中~ 只要在Reverse Proxy 02/09 20:48
34F:→ wst2080:当中设定就好 不用在整个Web Server Group来一台台设定 02/09 20:49
35F:推 luciferii:楼上观念错误,AP的问题简单讲就是直接打到装AP程式的平 02/10 12:51
36F:→ luciferii:台本身或者是DB主机本身,跟有没有过Reverse proxy无关 02/10 12:51
37F:→ luciferii:问题不在Web Server本身的安全性 02/10 12:52
38F:→ wst2080:不是观念的问题 而是简单来说 架构上的问题而已 02/11 09:05
39F:→ wst2080:网页程式当然有举足亲重的部分 这点不可否认 02/11 09:06
40F:→ wst2080:应该可以发现架构以及Reverse Proxy可以增强原有的安全性 02/11 09:07
41F:→ wst2080:若你设定三层DMZ~ 这样的架构下 会安全不少就是了 02/11 09:07
42F:→ wst2080:当然网页程式码是很重要的 只不过系统安全这部分 02/11 09:07
43F:→ wst2080:或者是service套件的安全性上头 在於架构上防护会比较简单 02/11 09:08
44F:→ wst2080:除非你有能力重新编译与撰写整个IIS 那麽IIS的安全性 02/11 09:08
45F:→ wst2080:应该就会加强不少了... 只可惜若真的会这样做的人 不多 02/11 09:08
46F:→ wst2080:真的这麽强 应该就可以去微软工作了说 呵呵 02/11 09:08
47F:→ wst2080:我的观念是针对服务这个部分 当然有锁就有门 无庸置疑的 02/11 09:09
48F:→ wst2080:若有门不锁 那就别讲安全性了 02/11 09:12
49F:→ wst2080:这样讲好了 你网页程式码再怎麽安全 而服务这部分不安全 02/11 09:13
50F:→ wst2080:也是没用的~~~ 而服务安全 架构不安全 也是没用的 02/11 09:13
51F:→ wst2080:毕竟系统是一个基础 作业系统的安全性也很重要的 02/11 09:14
52F:→ wst2080:我想我们都偏离主题太多了 呵呵 安全这个议题很大就是了 02/11 09:14
53F:→ wst2080:安全的议题 可以从 点 、 线 、 面 一直延展探讨的部分 02/11 09:14
54F:→ wst2080:我觉得观念错误与否 不要直接批评 而是要广泛讨论就是了 02/11 09:15
55F:推 luciferii:你设定三层DMZ...你的会先把网管搞死... 02/15 18:08
56F:→ luciferii:还在攻击 IIS 那个是2001年的事了... 02/15 18:10
57F:→ wst2080:我就没被搞死啊~~~ PS: 我就是网管 XDDD 02/15 19:04
58F:→ wst2080:我只是举例IIS的案例而已 那只是冰山一角就是了 02/15 19:05
59F:→ wst2080:就好比机房门禁 没做好 一样也会被弄 02/15 19:05
60F:→ wst2080:所谓的最强的骇客 其实强项在於 社交工程 02/15 19:05
61F:→ wst2080:而不是所谓的这些技术层面的部分 02/15 19:07
62F:→ wst2080:记得一句话 No system is safe.... 02/15 19:08
63F:推 hukhuk:两个都不错呀,一个要花钱好设定,一个免钱但观念要正确 02/23 20:41
64F:推 hukhuk:windows's ISA Server V.S Apache's Mod_security 02/23 20:43