在肉鸡上建立一个隐藏的账户,以备需要的时候使用。账户隐藏技术可谓是最隐蔽的后门,一般用户很难发现系统中隐藏账户的存在,因此危害性很大,本文就对隐藏账户这种黑客常用的技术进行揭密。
在隐藏系统账户之前,我们有必要先来了解一下如何才能查看系统中已经存在的账户。在系统中可以进入“命令提示符”,控制面板的“计算机管理”,“注册表”中对存在的账户进行查看,而管理员一般只在“命令提示符”和“计算机管理”中检查是否有异常,因此如何让系统账户在这两者中隐藏将是本文的重点。
一、“命令提示符”中的阴谋
其实,制作系统隐藏账户并不是十分高深的技术,利用我们平时经常用到的“命令提示符”就可以制作一个简单的隐藏账户。
点击“开始”→“运行”,输入“CMD”运行“命令提示符”,输入“net user piao$ 123456 /add”,回车,成功后会显示“命令成功完成”。接着输入“net localgroup administrators piao$ /add”回车,这样我们就利用“命令提示符”成功得建立了一个用户名为“piao$”,密码为“123456”的简单“隐藏账户”,并且把该隐藏账户提升为了管理员权限。
我们来看看隐藏账户的建立是否成功。在“命令提示符”中输入查看系统账户的命令“net user”,回车后会显示当前系统中存在的账户。从返回的结果中我们可以看到刚才我们建立的“piao$”这个账户并不存在。接着让我们进入控制面板的“管理工具”,打开其中的“计算机”,查看其中的“本地用户和组”,在“用户”一项中,我们建立的隐藏账户“piao$”暴露无疑。
可以总结得出的结论是:这种方法只能将账户在“命令提示符”中进行隐藏,而对于“计算机管理”则无能为力。因此这种隐藏账户的方法并不是很实用,只对那些粗心的管理员有效,是一种入门级的系统账户隐藏技术。
二、在“注册表”中玩转账户隐藏
从上文中我们可以看到用命令提示符隐藏账户的方法缺点很明显,很容易暴露自己。那么有没有可以在“命令提示符”和“计算机管理”中同时隐藏账户的技术呢?答案是肯定的,而这一切只需要我们在“注册表”中进行一番小小的设置,就可以让系统账户在两者中完全蒸发。
1、峰回路转,给管理员注册表操作权限
在注册表中对系统账户的键值进行操作,需要到“HKEY_LOCAL_MACHINESAMSAM”处进行修改,但是当我们来到该处时,会发现无法展开该处所在的键值。这是因为系统默认对系统管理员给予“写入D AC”和“读取控制”权限,没有给予修改权限,因此我们没有办法对“SAM”项下的键值进行查看和修改。不过我们可以借助系统中另一个“注册表编辑器”给管理员赋予修改权限。
点击“开始”→“运行”,输入“regedt32.exe”后回车,随后会弹出另一个“注册表编辑器”,和我们平时使用的“注册表编辑器”不同的是它可以修改系统账户操作注册表时的权限(为便于理解,以下简称regedt32.exe)。在regedt32.exe中来到“HKEY_LOCAL_MACHINESAMSAM”处,点击“安全”菜单→“权限”,在弹出的“SAM的权限”编辑窗口中选中“administrators”账户,在下方的权限设置处勾选“完全控制”,完成后点击“确定”即可。然后我们切换回“注册表编辑器”,可以发现“HKEY_LOCAL_MACHINESAMSAM”下面的键值都可以展开了。
提示:上文中提到的方法只适用于Windows NT/2000系统。在Windows XP系统中,对于权限的操作可以直接在注册表中进行,方法为选中需要设置权限的项,点击右键,选择“权限”即可。
2、偷梁换柱,将隐藏账户替换为管理员
成功得到注册表操作权限后,我们就可以正式开始隐藏账户的制作了。来到注册表编辑器的“HKEY_LOCAL_MACHINESAMSAMDomainsAccountUsersNames”处,当前系统中所有存在的账户都会在这里显示,当然包括我们的隐藏账户。点击我们的隐藏账户“piao$”,在右边显示的键值中的“类型”一项显示为0x3e9,向上来到“HKEY_LOCAL_MACHINESAMSAMDomainsAccountUsers”处,可以找到“000003E9”这一项,这两者是相互对应的,隐藏账户“piao$”的所有信息都在“000003E9”这一项中。同样的,我们可以找到“administrator”账户所对应的项为“000001F4”。
将“piao$”的键值导出为piao$.reg,同时将“000003E9”和“000001F4”项的F键值分别导出为user.reg,admin.reg。用“记事本”打开admin.reg,将其中“F”值后面的内容复制下来,替换user.reg中的“F”值内容,完成后保存。接下来进入“命令提示符”,输入“net user piao$ /del”将我们建立的隐藏账户删除。最后,将piao$.reg和user.reg导入注册表,至此,隐藏账户制作完成。
3、过河拆桥,切断删除隐藏账户的途径
虽然我们的隐藏账户已经在“命令提示符”和“计算机管理”中隐藏了,但是有经验的系统管理员仍可能通过注册表编辑器删除我们的隐藏账户,那么如何才能让我们的隐藏账户坚如磐石呢?
打开“regedt32.exe”,来到“HKEY_LOCAL_MACHINESAMSAM”处,设置“SAM”项的权限,将“administrators”所拥有的权限全部取消即可。当真正的管理员想对“HKEY_LOCAL_MACHINESAMSAM”下面的项进行操作的时候将会发生错误,而且无法通过“regedt32.exe”再次赋予权限。这样没有经验的管理员即使发现了系统中的隐藏账户,也是无可奈何的。
当前位置: 操作系统/服务器>linux
本页文章导读:
▪预防黑客侵入你正在使用的Win系统(隐藏帐号)
在肉鸡上建立一个隐藏的账户,以备需要的时候使用。账户隐藏技术可谓是最隐蔽的后门,一般用户很难发现系统中隐藏账户的存在,因此危害性很大,本文就对隐藏账户这种黑客常用的技.........
▪win2003 服务器安全配置全套详解
我写这篇文章的时候心里很不踏实,总害怕说错了会误了别人的事。呵呵 下面开始说下。本文更侧重于防止ASP漏洞攻击,所以服务器防黑等方面的讲解可能略嫌少了点。 基本的服务器.........
▪刀片服务器五大误区解读
误区一:机箱、中板会成为“短板” 如今对于刀片效劳器散热、供电的指责有所减少,代之以机箱、中板成为了新的指责对象。在今年初某网站举办的CIO研讨会上,有用户指出,机箱、.........
