新网创想网站建设,新征程启航
为企业提供网站建设、域名注册、服务器等服务
技术在近年来获得前所未有的增长。云技术如今已被运用到银行、学校、政府以及大量的商业组织。但是云计算也并非万能的,和其他IT部署架构一样存在某些难以弥补的缺陷。例如公有云典型代表:服务器,用户数据存储在云计算基础平台的存储系统中,但敏感的信息和应用程序同样面临着网络攻击和黑客入侵的威胁。以下就是壹基比小喻要讲的服务器面临的九大安全威胁。
创新互联专注于和林格尔企业网站建设,响应式网站建设,商城系统网站开发。和林格尔网站建设公司,为和林格尔等地区提供建站服务。全流程定制网站,专业设计,全程项目跟踪,创新互联专业和态度为您提供的服务
哪些因素会对服务器安全有危害?
一、数据漏洞
云环境面临着许多和传统企业网络相同的安全威胁,但由于极大量的数据被储存在服务器上,服务器供应商则很可能成为盗取数据的目标。供应商通常会部署安全控件来保护其环境,但最终还需要企业自己来负责保护云中的数据。公司可能会面临:诉讼、犯罪指控、调查和商业损失。
二、密码和证书
数据漏洞和其他攻击通常来源于不严格的认证、较弱的口令和密钥或者证书管理。企业应当权衡集中身份的便利性和使储存地点变成攻击者首要目标的风险性。使用服务器,建议采用多种形式的认证,例如:一次性密码、手机认证和智能卡保护。
三、界面和API的入侵
IT团队使用界面和API来管理和与服务器互动,包括云的供应、管理、编制和监管。API和界面是系统中最暴露在外的一部分,因为它们通常可以通过开放的互联网进入。服务器供应商,应做好安全方面的编码检查和严格的进入检测。运用API安全成分,例如:认证、进入控制和活动监管。
四、已开发的系统的脆弱性
企业和其他企业之间共享经验、数据库和其他一些资源,形成了新的攻击对象。幸运的是,对系统脆弱性的攻击可以通过使用“基本IT过程”来减轻。尽快添加补丁——进行紧急补丁的变化控制过程保证了补救措施可以被正确记录,并被技术团队复查。容易被攻击的目标:可开发的bug和系统脆弱性。
五、账户劫持
钓鱼网站、诈骗和软件开发仍旧在肆虐,服务器又使威胁上升了新的层次,因为攻击者一旦成功**、操控业务以及篡改数据,将造成严重后果。因此所有云服务器的管理账户,甚至是服务账户,都应该形成严格监管,这样每一笔交易都可以追踪到一个所有者。关键点在于保护账户绑定的安全认证不被窃取。有效的攻击载体:钓鱼网站、诈骗、软件开发。
六、居心叵测的内部人员
内部人员的威胁来自诸多方面:现任或前员工、系统管理者、承包商或者是商业伙伴。恶意的来源十分广泛,包括窃取数据和报复。单一的依靠服务器供应商来保证安全的系统,例如加密,是最为危险的。有效的日志、监管和审查管理者的活动十分重要。企业必须最小化暴露在外的访问:加密过程和密钥、最小化访问。
七、APT病毒
APT通过渗透服务器中的系统来建立立足点,然后在很长的一段时间内悄悄地窃取数据和知识产权。IT部门必须及时了解最新的高级攻击,针对服务器部署相关保护策略(ID:ydotpub)。此外,经常地强化通知程序来警示用户,可以减少被APT的迷惑使之进入。进入的常见方式:鱼叉式网络钓鱼、直接攻击、USB驱动。
八、永久性的数据丢失
关于供应商出错导致的永久性数据丢失的报告已经鲜少出现。但居心叵测的黑客仍会采用永久删除云数据的方式来伤害企业和云数据中心。遵循政策中通常规定了企必须保留多久的审计记录及其他文件。丢失这些数据会导致严重的监管后果。建议云服务器供应商分散数据和应用程序来加强保护:每日备份、线下储存。
九、共享引发潜在危机
共享技术的脆弱性为服务器带来了很大的威胁。服务器供应商共享基础设施、平台以及应用程序,如果脆弱性出现在任何一层内,就会影响所有。如果一个整体的部分被损坏——例如管理程序、共享的平台部分或者应用程序——就会将整个环境暴露在潜在的威胁和漏洞下
AIX 全名为(Advanced Interactive Executive),它是IBM 公司的Unix操作系统,
整个系统的设计从网络、主机硬件系统,到操作系统完全遵守开放系统的原则。
下面对AIX 作以介绍。
RS/6000 采用IBM 的UNIX操作系统-AIX作为其操作系统。这是一
个目前操作系统界最成功,应用领域最广,最开放的第二代的UNIX系
统。它特别适合于做关键数据处理(CRITICAL)。
AIX 包含了许多IBM 大型机传统受欢迎的特征,如系统完整性,系统可管理
性和系统可用性。
在 AIX 操作系统上,有许多的数据库和开发工具,用户除了选用已有的应用
软件外,还可以根据各自的需要进行开发。
此外,在AIX 之上,有一组功能强,使用方便的系统管理工具。对于异种平台
互存,互操作有很成熟的解决方案。
由于该 UNIX 的先进的内核技术和最好的开放性,因此,虽然RS/6000
从宣布到今天只有短短的5 年多的时间,它已在各行各业有了广泛的运用,
