Chinaunix

标题: 如何使企业中的服务器、数据信息更为安全（获奖名单已公布-2012-7-25） [打印本页]

作者: Gray1982 时间: 2012-07-04 15:03
标题: 如何使企业中的服务器、数据信息更为安全（获奖名单已公布-2012-7-25）
获奖名单已公布，详情请看：http://bbs.chinaunix.net/thread-3761139-1-1.html

随着企业的发展，服务器以及各种信息系统的增多，服务器本地访问的安全和数据交互传输的安全性特别尤为的重要。除了日常正常的信息，还有会一些恶意的攻击。这有可能导致信息被盗取、网络中断等等，会给我们的企业带来不小的损失。而做为运维人员，应该尽可能的解决这些问题，加强数据信息的安全性。

本期讨论话题：

一：如何加强本地用户登录
二：在架构中，应用服务器前面需不需要加上各种检测信息的设备
三：怎么样来防止攻击（比如同IDC里ARP的攻击）

活动要求：针对以上三个话题进行分享，对于积极分享实际案例的网友我们会优先考虑获奖。

邀请嘉宾：

胡安伟（king_819）金游数据运维主管
余洪春（yuhongchun）系统架构师
高俊峰（南非蚂蚁）Linux管理员高级运维工程师

活动时间：2012.7.4——2012.7.24

活动有奖：1，我们为大家准备了高俊峰（南非蚂蚁）写的《高性能Linux服务器构建实战运维监控、性能调优与集群应用》四本奖励给积极分享的网友。
2，此外积极分享案例的网友可以获得CU积分50分。

作者: Gray1982 时间: 2012-07-04 16:02
我先扔块砖

整个硬盘加密，在启动时输入密码
系统可以配置成U盘登录，也就是说插上U盘才能登录，不需要输入密码

在电商中可能有对提交的数据进行检测，防止敏感数据的提交

比较常见的是写脚本来屏蔽IP

作者: ecjtubaowp 时间: 2012-07-04 16:15

Gray1982 发表于 2012-07-04 16:02
我先扔块砖

整个硬盘加密，在启动时输入密码

想起了一个同学说他在以前的公司上班有几十个密码，我勒个去。最后直接走了。

作者: Gray1982 时间: 2012-07-04 16:30

ecjtubaowp 发表于 2012-07-04 16:15
想起了一个同学说他在以前的公司上班有几十个密码，我勒个去。最后直接走了。

哈哈，密码太多了，现在可以直接用U盘登录了

作者: Gray1982 时间: 2012-07-04 19:02
本帖最后由 Gray1982 于 2012-07-04 20:31 编辑

chinaciscoccie 发表于 2012-07-04 16:35
1.本地用户登录。
大概有一下几个安全防护策略，做的越多，安全系数越高，当然，操作不便性相应增加。
a， ...