[1]预防黑客侵入你正在使用的Win系统(隐藏帐号)
来源: 互联网 发布时间: 2013-12-24
[2]win2003 服务器安全配置全套详解
来源: 互联网 发布时间: 2013-12-24
我写这篇文章的时候心里很不踏实,总害怕说错了会误了别人的事。呵呵 下面开始说下。
本文更侧重于防止ASP漏洞攻击,所以服务器防黑等方面的讲解可能略嫌少了点。
基本的服务器安全设置
安装补丁
安装好操作系统之后,最好能在托管之前就完成补丁的安装,配置好网络后,如果是2000则确定安装上了SP4,如果是2003,则最好安装上SP1,然后点击开始→Windows Update,安装所有的关键更新。
安装杀毒软件
虽然杀毒软件有时候不能解决问题,但是杀毒软件避免了很多问题。我一直在用诺顿2004,据说2005可以杀木马,不过我没试过。还有人用瑞星,瑞星是确定可以杀木马的。更多的人说卡巴司机好,不过我没用过。
不要指望杀毒软件杀掉所有的木马,因为ASP木马的特征是可以通过一定手段来避开杀毒软件的查杀。
设置端口保护和防火墙、删除默认共享
都是服务器防黑的措施,即使你的服务器上没有IIS,这些安全措施都最好做上。这是阿江的盲区,大概知道屏蔽端口用本地安全策略,不过这方面的东西网上攻略很多,大家可以擞出来看看,晚些时候我或者会复制一些到我的网站上。
权限设置
阿江感觉这是防止ASP漏洞攻击的关键所在,优秀的权限设置可以将危害减少在一个IIS站点甚至一个虚拟目录里。我这里讲一下原理和设置思路,聪明的朋友应该看完这个就能解决问题了。
权限设置的原理
WINDOWS用户,在WINNT系统中大多数时候把权限按用户(組)来划分。在【开始→程序→管理工具→计算机管理→本地用户和组】管理系统用户和用户组。
NTFS权限设置,请记住分区的时候把所有的硬盘都分为NTFS分区,然后我们可以确定每个分区对每个用户开放的权限。【文件(夹)上右键→属性→安全】在这里管理NTFS文件(夹)权限。
IIS匿名用户,每个IIS站点或者虚拟目录,都可以设置一个匿名访问用户(现在暂且把它叫“IIS匿名用户”),当用户访问你的网站的.ASP文件的时候,这个.ASP文件所具有的权限,就是这个“IIS匿名用户”所具有的权限。
权限设置的思路
要为每个独立的要保护的个体(比如一个网站或者一个虚拟目录)创建一个系统用户,让这个站点在系统中具有惟一的可以设置权限的身份。
在IIS的【站点属性或者虚拟目录属性→目录安全性→匿名访问和验证控制→编辑→匿名访问→编辑】填写刚刚创建的那个用户名。
设置所有的分区禁止这个用户访问,而刚才这个站点的主目录对应的那个文件夹设置允许这个用户访问(要去掉继承父权限,并且要加上超管组和SYSTEM组)。
这样设置了之后,这个站点里的ASP程序就只有当前这个文件夹的权限了,从探针上看,所有的硬盘都是红叉叉。
我的设置方法
我是先创建一个用户组,以后所有的站点的用户都建在这个組里,然后设置这个组在各个分区没有权限或者完全拒绝。然后再设置各个IIS用户在各在的文件夹里的权限。
因为比较多,所以我很不想写,其实知道了上面的原理,大多数人都应该懂了,除非不知道怎么添加系统用户和組,不知道怎么设置文件夹权限,不知道IIS站点属性在那里。真的有那样的人,你也不要着急,要沉住气慢慢来,具体的方法其实自己也能摸索出来的,我就是这样。当然,如果我有空,我会写我的具体设置方法,很傲能还会配上图片。
改名或卸载不安全组件
不安全组件不惊人
我的在阿江探针1.9里加入了不安全组件检测功能(其实这是参考7i24的代码写的,只是把界面改的友好了一点,检测方法和他是基本一样的),这个功能让很多站长吃惊不小,因为他发现他的服务器支持很多不安全组件。
其实,只要做好了上面的权限设置,那么FSO、XML、strem都不再是不安全组件了,因为他们都没有跨出自己的文件夹或者站点的权限。那个欢乐时光更不用怕,有杀毒软件在还怕什么时光啊。
最危险的组件是WSH和Shell,因为它可以运行你硬盘里的EXE等程序,比如它可以运行提升程序来提升SERV-U权限甚至用SERVU来运行更高权限的系统程序。
谨慎决定是否卸载一个组件
组件是为了应用而出现的,而不是为了不安全而出现的,所有的组件都有它的用处,所以在卸载一个组件之前,你必须确认这个组件是你的网站程序不需要的,或者即使去掉也不关大体的。否则,你只能留着这个组件并在你的ASP程序本身上下工夫,防止别人进来,而不是防止别人进来后SHELL。
比如,FSO和XML是非常常用的组件之一,很多程序会用到他们。WSH组件会被一部分主机管理程序用到,也有的打包程序也会用到。
一、操作系统配置
1.安装操作系统(NTFS分区)后,装杀毒软件,我选用的是卡巴。
2.安装系统补丁。扫描漏洞全面杀毒
3.删除Windows Server 2003默认共享
首先编写如下内容的批处理文件:
复制代码 代码如下:
@echo off
net share C$ /del
net share D$ /del
net share E$ /del
net share F$ /del
net share admin$ /del
文件名为delshare.bat,放到启动项中,每次开机时会自动删除共享。
4.禁用IPC连接
打开CMD后输入如下命令即可进行连接:net use\\ip\ipc$ "password" /user:"usernqme"。我们可以通过修改注册表来禁用IPC连接。打开注册表编辑器。找到如下组建HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa中的restrictanonymous子键,将其值改为1即可禁用IPC连接。
5.删除"网络连接"里的协议和服务
在"网络连接"里,把不需要的协议和服务都删掉,这里只安装了基本的Internet协议(TCP/IP),同时在高级tcp/ip设置里--"NetBIOS"设置"禁用tcp/IP上的NetBIOS(S)"。
6.启用windows连接防火墙,只开放web服务(80端口)。
注:在2003系统里,不推荐用TCP/IP筛选里的端口过滤功能,譬如在使用FTP服务器的时候,如果仅仅只开放21端口,由于FTP协议的特殊性,在进行FTP传输的时候,由于FTP 特有的Port模式和Passive模式,在进行数据传输的时候,需要动态的打开高端口,所以在使用TCP/IP过滤的情况下,经常会出现连接上后无法列出目录和数据传输的问题。所以在2003系统上增加的windows连接防火墙能很好的解决这个问题,所以都不推荐使用网卡的TCP/IP过滤功能。
7.磁盘权限
系统盘只给 Administrators 和 SYSTEM 权限
系统盘\Documents and Settings 目录只给 Administrators 和 SYSTEM 权限;
系统盘\Documents and Settings\All Users 目录只给 Administrators 和 SYSTEM 权限;
