6．目录文件权限

　　为了控制好服务器上用户的权限，同时也为了预防以后可能的入侵和溢出，我们必须设置目录和文件的访问权限。Windows NT的访问权限分为读取，写入，执行，修改列目录，完全控制。设置的时候注意以下原则：

　　1>权限是累计的：如果一个用户同时属于两个组，那么他就有了这两个组所允许的所有权限；

　　2>拒绝的权限要比允许的权限高（拒绝策略会先执行）如果一个用户属于一个被拒绝访问某个资源的组，那么不管其他的权限设置给他开放了多少权限，他也一定不能访问这个资源，所以请非常小心的设置，任何一个不当的拒绝都可能导致系统无法正常运行。

　　3>文件权限比文件夹权限高。

　　4>利用用户组来进行权限控制是一个成熟的系统管理员必须具有的优良习惯之一；

　　5>仅给用户真正需要的权限，权限的最小化原则是安全的重要保障；

　　7．停掉所有不必要的服务

　　可以参考该方面的文章，根据自己的需要进行修改，本人仅列举两个危险服务：

task schulder和lanmanserver 这两个都比较危险，除非有特殊需要，否则停了他们。

　　三，Unix类系统的安装和配置

　　Unix在网络服务器中具有很重要的意义，一般的菜鸟级的黑客的攻击对于这类系统是没有太大的危害的，因为Unix毕竟不为大多数人掌握。

　　下面主要以linux为例说明

　　安装，首先隔离网络进行系统安装，选择custom方式，安装你的软件包。

　　硬盘分区，如果用root分区记录数据，如log文件和email就可能因为拒绝服务产生大量的日志和垃圾邮件，导致系统崩溃，所以建议为/var单独的建立分区，用来存放日志和email,避免root分区溢出。同时例如/hoMe之类的文件也建议单独分区。以下是分区建议：

/ root

/var log

/swap swap

/hoMe

　　当安装好后，及时打上安全补丁。防止因自己的疏忽给系统留下安全隐患。

　　关闭服务

　　默认的linux就是一个强大的系统，运行了很多的服务。但，有许多服务是不需要的，很容易引起安全风险。第一个文件是/etc/inetd.conf，它制定了/usr/sbin/inetd将要监听的服务，你可能只需要其中的两个：telnet和ftp，其他的许多如popd,imapd和rsh都是有可能引发安全问题的。用下面的命令显示没有被注释掉的服务：

suneagle# grep -v "#" /etc/inetd.conf

ftp stream tcp nowait root /usr/sbin/tcpd in.ftpd -l -a

telnet stream tcp nowait root /usr/sbin/tcpd in.telnetd

shell stream tcp nowait root /usr/sbin/tcpd in.rshd

login stream tcp nowait root /usr/sbin/tcpd in.rlogind

talk dgram udp wait nobody.tty /usr/sbin/tcpd in.talkd

NTalk dgram udp wait nobody.tty /usr/sbin/tcpd in.NTalkd

pop-3 stream tcp nowait root /usr/sbin/tcpd ipop3d

imap stream tcp nowait root /usr/sbin/tcpd imapd

finger stream tcp nowait nobody /usr/sbin/tcpd in.fingerd

linuxconf stream tcp wait root /bin/linuxconf linuxconf --http

exec stream tcp nowait root /bin/sh sh -i