并在1993和1994年连续二年在MIDRANGE商用 UNIX 领域处于第一位。
RISC SYSTEM/6000的操作系统是AIX ,它是性能卓越的、开放的
UNIX,汇集了多年来计算机界在UNIX上的研究成果,以IBM 在计算机
体系结构、操作系统方面40多年极其丰富的经验。最大限度的使用RISC
技术,安装了象AIX 这样的具备工业界实力的UNIX操作系统。
它既可连接SAA 体系结构,又能与非IBM 系统的网络相连,因此,可以
和多数专业银行现有的系统实现互连,这对今后业务系统拓展将带来极大的
灵活性,并降低投资。
AIX 遵循一系列的国际标准:
* IEEE POSIX1004.1-1990
* X/OPEN 移植指南ISSUE3的基本级(XPG3)
* AES/OS REVISION A (OSF/1 LEVEL 2 资格)
* FIPS 151-1
* AIX的编译器: XLC、C++(可选)、FORTRAN(可选)、PASCAL(可选)、COBOL(可选)
* ADA 的编译器已达到XPG3“成员”级的认可。
* AIX 支持多用户、多任务。
AIX有一些其它特性包括:
AIX 提供了3 种SHELL :SYSTEM V的KORN、BOURNE SHELL和4.3BSDC
SHELL作为可选择的UNIX系统界面;
安全设施满足TCB (Trusted Computing Base)的C2级;
实时处理能力,这对于“面向交易”的应用至关重要(如零售业
和银行等),它使RS/6000 获得极高的响应和吞吐量;
虚拟存储管理,当需要时,可将一些不常用的模块转送至外存,
提高内存的可利用性。
先进的文件系统,使得系统管理更加有效,并提高了数据可靠性
以及完整性。
能兼容Dos 应用程序和数据。
InfoExplorer,快速信息超文本索引系统- 不仅包括文字,而且
对包含声音、图像的索引系统,这是个联机的文件接口。包括全部的
超文本的索引和查找,以及面向任务和坐标的多重导引和索引系统。
这个文字及图形索引系统以一个灵活的、基于任务的方式去使用详细
资料及培训资料。
高级系统管理工具(SMIT,System Management Interface Tool)。
提供一级菜单驱动程序,诸如完成软件的安装与设置、设备的设置及
管理、问题的测定、存贮管理等。可以自动地进行I/O 设备设置,
ASCII 终端也可充当系统控制台。在LAN 上可以进行远程系统的安装。
系统工作负载
系统工作负载的完整准确的定义对于预测或理解它的性能是很关键的。在衡量系统性能时,工作负载的不同可能会比 CPU 时钟速度或随机访问存储器(RAM)大小不同带来更多的变化。工作负载的定义不仅必须包含向系统发送的请求的类型和速率,还要包含将要执行的确切软件包和内部应用程序。
包括系统将在后台处理的工作也很重要。例如,如果一个系统包含通过 NFS 加载且由其它系统频繁访问的文件系统,那么处理那些访问很可能是总体工作负载中非常重要的一部分,即使该系统不是正式的服务器也是如此。
已进行标准化从而允许在不同系统之间进行比较的工作负载称为基准程序。但是,很少有实际的工作负载能完全符合基准程序的精确算法和环境。即使是那些最初从实际的应用程序发展而来的行业标准基准程序也已经过简化和均匀化,从而使它们可移植到大量的硬件平台上。使用行业标准基准程序唯一有效的方法是减小将接受严肃评估的候选系统的范围。因此,在尝试理解系统的工作负载和性能时不应该只依赖基准测试结果。
可以将工作负载分为以下类别:
多用户
由多个用户通过各自的终端提交的工作组成的工作负载。通常,这种工作负载的性能目标有两种可能,即在保留指定的最坏情况响应时间条件下最大化系统吞吐量,或者对于固定不变的工作负载获得尽可能快的响应时间。
服务器
由来源于其它系统的请求组成的工作负载。例如,文件服务器的工作负载主要是磁盘读写请求。它是多用户工作负载(加上 NFS 或其它 I/O 活动)的磁盘 I/O 部分,所以适用同样的目标,即在给定的相应时间限制下最大化吞吐量。其它的服务器工作负载由诸如数学计算密集的程序、数据库事务、打印机作业之类的项组成。
工作站
由单独的用户通过键盘提交工作和在该系统的显示器上接收结果组成的工作负载。通常这种工作负载的最高优先级性能目标是使用户请求的响应时间最短。
性能目标
在定义了系统必须处理的工作负载后,可以选择性能标准并根据这些标准设定性能目标。计算机系统的总体性能标准是响应时间和吞吐量。
响应时间是提交请求和返回该请求的响应之间使用的时间。示例包括:
数据库查询花费的时间
将字符回显到终端上花费的时间
访问 Web 页面花费的时间
吞吐量是对单位时间内完成的工作量的量度。示例包括:
每分钟的数据库事务
每秒传送的文件千字节数
每秒读或写的文件千字节数
每分钟的 Web 服务器命中数
这些度量之间的关系很复杂。有时可能以响应时间为代价而得到较高的吞吐量,而有时候又要以吞吐量为代价得到较好的响应时间。在其它情况下,一个单独的更改可能对两者都有提高。可接受的性能基于合理的吞吐量与合理的响应时间相结合。
在规划或调谐任何系统中,当处理特定的工作负载时一定要保证对响应时间和吞吐量都有明确的目标。否则,有可能存在一种风险,那就是您花费了分析时间和物力改善的仅仅是系统性能中一个次要的方面。
程序执行模型
为了清楚地检查工作负载的性能特征,需要有一个动态而非静态的程序执行模型,如下图所示。
图 1. 程序执行层次结构. 该图形以一个三角形为基础。左边代表和右边适当的操作系统实体匹配的硬件实体。程序必须从存储在磁盘上的最低级别开始,到最高级别的处理器运行程序指令。例如,从底部到顶部,磁盘硬件实体容纳可执行程序;实内存容纳等待的操作系统线程和中断处理程序;转换后备缓冲区容纳可分派的结程;高速缓存中包含当前分派的线程和处理器流水线;而寄存器中包含当前的指令。
程序为了运行必须沿着硬件和操作系统层次结构并行向上前进。硬件层次结构中的每个元素都比它下面的元素稀少和昂贵。不仅程序不得不为了每个资源和其它程序竞争,而且从一个级别过渡到下一级别也要花时间。为了理解程序执行动态,需要对层次结构中每一级别有个基本的了解。
硬件层次结构
通常,从一个硬件级别移动到另一级别所需要的时间主要由较低级别的等待时间(从发出请求到接受到第一批数据的时间)组成。
固定磁盘
对于一个在单机系统中运行的程序而言,最慢的操作是从磁盘上取得代码或数据,这是因为有下列原因:
必须引导磁盘控制器直接访问指定的块(排队延迟)。
磁盘臂必须寻道以找到正确的柱面(寻道等待时间)。
读/写磁头必须等候直到正确的块旋转到它们下面(旋转等待时间)。
数据必须传送到控制器(传送时间)然后传递到应用程序中(中断处理时间)。
除了程序中显式的读或写请求以外,还有许多原因导致磁盘操作缓慢。频繁的系统调谐活动证明是不必要地跟踪了磁盘 I/O。
实内存
实内存通常称为随机存取存储器或 RAM,它比磁盘速度快,但每个字节的开销非常昂贵。操作系统尽量只把当前使用的代码和数据保存在 RAM 中,而把任何额外的内容存储在磁盘上,或者决不首先把它们带入 RAM 中。
然而,RAM 的速度不一定比处理器快。通常在硬件意识到 RAM 访问需求与处理器可使用数据或指令的时间之间,会出现许多处理器周期的 RAM 等待时间。
如果要访问存储到磁盘上(或者尚未调进)的某一虚拟内存页,则会产生一个缺页故障,并且程序的执行暂挂直到该页从磁盘读取。
转换后备缓冲区(TLB)
使程序员不会受限于系统的物理局限性的方法是实现虚拟内存。程序员在设计和编写程序时认为内存非常大,系统将负责将程序中指令和数据的虚拟地址转换成需要用来从 RAM 取得的指令和数据的实际地址。因为这个地址转换过程可能很费时,系统将最近访问过的虚拟内存页的实际地址保存在一个叫转换后备缓冲区(TLB)的高速缓存中。
只要运行中的程序继续访问程序和数据页中的一小部分,则完整的从虚拟到实际页地址的转换过程就不需要在每次 RAM 访问的时候都重做一次。当程序试图访问的虚拟内存页没有 TLB 入口(即 TLB 未命中)时,则需要大量的处理器周期(即 TLB 未命中等待时间)来进行地址转换。
高速缓存
为了将程序必须经历的 RAM 等待时间减到最小,系统为指令和数据组织了高速缓存。如果所需的指令和数据已在高速缓存中,则产生高速缓存命中,处理器就可在下一个周期立刻使用该指令或数据。否则产生高速缓存未命中,伴随有 RAM 等待时间。
在某些系统中,有两到三级高速缓存,通常称它们为 L1、L2 和 L3。如果一个特殊的存储器引用导致 L1 未命中,则检查 L2。如果 L2 产生未命中,则引用转至下一个级别,要么是 L3(如果存在),要么是 RAM。
高速缓存的大小和结构根据型号的不同而有不同,但是有效使用它们的原理是相同的。
流水线和寄存器
流水线型超标量体系结构使得在某些情况下可以同时处理多个指令。大批的通用寄存器和浮点寄存器使得可以将相当多的程序数据保存在寄存器中,而不需要频繁存储和重新装入。
可以设计优化编译器最大限度地利用这些能力。当生成产品程序时,无论程序有多小编译器的优化函数都应该能使用。Optimization and Tuning Guide for XL Fortran, XL C and XL C++ 中描述了如何将程序调谐到最大性能。
软件层次结构
程序为了运行还必须逐步执行软件层次结构中的一系列步骤。
可执行程序
当请求运行某个程序时,操作系统执行一些操作以将磁盘上的可执行程序转换成运行中的程序。首先,必须扫描当前 PATH 环境变量中的目录以查找程序的正确副本。然后,系统装入程序(不要和 ld 命令混淆,该命令是个绑定程序)必须解析出从程序到共享库的任何外部引用。
为了表示用户的请求,操作系统将创建一个进程或一组资源(例如专用虚拟地址段),任何运行中的程序都需要该进程或资源。
操作系统也会在该进程中自动创建一个单独的线程。线程是一个单独程序实例的当前执行状态。在 AIX 中,对处理器和其它资源的访问是根据线程来分配而不是根据进程分配的。应用程序可在一个进程中创建多个线程。这些线程共享由运行它们的进程所拥有的资源。
最后,系统转移到程序的入口点。如果包含入口点的程序页还不在内存中(可能因为程序最近才编译、执行和复制),则由它引起的缺页故障中断将该页从它的后备存储器中读取出来。
中断处理程序
通知操作系统发生了外部事件的机制是中断当前运行线程并将控制转移到中断处理程序。在中断处理程序可以运行之前,必须保存足够的硬件状态以保证在中断处理完成后系统能恢复线程的上下文。新调用的中断处理程序将经历在硬件层次结构中上移带来的所有延迟(除了页面故障)。如果该中断处理程序最近没有运行过(或者中间程序很节约时间),那么它的任何代码或数据不太可能保留在 TLB 或高速缓存中。
当再次调度已中断的线程时,它的执行上下文(如寄存器内容)逻辑上将得到恢复,以便它可以正确运行。然而,TLB 和高速缓存的内容必须根据程序的后继请求重新构造。因此,作为中断的结果,中断处理程序和被中断的线程都可能遇到大量的高速缓存未命中和 TLB 未命中延迟。
等待线程
无论何时只要执行的程序发出不能立刻满足的请求,例如同步 I/O 操作(显式的或缺页故障的结果),该线程就会处于等待状态,直到请求完成为止。除了请求本身所需的时间以外,通常这还会导致另外一些 TLB 和高速缓存的延迟时间。
可分派线程
当某个线程可分派但不在运行时,它不能完成任何有用的事情。更糟的是,正运行的其它线程可能导致重新使用该线程的高速缓存线路并将实内存页收回,从而引起最终分派时出现更多的延迟。
当前已分派的线程
调度程序选择对使用处理器有强烈要求的线程。在『CPU 调度程序性能概述』中讨论了影响该项选择需要考虑的事项。当分派线程后,处理器的逻辑状态恢复成线程中断时有效的状态。
当前的机器指令
如果未出现 TLB 或高速缓存未命中的情况,绝大多数机器指令都能在单个处理器周期内执行。相比之下,如果程序迅速转换到该程序的不同区域且访问大量不同区域中的数据,就会产生较高的 TLB 和高速缓存未命中率,执行每条指令使用的平均处理器周期数(CPI)可能大于 1。这种程序被认为有较差的局域性引用能力。它也许在使用必需的最少指令数来做这个工作,但是要消耗大量不必要的周期数。部分是因为指令数和周期数之间相关性较弱,检查程序列表来计算路径长度不会再直接产生一个时间值。由于较短的路径通常比较长的路径快,所以速率根据路径长度率的不同而明显不同。
编译器用完善的方法重新安排代码从而将程序执行所需的周期数降到最小。追求最佳性能的程序员必须首先致力于确保编译器具有有效优化代码所需的全部信息,而不是试图事后批评编译器的优化技术(请参阅『预处理器和编译器的有效使用』)。优化有效性的实际衡量标准是可信工作负载的性能。
系统调谐
在有效实现应用程序后,系统总体性能的进一步提高就成了系统调谐考虑的一个问题。系统级调谐包含的主要组件有:
通信 I/O
取决于工作负载的类型与通信链路的类型,可能需要调谐以下的一个或多个通信设备驱动程序:TCP/IP 或 NFS。
固定磁盘
逻辑卷管理器(LVM)控制文件系统的位置和磁盘上调页空间,这可能会极大地影响系统经历的寻道等待时间。磁盘设备驱动程序控制执行 I/O 请求所遵从的顺序。
实内存
虚拟内存管理器(VMM)控制空闲实内存帧的池,并决定何时从何处取用帧来补充该池。
运行线程
调度程序确定接下来由哪个可调度实体接收控制权。在 AIX 中,可调度实体是线程。请参阅『线程支持』。
性能调谐过程介绍
性能调谐主要是资源管理问题和正确的系统参数设置。调谐工作负载和系统以有效利用资源由下列步骤组成:
识别系统中的工作负载
设置目标:
确定如何评测结果
量化目标和区分目标的优先级
识别限制系统性能的关键资源
最小化工作负载的关键资源要求:
如果可选择的话,使用最适当的资源
减少个别程序或系统函数对关键资源的要求
结构化资源的并行使用
修改资源的分配以反映优先级
更改个别程序的优先级或资源限制
更改系统资源管理参数的设置
重复步骤 3 到步骤 5 直到满足目标(或者资源饱和)
如果必要的话,使用其它资源
在系统性能管理的每个阶段都有相应的工具(参阅附录 A 『监视和调谐命令和子例程』)。这些工具有些可从 IBM 得到;另一些是第三方产品。下图说明在一个简单的 LAN 环境中性能管理的各阶段。
图 2. 性能阶段. 该图用五个加权的圆圈说明对系统性能调谐的各步骤:规划、安装、监视、调谐和扩展。每个圆圈代表系统处于不同的性能状态:空闲、不均衡、均衡和过载。实质上就是扩展一个过载的系统、调谐系统直到它是均衡的、监视不均衡的系统并且在需要扩展时安装更多的资源。