系统盘\Documents and Settings\All Users\Application Data目录只给 Administrators 和 SYSTEM 权限;
系统盘\Windows 目录只给 Administrators 、 SYSTEM 和 users 权限;
系统盘\Windows\System32\net.exe;net1.exe;cmd.exe;command.exeftp.exe;netstat.exe;regedit.exe;at.exe;attrib.exe;cacls.exe 文件只给 Administrators 权限(如果觉得没用就删了它,比如我删了cmd.exe,command.exe,嘿嘿。);
其它盘,有安装程序运行的(我的sql server 2000 在D盘)给 Administrators 和 SYSTEM 权限,无只给 Administrators 权限。
8.本地安全策略设置
开始菜单—>管理工具—>本地安全策略
A、本地策略——>审核策略 (可选用)
审核策略更改 成功 失败
审核登录事件 成功 失败
审核对象访问 失败
审核过程跟踪 无审核
审核目录服务访问 失败
审核特权使用 失败
审核系统事件 成功 失败
审核账户登录事件 成功 失败
审核账户管理 成功 失败
B、本地策略——>用户权限分配
关闭系统:只有Administrators组、其它全部删除。
通过终端服务拒绝登陆:加入Guests、Users组
通过终端服务允许登陆:只加入Administrators组,其他全部删除
C、本地策略——>安全选项
交互式登陆:不显示上次的用户名 启用
网络访问:可匿名访问的共享 全部删除
网络访问:可匿名访问的命名管道 全部删除
**网络访问:可远程访问的注册表路径 全部删除
**网络访问:可远程访问的注册表路径和子路径 全部删除
帐户:重命名来宾帐户 重命名一个帐户
(下面一项更改可能导致sqlserver不能使用)
帐户:重命名系统管理员帐户 重命名一个帐户
二、iis配置(包括网站所在目录)
1.新建自己的网站(*注意:在应用程序设置中执行权限设为无,在需要的目录里再更改),目录不在系统盘
注:为支持asp.net,将系统盘\Inetpub\wwwroot中的aspnet_client文件夹复制到web根目录下,并给web根目录加上users权限。
2.删掉系统盘\inetpub目录
3.删除不用的映射
在"应用程序配置"里,只给必要的脚本执行权限:ASP、ASPX。
4.为网站创建系统用户
A.例如:网站为sinesafe.cn,新建用户sinesafe权限为guests。然后在web站点属性里"目录安全性"---"身份验证和访问控制"里设置匿名访问使用下列Windows 用户帐户"的用户名和密码都使用sinesafe.cn这个用户的信息。(用户名:主机名\sinesafe.cn)
B.给网站所在的磁盘目录添加用户sinesafe,只给读取和写入的权限。
5.设置应用程及子目录的执行权限
A.主应用程序目录中的"属性--应用程序设置--执行权限"设为纯脚本
B.在不需要执行asp、asp.net的子目录中,例如上传文件目录,执行权限设为无
6.应用程序池设置
我的网站使用的是默认应用程序池。设置"内存回收":这里的最大虚拟内存为:1000M,最大使用的物理内存为256M,这样的设置几乎是没限制这个站点的性能的。
回收工作进程(分钟):1440
在下列时间回收工作进程:06:00
三、sql server 2000 配置
1.密码设置
我编的程序用了sa用户,密码设置超复杂(自己记不住,保存在手机里,嘿嘿)。
2.删除危险的扩展存储过程和相关.dll。
3.Xp_cmdshell(这个肯定首当其冲,不用说了)、Xp_regaddmultistring、Xp_regdeletekey、Xp_regdeletevalue、Xp_regenumvalues、Xp_regread、Xp_regwrite、Xp_regremovemultistring
漏洞一直很多前段时间我自己的服务器就出现了一个sql的临时储存过程漏洞漏洞扩展:xp_dirtree储存过程。
事前:最近发现一个漏洞是sql服务器造成的
前几天正好没有什么事情,就用阿d的sql注入工具对自己服务器的网站进行注入,偶然发现了使用mssql的网站浸染可以利用sql注入的形式得到整个服务器上所有目录(我的服务器作了安全设置的)依然可以看见,然后在服务器上安装了一个抓包工具对sql server进行抓包发现,使用工具连接sql漏洞xp_dirtree读取目录,可获得整个服务器目录,如列出c盘目录他会把你c盘下的所有目录列出来,这样是很不安全的,目前是只可以查处目录上穿东西,大家可以设想一下,如果我随意修改一个boot.ini覆盖了c盘的boot.ini是一个什么概念,呵呵首先可以导致服务其瘫痪,无法读取系统
解决方案:删除xp_dirtree,命令是sp_dropextendedproc 'xp_dirtree'
删除了以上的那个组建您在使用阿d或者任何的sql注入工具都是白搭
在这里也给大家提供一些其他sql危险的储存过程
建议删除
[注意:所有删除sql储存过程的操作必须在mssql查询分析器里操作,下面哪些前面的是储存过程的名字后面是删除储存过程的命令]
先来列出危险的内置存储过程:
复制代码 代码如下:
xp_cmdshell sp_dropextendedproc 'xp_cmdshell'
xp_regaddmultistring sp_dropextendedproc 'xp_regaddmultistring'
xp_regdeletekey sp_dropextendedproc 'xp_regdeletekey'
xp_regdeletevalue sp_dropextendedproc 'xp_regdeletevalue'
xp_regenumkeys sp_dropextendedproc 'xp_regenumkeys'
xp_regenumvalues sp_dropextendedproc 'xp_regenumvalues'
xp_regread sp_dropextendedproc 'xp_regread'
xp_regremovemultistring sp_dropextendedproc 'xp_regremovemultistring'
xp_regwrite sp_dropextendedproc 'xp_regwrite'
ActiveX脚本:
复制代码 代码如下:
sp_OACreate sp_dropextendedproc 'sp_OACreate'
sp_OADestroy sp_dropextendedproc 'sp_OADestroy'
sp_OAMethod sp_dropextendedproc 'sp_OAMethod'
