Web服务器的日常维护

优秀文件你我共享web服务器的日常维护主要包括入侵检测、数据备份、服务器优化、常见故障诊断、日志调度等日常系统维护，服务器管理工作需要严格控制。首先，入侵检测和数据备份(a)入侵检测工作作为服务器的日常管理，入侵检测在日常检测过程中主要分为日常服务器安全定期检查和入侵时入侵检查，即入侵时安全检查和入侵前后安全检查，这是非常重要的任务。系统的安全遵循桶的原理，桶的原理是由多个木板组成，构成桶的这些木板长度不同，那么这个桶的最大容量不取决于长木板，而是取决于最短的木板。应用于安全性，即系统的安全性取决于系统中最脆弱的部分，这是日常安全测试的重点。日常安全测试日常安全测试主要针对系统的安全，任务主要遵循以下步骤：1、查看服务器状态：打开进程管理器，查看服务器性能，并观察CPU和内存使用情况。检查是否存在异常错误，例如CPU和内存使用率过高。2、检查当前流程情况将作业管理器切换到进程，以查找可疑的应用程序或后台进程是否正在运行。使用流程管理器查看流程时，流程管理器本身具有流程taskmgr。如果运行Windows更新，则存在wuauclt.exe进程。如果不知道不允许的进程或服务器上的哪个应用程序打开了进程，请在网络上搜索进程名称，然后单击进程知识库：/。一般后门具有进程时，通常使用与系统进程类似的名称，如svch0st.exe。这时要注意分辨。通常，错误的方法是将字母o替换为数字0，将字母l替换为数字13、确认系统帐户打开“计算机管理”，展开“本地用户和组”选项，查看组选项，验证新帐户是否已添加到administrators组，以及验证克隆帐户是否存在。4、查看当前端口打开使用Activeport验证当前端口连接。特别是注意与外部连接的端口情况，以检查是否存在未授权的端口。立即关闭端口，记录并记录端口对应的程序，然后将程序传输到其他目录以供以后分析。计算机管理= software environment=在作业运行期间您可以在此处查看进程管理器中未显示的隐藏进程、查看当前正在运行的程序、记录未知程序的位置(如果有)、打开任务管理器以终止进程、在注册表中搜索程序名称(如果程序还无法终止，如后台程序所在的后台程序)、删除相关密钥，以及切换到安全模式以删除相关程序文件5、确认系统服务运行Services.msc以查看运行状态的服务，确定是否有新添加的未知服务，并确定服务的用途。如果您认为服务对应于该服务的可执行文件是什么，以及该文件在系统中是否正常使用，则可以大致查看服务打开该服务的属性。确保有其他正常的开放服务。如果有相应的服务，可能会大概错过。如果无法确定可执行文件是否是系统内的正常文件，以及其他正常的开放服务是否不存在于该服务中，则可以临时停止该服务，然后测试各种应用程序是否运行。如果使用Hook系统API技术添加的服务条目未显示在服务管理器中，则必须打开注册表中的HKEY _ local _ machine-system-current control set-services条目，查看每个服务名、其可执行文件，以确保它是后门、木马程序等。6、查看相关日志运行Eventvwr.msc以近似确定系统中的相关日志记录。查看时，右键单击日志中的“属性”，然后在“筛选器”中设置日志筛选器，以仅选择错误、警告并查看日志的源和特定说明信息。如果在服务器常见故障排除中可以找到解决方法，但没有相应的解决方法，请记录问题，详细记录事件源、ID号和特定说明信息，以找到解决问题的方法。7、检查系统文件主要检查系统磁盘上的exe和dll文件，如果安装了系统，则检查dir * .建议使用exe /s 1.txt保存cdisk上所有exe文件的列表，然后在每次检查时使用此命令生成当时的列表，并使用fc比较这两个文件。同样，对dll文件执行相同的检查。应用修补程序或安装软件后，必须重新生成原始列表。确定是否更换了相应的系统文件，或系统中是否安装了恶意程序，如特洛伊后门。如果需要，可以运行防病毒程序扫描系统磁盘一次。8、确认安全策略已更改打开本地连接的属性，在常规下，确保仅选择了TCP/IP协议，打开TCP/IP协议设置，单击高级=选项，确保IP安全机制是已配置的IP策略，并验证TCP/IP过滤允许的端口是否已更改。打开“管理工具=本地安全策略”，验证当前使用的IP安全策略是否已更改。9、检查目录权限重点关注系统目录和重要的应用程序权限是否发生了更改。需要查看的列表是c:C:winntC:winntsystem32C:winntsystem32inetsrvc : winntsystem32 inetsrvdata；C:documents and Settings然后重新检查serv-u安装目录，以确认这些目录的权限已更改。检查system32中的某些重要文件是否更改了权限，如Cmd、net、FTP、TFTP、cacls。