『壹』 伺服器的穩定性是什麼
所謂伺服器穩定性有兩種
第一,就是保證7*24小時不停的運作,如果關機或停電,那伺服器上的所有網站將無法運行
第二,安全問題,硬體防禦,軟體防禦 ,抵制惡意黑客攻擊.
『貳』 如何提高linux伺服器的安全策略
安全是IT行業一個老生常談的話題了,處理好信息安全問題已變得刻不容緩。做為運維人員,就必須了解一些安全運維准則,同時,要保護自己所負責的業務,首先要站在攻擊者的角度思考問題,修補任何潛在的威脅和漏洞。主要分五部分展開:賬戶和登錄安全賬戶安全是系統安全的第一道屏障,也是系統安全的核心,保障登錄賬戶的安全,在一定程度上可以提高伺服器的安全級別,下面重點介紹下Linux系統登錄賬戶的安全設置方法。
1、刪除特殊的賬戶和賬戶組 Linux提供了各種不同角色的系統賬號,在系統安裝完成後,默認會安裝很多不必要的用戶和用戶組,如果不需要某些用戶或者組,就要立即刪除它,因為賬戶越多,系統就越不安全,很可能被黑客利用,進而威脅到伺服器的安全。
Linux系統中可以刪除的默認用戶和組大致有如下這些:
可刪除的用戶,如adm,lp,sync,shutdown,halt,news,uucp,operator,games,gopher等。
可刪除的組,如adm,lp,news,uucp,games,dip,pppusers,popusers,slipusers等。
2、關閉系統不需要的服務Linux在安裝完成後,綁定了很多沒用的服務,這些服務默認都是自動啟動的。對於伺服器來說,運行的服務越多,系統就越不安全,越少服務在運行,安全性就越好,因此關閉一些不需要的服務,對系統安全有很大的幫助。具體哪些服務可以關閉,要根據伺服器的用途而定,一般情況下,只要系統本身用不到的服務都認為是不必要的服務。例如:某台Linux伺服器用於www應用,那麼除了httpd服務和系統運行是必須的服務外,其他服務都可以關閉。下面這些服務一般情況下是不需要的,可以選擇關閉: anacron、auditd、autofs、avahi-daemon、avahi-dnsconfd、bluetooth、cpuspeed、firstboot、gpm、haldaemon、hidd、ip6tables、ipsec、isdn、lpd、mcstrans、messagebus、netfs、nfs、nfslock、nscd、pcscd portmap、readahead_early、restorecond、rpcgssd、rpcidmapd、rstatd、sendmail、setroubleshoot、yppasswdd ypserv
3、密碼安全策略在Linux下,遠程登錄系統有兩種認證方式:密碼認證和密鑰認證。密碼認證方式是傳統的安全策略,對於密碼的設置,比較普遍的說法是:至少6個字元以上,密碼要包含數字、字母、下劃線、特殊符號等。設置一個相對復雜的密碼,對系統安全能起到一定的防護作用,但是也面臨一些其他問題,例如密碼暴力破解、密碼泄露、密碼丟失等,同時過於復雜的密碼對運維工作也會造成一定的負擔。密鑰認證是一種新型的認證方式,公用密鑰存儲在遠程伺服器上,專用密鑰保存在本地,當需要登錄系統時,通過本地專用密鑰和遠程伺服器的公用密鑰進行配對認證,如果認證成功,就成功登錄系統。這種認證方式避免了被暴力破解的危險,同時只要保存在本地的專用密鑰不被黑客盜用,攻擊者一般無法通過密鑰認證的方式進入系統。因此,在Linux下推薦用密鑰認證方式登錄系統,這樣就可以拋棄密碼認證登錄系統的弊端。Linux伺服器一般通過SecureCRT、putty、Xshell之類的工具進行遠程維護和管理,密鑰認證方式的實現就是藉助於SecureCRT軟體和Linux系統中的SSH服務實現的。