sp_OAGetProperty sp_dropextendedproc 'sp_OAGetProperty'
sp_OAGetErrorInfo sp_dropextendedproc 'sp_OAGetErrorInfo'
sp_OAStop sp_dropextendedproc 'sp_OAStop'
四、其它设置(可选用,本人可不负责)
1.任何用户密码都要复杂,不需要的用户---删。
2.防止SYN洪水攻击
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
新建DWORD值,名为SynAttackProtect,值为2
3.禁止响应ICMP路由通告报文
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\interface
新建DWORD值,名为PerformRouterDiscovery 值为0
4.防止ICMP重定向报文的攻击
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
将EnableICMPRedirects 值设为0
5.不支持IGMP协议
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
新建DWORD值,名为IGMPLevel 值为0
6.禁用DCOM:
运行中输入 Dcomcnfg.exe。 回车, 单击“控制台根节点”下的“组件服务”。 打开“计算机”子文件夹。
对于本地计算机,请以右键单击“我的电脑”,然后选择“属性”。选择“默认属性”选项卡。
清除“在这台计算机上启用分布式 COM”复选框。
7.卸载不安全组件。
[code]
regsvr32/u C:\Windows\System32\wshom.ocx
regsvr32/u C:\Windows\System32\shell32.dll 在CMD 下执行以上两个命令。
五.防止Serv-U权限提升
其实,注销了Shell组件之后,侵入者运行提升工具的可能性就很小了,但是prel等别的脚本语言也有shell能力,为防万一,还是设置一下为好。
用Ultraedit打开ServUDaemon.exe查找Ascii:LocalAdministrator,和[email=#l@$ak#.lk;0@P]#l@$ak#.lk;0@P[/email],修改成等长度的其它字符就可以了,ServUAdmin.exe也一样处理。
另外注意设置Serv-U所在的文件夹的权限,不要让IIS匿名用户有读取的权限,否则人家下走你修改过的文件,照样可以分析出你的管理员名和密码。
利用ASP漏洞攻击的常见方法及防范
一般情况下,黑客总是瞄准论坛等程序,因为这些程序都有上传功能,他们很容易的就可以上传ASP木马,即使设置了权限,木马也可以控制当前站点的所有文件了。另外,有了木马就然后用木马上传提升工具来获得更高的权限,我们关闭shell组件的目的很大程度上就是为了防止攻击者运行提升工具。
如果论坛管理员关闭了上传功能,则黑客会想办法获得超管密码,比如,如果你用动网论坛并且数据库忘记了改名,人家就可以直接下载你的数据库了,然后距离找到论坛管理员密码就不远了。
作为管理员,我们首先要检查我们的ASP程序,做好必要的设置,防止网站被黑客进入。另外就是防止攻击者使用一个被黑的网站来控制整个服务器,因为如果你的服务器上还为朋友开了站点,你可能无法确定你的朋友会把他上传的论坛做好安全设置。这就用到了前面所说的那一大堆东西,做了那些权限设置和防提升之后,黑客就算是进入了一个站点,也无法破坏这个网站以外的东西。
后记
也许有安全高手或者破坏高手看了我的文章会嘲笑或者窃喜,但我想我的经验里毕竟还是存在很多正确的地方,有千千万万的比我知道的更少的人像我刚开始完全不懂的时候那样在渴求着这样一篇文章,所以我必须写,我不管别人怎么说我,我也不怕后世会有千千万万的人对我唾骂,我一个人承担下来,我也没有娘子需要交代的……
好了今天的就先到这里,最后送各位站长一句话:最小的权限,最大的安全! 不要嫌麻烦不要疏忽大意,设置的越细心安全指数越高,我们设置密码的时候多设置一位数也许就需要黑客多话N天来破解,都是一样的道理。如果有不明白的或需要我帮助的 请联系我 我将很热心的为大家服务,谢谢大家。
本文更侧重于防止ASP漏洞攻击,所以服务器防黑等方面的讲解可能略嫌少了点。
基本的服务器安全设置
安装补丁
安装好操作系统之后,最好能在托管之前就完成补丁的安装,配置好网络后,如果是2000则确定安装上了SP4,如果是2003,则最好安装上SP1,然后点击开始→Windows Update,安装所有的关键更新。
安装杀毒软件
虽然杀毒软件有时候不能解决问题,但是杀毒软件避免了很多问题。我一直在用诺顿2004,据说2005可以杀木马,不过我没试过。还有人用瑞星,瑞星是确定可以杀木马的。更多的人说卡巴司机好,不过我没用过。
不要指望杀毒软件杀掉所有的木马,因为ASP木马的特征是可以通过一定手段来避开杀毒软件的查杀。
设置端口保护和防火墙、删除默认共享
都是服务器防黑的措施,即使你的服务器上没有IIS,这些安全措施都最好做上。这是阿江的盲区,大概知道屏蔽端口用本地安全策略,不过这方面的东西网上攻略很多,大家可以擞出来看看,晚些时候我或者会复制一些到我的网站上。
权限设置
阿江感觉这是防止ASP漏洞攻击的关键所在,优秀的权限设置可以将危害减少在一个IIS站点甚至一个虚拟目录里。我这里讲一下原理和设置思路,聪明的朋友应该看完这个就能解决问题了。
权限设置的原理
WINDOWS用户,在WINNT系统中大多数时候把权限按用户(組)来划分。在【开始→程序→管理工具→计算机管理→本地用户和组】管理系统用户和用户组。
NTFS权限设置,请记住分区的时候把所有的硬盘都分为NTFS分区,然后我们可以确定每个分区对每个用户开放的权限。【文件(夹)上右键→属性→安全】在这里管理NTFS文件(夹)权限。
IIS匿名用户,每个IIS站点或者虚拟目录,都可以设置一个匿名访问用户(现在暂且把它叫“IIS匿名用户”),当用户访问你的网站的.ASP文件的时候,这个.ASP文件所具有的权限,就是这个“IIS匿名用户”所具有的权限。
权限设置的思路
要为每个独立的要保护的个体(比如一个网站或者一个虚拟目录)创建一个系统用户,让这个站点在系统中具有惟一的可以设置权限的身份。
在IIS的【站点属性或者虚拟目录属性→目录安全性→匿名访问和验证控制→编辑→匿名访问→编辑】填写刚刚创建的那个用户名。
设置所有的分区禁止这个用户访问,而刚才这个站点的主目录对应的那个文件夹设置允许这个用户访问(要去掉继承父权限,并且要加上超管组和SYSTEM组)。
这样设置了之后,这个站点里的ASP程序就只有当前这个文件夹的权限了,从探针上看,所有的硬盘都是红叉叉。
我的设置方法
我是先创建一个用户组,以后所有的站点的用户都建在这个組里,然后设置这个组在各个分区没有权限或者完全拒绝。然后再设置各个IIS用户在各在的文件夹里的权限。