这1和3说的很清楚
radius的应用，估计很多企业用不了···········

其实3当中并不一定是ARP，也有DDOS，也有暴力破解等

作者: Gray1982 时间: 2012-07-04 19:04
回复 6# 南非蚂蚁

你用KEY是在SSH情况下吧
如果硬件在手边呢，我上边说的是如果服务器在旁边用的是U盘登录方式，不再输入密码。安全嘛

作者: 方兆国 时间: 2012-07-04 19:12
本帖最后由方兆国于 2012-07-04 19:16 编辑

一：如何加强本地用户登录

限制登录ip

限定密码长度

限制密码过期时间

使用智能卡登录

多层密码（貌似略麻烦）

二：在架构中，应用服务器前面需不需要加上各种检测信息的设备

这就得看划算不划算了

三：怎么样来防止攻击（比如同IDC里ARP的攻击）

这个不太清楚

作者: 方兆国 时间: 2012-07-04 19:17

Gray1982 发表于 2012-07-04 16:02
我先扔块砖

整个硬盘加密，在启动时输入密码

万一U盘丢了呢？

作者: 方兆国 时间: 2012-07-04 19:20
回复 8# Gray1982

硬件在手边的话，用密码和U盘，没多少区别啊，不存在被盗的现象

作者: 方兆国 时间: 2012-07-04 19:22
其实我感觉设置BIOS密码和硬盘密码，硬盘和其他硬盘都安全。

对了，我想问一下，硬盘密码设置后，如果别人从其他介质中启动机器，那个密码还管用吗

作者: Hu_Liqiang 时间: 2012-07-04 19:38
想要书本

) 可我是新手

作者: Gray1982 时间: 2012-07-04 20:14
回复 10# 方兆国

如果只是用U盘本地登录的话，丢了坏了可以SSH远程过去改
如果限制的很死的话没办法了

作者: 方兆国 时间: 2012-07-04 20:17

Gray1982 发表于 2012-07-04 20:14
回复 10# 方兆国

我见过有些电脑开机插一个类似U盘的东西，叫做智能卡。是不是你说的那个东西，我感觉不是

作者: Gray1982 时间: 2012-07-04 20:18

方兆国发表于 2012-07-04 19:12
这就得看划算不划算了

第一个应该是密码策略上改动，也算是加强用户登录的一个方法

作者: chenyx 时间: 2012-07-04 20:18
一：如何加强本地用户登录
远程登录,ssh服务配置成只允许key登录,不允许密码登陆,同时限制不允许root直接ssh登入.
bios设置密码,修改bios需要密码才可以进入,同时,设置grub密码,默认启动等待时间设置成0
二：在架构中，应用服务器前面需不需要加上各种检测信息的设备
这个应该有
三：怎么样来防止攻击（比如同IDC里ARP的攻击）
arp攻击可以通过绑定mac的方式解决,其他的,应该用iptables限制下,加强过滤规则
我的服务器上安装了fail2ban服务,对重要的服务,比如ssh等检测,发现扫描的,一律禁止1天

作者: Gray1982 时间: 2012-07-04 20:19

方兆国发表于 2012-07-04 19:20
回复 8# Gray1982

不说多，32位的复杂密码，你敲着麻烦不，万一有一个敲错了，你是不是再来一次，一次一次又一次·············

作者: Gray1982 时间: 2012-07-04 20:21
回复 12# 方兆国

当然管用了，在装系统的时候对整个区加密，不论这块硬盘在那里，只要访问这块硬盘上的数据，最初都是要输入密码的

作者: 方兆国 时间: 2012-07-04 20:21
回复 18# Gray1982

嗯，不过密码变得越频繁有些越不安全的感觉
第一，自己记不住，容易在其他地方写下来或者用于其他用途以便记住；
第二，你变来变去，无非就那几样，再编不出什么花招来，变不出什么新的
第三，由于上面两个原因，有可能会被搞密码搜集的人收藏成密码字典

作者: chenyx 时间: 2012-07-04 20:22
32位的复杂密码

基本上,自己都记不住了吧

作者: Gray1982 时间: 2012-07-04 20:23

chenyx 发表于 2012-07-04 20:18
一：如何加强本地用户登录
远程登录,ssh服务配置成只允许key登录,不允许密码登陆,同时限制不允许root直接s ...

嗯，这个grub密码还真有点没注意，这条确实可以加上
除了ARP等，也可以考虑下怎么防止DDOS什么的外部攻击

作者: 方兆国 时间: 2012-07-04 20:23
回复 21# Gray1982

就是说，我拿U盘或者其他东西开那个电脑，在挂载硬盘时还是需要硬盘密码？
还有BIOS里的加密硬盘和Linux分区时的加密分区应该有区别吧。我感觉前者可能更可靠些，不过我没有试过

作者: Gray1982 时间: 2012-07-04 20:24

方兆国发表于 2012-07-04 20:17
我见过有些电脑开机插一个类似U盘的东西，叫做智能卡。是不是你说的那个东西，我感觉不是

理论上都是通过外接设备来解密的，所以你看成一样的东西也行吧

作者: 方兆国 时间: 2012-07-04 20:25
回复 23# chenyx

除非是银行卡号+身份证号，这个容易记

作者: Gray1982 时间: 2012-07-04 20:25
回复 25# 方兆国

嗯，用U盘登录，然后需要再次输入密码这个可以设置
你说的这三个一个是启动，一个是访问，一个是登录

作者: Gray1982 时间: 2012-07-04 20:27
回复 23# chenyx

密码要的就是自己记不住，如果自己能记住就不是一个成功的密码了

作者: 方兆国 时间: 2012-07-04 20:27

Gray1982 发表于 2012-07-04 20:24
理论上都是通过外接设备来解密的，所以你看成一样的东西也行吧

额，对了，Windows的BitLocker也可以加密磁盘的

作者: chenyx 时间: 2012-07-04 20:29
回复 29# Gray1982

自己都记不住,那密码存放在啥地方呢?