4、合理使用su、sudo命令su命令:是一個切換用戶的工具,經常用於將普通用戶切換到超級用戶下,當然也可以從超級用戶切換到普通用戶。為了保證伺服器的安全,幾乎所有伺服器都禁止了超級用戶直接登錄系統,而是通過普通用戶登錄系統,然後再通過su命令切換到超級用戶下,執行一些需要超級許可權的工作。通過su命令能夠給系統管理帶來一定的方便,但是也存在不安全的因素,例如:系統有10個普通用戶,每個用戶都需要執行一些有超級許可權的操作,就必須把超級用戶的密碼交給這10個普通用戶,如果這10個用戶都有超級許可權,通過超級許可權可以做任何事,那麼會在一定程度上對系統的安全造成了威協。因此su命令在很多人都需要參與的系統管理中,並不是最好的選擇,超級用戶密碼應該掌握在少數人手中,此時sudo命令就派上用場了。sudo命令:允許系統管理員分配給普通用戶一些合理的「權利」,並且不需要普通用戶知道超級用戶密碼,就能讓他們執行一些只有超級用戶或其他特許用戶才能完成的任務。比如:系統服務重啟、編輯系統配置文件等,通過這種方式不但能減少超級用戶登錄次數和管理時間,也提高了系統安全性。因此,sudo命令相對於許可權無限制性的su來說,還是比較安全的,所以sudo也被稱為受限制的su,另外sudo也是需要事先進行授權認證的,所以也被稱為授權認證的su。
sudo執行命令的流程是:將當前用戶切換到超級用戶下,或切換到指定的用戶下,然後以超級用戶或其指定切換到的用戶身份執行命令,執行完成後,直接退回到當前用戶,而這一切的完成要通過sudo的配置文件/etc/sudoers來進行授權。
sudo設計的宗旨是:賦予用戶盡可能少的許可權但仍允許它們完成自己的工作,這種設計兼顧了安全性和易用性,因此,強烈推薦通過sudo來管理系統賬號的安全,只允許普通用戶登錄系統,如果這些用戶需要特殊的許可權,就通過配置/etc/sudoers來完成,這也是多用戶系統下賬號安全管理的基本方式。
5、刪減系統登錄歡迎信息 系統的一些歡迎信息或版本信息,雖然能給系統管理者帶來一定的方便,但是這些信息有時候可能被黑客利用,成為攻擊伺服器的幫凶,為了保證系統的安全,可以修改或刪除某些系統文件,需要修改或刪除的文件有4個,分別是:/etc/issue、/etc/issue.net、/etc/redhat-release和/etc/motd。/etc/issue和/etc/issue.net文件都記錄了操作系統的名稱和版本號,當用戶通過本地終端或本地虛擬控制台等登錄系統時,/etc/issue的文件內容就會顯示,當用戶通過ssh或telnet等遠程登錄系統時,/etc/issue.net文件內容就會在登錄後顯示。在默認情況下/etc/issue.net文件的內容是不會在ssh登錄後顯示的,要顯示這個信息可以修改/etc/ssh/sshd_config文件,在此文件中添加如下內容即可:Banner /etc/issue.net其實這些登錄提示很明顯泄漏了系統信息,為了安全起見,建議將此文件中的內容刪除或修改。/etc/redhat-release文件也記錄了操作系統的名稱和版本號,為了安全起見,可以將此文件中的內容刪除/etc/motd文件是系統的公告信息。每次用戶登錄後,/etc/motd文件的內容就會顯示在用戶的終端。通過這個文件系統管理員可以發布一些軟體或硬體的升級、系統維護等通告信息,但是此文件的最大作用就、是可以發布一些警告信息,當黑客登錄系統後,會發現這些警告信息,進而產生一些震懾作用。看過國外的一個報道,黑客入侵了一個伺服器,而這個伺服器卻給出了歡迎登錄的信息,因此法院不做任何裁決。
遠程訪問和認證安全
1、遠程登錄取消telnet而採用SSH方式 telnet是一種古老的遠程登錄認證服務,它在網路上用明文傳送口令和數據,因此別有用心的人就會非常容易截獲這些口令和數據。而且,telnet服務程序的安全驗證方式也極其脆弱,攻擊者可以輕松將虛假信息傳送給伺服器。現在遠程登錄基本拋棄了telnet這種方式,而取而代之的是通過SSH服務遠程登錄伺服器。