识别工作负载
系统执行的所有工作都必须能够识别。特别是在 LAN 连接的系统中,通过系统的用户之间仅有的非正式协议,可以轻松地开发出一组复杂的交叉安装的文件系统。这些文件系统必须被识别出来并作为任何调谐活动的一部分进行考虑。
对于多用户工作负载,分析员必须量化一般情况和高峰期的请求率。确定用户实际与终端交互时间的实际比例也是很重要的。
该识别阶段中的一个要素是决定必须对生产系统进行评估和调谐活动,还是在另一系统上(或“切换”)用实际工作负载的模拟型式来完成评估和调谐活动。分析员必须针对非生产环境的灵活性权衡来自于生产环境结果的较大可靠性,分析员可在非生产环境中进行试验,当然试验所冒的风险是性能下降或更糟。
设置目标的重要性
虽然可以根据可测数量设置目标,但实际希望的结果往往带有主观性,比如令人满意的响应时间。进一步讲,分析员必须抵挡住调谐可测量的东西而不是对他而言是重要东西的诱惑。如果没有系统提供的评估能符合所要求的改进,那么就必须对该评估进行设计。
量化目标最有价值的方面不是选择达到的数字,而是对(通常)多个目标的相对重要性进行公开判定。如果这些优先级没有事先设定且不是每个相关的人都理解的话,分析员在没有进行频繁咨询之前不能作出任何折衷的决定。分析员还容易对用户的反应或管理性能中一些已经被忽略的方面而感到吃惊。如果系统的支持和使用跨过了组织的边界,您可能需要供应商和用户之间的书面服务级协议,可确保对性能目标和优先级有一个清楚而共同的理解。
识别关键资源
通常,给定工作负载的性能可由一两种关键系统资源的可用性和速度决定。分析员必须正确识别出那些资源,否则会冒险陷入无休止的尝试出错操作。
系统具有物理资源和逻辑资源。关键的物理资源通常比较容易识别,因为较多的系统性能工具可用来评估物理资源的利用率。通常最影响性能的物理资源如下:
CPU 周期
内存
I/O 总线
不同的适配器
磁盘臂
磁盘空间
网络访问
逻辑资源不太容易识别。逻辑资源通常是对物理资源进行分区的编程抽象。进行分区的目的是共享和管理物理资源。
构建于其上的物理资源和逻辑资源的一些示例如下:
CPU
处理器时间片
内存
页面帧
堆栈
缓冲区
队列
表
锁和信号量
磁盘空间
逻辑卷
文件系统
文件
分区
网络访问
会话
信息包
通道
了解逻辑资源和物理资源是很重要的。因为缺少逻辑资源线程可能阻塞,就像因为缺少物理资源而阻塞一样,扩展下层物理资源未必能保证创建附加的逻辑资源。例如,考虑使用 NFS 块 I/O 守护程序 biod。客户机上的一个 biod 守护程序要求处理每个暂挂的 NFS 远程 I/O 请求。因此,biod 守护程序的数量限制了能同时运行的 NFS I/O 操作的数量。当缺少 biod 守护程序时,系统检测会指示 CPU 和通信链路只使用了很少一部分。您可能有系统未充分利用(并且很慢)的假象,事实上这时是因为缺少 biod 守护程序从而限制了其余的资源。biod 守护程序使用处理器周期和内存,但您不能简单地通过添加实内存或将它转移到一个更快的 CPU 上来修正这个问题。解决方案是创建更多的逻辑资源(biod 守护程序)。
在应用程序开发过程中可能不经意间创建逻辑资源和瓶颈。传递数据或控制设备的方法可以有效地创建一个逻辑资源。当偶然创建这样的资源时,通常没有工具可监视它们的使用,也没有接口控制它们的分配。它们的存在可能不会引起重视,直到某个特定性能问题出现时就会突出它们的重要性。
最小化关键资源要示
下面讨论在三个级别上考虑最小化工作负载的关键资源要求。
使用适当的资源
决定在一个资源上使用另一个资源时应该理智地考虑并且头脑中要有明确的目标。在应用程序开发过程中有一个选择资源的示例,即通过增加内存消耗来减少 CPU 的消耗来达到一个平衡。用于演示资源选择的公共的系统配置决策为:是将文件放置在单独的本地工作站上,还是放置在远程服务器上。
减少关键资源的要求
对于本地开发的应用程序,可用多种方法检查程序以便其更有效地执行相同的功能或除去不需要的功能。在系统管理级别上,争用关键资源的低优先级工作负载可以移动到其它系统中、在其它时间运行或由“工作负载管理器”控制。
结构化资源的并行使用
因为工作负载需要运行多个系统资源,从而可以利用这样的事实,即资源是独立的且可以并行使用。例如,操作系统预读算法检测到程序在顺序访问文件的事实,因此它调度并行执行的其它顺序读取操作,同时应用程序还处理先前的数据。并行也用于系统管理。例如,如果某个应用程序同时访问两个或多个文件且如果同时访问的这些文件存放在不同的驱动器上,那么添加一个额外的磁盘驱动器可能会提高磁盘 I/O 的速率。
资源分配优先级
操作系统提供了一些方法来区分活动的优先级。有些在系统级别上设置,比如磁盘调步。其它的例如进程优先级可由单个用户设置以反映连接到特定任务上的重要性。
重复调谐步骤
性能分析的一个公认的真理是接下来总有瓶颈出现。减少某个资源的使用意味着另一资源限制了吞吐量或响应时间。例如,假设我们的系统中有下列的利用率级别:
CPU:90% 磁盘:70% 内存:60%
这个工作负载是 CPU 受限的。如果成功的调谐工作负载使得 CPU 负载从 90% 降到 45%,则可望在性能上有两倍的改善。不幸的是现在的工作负载是 I/O 受限的,它有下列的近似利用率:
CPU:45% 磁盘:90% 内存:60%
改善后的 CPU 利用率允许程序立刻提交磁盘请求,但接下来我们会受到由磁盘驱动器的容量施加的限制。性能改善也许是 30% 而不是预期的 100%。
总是存在一个新的关键资源。重要的问题是使用手边的资源是否已经满足性能目标。
注意: 用 vmtune、schedtune 和其它调谐命令产生的不正当系统调谐可能导致意外的系统行为,例如降低系统或应用程序的性能或系统暂停。更改仅应在性能分析识别出瓶颈时才适用。
注:
对于性能相关的调谐设置,不存在什么一般建议。
应用额外的资源
在前述所有的方法都用尽后如果系统性能仍不能满足它的目标,则必须增强或扩展关键资源。如果关键资源是逻辑资源且下层物理资源足够,则无需额外代价就可以扩展逻辑资源。如果关键资源是物理资源,分析员必须研究一些额外的问题:
必须增强或扩展关键资源到什么程度才可以终止瓶颈?
系统性能会满足它的目标吗?或另外的资源会首先饱和吗?
如果有一串关键资源的话,增强或扩展所有这些资源或与另一系统划分当前工作负载是否更节省成本呢?
性能基准
当试图比较不同环境中给定软件的性能时,常会遇到许多可能的错误,一些是技术上的,一些是概念上的。本节包含主要的提示信息。本书其它各节讨论评测过去和特定处理时间的不同方法。
评测处理系统调用需要花费的时间(挂钟)时,需要获取一个由下列内容组成的数字:
执行正运行服务的指令所需要的确切时间
处理器等待内存中的指令或数据时延迟的不同时间(也就是说,高速缓存和 TLB 不命中的代价)
在调用开头和结束访问时钟所需要的时间
由周期性事件如系统定时器中断所消耗的时间
由或多或少的随机事件消耗的时间,如 I/O
为了避免报告一个不精确的数字,常常要求多次评测工作负载。因为所有的外部的因素都会增加处理时间,典型的评估集有一个曲线的形式
“金无足赤,人无完人”任何事物都没有十全十美的,微软Windows 2003也是如此,照样存在着系统漏洞、存在着不少安全隐患.不管是你用计算机欣赏音乐、上网冲浪、运行游戏,还是编写文档都不可避免的面临着各种病毒的威胁,如何让Windows Server 2003更加安全,成为广大用户十分关注的问题。 下面让我们来讨论如何让Windows Server 2003更加安全。
理解你的角色
理解服务器角色绝对是安全进程中不可或缺的一步。Windows Server可以被配置为多种角色,Windows Server 2003 可以作为域控制器、成员服务器、基础设施服务器、文件服务器、打印服务器、IIS服务器、IAS服务器、终端服务器等等。一个服务器甚至可以被配置为上述角色的组合。
现在的问题是每种服务器角色都有相应的安全需求。例如,如果你的服务器将作为IIS服务器,那么你将需要开启IIS服务。然而,如果服务器将作为独立的文件或者打印服务器,启用IIS服务则会带来巨大的安全隐患。
我之所以在这里谈到这个的原因是我不能给你一套在每种情况下都适用的步骤。服务器的安全应该随着服务器角色和服务器环境的改变而改变。
因为有很多强化服务器的方法,所以我将以配置一个简单但安全的文件服务器为例来论述配置服务器安全的可行性步骤。我将努力指出当服务器角色改变时你将要做的。请谅解这并不是一个涵盖每种角色服务器的完全指南。
物理安全
为了实现真正意义上的安全,你的服务器必须被放置在一个安全的位置。通常地,这意味着将将服务器放置在上了锁的门后。物理安全是相当重要的,因为现有的许多管理和灾难恢复工具同样也可以被黑客利用。任何拥有这样工具的人都能在物理接入到服务器的时候攻击服务器。唯一能够避免这种攻击的方法是将服务器放置在安全的地点。对于任何角色的Windows Server 2003,这都是必要的。
创建基线
除了建立良好的物理安全以外,我能给你的最佳建议是,在配置一系列Windows Server 2003的时候,应该确定你的安全需求策略,并立即部署和执行这些策略 。
实现这一目的最好的方法是创建一个安全基线(security baseline)。安全基线是文档和公认安全设置的清单。在大多数情况下,你的基线会随着服务器角色的不同而产生区别。因此你最好创建几个不同的基线,以便将它们应用到不同类型的服务器上。例如,你可以为文件服务器制定一个基线,为域控制器制定另一个基线,并为IAS服务器制定一个和前两者都不同的基线。
windows 2003包含一个叫"安全配置与分析"的工具。这个工具让你可以将服务器的当前安全策略与模板文件中的基线安全策略相比较。你可以自行创建这些模板或是使用内建的安全模板。
安全模板是一系列基于文本的INF文件,被保存在%SYSTEMROOT%SECURITY|TEMPLATES 文件夹下。检查或更改这些个体模板最简单的方法是使用管理控制台(MMC)。
要打开这个控制 台,在RUN提示下输入MMC命令,在控制台加载后,选择添加/删除管理单元属性命令,Windows就会显示添加/删除管理单元列表。点击"添加"按钮,你将会看到所有可用管理单元的列表。选择安全模板管理单元,接着依次点击添加,关闭和确认按钮。
在安全模板管理单元加载后,你就可以察看每一个安全模板了。在遍历控制台树的时候,你会发现每个模板都模仿组策略的结构。模板名反映出每个模板的用途。例如,HISECDC模板就是一个高安全性的域控制器模板。
如果你正在安全配置一个文件服务器,我建议你从SECUREWS模板开始。在审查所有的模板设置时,你会发现尽管模板能被用来让服务器更加安全,但是不一定能满足你的需求。某些安全设置可能过于严格或过于松散。我建议你修改现有的设置,或是创建一个全新的策略。通过在控制台中右击C:WINDOWSSecurityTemplates文件夹并在目标菜单中选择新建模板命令,你就可以轻轻松松地创建一个新的模板。
在创建了符合需求的模板后,回到添加/删除管理单元属性面板,并添加一个安全配置与分析的管理单元。在这个管理单元加载后,右击"安全配置与分析"容器,接着在结果菜单中选择"打开数据库"命令,点击"打开"按钮,你可以使用你提供的名称来创建必要的数据库。
接下来,右击"安全配置与分析"容器并在快捷菜单中选择"导入模板"命令。你将会看到所有可用模板的列表。选择包含你安全策略设置的模板并点击打开。在模板被导入后,再次右击"安全配置与分析"容器并在快捷菜单中选择"现在就分析计算机"命令。Windows将会提示你写入错误日志的.位置,键入文件路径并点击"确定"。
在这样的情况下,Windows将比较服务器现有安全设置和模板文件里的设置。你可以通过"安全配置与分析控制台"看到比较结果。每一条组策略设置显示现有的设置和模板设置。
在你可以检查差异列表的时候,就是执行基于模板安全策略的时候了。右击"安全配置与分析"容器并从快捷菜单中选择"现在就配置计算机"命令。这一工具将会立即修改你计算机的安全策略,从而匹配模板策略。
组策略实际上是层次化的。组策略可以被应用到本地计算机级别、站点级别、域级别和OU级别。当你实现基于模板的安全之时,你正在在修改计算机级别的组策略。其他的组策略不会受到直接影响,尽管最终策略可能会反映变化,由于计算机策略设置被更高级别的策略所继承。
修改内建的用户账号
多年以来,微软一直在强调最好重命名Administrator账号并禁用Guest账号,从而实现更高的安全。在Windows Server 2003中,Guest 账号是缺省禁用的,但是重命名Administrator账号仍然是必要的,因为黑客往往会从Administrator账号入手开始进攻。
有很多工具通过检查账号的SID来寻找账号的真实名称。不幸的是,你不能改变用户的SID,也就是说基本上没有防止这种工具来检测Administrator账号真实名称的办法。即便如此,我还是鼓励每个人重命名Administrator 账号并修改账号的描述信息,有两个原因:
首先,诳椭械男率挚赡懿恢?勒饫喙ぞ叩拇嬖诨蛘卟换崾褂盟?恰F浯危?孛?鸄dministrator账号为一个独特的名称让你能更方便的监控黑客对此账号的进攻。
另一个技巧适用于成员服务器。成员服务器有他们自己的内建本地管理员账号,完全独立于域中的管理 员账号。你可以配置每个成员服务器使用不同的用户名和密码。如果某人猜测出你的本地用户名和密码,你肯定不希望他用相同的账号侵犯其他的服务器。当然,如果你拥有良好的物理安全,谁也不能使用本地账号取得你服务器的权限。
服务账号
Windows Server 2003在某种程度上最小化服务账号的需求。即便如此,一些第三方的应用程序仍然坚持传统的服务账号。如果可能的话,尽量使用本地账号而不是域账号作为服务账号,因为如果某人物理上获得了服务器的访问权限,他可能会转储服务器的LSA机密,并泄露密码。如果你使用域密码,森林中的任何计算机都可以通过此密码获得域访问权限。而如果使用本地账户,密码只能在本地计算机上使用,不会给域带来任何威胁。
系统服务
一个基本原则告诉我们,在系统上运行的代码越多,包含漏洞的可能性就越大。你需要关注的一个重要安全策略是减少运行在你服务器上的代码。这么做能在减少安全隐患的同时增强服务器的性能。
在Windows 2000中,缺省运行的服务有很多,但是有很大一部分服务在大多数环境中并派不上用场。事实上,windows 2000的缺省安装甚至包含了完全操作的IIS服务器。而在Windows Server 2003中,微软关闭了大多数不是绝对必要的服务。即使如此,还是有一些有争议的服务缺省运行。
