作者promiselove (奔放的旋律)
看板NetSecurity
標題[問題] 對於網管的新手 作業系統的建議
時間Fri Jan 14 08:40:50 2011
最近開始要管系上的server
不知道哪個系統比較好? 比較不會被攻擊...
學校只有買 windows 2003 server
還是另外架一個Linux的會比較好 謝謝^^
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 118.165.75.237
1F:推 asadfish:我遇到的攻擊面積來說都是by協定及ap…Orz…系統關聯小 01/14 08:46
2F:→ promiselove:感謝 01/14 08:49
※ 編輯: promiselove 來自: 118.165.75.237 (01/14 08:57)
3F:→ promiselove:這樣講好了 目前這台server一直持續遭受到攻擊... 01/14 09:03
4F:→ promiselove:Hacked By 03storic Infected Security Team 01/14 09:04
5F:→ promiselove:上面這個團隊 大概兩三天來一趟 我這個新手很無奈... 01/14 09:06
6F:→ mp607:server遭受攻擊很正常阿..Orz 01/14 15:59
7F:→ mp607:會不會被攻擊跟使用的作業系統沒關係吧 01/14 15:59
8F:→ Jeffxx:看上面跑的service有什麼吧 ? 2003有更新到最新patch嗎? 01/15 00:16
9F:推 netnk:內部:2003 外部:Cent OS 01/15 20:00
10F:→ netnk:如是跑www真的不建議win的東西...太容易被當箭靶了 XD 01/15 20:03
11F:推 FireGenie:ap 問題大... 01/17 18:43
12F:→ wst2080:架構要設計DMZ跟Reverse Proxy當作Web的前端 01/19 22:55
13F:→ wst2080:這樣後端不管是跑 IIS 或者 Apache 都OK了 01/19 22:56
16F:推 luciferii:這種被攻擊通常跟你跑IIS還是Apache都沒關係 01/20 00:57
17F:→ luciferii:問題十之八九都在你寫的網頁程式本身 01/20 00:57
18F:→ luciferii:當然也不是去調防火牆或作NAT就可以解決的 01/20 00:58
19F:推 firedrake:同意luciferii的說法。 01/27 00:27
20F:→ firedrake:你的首先步驟應該是先判斷攻擊手法 01/27 00:28
21F:→ firedrake:找出真正被打的原因,再來想對策。 01/27 00:28
22F:→ wst2080:一般來說 Reverse Proxy 可以阻斷不少的攻擊 02/09 20:43
23F:→ wst2080:事實上跟OS的平台或者NAT無關 有關的是你的服務建置架構 02/09 20:44
24F:→ wst2080:而我那篇文章並不是強調NAT的功能 而是講求Reverse Proxy 02/09 20:44
25F:→ wst2080:只是順道提了一下NAT的部分而已~~~ 02/09 20:45
26F:→ wst2080:Reverse Proxy是可以提供外部與內部web之間的橋樑 02/09 20:45
27F:→ wst2080:而web server不提供外部 而是透過Reverse Proxy來提供 02/09 20:45
28F:→ wst2080:就算被攻擊 也只是Reverse Proxy垮台 並不影響Web Service 02/09 20:46
29F:→ wst2080:而可以在Reverse Proxy當中下達ACL以及Filter部分 02/09 20:46
30F:→ wst2080:像IIS的就可以透過Reverse Proxy中的設定 阻擋code red 02/09 20:47
31F:→ wst2080:當外部使用者要求Reverse Proxy下達Code Red的字串 02/09 20:48
32F:→ wst2080:而Reverse Proxy可以從中阻斷這些有害的字串 02/09 20:48
33F:→ wst2080:如此在內部多台的web server當中~ 只要在Reverse Proxy 02/09 20:48
34F:→ wst2080:當中設定就好 不用在整個Web Server Group來一台台設定 02/09 20:49
35F:推 luciferii:樓上觀念錯誤,AP的問題簡單講就是直接打到裝AP程式的平 02/10 12:51
36F:→ luciferii:台本身或者是DB主機本身,跟有沒有過Reverse proxy無關 02/10 12:51
37F:→ luciferii:問題不在Web Server本身的安全性 02/10 12:52
38F:→ wst2080:不是觀念的問題 而是簡單來說 架構上的問題而已 02/11 09:05
39F:→ wst2080:網頁程式當然有舉足親重的部分 這點不可否認 02/11 09:06
40F:→ wst2080:應該可以發現架構以及Reverse Proxy可以增強原有的安全性 02/11 09:07
41F:→ wst2080:若你設定三層DMZ~ 這樣的架構下 會安全不少就是了 02/11 09:07
42F:→ wst2080:當然網頁程式碼是很重要的 只不過系統安全這部分 02/11 09:07
43F:→ wst2080:或者是service套件的安全性上頭 在於架構上防護會比較簡單 02/11 09:08
44F:→ wst2080:除非你有能力重新編譯與撰寫整個IIS 那麼IIS的安全性 02/11 09:08
45F:→ wst2080:應該就會加強不少了... 只可惜若真的會這樣做的人 不多 02/11 09:08
46F:→ wst2080:真的這麼強 應該就可以去微軟工作了說 呵呵 02/11 09:08
47F:→ wst2080:我的觀念是針對服務這個部分 當然有鎖就有門 無庸置疑的 02/11 09:09
48F:→ wst2080:若有門不鎖 那就別講安全性了 02/11 09:12
49F:→ wst2080:這樣講好了 你網頁程式碼再怎麼安全 而服務這部分不安全 02/11 09:13
50F:→ wst2080:也是沒用的~~~ 而服務安全 架構不安全 也是沒用的 02/11 09:13
51F:→ wst2080:畢竟系統是一個基礎 作業系統的安全性也很重要的 02/11 09:14
52F:→ wst2080:我想我們都偏離主題太多了 呵呵 安全這個議題很大就是了 02/11 09:14
53F:→ wst2080:安全的議題 可以從 點 、 線 、 面 一直延展探討的部分 02/11 09:14
54F:→ wst2080:我覺得觀念錯誤與否 不要直接批評 而是要廣泛討論就是了 02/11 09:15
55F:推 luciferii:你設定三層DMZ...你的會先把網管搞死... 02/15 18:08
56F:→ luciferii:還在攻擊 IIS 那個是2001年的事了... 02/15 18:10
57F:→ wst2080:我就沒被搞死啊~~~ PS: 我就是網管 XDDD 02/15 19:04
58F:→ wst2080:我只是舉例IIS的案例而已 那只是冰山一角就是了 02/15 19:05
59F:→ wst2080:就好比機房門禁 沒做好 一樣也會被弄 02/15 19:05
60F:→ wst2080:所謂的最強的駭客 其實強項在於 社交工程 02/15 19:05
61F:→ wst2080:而不是所謂的這些技術層面的部分 02/15 19:07
62F:→ wst2080:記得一句話 No system is safe.... 02/15 19:08
63F:推 hukhuk:兩個都不錯呀,一個要花錢好設定,一個免錢但觀念要正確 02/23 20:41
64F:推 hukhuk:windows's ISA Server V.S Apache's Mod_security 02/23 20:43