2、合理使用Shell歷史命令記錄功能 在Linux下可通過history命令查看用戶所有的歷史操作記錄,同時shell命令操作記錄默認保存在用戶目錄下的.bash_history文件中,通過這個文件可以查詢shell命令的執行歷史,有助於運維人員進行系統審計和問題排查,同時,在伺服器遭受黑客攻擊後,也可以通過這個命令或文件查詢黑客登錄伺服器所執行的歷史命令操作,但是有時候黑客在入侵伺服器後為了毀滅痕跡,可能會刪除.bash_history文件,這就需要合理的保護或備份.bash_history文件。
3、啟用tcp_wrappers防火牆Tcp_Wrappers是一個用來分析TCP/IP封包的軟體,類似的IP封包軟體還有iptables。Linux默認都安裝了Tcp_Wrappers。作為一個安全的系統,Linux本身有兩層安全防火牆,通過IP過濾機制的iptables實現第一層防護。iptables防火牆通過直觀地監視系統的運行狀況,阻擋網路中的一些惡意攻擊,保護整個系統正常運行,免遭攻擊和破壞。如果通過了第一層防護,那麼下一層防護就是tcp_wrappers了。通過Tcp_Wrappers可以實現對系統中提供的某些服務的開放與關閉、允許和禁止,從而更有效地保證系統安全運行。
文件系統安全
1、鎖定系統重要文件系統運維人員有時候可能會遇到通過root用戶都不能修改或者刪除某個文件的情況,產生這種情況的大部分原因可能是這個文件被鎖定了。在Linux下鎖定文件的命令是chattr,通過這個命令可以修改ext2、ext3、ext4文件系統下文件屬性,但是這個命令必須有超級用戶root來執行。和這個命令對應的命令是lsattr,這個命令用來查詢文件屬性。對重要的文件進行加鎖,雖然能夠提高伺服器的安全性,但是也會帶來一些不便。例如:在軟體的安裝、升級時可能需要去掉有關目錄和文件的immutable屬性和append-only屬性,同時,對日誌文件設置了append-only屬性,可能會使日誌輪換(logrotate)無法進行。因此,在使用chattr命令前,需要結合伺服器的應用環境來權衡是否需要設置immutable屬性和append-only屬性。另外,雖然通過chattr命令修改文件屬性能夠提高文件系統的安全性,但是它並不適合所有的目錄。chattr命令不能保護/、/dev、/tmp、/var等目錄。根目錄不能有不可修改屬性,因為如果根目錄具有不可修改屬性,那麼系統根本無法工作:/dev在啟動時,syslog需要刪除並重新建立/dev/log套接字設備,如果設置了不可修改屬性,那麼可能出問題;/tmp目錄會有很多應用程序和系統程序需要在這個目錄下建立臨時文件,也不能設置不可修改屬性;/var是系統和程序的日誌目錄,如果設置為不可修改屬性,那麼系統寫日誌將無法進行,所以也不能通過chattr命令保護。
2、文件許可權檢查和修改不正確的許可權設置直接威脅著系統的安全,因此運維人員應該能及時發現這些不正確的許可權設置,並立刻修正,防患於未然。下面列舉幾種查找系統不安全許可權的方法。
(1)查找系統中任何用戶都有寫許可權的文件或目錄
查找文件:find / -type f -perm -2 -o -perm -20 |xargs ls -al查找目錄:find / -type d -perm -2 -o -perm -20 |xargs ls –ld
(2)查找系統中所有含「s」位的程序
find / -type f -perm -4000 -o -perm -2000 -print | xargs ls –al
含有「s」位許可權的程序對系統安全威脅很大,通過查找系統中所有具有「s」位許可權的程序,可以把某些不必要的「s」位程序去掉,這樣可以防止用戶濫用許可權或提升許可權的可能性。