作者: 方兆国 时间: 2012-07-04 20:29

Gray1982 发表于 2012-07-04 20:25
回复 25# 方兆国

你说错了，除此之外，还有一个BIOS密码，这个是启动硬件的密码，没这个密码，后面的密码都用不上。

作者: 方兆国 时间: 2012-07-04 20:30
回复 31# chenyx

手机里面，手机一般随身带着的
不过貌似现在手机都闹病毒了。要不自己做一个手机程序，使用自定义的格式来保存密码

作者: chenyx 时间: 2012-07-04 20:30
回复 32# 方兆国

bios密码应该只设置成进入bios需要密码,否则,万一断电,或者重启,没有密码,机器就不能启动了

作者: chenyx 时间: 2012-07-04 20:31
回复 33# 方兆国

手机丢了,岂不是完蛋了?

作者: 方兆国 时间: 2012-07-04 20:32
回复 24# Gray1982

Grub密码是什么时候起作用的，是仅在Grub引导时，还是在Linux下修改grub配置文件时就起作用

作者: 方兆国 时间: 2012-07-04 20:33
回复 34# chenyx

不，BIOS有两个密码，一个是管理员密码，是用来控制BIOS修改的，另外还有一个User密码，是用来控制开机用电脑的

作者: 方兆国 时间: 2012-07-04 20:34
回复 35# chenyx

这倒也是，不过安全系数比那个用U盘略强啊。现在网银U-Key都有手机存储卡那种的

作者: chenyx 时间: 2012-07-04 20:35
回复 36# 方兆国

在引导的时候,进入系统之后,是可以修改的

作者: bun 时间: 2012-07-04 20:36
提示: 作者被禁止或删除内容自动屏蔽

作者: 方兆国 时间: 2012-07-04 20:36
回复 29# Gray1982

自己都记不住的密码真没安全感，我曾经就想过用c语言编程根据自己制定的配置文件产生密码，结果那个密码完全没有规律，用了几天，就不用了，主要是因为电脑的cookie被我删了，得重新输入密码，那个密码太复杂了

作者: chenyx 时间: 2012-07-04 20:36
另外,还有一个需要注意的,即使设置了Bios密码,如果可以物理接触到机器,可以通过跳线清除掉密码的,所以,物理安全也很重要

作者: 方兆国 时间: 2012-07-04 20:37
回复 13# Hu_Liqiang

那你就多发帖

作者: chenyx 时间: 2012-07-04 20:38
回复 37# 方兆国

这个我知道,我的意思是,设置bios密码,只是防止进入bios,启动机器不需要输入密码,这样可以防止机器偶然重启,没有密码不能启动的情况

作者: 方兆国 时间: 2012-07-04 20:39

chenyx 发表于 2012-07-04 20:18
一：如何加强本地用户登录
远程登录,ssh服务配置成只允许key登录,不允许密码登陆,同时限制不允许root直接s ...