10、确认启动项目主要检查当前通电自行启动程序。您可以使用AReporter查看引导自行启动过程。发现入侵时的应对方案对于立即发现的入侵事件，如果系统损坏，如果系统未损坏或暂时未检测到损坏，请按照上述检查步骤检查一次，然后在适当的情况下考虑以下措施：系统损坏后，应立即采取以下措施：根据情况，严重决定处理方法是远程处理还是现场处理。情况严重的话，建议使用现场处理。在现场处理的情况下，在发现入侵的第一次时间将服务器关闭到计算机房，处理者到达计算机房后，断开网线，进入系统进行检查。对于远程处理(如停止所有应用程序服务的严重第一次时间)，请将IP策略更改为仅连接远程管理端口并重新启动服务器，重新启动后处理远程连接，以便在重新启动前使用AReporter验证启动程序。然后进行安全检查。如果以下处理入侵了您的站点，但没有危及系统，请用户加强对您站点的安全，您可以通过以下方式加强您站点的安全：站点根-仅授予管理员读取权限，继承权限。Wwwroot -为web用户提供读取、写入权限。高级别内具有删除子文件夹和文件的权限Logfiles - system的写入权限。Database -为web用户提供读取、写入权限。在更高级别，您没有删除子文件夹和文件的权限如果需要进一步修改，请为站点的属性授予常规文件存储目录(如html、js和图片文件夹)的读取权限，为脚本文件(如ASP)授予上表中的权限。此外，检查该用户站点的安全日志，以确定漏洞的原因，并帮助用户修补漏洞。(b)数据备份和数据恢复数据备份操作大致如下：1、每月备份系统数据一次。2、备份系统，然后每两周备份一次应用程序数据，主要包括IIS、serv-u、数据库等数据。3、保护备份数据的安全，对这些数据备份进行分类和部署。默认情况下使用完整备份方法，因此对于数据的保留周期，只能保留该备份和最后两个备份数据。数据恢复操作：1、如果系统崩溃或发生其他无法恢复的系统正常状态，请备份自上次系统备份后发生的某些更改事件设置(例如应用程序和安全策略)，然后在恢复系统后恢复这些更改。2、应用程序等错误采用最近的备份数据恢复相关内容。第二，优化服务器性能1、清理系统空间：删除系统备份文件，删除驱动程序备份，删除未使用的输入法，删除系统的帮助文件，删除不经常使用的组件。最小化Cdisk文件。2、性能优化：卸载不必要的加电自动运行程序。减少预读，减少进度条等待时间。让系统自动退出停止响应的程序。禁用错误报告，但在发生严重错误时通知您。关闭自动更新，手动更新计算机。启用硬件加速和DirectX加速。禁用结束事件跟踪禁用服务器配置向导。减少电源磁盘扫描等待时间将处理器计划和内存使用情况都部署到应用程序中。虚拟内存调整记忆体最佳化修改Cpu的L2缓存修改磁盘缓存。优化IIS性能1、调整IIS缓存HKEY _ local _ machine systemcurrentscontrolsetservicesinetinframetesmemorycachesize记忆体快取记忆体大小的范围为0通道4GB，预设为(3MB)通常应将此值设置为最小服务器内存的10%。IIS缓存系统句柄、目录列表和其他常用数据的值，从而提高系统性能。此参数表示分配给高速缓存的内存量。值为0表示“不缓存”。这可能会降低系统的性能。如果服务器网络正在使用中，并且有足够的内存空间，则建议增加此值。修改注册表后，必须重新启动才能使新值生效。2、不要退出系统服务：“Protected Storage(保护存储)”3、访问流量限制(1)限制站点访问次数(2)站点带宽限制。保持HTTP连接。(3)流程限制，输入CPU的消耗率4、提高IIS的处理效率从弹出列表(“应用程序设置”中的“应用程序保护”下拉按钮)中选择“低(IIS进程)”选项，可以将IIS服务器处理程序的效率提高约20%。但是，此设置可能会导致严重的安全问题，因此不需要建议。5、将IIS服务器设置为单独的服务器(1)改进硬件配置以优化IIS性能硬盘：硬盘空间由NT和IIS服务使用。一种是简单地存储数据。另一种是用作虚拟内存。使用Ultra2中的SCSI硬盘驱动器可以显着提高IIS的性能(2) NT服务器上的页面交换文件可以分布在多个物理磁盘上。但是，分布在多个分区中的“物理磁盘”无效。此外，不要将页面交换文件放在与WIndows NT引导区域相同的分区中(3)使用磁盘镜像或磁盘带集可以提高磁盘的读取性能(4)建议将所有数据存储在单独的分区中。然后定期运行磁盘碎片整理程序，以确保存储web服务器数据的分区没有碎片。使用NTFS有助于减少碎片。建议使用Norton的Speeddisk快速整理NTFS分区。6、以HTTP压缩开始HTTP压缩是一种在web服务器和浏览器之间传输压缩文本内容的方法。HTTP压缩使用通用压缩算法(如gzip)压缩HT