(3)檢查系統中所有suid及sgid文件
find / -user root -perm -2000 -print -exec md5sum {} \;find / -user root -perm -4000 -print -exec md5sum {} \;
將檢查的結果保存到文件中,可在以後的系統檢查中作為參考。
(4)檢查系統中沒有屬主的文件
find / -nouser -o –nogroup
沒有屬主的孤兒文件比較危險,往往成為黑客利用的工具,因此找到這些文件後,要麼刪除掉,要麼修改文件的屬主,使其處於安全狀態。
3、/tmp、/var/tmp、/dev/shm安全設定在Linux系統中,主要有兩個目錄或分區用來存放臨時文件,分別是/tmp和/var/tmp。存儲臨時文件的目錄或分區有個共同點就是所有用戶可讀寫、可執行,這就為系統留下了安全隱患。攻擊者可以將病毒或者木馬腳本放到臨時文件的目錄下進行信息收集或偽裝,嚴重影響伺服器的安全,此時,如果修改臨時目錄的讀寫執行許可權,還有可能影響系統上應用程序的正常運行,因此,如果要兼顧兩者,就需要對這兩個目錄或分區就行特殊的設置。/dev/shm是Linux下的一個共享內存設備,在Linux啟動的時候系統默認會載入/dev/shm,被載入的/dev/shm使用的是tmpfs文件系統,而tmpfs是一個內存文件系統,存儲到tmpfs文件系統的數據會完全駐留在RAM中,這樣通過/dev/shm就可以直接操控系統內存,這將非常危險,因此如何保證/dev/shm安全也至關重要。對於/tmp的安全設置,需要看/tmp是一個獨立磁碟分區,還是一個根分區下的文件夾,如果/tmp是一個獨立的磁碟分區,那麼設置非常簡單,修改/etc/fstab文件中/tmp分區對應的掛載屬性,加上nosuid、noexec、nodev三個選項即可,修改後的/tmp分區掛載屬性類似如下:LABEL=/tmp /tmp ext3 rw,nosuid,noexec,nodev 0 0 其中,nosuid、noexec、nodev選項,表示不允許任何suid程序,並且在這個分區不能執行任何腳本等程序,並且不存在設備文件。在掛載屬性設置完成後,重新掛載/tmp分區,保證設置生效。對於/var/tmp,如果是獨立分區,安裝/tmp的設置方法是修改/etc/fstab文件即可;如果是/var分區下的一個目錄,那麼可以將/var/tmp目錄下所有數據移動到/tmp分區下,然後在/var下做一個指向/tmp的軟連接即可。也就是執行如下操作:
[root@server ~]# mv /var/tmp/* /tmp[root@server ~]# ln -s /tmp /var/tmp
如果/tmp是根目錄下的一個目錄,那麼設置稍微復雜,可以通過創建一個loopback文件系統來利用Linux內核的loopback特性將文件系統掛載到/tmp下,然後在掛載時指定限制載入選項即可。一個簡單的操作示例如下:
[root@server ~]# dd if=/dev/zero of=/dev/tmpfs bs=1M count=10000[root@server ~]# mke2fs -j /dev/tmpfs[root@server ~]# cp -av /tmp /tmp.old[root@server ~]# mount -o loop,noexec,nosuid,rw /dev/tmpfs /tmp[root@server ~]# chmod 1777 /tmp[root@server ~]# mv -f /tmp.old/* /tmp/[root@server ~]# rm -rf /tmp.old
最後,編輯/etc/fstab,添加如下內容,以便系統在啟動時自動載入loopback文件系統:
/dev/tmpfs /tmp ext3 loop,nosuid,noexec,rw 0 0
Linux後門入侵檢測工具rootkit是Linux平台下最常見的一種木馬後門工具,它主要通過替換系統文件來達到入侵和和隱蔽的目的,這種木馬比普通木馬後門更加危險和隱蔽,普通的檢測工具和檢查手段很難發現這種木馬。rootkit攻擊能力極強,對系統的危害很大,它通過一套工具來建立後門和隱藏行跡,從而讓攻擊者保住許可權,以使它在任何時候都可以使用root許可權登錄到系統。rootkit主要有兩種類型:文件級別和內核級別,下面分別進行簡單介紹。文件級別的rootkit一般是通過程序漏洞或者系統漏洞進入系統後,通過修改系統的重要文件來達到隱藏自己的目的。在系統遭受rootkit攻擊後,合法的文件被木馬程序替代,變成了外殼程序,而其內部是隱藏著的後門程序。通常容易被rootkit替換的系統程序有login、ls、ps、ifconfig、、find、netstat等,其中login程序是最經常被替換的,因為當訪問Linux時,無論是通過本地登錄還是遠程登錄,/bin/login程序都會運行,系統將通過/bin/login來收集並核對用戶的賬號和密碼,而rootkit就是利用這個程序的特點,使用一個帶有根許可權後門密碼的/bin/login來替換系統的/bin/login,這樣攻擊者通過輸入設定好的密碼就能輕松進入系統。此時,即使系統管理員修改root密碼或者清除root密碼,攻擊者還是一樣能通過root用戶登錄系統。攻擊者通常在進入Linux系統後,會進行一系列的攻擊動作,最常見的是安裝嗅探器收集本機或者網路中其他伺服器的重要數據。在默認情況下,Linux中也有一些系統文件會監控這些工具動作,例如ifconfig命令,所以,攻擊者為了避免被發現,會想方設法替換其他系統文件,常見的就是ls、ps、ifconfig、、find、netstat等。如果這些文件都被替換,那麼在系統層面就很難發現rootkit已經在系統中運行了。這就是文件級別的rootkit,對系統維護很大,目前最有效的防禦方法是定期對系統重要文件的完整性進行檢查,如果發現文件被修改或者被替換,那麼很可能系統已經遭受了rootkit入侵。檢查件完整性的工具很多,常見的有Tripwire、 aide等,可以通過這些工具定期檢查文件系統的完整性,以檢測系統是否被rootkit入侵。內核級rootkit是比文件級rootkit更高級的一種入侵方式,它可以使攻擊者獲得對系統底層的完全控制權,此時攻擊者可以修改系統內核,進而截獲運行程序向內核提交的命令,並將其重定向到入侵者所選擇的程序並運行此程序,也就是說,當用戶要運行程序A時,被入侵者修改過的內核會假裝執行A程序,而實際上卻執行了程序B。內核級rootkit主要依附在內核上,它並不對系統文件做任何修改,因此一般的檢測工具很難檢測到它的存在,這樣一旦系統內核被植入rootkit,攻擊者就可以對系統為所欲為而不被發現。目前對於內核級的rootkit還沒有很好的防禦工具,因此,做好系統安全防範就非常重要,將系統維持在最小許可權內工作,只要攻擊者不能獲取root許可權,就無法在內核中植入rootkit。
1、rootkit後門檢測工具chkrootkit chkrootkit是一個Linux系統下查找並檢測rootkit後門的工具,它的官方址:http://www.chkrootkit.org/。 chkrootkit沒有包含在官方的CentOS源中,因此要採取手動編譯的方法來安裝,不過這種安裝方法也更加安全。chkrootkit的使用比較簡單,直接執行chkrootkit命令即可自動開始檢測系統。下面是某個系統的檢測結果:
[root@server chkrootkit]# /usr/local/chkrootkit/chkrootkitChecking `ifconfig』… INFECTEDChecking `ls』… INFECTEDChecking `login』… INFECTEDChecking `netstat』… INFECTEDChecking `ps』… INFECTEDChecking `top』… INFECTEDChecking `sshd』… not infectedChecking `syslogd』… not tested
從輸出可以看出,此系統的ifconfig、ls、login、netstat、ps和top命令已經被感染。針對被感染rootkit的系統,最安全而有效的方法就是備份數據重新安裝系統。chkrootkit在檢查rootkit的過程中使用了部分系統命令,因此,如果伺服器被黑客入侵,那麼依賴的系統命令可能也已經被入侵者替換,此時chkrootkit的檢測結果將變得完全不可信。為了避免chkrootkit的這個問題,可以在伺服器對外開放前,事先將chkrootkit使用的系統命令進行備份,在需要的時候使用備份的原始系統命令讓chkrootkit對rootkit進行檢測。
2、rootkit後門檢測工具RKHunter RKHunter是一款專業的檢測系統是否感染rootkit的工具,它通過執行一系列的腳本來確認伺服器是否已經感染rootkit。在官方的資料中,RKHunter可以作的事情有:MD5校驗測試,檢測文件是否有改動
檢測rootkit使用的二進制和系統工具文件 檢測特洛伊木馬程序的特徵碼 檢測常用程序的文件屬性是否異常 檢測系統相關的測試 檢測隱藏文件 檢測可疑的核心模塊LKM 檢測系統已啟動的監聽埠
在Linux終端使用rkhunter來檢測,最大的好處在於每項的檢測結果都有不同的顏色顯示,如果是綠色的表示沒有問題,如果是紅色的,那就要引起關注了。另外,在執行檢測的過程中,在每個部分檢測完成後,需要以Enter鍵來繼續。如果要讓程序自動運行,可以執行如下命令:
[root@server ~]# /usr/local/bin/rkhunter –check –skip-keypress
同時,如果想讓檢測程序每天定時運行,那麼可以在/etc/crontab中加入如下內容:
30 09 * * * root /usr/local/bin/rkhunter –check –cronjob
這樣,rkhunter檢測程序就會在每天的9:30分運行一次。伺服器遭受攻擊後的處理過程安全總是相對的,再安全的伺服器也有可能遭受到攻擊。作為一個安全運維人員,要把握的原則是:盡量做好系統安全防護,修復所有已知的危險行為,同時,在系統遭受攻擊後能夠迅速有效地處理攻擊行為,最大限度地降低攻擊對系統產生的影響。
『叄』 如何提高美國伺服器的穩定性
一,定期做好網路檢查
網路安全需要做好保障,網站檢查是很重要的一步,包括檢查網路版代碼是否被黑權客放置了網頁木馬,以及網站代碼是否存在SQL注入漏洞、上傳文件漏洞以及後門程序等常見危害站點安全的漏洞,注意分析伺服器系統日誌,檢查系統是否被入侵等。
二,關閉不必要的服務,只開該開的埠
對於剛開始學的,建議在所有的工作站上使用Windows 2003,Windows 2003是一個非常安全的操作系統,你可以鎖定工作站,使得一些沒有安全訪問權的人想要獲得網路配置信息變得困難或是不可能。
『肆』 怎樣提高伺服器的可用性
在低檔伺服器中,通常採用以下措施來提高單機的可用性。
1.IDERAID
通過廉價的磁碟版陣列權提供數據冗餘功能。磁碟故障是伺服器硬體故障的主體,故障率高達52%。數據丟失的危害也是驚人的,造成大量時間、人力的浪費。目前IDERAID能夠實現RAID-0、RAID-1、RAID-0+1共三種方式,其中RAID-0不具備數據冗餘功能,但能顯著提高磁碟子系統的性能。