默认启动等待时间设置成0

这个没用，在硬件Logo出现以后多按几次空格，grub列表又会出现

作者: Gray1982 时间: 2012-07-04 20:40
回复 31# chenyx

密码肯定要存起来的
像U盘这种也算是另一种方式，因为密码你觉得方便，也就方便了别人··········

作者: 方兆国 时间: 2012-07-04 20:40
回复 44# chenyx

嗯，这样啊，不过服务器很少重启的说

作者: chenyx 时间: 2012-07-04 20:40
回复 40# bun

好主意

作者: Gray1982 时间: 2012-07-04 20:40
回复 33# 方兆国

直接改密码呗
反正我的IOS每次升级后都改密码

作者: 方兆国 时间: 2012-07-04 20:40
回复 42# chenyx

那个得对BIOS做断电操作吧

作者: Gray1982 时间: 2012-07-04 20:41

chenyx 发表于 2012-07-04 20:30
回复 32# 方兆国

一般服务器都需要买远程管理卡的，不然啥都不方便

作者: chenyx 时间: 2012-07-04 20:41
回复 45# 方兆国

这个时候,grub密码就起作用了

作者: 方兆国 时间: 2012-07-04 20:42

Gray1982 发表于 2012-07-04 20:40
回复 33# 方兆国

高帅富啊，IPhone啊

作者: chenyx 时间: 2012-07-04 20:42
回复 46# Gray1982

我还没做过u盘的密码方式呢,楼主共享下吧

作者: Gray1982 时间: 2012-07-04 20:43

chenyx 发表于 2012-07-04 20:35
回复 36# 方兆国

这个可以防止别人进单用户啊，哈哈··········

作者: 方兆国 时间: 2012-07-04 20:43

chenyx 发表于 2012-07-04 20:41
回复 45# 方兆国

这个没头没尾的，看不懂啊

作者: 方兆国 时间: 2012-07-04 20:44
回复 51# Gray1982

额，还有这东西啊

作者: chenyx 时间: 2012-07-04 20:44
@方兆国主板上有跳线,断电状态下,可以通过那个跳线来清空cmos里面的配置,Pc上也有

作者: Gray1982 时间: 2012-07-04 20:44
回复 54# chenyx

这个是以加密U盘方式登录，和密码没啥关系的·········

http://pamusb.org/用这个

作者: 方兆国 时间: 2012-07-04 20:44
回复 39# chenyx

我是说需要输入密码的时候

作者: 方兆国 时间: 2012-07-04 20:46

chenyx 发表于 2012-07-04 20:44
@方兆国主板上有跳线,断电状态下,可以通过那个跳线来清空cmos里面的配置,Pc上也有

这个我知道的，BIOS附近有个电池，把那个拔了就对了

作者: Gray1982 时间: 2012-07-04 20:46

chenyx 发表于 2012-07-04 20:44
@方兆国主板上有跳线,断电状态下,可以通过那个跳线来清空cmos里面的配置,Pc上也有

他好像没拆过服务器，回家拆PC也行，拆下就知道了

作者: 方兆国 时间: 2012-07-04 20:48
回复 59# Gray1982

其实我感觉U盘就是一个数据比较多的密码而已

作者: 方兆国 时间: 2012-07-04 20:49
回复 62# Gray1982

拆过比较老的PC，是个纽扣电池

作者: 方兆国 时间: 2012-07-04 20:50
回复 55# Gray1982

说实话，能够接触到硬件，那就比较难防备了。又不像PC，会丢

作者: chenyx 时间: 2012-07-04 20:52
@Gray1982方同学还是学生,可能服务器没有接触,拆机就更不用提了.

我见过一个服务器,机箱是用铆钉卯上的,不暴力拆解是没法拆解的.

作者: 方兆国 时间: 2012-07-04 20:52
回复 44# chenyx

我在想，放在机架里面的无头服务器怎么输BIOS密码，是LZ说的那个远程控制卡么

作者: chenyx 时间: 2012-07-04 20:54
回复 67# 方兆国

远程控制卡是一种.另外,一般机房有KVM(不是操作系统),可以一个带动好几台机器的,随时可以切换的.

作者: 方兆国 时间: 2012-07-04 20:54
回复 66# chenyx

我上课的时候查过学校的PC，是报废了专门用来拆机用的，说是BIOS电池拔了，就清空BIOS了

作者: 方兆国 时间: 2012-07-04 20:56

chenyx 发表于 2012-07-04 20:52
@Gray1982方同学还是学生,可能服务器没有接触,拆机就更不用提了.
我见过一个服务器,机箱是用铆钉 ...

我见过一个服务器,机箱是用铆钉卯上的,不暴力拆解是没法拆解的.

真可惜，好好的机箱就被糟蹋了，那换硬件怎么办，铆钉拆过的地方就没法铆了

作者: chenyx 时间: 2012-07-04 20:56
@方兆国正确的说法是,电池旁边有个CLR_CMOS的跳线,从12针变成23针,然后再插回12针

作者: chenyx 时间: 2012-07-04 20:57
回复 70# 方兆国

人家就是那么设计的,要是坏了,只能返厂.

作者: 方兆国 时间: 2012-07-04 20:57
回复 71# chenyx

额，我们主要是去拆大个儿的零件，那个太小了，被忽略了

作者: chenyx 时间: 2012-07-04 20:59

方兆国发表于 2012-07-04 20:57
回复 71# chenyx

这个,你太粗心了,有时候,需要注重细节的问题

作者: chenyx 时间: 2012-07-04 21:01
@Gray1982另外,linux支持分区的加密,不过我没用过,你用过没有?据说那个是最安全的,没有密码,硬盘放到别的机器上也读不了正确的内容

作者: 方兆国 时间: 2012-07-04 21:02
回复 74# chenyx

嗯，那个也很少用到。对了笔记本电脑的呢？我有一回出于好奇，把BIOS中的UEFI选项和PXE启动打开了，然后BIOS都进不去了。不会回复，到售后那儿才恢复的

作者: 方兆国 时间: 2012-07-04 21:03
回复 76# chenyx

那个会不会影响读写速率啊

作者: 方兆国 时间: 2012-07-04 21:03
回复 72# chenyx

额，这样，那返厂成本略高

作者: chenyx 时间: 2012-07-04 21:07
回复 77# 方兆国

很少拆解笔记本,原理应该是一样的.Bios设置,说明书里面应该有吧

作者: chenyx 时间: 2012-07-04 21:08
回复 78# 方兆国

加解密肯定会影响效率

作者: chenyx 时间: 2012-07-04 21:09
回复 79# 方兆国

那个是定制的系统,厂家有备件机器,返厂的同时,你用备件机.

