3.1 服务器操作系统

服务器操作系统可以实现对计算机硬件与软件的直接控制和管理协调。

3.1.1 Windows Server

Windows Server是微软在2003年4月24日推出的Windows服务器操作系统，其核心是Microsoft Windows Server System(WSS)。重要版本有Windows Server 2003、Windows Server 2003 R2、Windows Server 2008、Windows Server 2008 R2、Windows Server 2012、Windows Server 2012 R2、Windows Server 2016、Windows Server 2019。Windows服务器操作系统应用，结合.NET开发环境，为微软企业用户提供了良好的应用框架。

1.Windows Server系统的优缺点及应用

● 优点：Windows Server系统相对于其他服务器系统而言，极其易用，极大降低了使用者的学习成本。

● 缺点：Windows Server系统对服务器硬件要求较高、稳定性不是很好。

● 应用：Windows Server系统适用于中、低档服务器中。

2.Windows Server系统安全加固

安全加固是企业安全中重要的一环，其主要内容包括账户安全、口令安全、授权、IP安全、审计安全和设备其他配置操作等。

（1）账户安全

● 对于管理员账户，要求更改缺省账户名称，并且禁用guest（来宾）账户。

● 按照用户分配账户，根据系统要求，设定不同的账户和账户组、管理员用户、数据库用户、审计用户和来宾用户等。

● 删除或锁定与设备运行、维护等工作无关的账户。

（2）口令安全

● 密码复杂度设置，最短6个字符，四分之三原则（大写字母、小写字母、数字和特殊字符四选三组合）。

● 设置密码最长使用期限，如3个月。

● 账户锁定策略，如输错密码多少次锁定账户。

（3）授权

● 在本地安全设置中将从远端系统强制关机只指派给Administrators组。

● 在本地安全设置中将取得文件或其他对象的所有权只指派给Administrators组。

● 在本地安全设置中配置只有指定授权用户允许本地登录此计算机。

● 在组策略中只允许授权用户从网络访问（包括网络共享等，但不包括终端服务）此计算机。

（4）IP安全

● 启动SYN攻击保护。

● 指定触发SYN洪水攻击保护所必须超过的TCP连接请求数阀值为5。

● 指定处于SYN_RCVD状态的TCP连接数的阀值为500。

● 指定处于至少已发送一次重传的SYN_RCVD状态中的TCP连接数的阀值为400。

（5）审计安全

● 审核策略更改：成功。

● 审核登录事件：成功或失败。

● 审核对象访问：成功。

● 审核进程跟踪：成功或失败。

● 审核目录服务访问：成功或失败。

● 审核系统事件：成功或失败。

● 审核账户登录事件：成功或失败。

● 审核账户管理：成功或失败。

（6）设备其他配置操作

● 在非域环境中，关闭默认共享。

● 查看每个共享文件夹的共享权限，只允许授权的账户拥有权限共享此文件夹。

● 列出所需要服务的列表（包括所需的系统服务），不在此列表中的服务需关闭。

● 列出系统启动时自动加载的进程和服务列表，不在此列表中的需关闭。

● 关闭远程桌面，如需开启，修改端口。

● 关闭Windows自动播放功能。

● 对于远程登录的账号，设置不活动断连时间15min。

3.1.2 NetWare

Novell公司的NetWare是一个真正的网络操作系统，而不是其他操作系统下的应用程序。它直接对微处理器编程，随着最新微处理器的发展，它充分利用微处理器的高性能来实现高效服务。

NetWare的特点是支持各种硬件，以及多种网络平台的互联，如DOS、OS/2、Windows、Macintosh等。Novell提供了多种互连选项，如内部网桥、外部网桥和远程网桥，以连接具有相同或不同网络接口卡、协议和拓扑结构的网络。另外NetWare，还具有出色的容错特性，可以提供一、二、三级容错，整体系统具有良好的保密性和安全性。NetWare 4.0之后的版本提供的目录服务，可以更好地支持多服务器网络，实现了单一、全局的系统管理。

1.Netware系统的优缺点及应用

● 优点：Netware系统具有优秀的批量处理功能和安全、稳定的系统性能，且兼容DOS命令，支持丰富的应用软件，对无盘站和游戏有着较好的支持，对网络硬件要求较低。

● 缺点：Netware系统的操作大部分依靠手工命令实现，不够人性化；对硬盘识别最高只能达到1GB，无法满足TB级数据的存储。

● 应用：Netware系统适用于低档服务器，常应用在中小型企业、学校和游戏厅等。

2.Netware系统安全加固

NetWare的用户类型有网络管理员（通过设置用户权限来实现网络安全保护措施）、组管理员、网络操作员（FCONSOLE操作员、队列操作员、控制台操作员）和普通网络用户。

NetWare的四级安全保密机制包括注册安全性、用户信任者权限、最大信任者权限屏蔽、目录与文件服务。

NetWare操作系统的系统容错技术主要包括以下几种。

● 三级容错机制：第一级系统容错SFT I采用了双重目录与文件分配表，磁盘热修复与写后读验证等措施。第二级系统容错SFT II包括硬盘镜像与硬盘双工功能。第三级系统容错SFT III提供了文件服务器镜像功能。

● 事务跟踪系统（TTS）：NetWare的事务跟踪系统用来防止在写数据库记录的过程中因为系统故障而造成数据丢失。

3.1.3 UNIX

UNIX在1969年诞生于美国AT&T公司的贝尔实验室，是一个多用户、多任务的操作系统。UNIX已发展为两个重要的分支，一个分支是AT&T公司的UNIX System V，在个人计算机上主要采用该版本；另一分支是UNIX伯克利版本（BSD），主要运行于大、中型计算机上。

UNIX操作系统在结构上分为核心层和应用层。核心层用于处理硬件与提供系统服务，应用层提供用户界面。核心层把应用层与硬件分离，使应用层独立于硬件，便于移植。UNIX的核心部分集成了网络传输协议，因而UNIX操作系统本身具有通信功能。

1.UNIX系统的优缺点及应用

● 优点：UNIX系统支持大型文件系统服务、数据服务应用，功能强大、稳定性和安全性能好。

● 缺点：UNIX系统的操作主要以命令的方式进行，不容易掌握。

● 应用：UNIX适用于大型网站或大型企、事业局域网中。

2.UNIX系统安全加固

UNIX系统安全加固包括的内容很多，以下举两个例子说明。

1）关闭不必要的服务，如收发邮件服务。先关闭sendmail服务自动启动功能，使用root用户编辑/etc/rc.config.d/mailservs文件，把export SENDMAIL_SERVER=1改为export SENDMAIL_SERVER=0。然后使用ps -ef | grep sendmail命令检查进程是否已经终止了，root用户执行/sbin/init.d/sendmail stop关闭sendmail进程，执行/sbin/init.d/SnmpMaster stop关闭SNMP服务。

2）通过IP限制用户远程登录。在etc下创建hosts.allow和hosts.deny文件，用来完成主机访问权限控制。hosts.deny文件设置工作站拒绝的IP地址和服务范围。hosts.allow文件设置工作站允许的IP地址和服务范围。如果客户端的IP地址不在hosts.allow和hosts.deny文件中，则允许访问。

注意：

host.allow的优先级大于host.deny。

在/etc/hosts.deny文件中加入ALL:ALL就可以禁止所有计算机访问服务器，然后在/etc/hosts.allow文件中加入允许访问服务器的计算机，这种做法是最安全的。这样做的结果是所有的服务、访问位置如果没有被明确的允许，也就是在/etc/hosts.allow中找不到匹配的项，就是被禁止的。

3.1.4 Linux

Linux，全称GNU/Linux，是一套免费使用和自由传播的类UNIX操作系统，有数百种不同的发行版本。1991年，林纳斯·本纳第克特·托瓦兹首次发布了它的内核，它主要受到Minix和UNIX思想的启发，是一个基于POSIX和UNIX的多用户、多任务、支持多线程和多CPU的操作系统。它可以运行主要的UNIX工具软件、应用程序和网络协议，支持32位和64位硬件。Linux继承了UNIX以网络为核心的设计思想，是一个稳定的多用户网络操作系统。

1.Linux系统的优缺点及应用

● 优点：Linux系统是开源系统，受到所有开发者的共同监督，已经是非常成熟的服务器系统，并且拥有着一套完整的权限机制，安全性与稳定性都很高。

● 缺点：Linux系统的操作需要一定的学习时间。

● 应用：Linux系统适用于中、高档服务器中。

2.Linux系统安全加固

对Linux系统进行安全加固，主要策略涉及如下几点。

● 取消所有服务器的root远程SSH登录，限制su - root的用户权限，同时SSH登录端口调整，外网SSH登录全部调整。

● 调整密码过期时间和复杂度。

● 调整网络泛洪、SYN等防攻击策略参数。

● 清理服务器无效账户如lp、news等，调整系统关键目录权限。

● 优化服务器连接数参数。

● 管理日志，如记录登录认证等。