其中一个服务是分布式文件系统(DFS)服务。DFS服务起初被设计简化用户的工作。DFS允许管理员创建一个逻辑的区域,包含多个服务器或分区的资源。对于用户,所有这些分布式的资源存在于一个单一的文件夹中。
我个人很喜欢DFS,尤其因为它的容错和可伸缩特性。然而,如果你不准备使用DFS,你需要让用户了解文件的确切路径。在某些环境下,这可能意味着更强的安全性。在我看来,DFS的利大于弊。
另一个这样的服务是文件复制服务(FRS)。FRS被用来在服务器之间复制数据。它在域控制器上是强制的服务,因为它能够保持SYSVOL文件夹的同步。对于成员服务器来说,这个服务不是必须的,除非运行DFS。
如果你的文件服务器既不是域控制器,也不使用DFS,我建议你禁用FRS服务。这么做会减少黑客在多个服务器间复制恶意文件的可能性。
另一个需要注意的服务是Print Spooler服务(PSS)。该服务管理所有的本地和网络打印请求,并在这些请求下控制所有的打印工作。所有的打印操作都离不开这个服务,它也是缺省被启用的。
不是每个服务器都需要打印功能。除非服务器的角色是打印服务器,你应该禁用这个服务。毕竟,专用文件服务器要打印服务有什么用呢?通常地,没有人会在服务器控制台工作,因此应该没有必要开启本地或网络打印。
我相信通常在灾难恢复操作过程中,打印错误消息或是事件日志都是十分必要的。然而,我依然建议在非打印服务器上简单的关闭这一服务。
信不信由你,PSS是最危险的Windows组件之一。有不计其数的木马更换其可执行文件。这类攻击的动机是因为它是统级的服务,因此拥有很高的特权。因此任何侵入它的木马能够获得这些高级别的特权。为了防止此类攻击,还是关掉这个服务吧。
Windows Server 2003作为Microsoft 最新推出的服务器操作系统,相比Windows 2000/XP系统来说,各方面的功能确实得到了增强,尤其在安全方面,总体感觉做的还算不错.但如果你曾经配置过Windows NT Server或是windows 2000 Server,你也许发现这些微软的产品缺省并不是最安全的。但是,你学习了本教程后,你可以让你的windows 2003系统变得更安全.
首先,这些恶意的攻击行为,旨在消耗服务器资源,影响服务器的正常运作,甚至攻击到服务器所在网络瘫痪。还有一方面,就是入侵行为,这种大多与某些利益有关联,有的涉及到企业的敏感信息,有的是同行相煎。
第一,做好硬件维护
当处理数据越来越多,占用资源也随之增多时,服务器就需要更多的内存和硬盘容量来储存这些资源,因此,每隔段时间后服务器需要升级,可是需要注意的增加内存或者硬盘时,要考虑到兼容性、稳定性,否则不同型号的内存有可能会引起系统出错。
还有对设备进行卸载和更换时,需要仔细阅读说明书,不要强行拆卸,而且必须在完全断电,服务器接地良好的情况下进行,防止静电对设备造成损坏。
同样,服务器的最大杀手尘土,因此需要定期给服务器除尘。特别要注意电源的除尘。
第二,做好数据的备份
对企业来说,服务器上的数据是非常宝贵,如果数据库丢失了,损失是非常巨大的,因此,企业需对数据进行定期备份,以防万一。一般企业都需要每天对服务器上的数据进行备份,而且要将备份数据放置在不同服务器上,
数据需要备份,同样需要防盗。可以通过密码保护好磁带并且如果你的备份程序支持加密功能,你还可以加密这些数据。同时,要定好备份时间,通常备份的过程会选择在晚上10点以后进行,到半夜结束。
第三,定期做好网络检查
第四,关闭不必要的服务,只开该开的端口
对于初学者,建议在所有的工作站上使用Windows 2000。Windows 2000是一个非常安全的操作系统。如果你并不想这样做,那么至少使用Windows NT。你可以锁定工作站,使得一些没有安全访问权的人想要获得网络配置信息变得困难或是不可能。
或者关闭那些不必要开的服务,做好本地管理和组管理。Windows系统有很多默认的服务其实没必要开的,甚至可以说是危险的,比如:默认的共享远程注册表访问(Remote Registry Service),系统很多敏感的信息都是写在注册表里的,如pcanywhere的加密密码等。
关闭那些不必要的端口。一些看似不必要的端口,确可以向黑客透露许多操作系统的敏感信息,如windows 2000 server默认开启的IIS服务就告诉对方你的操作系统是windows 2000。69端口告诉黑客你的操作系统极有可能是linux或者unix系统,因为69是这些操作系统下默认的tftp服务使用的端口。对端口的进一步访问,还可以返回该服务器上软件及其版本的一些信息,这些对黑客的入侵都提供了很大的帮助。此外,开启的端口更有可能成为黑客进入服务器的门户。
以上是服务器日常操作安全维护的一些技巧。