作者: Gray1982 时间: 2012-07-04 21:10
回复 76# chenyx

这个是有密码的，就是我上面说的，只要访问这个区的数据就需要输入密码，用过

作者: 方兆国 时间: 2012-07-04 21:10

chenyx 发表于 2012-07-04 21:09
回复 79# 方兆国

额，那个应该也是批量生产的。不会定制吧。不然这样成本会很高的

作者: 方兆国 时间: 2012-07-04 21:11
回复 81# chenyx

貌似笔记本里没有这方面的说明书，其实有机会拆开看一下就没疑问了

作者: Gray1982 时间: 2012-07-04 21:11

chenyx 发表于 2012-07-04 20:52
@Gray1982方同学还是学生,可能服务器没有接触,拆机就更不用提了.
我见过一个服务器,机箱是用铆钉 ...

回家拆自己的，没PC也可以拆拆本嘛，我自己以前的本就经常拆，T43

作者: 方兆国 时间: 2012-07-04 21:12
回复 84# Gray1982

读取和写入时还要加密解密，很影响效率吧

作者: Gray1982 时间: 2012-07-04 21:13

chenyx 发表于 2012-07-04 21:08
回复 78# 方兆国

不同的加密算法，不同的效率，这需要开发人员来测试

无论那种，只要是加密的数据一定比不加密的慢

作者: 方兆国 时间: 2012-07-04 21:14
回复 87# Gray1982

对了，内存是单条8G好，还是2条4G好。主板最高支持8G，两个内存条

作者: 方兆国 时间: 2012-07-04 21:15

Gray1982 发表于 2012-07-04 21:13
不同的加密算法，不同的效率，这需要开发人员来测试

无论那种，只要是加密的数据一定比 ...

这是必然的，据说raid 5写校验值都很浪费时间

作者: chenyx 时间: 2012-07-04 21:17
回复 91# 方兆国

看是否支持双通道,支持的话,两条好,不支持的话,随便

作者: 方兆国 时间: 2012-07-04 21:18
回复 93# chenyx

不清楚啊，买来快两年了

作者: chenyx 时间: 2012-07-04 21:18
回复 92# 方兆国

raid一般都是专门的硬件实现的,不占用cpu资源,除非是软raid

作者: chenyx 时间: 2012-07-04 21:19
回复 94# 方兆国

一般近几年的板子都支持双通道的,你可以查看主板的说明书.我一般是偶数条内存的配置

作者: 方兆国 时间: 2012-07-04 21:20
回复 95# chenyx

IOP吧，可还是有时间延迟

作者: 方兆国 时间: 2012-07-04 21:22
回复 97# chenyx

额，我这电脑，已经达到Window 8的底线了，带虚拟机很肉，除非用文本模式

作者: Gray1982 时间: 2012-07-04 21:25
回复 95# chenyx

但写还是比较慢的，有其它算法嘛

看看一般在电商的应用前面放什么检测的数据呢，你那接触过的有啥？

作者: 方兆国 时间: 2012-07-04 21:25
回复 97# chenyx

应该支持吧。我打算一次升到8G吧，CPU的主频是1066的，现在这么慢的内存不多了，会越来越贵的

作者: Gray1982 时间: 2012-07-04 21:26
回复 100# 方兆国

除了这些，你看看在你的环境中有什么攻击没，有什么防的方法？

作者: 方兆国 时间: 2012-07-04 21:28
回复 103# Gray1982

我是个人电脑，连防火墙都是禁用的，不带用杀毒软件，不安装更新的（Win+Linux都一样）

作者: 方兆国 时间: 2012-07-04 21:32
回复 97# chenyx

支持DDR3 1066 MHz内存, 2 x SODIMM内存扩充槽，系统内存最高可扩充至8GB内存（需操作系统支持）

这个能说明是支持双通道么？

作者: 方兆国 时间: 2012-07-04 21:42
回复 97# chenyx

　Core i5集成双通道DDR3存储器控制器，而且会集成一些北桥的功能，将集成PCI-Express控制器

作者: chenyx 时间: 2012-07-04 21:42
i5啊,肯定支持双通道.

作者: 方兆国 时间: 2012-07-04 21:46
回复 107# chenyx

嗯，可是他支持的内存频率略低，才1066/800，不给力啊

作者: chenyx 时间: 2012-07-04 21:48
高频率的内存可以在低频率的上工作吧,没测试过,你买的时候测试下吧

欢迎光临 Chinaunix (http://bbs.chinaunix.net/)