因为比较多,所以我很不想写,其实知道了上面的原理,大多数人都应该懂了,除非不知道怎么添加系统用户和組,不知道怎么设置文件夹权限,不知道IIS站点属性在那里。真的有那样的人,你也不要着急,要沉住气慢慢来,具体的方法其实自己也能摸索出来的,我就是这样。当然,如果我有空,我会写我的具体设置方法,很傲能还会配上图片。
改名或卸载不安全组件
不安全组件不惊人
我的在阿江探针1.9里加入了不安全组件检测功能(其实这是参考7i24的代码写的,只是把界面改的友好了一点,检测方法和他是基本一样的),这个功能让很多站长吃惊不小,因为他发现他的服务器支持很多不安全组件。
其实,只要做好了上面的权限设置,那么FSO、XML、strem都不再是不安全组件了,因为他们都没有跨出自己的文件夹或者站点的权限。那个欢乐时光更不用怕,有杀毒软件在还怕什么时光啊。
最危险的组件是WSH和Shell,因为它可以运行你硬盘里的EXE等程序,比如它可以运行提升程序来提升SERV-U权限甚至用SERVU来运行更高权限的系统程序。
谨慎决定是否卸载一个组件
组件是为了应用而出现的,而不是为了不安全而出现的,所有的组件都有它的用处,所以在卸载一个组件之前,你必须确认这个组件是你的网站程序不需要的,或者即使去掉也不关大体的。否则,你只能留着这个组件并在你的ASP程序本身上下工夫,防止别人进来,而不是防止别人进来后SHELL。
比如,FSO和XML是非常常用的组件之一,很多程序会用到他们。WSH组件会被一部分主机管理程序用到,也有的打包程序也会用到。
一、操作系统配置
1.安装操作系统(NTFS分区)后,装杀毒软件,我选用的是卡巴。
2.安装系统补丁。扫描漏洞全面杀毒
3.删除Windows Server 2003默认共享
首先编写如下内容的批处理文件:
复制代码 代码如下:
@echo off
net share C$ /del
net share D$ /del
net share E$ /del
net share F$ /del
net share admin$ /del
文件名为delshare.bat,放到启动项中,每次开机时会自动删除共享。
4.禁用IPC连接
打开CMD后输入如下命令即可进行连接:net use\\ip\ipc$ "password" /user:"usernqme"。我们可以通过修改注册表来禁用IPC连接。打开注册表编辑器。找到如下组建HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa中的restrictanonymous子键,将其值改为1即可禁用IPC连接。
5.删除"网络连接"里的协议和服务
在"网络连接"里,把不需要的协议和服务都删掉,这里只安装了基本的Internet协议(TCP/IP),同时在高级tcp/ip设置里--"NetBIOS"设置"禁用tcp/IP上的NetBIOS(S)"。
6.启用windows连接防火墙,只开放web服务(80端口)。
注:在2003系统里,不推荐用TCP/IP筛选里的端口过滤功能,譬如在使用FTP服务器的时候,如果仅仅只开放21端口,由于FTP协议的特殊性,在进行FTP传输的时候,由于FTP 特有的Port模式和Passive模式,在进行数据传输的时候,需要动态的打开高端口,所以在使用TCP/IP过滤的情况下,经常会出现连接上后无法列出目录和数据传输的问题。所以在2003系统上增加的windows连接防火墙能很好的解决这个问题,所以都不推荐使用网卡的TCP/IP过滤功能。
7.磁盘权限
系统盘只给 Administrators 和 SYSTEM 权限
系统盘\Documents and Settings 目录只给 Administrators 和 SYSTEM 权限;
系统盘\Documents and Settings\All Users 目录只给 Administrators 和 SYSTEM 权限;
系统盘\Documents and Settings\All Users\Application Data目录只给 Administrators 和 SYSTEM 权限;
系统盘\Windows 目录只给 Administrators 、 SYSTEM 和 users 权限;
系统盘\Windows\System32\net.exe;net1.exe;cmd.exe;command.exeftp.exe;netstat.exe;regedit.exe;at.exe;attrib.exe;cacls.exe 文件只给 Administrators 权限(如果觉得没用就删了它,比如我删了cmd.exe,command.exe,嘿嘿。);
其它盘,有安装程序运行的(我的sql server 2000 在D盘)给 Administrators 和 SYSTEM 权限,无只给 Administrators 权限。
8.本地安全策略设置
开始菜单—>管理工具—>本地安全策略
A、本地策略——>审核策略 (可选用)
审核策略更改 成功 失败
审核登录事件 成功 失败
审核对象访问 失败
审核过程跟踪 无审核
审核目录服务访问 失败
审核特权使用 失败
审核系统事件 成功 失败
审核账户登录事件 成功 失败
审核账户管理 成功 失败
B、本地策略——>用户权限分配
关闭系统:只有Administrators组、其它全部删除。
通过终端服务拒绝登陆:加入Guests、Users组
通过终端服务允许登陆:只加入Administrators组,其他全部删除
C、本地策略——>安全选项
交互式登陆:不显示上次的用户名 启用
网络访问:可匿名访问的共享 全部删除
网络访问:可匿名访问的命名管道 全部删除
**网络访问:可远程访问的注册表路径 全部删除
**网络访问:可远程访问的注册表路径和子路径 全部删除
帐户:重命名来宾帐户 重命名一个帐户
(下面一项更改可能导致sqlserver不能使用)
帐户:重命名系统管理员帐户 重命名一个帐户
二、iis配置(包括网站所在目录)
1.新建自己的网站(*注意:在应用程序设置中执行权限设为无,在需要的目录里再更改),目录不在系统盘
注:为支持asp.net,将系统盘\Inetpub\wwwroot中的aspnet_client文件夹复制到web根目录下,并给web根目录加上users权限。
2.删掉系统盘\inetpub目录
3.删除不用的映射
在"应用程序配置"里,只给必要的脚本执行权限:ASP、ASPX。
4.为网站创建系统用户
A.例如:网站为sinesafe.cn,新建用户sinesafe权限为guests。然后在web站点属性里"目录安全性"---"身份验证和访问控制"里设置匿名访问使用下列Windows 用户帐户"的用户名和密码都使用sinesafe.cn这个用户的信息。(用户名:主机名\sinesafe.cn)
B.给网站所在的磁盘目录添加用户sinesafe,只给读取和写入的权限。