2.ECC技術
可以檢查出兩位內存錯、並能夠糾正一位錯,來保證內存、緩存中數據的高可靠性。
3.伺服器專用電源
可以保證系統有一個潔凈的用電環境,減少各種隱性故障的發生,而劣質電源容易引起各種古怪故障,如電路中的高頻串擾會造成系統經常性的崩潰、低頻震盪則會燒毀電子元器件於無形,這類故障也增加了維修難度。
4.附加措施
如防塵網的設計、多個風扇的散熱(有的伺服器還具有自動調節風扇轉速功能),可以幫助伺服器在普通環境中也能穩定運行。
天互數據 為您解答,希望能幫到你
『伍』 伺服器的穩定性受哪些因素影響呢
首先要看是獨立伺服器還是VPS了
獨立伺服器的話,穩定性就是看機房的網路的穩定性了
如果是VPS的話,還要看伺服器超售的程度,鄰居佔用CPU等資源的程度
『陸』 伺服器的穩定性主要靠什麼
伺服器的穩定,一是看伺服器的硬體配置。二是,伺服器所在的機房環境。
您是需要什麼樣的配置的伺服器?河南電聯通信的伺服器就不錯。超過500G的帶寬出口,萬兆鏈路直接與互聯網中心的骨幹網路互聯。
『柒』 Windows7中如何提高系統文件的穩定性
眾所周知,微軟操作系統文件是經常被木馬、病毒等程序所關注的對象。有時候用戶也不會在不經意的情況下破壞系統文件。系統不穩定大部分情況下都是由於系統文件遭受到破壞所引起的。在Windows7中這個系統文件的穩定性有了不少的改善。
在談這個話題之前,首先系統管理員需要明白一點,就是微軟操作系統中的系統文件不管是操作系統安裝時的必需文件,而且還包括一些驅動程序。微軟操作系統對硬體的支持力度要比Linux等開源操作系統強的多。在Windows7操作系統中,一進攻可以檢測大多數的硬體,並且在安裝過程中會自動查找並安裝相應的驅動程序。這主要是因為微軟在一個新版本操作系統出來之前,都會對當前主流的硬體設備進行測試。如果測試通過的話會將這個硬體的驅動程序加入到操作系統中。所以在Windows7系統安裝成果後不用手工安裝驅動程序就可以識別大部分的硬體。而這些驅動程序也就構成了微軟操作系統中的系統文件。以下對於系統文件穩定性的一些保護措施,對於這些驅動程序文件同樣有效。
一、利用文件簽名來驗證系統文件是否被修改。
在Windows7操作系統中,所有的系統文件(包括微軟認可的驅動程序文件)都會帶有微軟的簽名。在這個簽名信息中包含了系統文件名、存儲路徑、文件創建的日期以及版本號等信息。如果系統管理員在Windows7系統部署完畢後,收集相關的信息。然後當操作系統出現不穩定的情況,系統管理員懷疑是系統文件遭受破壞所引起的,就可以將系統文件的簽名與原始簽名進行對比,就可以判斷系統文件是否在管理員不知情的情況下被更改了。從而可以採取相關的措施來修復系統文件來恢復操作系統的穩定性。
在微軟操作系統中,現在不需要手工來收集這些信息。在系統中提供了一個圖形化文件簽名工具,可以幫助系統管理員來做這項工作。在命令行模式下,輸入sigverif命令就會彈出如下的對話框。
這個文件簽名工具是微軟操作系統提供的一個基於圖形化管理的工具。當安裝了某個應用程序或者硬體設別時,如果系統管理員懷疑原始的、被保護的、經過數字簽名的系統文件或者啟動程序被非法修改或者替換,則就可以利用這個工具來檢查是否有這種情況的存在。雖然這個工具在以前版本的操作系統中已經存在,但是以前一直被大家所忽視。在Windows7中對這個工具做了不少的改善,特別是在性能上。經過筆者的測試,在Windows7操作系統中,這個工具的運行速度要比以前版本的操作系統快好幾倍。另外這個工具在功能上也有所改進。如在以前的操作系統中只檢測系統文件,而不會檢測驅動程序。而現在的話,這個工具會同時檢測系統文件以及驅動程序文件,以確保所有的文件都具有微軟的數字簽名。當工具檢測到沒有經過簽名或者不準確的文件版本時,就會將相關的信息文件名、修改時間、版本號等內容告訴給管理員。也會在系統相關日誌中保留這些信息,以便系統管理員後續查詢。
不過筆者使用後覺得還有一個不方便的地方,就是無法將這寫信息直接導入到文本文件或者直接進行復制。如現在這個工具查詢到某個文件有問題,如tcpip.sys這個文件有問題。現在系統管理員可能需要在互聯網上查找這個文件的具體用途,以及以前是否有人也遇到過這種問題。但是讓筆者氣餒的是竟然不能夠直接復制這個文件名字。現在筆者要向他人請教這個文件的用途時,不得不手工進行輸入,而不能夠通過復制粘貼來實現。筆者建議微軟的設計專家們,在這方面可以更加人性化一點。最後能夠把這些信息在這個窗口中直接導出為文本文件或者可以直接進行復制粘貼操作。而不是要打開日誌文件來進行這些行為。
另外需要注意的是,這個工具不會對有問題的文件盡心自我修復。所以運行這個工具並不要求有管理員的許可權。也就是說,普通用戶也可以運行這個程序來檢查系統文件是否被受到惡意更改。
二、利用sfc命令自動修復有問題的系統文件。
如果通過以上的這個工具發現有問題的系統文件該如何處理呢?除了通過系統安裝盤來修復系統文件或者手工對文件進行修復外,在操作系統中還提供了另外一個有用的工具,即sfc命令。這個命令的功能跟文件簽名認證工具的功能類似,會對系
統文件以及驅動程序的簽名合法性進行驗證。不過兩個工具還是有很大的差異。
一是外觀上的差異。sfc是一個命令行下面的工具,即沒有圖形化的管理向導。而文件簽名驗證工具則是一個圖形化的管理工具。所以從方便性上來說,文件簽名工具可能更容易上手。不過對於系統管理專家來說,圖形化界面與文本界面可能沒有本質上的差異。另外最重大的一個差異可能就是功能上的差異了。Sfc命令不僅會檢查系統文件與驅動程序簽名的合法性,而且還會自動修復檢測到有問題的文件。其修復的方式就是將任何被檢測到的不正確的文件都被自動替換為微軟版本的額外文件。由於在替換的過程中,不會對系統管理員有任何的提示,所以使用這個工具的時候會有一定的風險。為此筆者的建議是,系統管理員最好先利用文件簽名工具來查詢一下到底存在哪些有問題的系統文件或者驅動程序文件。如果確認這些文件被微軟版本的文件所代替沒有問題的情況下,在使用sfc這個命令行工具來自動修復有問題的文件。
如果在操作系統中,系統管理員部署了一些沒有經過簽名的系統文件。如果系統管理員認為這些文件是必需的,那麼最好不要冒然使用這個工具。如可以在使用這個工具之前,先將那些合法的但是沒有簽名的文件復制出來,然後在使用這個工具修復其他有問題的系統文件或者驅動程序。等到修復完成之後,再將這些合法的沒有簽名的文件或者驅動程序文件還原過去。另外由於這個運行這個工具風險比較大,為此在Windows7操作系統中做了比較嚴格的限制,必須作為管理員才能夠運行這個程序。注意這個管理員特質系統默認的administrator帳戶。也就是說,如果系統管理員建立了一個新帳戶,然後將這個帳戶加入到管理員組。此時這個帳戶就具有了管理員的身份,但是其仍然不能夠運行這個sfc工具。因為他不是系統默認的管理員帳戶。微軟在這方面的限制,主要是為了防止這個工具被濫用,從而影響其他用戶的應用程序。
另外還可以跟組策略結合來使用這個工具。如可以在組策略中配置在操作系統啟動的時候,自動運行這個工具。一般來說,如果Windows7操作系統只是作為客戶端來使用,那麼這是維持其穩定性的一個很好的選擇。但是如果其是作為伺服器來使用,那麼筆者不建議這么做。由於伺服器對於企業信息化應用的敏感性(伺服器出現故障所有相關應用的客戶端都會受到影響),所以只有在系統文件損壞或者驅動程序出現問題時才使用這個工具。並且在利用這個工具之前最好先使用簽名認證工具查詢一下可能有問題的文件。在必要的情況下,還需要先對伺服器中的數據進行備份。以防止由於文件恢復故障而導致操作系統無法啟動。為此筆者認為sfc雖然是一個維護系統文件穩定的好工具,但是系統管理員還是需要謹慎使用。