如何做好服务器安全？

服务器安全配置对新手建议：

   服务器本身是硬件，但指挥硬件工作的操作系统是由人工设计编写的，庞大而复杂的软件，存在诸多不确定性和疏漏。

我们需要改变意识，所有操作系统是相对不安全的，本文适合新手或对网络安全不了解的人员参考。

安全要素第一步，操作系统的选择

一、选择什么操作系统最安全

      当然是用的人最少的，比如别人用Windows你用linux，Bsd或者更夸张的ArcaOS、Haiku BeOS、ReactOS（这三个系统敞开大门都少有人进，市场占有率太低了，更别提去花心思注入，除非你的服务引人关注^-^）。

为什么用的人少就安全？因为大部分攻击注入都是有针对性的，不安全的罪魁祸首是市场占有率，绝大部分的病毒，木马，注入工具都针对Windows开发，只有针对win的开发和攻击收益是最大的，几乎所有工具都针对Windows，垄断桌面市场的XP win7 win8 win10 包括服务器系统server 2003至2019都是基于windwos NT系统框架延伸而来，所以几乎所有工具病毒通用，并且由早期的人工投毒，演变成计算机网络自动投毒自动注入，绝大部分研究漏洞的人都在研究Win系统，并且向灰色产业化发展，而其他如苹果系统是基于BSD开发，并且市场占有率低，针对性的病毒木马极少，同样是linux延伸版本redhat、Centos、Fedora、Debian、Ubuntu系统因市场占有率低，免费开源，专一化应用，而成为运维的选择，当然现在他们的市场占率逐年上升，几乎超过微软操作系统，安全问题逐渐开始凸显，市场正在经受考验。

二、选专用操作系统，适用范围越窄越安全

     操作系统为何适用范围越窄越安全？这要从微软windows 1.0说起，微软的伟大之处就是视窗系统，更伟大的是，什么都想自己开发,并装入系统销售，比如ie浏览器，好像它除了被弹窗，下载木马，卡死你的电脑，没其他用处，当然还有很多方便的服务集成在系统内，只是我们忽略或者用不着，而没有引起你的注意，这些都被别有用心的人利用了。同样是微软server 2003 2008 也集成了很多对外互联网服务功能，有机会可以看下server 2003功能概述，假如你只是做一个网站，除了IIS的www万维网服务和远程桌面服务，其他都是多余的，而对于新手是很难将这些多余的功能或者组件识别卸载或者关闭，这并没有包含常用软件因设计编写代码存在的漏洞，所以如果你只是运行一个网站或者提供网站服务，请安装微软server 2008 web服务版本或者linux延伸出来的wdlinux精简专用web服务版本，这时候你已经屏蔽了网络上90%的安全威胁。

三、我的软件是Windows上运行的，必须使用Server 2003版本，我该怎么办？

     因系统普及率导致大部分市面上的应用运行在windows上，而Windows相对新手来说恰恰是最不安全的系统，我们需要做什么让我们的系统更安全?首先是系统的版本选择，如果你的应用可以在最新的Server 2019上面运行，那么强烈建议你使用它，并且熟练它，最新的操作系统修复了旧版本的漏洞和设计缺陷，并且它本身的漏洞还没被黑客发现利用，官方也在积极提供补丁支持。

     用Server 2003 举例，在IDC数据中心上架一台服务器，并且安装Server2003，在2010年左右这台服务器安装完系统后，想联网进行补丁更新是非常困难的，灰色产业链的扫肉鸡服务正时刻盯着你的IP，系统联网IP活跃后，会立即对你的IP进行系统版本识别，针对系统服务扫描已知漏洞，通过漏洞快速注入木马提权，几分钟后你的服务器已经归别人管理，现在官方已经停止对Server 2003的技术支持，打满官方补丁Server 2003仍然非常不安全。

      Server 2003的基础安全配置，新人想对较老版本的微软Server版本进行漏洞修复，安全配置是非常艰难的，我们更多的是利用第三方工具对系统进行辅助安全防御，对系统增加防火墙软件，监控系统开放的各类服务和端口，利用防火墙或者安全软件关闭卸载一些无关服务和潜在漏洞服务，屏蔽所有端口只允许必须保留的服务端口，未完待续！