5.设置应用程及子目录的执行权限
A.主应用程序目录中的"属性--应用程序设置--执行权限"设为纯脚本
B.在不需要执行asp、asp.net的子目录中,例如上传文件目录,执行权限设为无
6.应用程序池设置
我的网站使用的是默认应用程序池。设置"内存回收":这里的最大虚拟内存为:1000M,最大使用的物理内存为256M,这样的设置几乎是没限制这个站点的性能的。
回收工作进程(分钟):1440
在下列时间回收工作进程:06:00
三、sql server 2000 配置
1.密码设置
我编的程序用了sa用户,密码设置超复杂(自己记不住,保存在手机里,嘿嘿)。
2.删除危险的扩展存储过程和相关.dll。
3.Xp_cmdshell(这个肯定首当其冲,不用说了)、Xp_regaddmultistring、Xp_regdeletekey、Xp_regdeletevalue、Xp_regenumvalues、Xp_regread、Xp_regwrite、Xp_regremovemultistring
漏洞一直很多前段时间我自己的服务器就出现了一个sql的临时储存过程漏洞漏洞扩展:xp_dirtree储存过程。
事前:最近发现一个漏洞是sql服务器造成的
前几天正好没有什么事情,就用阿d的sql注入工具对自己服务器的网站进行注入,偶然发现了使用mssql的网站浸染可以利用sql注入的形式得到整个服务器上所有目录(我的服务器作了安全设置的)依然可以看见,然后在服务器上安装了一个抓包工具对sql server进行抓包发现,使用工具连接sql漏洞xp_dirtree读取目录,可获得整个服务器目录,如列出c盘目录他会把你c盘下的所有目录列出来,这样是很不安全的,目前是只可以查处目录上穿东西,大家可以设想一下,如果我随意修改一个boot.ini覆盖了c盘的boot.ini是一个什么概念,呵呵首先可以导致服务其瘫痪,无法读取系统
解决方案:删除xp_dirtree,命令是sp_dropextendedproc 'xp_dirtree'
删除了以上的那个组建您在使用阿d或者任何的sql注入工具都是白搭
在这里也给大家提供一些其他sql危险的储存过程
建议删除
[注意:所有删除sql储存过程的操作必须在mssql查询分析器里操作,下面哪些前面的是储存过程的名字后面是删除储存过程的命令]
先来列出危险的内置存储过程:
复制代码 代码如下:
xp_cmdshell sp_dropextendedproc 'xp_cmdshell'
xp_regaddmultistring sp_dropextendedproc 'xp_regaddmultistring'
xp_regdeletekey sp_dropextendedproc 'xp_regdeletekey'
xp_regdeletevalue sp_dropextendedproc 'xp_regdeletevalue'
xp_regenumkeys sp_dropextendedproc 'xp_regenumkeys'
xp_regenumvalues sp_dropextendedproc 'xp_regenumvalues'
xp_regread sp_dropextendedproc 'xp_regread'
xp_regremovemultistring sp_dropextendedproc 'xp_regremovemultistring'
xp_regwrite sp_dropextendedproc 'xp_regwrite'
ActiveX脚本:
复制代码 代码如下:
sp_OACreate sp_dropextendedproc 'sp_OACreate'
sp_OADestroy sp_dropextendedproc 'sp_OADestroy'
sp_OAMethod sp_dropextendedproc 'sp_OAMethod'
sp_OAGetProperty sp_dropextendedproc 'sp_OAGetProperty'
sp_OAGetErrorInfo sp_dropextendedproc 'sp_OAGetErrorInfo'
sp_OAStop sp_dropextendedproc 'sp_OAStop'
四、其它设置(可选用,本人可不负责)
1.任何用户密码都要复杂,不需要的用户---删。
2.防止SYN洪水攻击
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
新建DWORD值,名为SynAttackProtect,值为2
3.禁止响应ICMP路由通告报文
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\interface
新建DWORD值,名为PerformRouterDiscovery 值为0
4.防止ICMP重定向报文的攻击
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
将EnableICMPRedirects 值设为0
5.不支持IGMP协议
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
新建DWORD值,名为IGMPLevel 值为0
6.禁用DCOM:
运行中输入 Dcomcnfg.exe。 回车, 单击“控制台根节点”下的“组件服务”。 打开“计算机”子文件夹。
对于本地计算机,请以右键单击“我的电脑”,然后选择“属性”。选择“默认属性”选项卡。
清除“在这台计算机上启用分布式 COM”复选框。
7.卸载不安全组件。
[code]
regsvr32/u C:\Windows\System32\wshom.ocx
regsvr32/u C:\Windows\System32\shell32.dll 在CMD 下执行以上两个命令。
五.防止Serv-U权限提升
其实,注销了Shell组件之后,侵入者运行提升工具的可能性就很小了,但是prel等别的脚本语言也有shell能力,为防万一,还是设置一下为好。
用Ultraedit打开ServUDaemon.exe查找Ascii:LocalAdministrator,和[email=#l@$ak#.lk;0@P]#l@$ak#.lk;0@P[/email],修改成等长度的其它字符就可以了,ServUAdmin.exe也一样处理。
另外注意设置Serv-U所在的文件夹的权限,不要让IIS匿名用户有读取的权限,否则人家下走你修改过的文件,照样可以分析出你的管理员名和密码。
利用ASP漏洞攻击的常见方法及防范
一般情况下,黑客总是瞄准论坛等程序,因为这些程序都有上传功能,他们很容易的就可以上传ASP木马,即使设置了权限,木马也可以控制当前站点的所有文件了。另外,有了木马就然后用木马上传提升工具来获得更高的权限,我们关闭shell组件的目的很大程度上就是为了防止攻击者运行提升工具。
如果论坛管理员关闭了上传功能,则黑客会想办法获得超管密码,比如,如果你用动网论坛并且数据库忘记了改名,人家就可以直接下载你的数据库了,然后距离找到论坛管理员密码就不远了。
作为管理员,我们首先要检查我们的ASP程序,做好必要的设置,防止网站被黑客进入。另外就是防止攻击者使用一个被黑的网站来控制整个服务器,因为如果你的服务器上还为朋友开了站点,你可能无法确定你的朋友会把他上传的论坛做好安全设置。这就用到了前面所说的那一大堆东西,做了那些权限设置和防提升之后,黑客就算是进入了一个站点,也无法破坏这个网站以外的东西。
后记
也许有安全高手或者破坏高手看了我的文章会嘲笑或者窃喜,但我想我的经验里毕竟还是存在很多正确的地方,有千千万万的比我知道的更少的人像我刚开始完全不懂的时候那样在渴求着这样一篇文章,所以我必须写,我不管别人怎么说我,我也不怕后世会有千千万万的人对我唾骂,我一个人承担下来,我也没有娘子需要交代的……
好了今天的就先到这里,最后送各位站长一句话:最小的权限,最大的安全! 不要嫌麻烦不要疏忽大意,设置的越细心安全指数越高,我们设置密码的时候多设置一位数也许就需要黑客多话N天来破解,都是一样的道理。如果有不明白的或需要我帮助的 请联系我 我将很热心的为大家服务,谢谢大家。
[3]刀片服务器五大误区解读
来源: 互联网 发布时间: 2013-12-24
误区一:机箱、中板会成为“短板”
如今对于刀片效劳器散热、供电的指责有所减少,代之以机箱、中板成为了新的指责对象。在今年初某网站举办的CIO研讨会上,有用户指出,机箱、中板(或称背板)将成为刀片效劳器的“短板”,因为所有的效劳器刀片(Blade)和交换机全部接/插在中板上,中板一旦损坏,后果不堪设想,而机箱也存在类似的问题。这种担忧,其实很大程度上源于主观推断。
首先,机箱就一个壳子,其本身损坏的可能性很小,没有什么好担心的。真正需要关心的是刀片效劳器的中板。在中板冗余设计上,IBM和惠普方法有所不同。如图所示,这就是IBM BladeCenter刀片效劳器的中板,从图中可以看到:在通风口上下两侧各有14个信号和电源连接器,IBM BladeCenter刀片效劳器的满配就是7U14片(7U高度,14个刀片)。
惠普BladeSystem刀片效劳器的中板没有采用这种上下的冗余设计,据惠普工程师介绍,惠普的中板与效劳器刀片等接插件的连接没有任何的电器指标,他们之间的连接就是纯粹的接插于接插件之间的电器连接是通过控制器来实现的,它们是双冗余的,可以在线进行更换。惠普工程师指出,BladeSystem的中板当然也有可能损坏,但是作为纯粹的接插件,其概率非常低,这是经过实验室充分认证后的结论,其寿命可以达到几十万次。他指出,假如采用上下冗余设计,一旦一侧出现损坏,要么不进行更换,如此失去冗余保护,可靠性有所降低。假如进行更换,就只有停机,对于用户而言这是一个两难的选择。
误区二:标准缺失导致被厂商绑定
标准化的问题也是长久以来的热门话题。几大主流刀片效劳器厂商,其规格和标准各不尽相同,例如IBM提供了BladeCenter S、E、H、T、HT等5款机箱,其中主流产品是BladeCenter E,其配置7U14片;H是9U14片,而H、HT则是面向电信和高性能设计的机箱。惠普BaldeSystem c-Class系列刀片效劳器分为C3000和C7000,其中C3000面向中小企业设计,规格7U8片;C7000是10U16片。惠普C系列刀片有全高和半高的区别,有AMD和Intel刀片的区分,为双路效劳器产品,有双核和四核的区分。全高效劳器占据上下2个槽位,多为安腾或者多路效劳器,到目前为止,可以支持4路双核安腾或者4路4核的至强处理器的刀片。除此之外,惠普还提供了刀片式存储和磁带机。
不同的规格和体系,使得不同厂商的效劳器刀片不能够进行混插。从市场的整体角度来看,标准的缺失,不利于规模消费的形成,会影响到刀片效劳器消费成本。但是,对于用户而言,这并不直接影响到刀片效劳器的应用,用户不论采用哪种刀片效劳器都可以达到快速部署、绿色节能以及易治理的目的。
相关用户投资在未来得不到保护,例如用户只采购了少量的刀片效劳器,当用户业务达到一定规模时,也许是2~3年之后,用户届时将找不到与机箱相互兼容的效劳器刀片,造成浪费。其实,这也是莫须有的“罪状”。针对用户的规模,可以选用BladeCenter S或者是BaldeSystem C3000,或者干脆选用国产的刀片效劳器,这些刀片在设计上,充分考虑了中小企业的规模和用量。以BaldeSystem C3000为例,其设计是7U8片。8个刀片不是一个很大的量,对于中小企业而言,从邮件、文件共享、Web、人力资源、财务等应用就需要多台效劳器,此外,一些要害性的应用,如数据库应用需要采用全高的效劳器,加之存储、磁带机等需要,因此并不需要担心规模的问题。
误区三:虚拟连接等同于虚拟化
刀片效劳器的虚拟连接,惠普称为Virtual Connect,IBM则通过BladeCenter Open Fabric Manager软件来实现类似的功能。所谓虚拟连接是指当某一个效劳器刀片。例如A出现故障时,要用处于空闲状态的冗余的D刀片进行替换,在虚拟连接的支持下,D可以直接替换A,任何相关的网络、存储参数配置不用进行重新配置,效劳器刀片都可以做到“即插即用”,效劳器刀片与网络、存储之间的治理变得简单透明,这就是虚拟连接。
业内经常把刀片效劳器的虚拟连接与虚拟化混为一谈。需要指出是,刀片效劳器并不是在任何条件下,无条件支持虚拟连接的。只有采用惠普的网络模块(刀片效劳器用交换机),刀片效劳器才可以支持虚拟连接。假如用户选用Cisco、Brocade或Foundry的网络模块,那么,刀片效劳器不支持虚拟连接,除非这些模块也增设了相应的功能。
误区四:刀片改动用户网络结构
由于机箱中的每个效劳器刀片均通过网络模块(交换机)连接在一起,尽管这些网络模块也具有一定可选择性。但是与机架式效劳器相比,在效劳器刀片与LAN交换机之间,究竟添加了一个网络模块(交换机)层,这是否会添加系统治理的难度?此外,刀片效劳器网络模块是否会成为新的瓶颈。
相关技术工程师指出,在大多数情况下,刀片效劳器网络模块不会成为瓶颈,因为它有很多的选择,可以支持千兆以太网,也可以支持10G、FC、Infiniband等,其网络模块也具有2/3层交换机的功能。此外,对于非凡的应用,也可以实现刀片效劳器的透传。例如惠普C系列所提供的以太网直通模块(Pass Through),提供刀片效劳器的直通式LAN连接。用于配线架连接的一对一网卡,提供了无阻塞的网络连接能力。
刀片效劳器这种灵活组网能力,给用户提供了更多的选择。此外,相关扩展的问题,例如多网卡的连接应用,也可以通过相应的扩展模块,满足应用的需求。
误区五:刀片效劳器散热问题一般
在刀片效劳器的设计上,散热是需要重点考虑的问题,但是不要错误的认为:刀片效劳器会产生更多的热量,需要消耗更多的空调制冷。恰恰相反,与同等数量的1U机架效劳器相比,刀片效劳器所需要的制冷量非但不添加,反而降低了25%。
这样的结论其实也并不难理解。在采访中,相关产品经理指出,从部件来讲,刀片效劳器并没有什么非凡性,它所使用的处理器、硬盘和内存等与机架效劳器并没有什么不同,不存在所谓为了缓解散热压力,而采用笔记本电脑硬盘的问题。实际上,刀片效劳器中的Blade完全可以等同于机架式效劳器。
刀片效劳器与机架式效劳器的不同在于共享电源、风扇和机箱。在电源、风扇的数量上,刀片效劳器有所减少,因此更加节能,所产生的热量也有所减少。尽管目前不同厂商采用了不同的散热方案,但是都可以满足刀片效劳器散热的需要。另外,与机架式效劳器相比,由于刀片效劳器具有相对密闭的空间,因此其散热的效率更高。
如今对于刀片效劳器散热、供电的指责有所减少,代之以机箱、中板成为了新的指责对象。在今年初某网站举办的CIO研讨会上,有用户指出,机箱、中板(或称背板)将成为刀片效劳器的“短板”,因为所有的效劳器刀片(Blade)和交换机全部接/插在中板上,中板一旦损坏,后果不堪设想,而机箱也存在类似的问题。这种担忧,其实很大程度上源于主观推断。
首先,机箱就一个壳子,其本身损坏的可能性很小,没有什么好担心的。真正需要关心的是刀片效劳器的中板。在中板冗余设计上,IBM和惠普方法有所不同。如图所示,这就是IBM BladeCenter刀片效劳器的中板,从图中可以看到:在通风口上下两侧各有14个信号和电源连接器,IBM BladeCenter刀片效劳器的满配就是7U14片(7U高度,14个刀片)。
惠普BladeSystem刀片效劳器的中板没有采用这种上下的冗余设计,据惠普工程师介绍,惠普的中板与效劳器刀片等接插件的连接没有任何的电器指标,他们之间的连接就是纯粹的接插于接插件之间的电器连接是通过控制器来实现的,它们是双冗余的,可以在线进行更换。惠普工程师指出,BladeSystem的中板当然也有可能损坏,但是作为纯粹的接插件,其概率非常低,这是经过实验室充分认证后的结论,其寿命可以达到几十万次。他指出,假如采用上下冗余设计,一旦一侧出现损坏,要么不进行更换,如此失去冗余保护,可靠性有所降低。假如进行更换,就只有停机,对于用户而言这是一个两难的选择。
误区二:标准缺失导致被厂商绑定
标准化的问题也是长久以来的热门话题。几大主流刀片效劳器厂商,其规格和标准各不尽相同,例如IBM提供了BladeCenter S、E、H、T、HT等5款机箱,其中主流产品是BladeCenter E,其配置7U14片;H是9U14片,而H、HT则是面向电信和高性能设计的机箱。惠普BaldeSystem c-Class系列刀片效劳器分为C3000和C7000,其中C3000面向中小企业设计,规格7U8片;C7000是10U16片。惠普C系列刀片有全高和半高的区别,有AMD和Intel刀片的区分,为双路效劳器产品,有双核和四核的区分。全高效劳器占据上下2个槽位,多为安腾或者多路效劳器,到目前为止,可以支持4路双核安腾或者4路4核的至强处理器的刀片。除此之外,惠普还提供了刀片式存储和磁带机。
不同的规格和体系,使得不同厂商的效劳器刀片不能够进行混插。从市场的整体角度来看,标准的缺失,不利于规模消费的形成,会影响到刀片效劳器消费成本。但是,对于用户而言,这并不直接影响到刀片效劳器的应用,用户不论采用哪种刀片效劳器都可以达到快速部署、绿色节能以及易治理的目的。
相关用户投资在未来得不到保护,例如用户只采购了少量的刀片效劳器,当用户业务达到一定规模时,也许是2~3年之后,用户届时将找不到与机箱相互兼容的效劳器刀片,造成浪费。其实,这也是莫须有的“罪状”。针对用户的规模,可以选用BladeCenter S或者是BaldeSystem C3000,或者干脆选用国产的刀片效劳器,这些刀片在设计上,充分考虑了中小企业的规模和用量。以BaldeSystem C3000为例,其设计是7U8片。8个刀片不是一个很大的量,对于中小企业而言,从邮件、文件共享、Web、人力资源、财务等应用就需要多台效劳器,此外,一些要害性的应用,如数据库应用需要采用全高的效劳器,加之存储、磁带机等需要,因此并不需要担心规模的问题。
误区三:虚拟连接等同于虚拟化
刀片效劳器的虚拟连接,惠普称为Virtual Connect,IBM则通过BladeCenter Open Fabric Manager软件来实现类似的功能。所谓虚拟连接是指当某一个效劳器刀片。例如A出现故障时,要用处于空闲状态的冗余的D刀片进行替换,在虚拟连接的支持下,D可以直接替换A,任何相关的网络、存储参数配置不用进行重新配置,效劳器刀片都可以做到“即插即用”,效劳器刀片与网络、存储之间的治理变得简单透明,这就是虚拟连接。
业内经常把刀片效劳器的虚拟连接与虚拟化混为一谈。需要指出是,刀片效劳器并不是在任何条件下,无条件支持虚拟连接的。只有采用惠普的网络模块(刀片效劳器用交换机),刀片效劳器才可以支持虚拟连接。假如用户选用Cisco、Brocade或Foundry的网络模块,那么,刀片效劳器不支持虚拟连接,除非这些模块也增设了相应的功能。
误区四:刀片改动用户网络结构
由于机箱中的每个效劳器刀片均通过网络模块(交换机)连接在一起,尽管这些网络模块也具有一定可选择性。但是与机架式效劳器相比,在效劳器刀片与LAN交换机之间,究竟添加了一个网络模块(交换机)层,这是否会添加系统治理的难度?此外,刀片效劳器网络模块是否会成为新的瓶颈。
相关技术工程师指出,在大多数情况下,刀片效劳器网络模块不会成为瓶颈,因为它有很多的选择,可以支持千兆以太网,也可以支持10G、FC、Infiniband等,其网络模块也具有2/3层交换机的功能。此外,对于非凡的应用,也可以实现刀片效劳器的透传。例如惠普C系列所提供的以太网直通模块(Pass Through),提供刀片效劳器的直通式LAN连接。用于配线架连接的一对一网卡,提供了无阻塞的网络连接能力。
刀片效劳器这种灵活组网能力,给用户提供了更多的选择。此外,相关扩展的问题,例如多网卡的连接应用,也可以通过相应的扩展模块,满足应用的需求。
误区五:刀片效劳器散热问题一般
在刀片效劳器的设计上,散热是需要重点考虑的问题,但是不要错误的认为:刀片效劳器会产生更多的热量,需要消耗更多的空调制冷。恰恰相反,与同等数量的1U机架效劳器相比,刀片效劳器所需要的制冷量非但不添加,反而降低了25%。
这样的结论其实也并不难理解。在采访中,相关产品经理指出,从部件来讲,刀片效劳器并没有什么非凡性,它所使用的处理器、硬盘和内存等与机架效劳器并没有什么不同,不存在所谓为了缓解散热压力,而采用笔记本电脑硬盘的问题。实际上,刀片效劳器中的Blade完全可以等同于机架式效劳器。
刀片效劳器与机架式效劳器的不同在于共享电源、风扇和机箱。在电源、风扇的数量上,刀片效劳器有所减少,因此更加节能,所产生的热量也有所减少。尽管目前不同厂商采用了不同的散热方案,但是都可以满足刀片效劳器散热的需要。另外,与机架式效劳器相比,由于刀片效劳器具有相对密闭的空间,因此其散热的效率更高。
最新技术文章: