服务器日常维护.docx

《服务器日常维护.docx》由会员分享，可在线阅读，更多相关《服务器日常维护.docx（18页珍藏版）》请在第壹文秘上搜索。

1、Web效劳器的日常维护是网管的一项重要工作,主要工作有：入侵检测、数据备份、效劳器优化、罕见故障处置以及日志安插等一系统日常维护,效劳器治理工作必需标准严谨.一、入侵检测和数据备份之巴公井开创作时间：二。二一年七月二十九日（一）入侵检测工作作为效劳器的日常治理,入侵检测是一项非常重要的工作，在平常的检测过程中，主要包括日常的效劳器平安例行检查和遭到入侵时的入侵检查,也就是分为在入侵进行时的平安检查和在入侵前后的平安检查.系统的平安性遵循木桶原理,木桶原理指的是：一个木桶由许多块木板组成，如果组成木桶的这些木板长短纷歧,那么这个木桶的最年夜容量不取决于长的木板，而取决于最短的那块木板.应用到平安

2、方面也就是说系统的平安性取决于系统中最懦弱的处所,这些处所是日常的平安检测的重点所在.日常的平安检测日常平安检测主要针对系统的平安性,工作主要依照以下步伐进行:1、检查效劳器状态：翻开进程治理器,检查效劳器性能,观察CPU和内存使用状况.检查是否有CPU和内存占用过高等异常情况.2、检查以后进程情况切换“任务治理器到进程,查找有无可疑的应用法式或后台进程在运行.用进程治理器检查进程时里面会有一项taskmgr,这个是进程治理器自身的进程.如果正在运行windows更新会有一项wuauclt.exe进程,对拿禁绝的进程或者说不知道是效劳器上哪个应用法式开启的进程,可以在网络上搜索一下该进程名加以

3、确定进程知识库：/dofile/.通常的后门如果有进程的话,一般会取一个与系统进程类似的名称,如SVChOSt.exe,此时要仔细分辨通常迷惑手段是变字母。为数字0,变字母1为数字13、检查系统帐号翻开计算机治理,展开本地用户和组选项,检查组选项,检查administrators组是否添加有新帐号,检查是否有克隆帐号.4、检查以后端口开放情况使用activeport,检查以后的端口连接情况,尤其是注意与外部连接着的端口情况,看是否有未经允许的端口与外界在通信.如有,立即关闭该端口并记录下该端口对应的法式并记录,将该法式转移到其他目录下存放以便后来分析.翻开计算机治理=?软件环境=?正在运行任务

4、在此处可以检查进程治理器中看不到的隐藏进程,检查以后运行的法式,如果有不明法式,记录下该法式的位置,翻开任务治理器结束该进程,对采纳了守护进程的后门等法式可检验测试结束进程树,如仍然无法结束,在注册表中搜索该法式名，删除失落相关键值,切换到平安模式下删除失落相关的法式文件.5、检查系统效劳运行services,msc,检查处于已启动状态的效劳,检查是否有新加的未知效劳并确定效劳的用途.对不清楚的效劳翻开该效劳的属性,检查该效劳所对应的可执行文件是什么，如果确定该文件是系统内的正常使用的文件,可粗略放过.检查是否有其他正常开放效劳依存在该效劳上,如果有,可以粗略的放过.如果无法确定该执行文件是否

5、是系统内正常文件而且没有其他正常开放效劳依存在该效劳上,可暂时停止失落该效劳，然后测试下各种应用是否正常.对一些后门由于采纳了hook系统APl技术,添加的效劳工程在效劳治理器中是无法看到的，这时需要翻开注册表中的HKEY_LOCAL_MACHINESYSTEMCurrentControlSet一Services项进行查找,通过检查各效劳的名称、对应的执行文件来确定是否是后门、木马法式等.6、检查相关日志运行eventvwr.msc,粗略检查系统中的相关日志记录.在检查时在对应的日志记录上点右键选“属性，在“筛选器中设置一个日志筛选器，只选择毛病、警告,检查日志的来源和具体描述信息.对呈现的毛

6、病如能在效劳器罕见故障排除中找到解决法子那么依照该法子处置该问题，如果无解决法子那么记录下该问题，详细记录下事件来源、ID号和具体描述信息，以便找到问题解决的法子.7、检查系统文件主要检查系统盘的exe和dl1文件,建议系统装置完毕之后用dir*.exe/s1txt将C盘所有的exe文件列表保管下来,然后每次检查的时候再用该命令生成一份那时的列表,用fc比力两个文件,同样如此针对dll文件做相关检查.需要注意的是打补钉或者装置软件后重新生成一次原始列表.检查相关系统文件是否被替换或系统中是否被装置了木马后门等恶意法式.需要时可运行一次杀毒法式对系统盘进行一次扫描处置.8、检查平安战略是否更改翻

7、开本地连接的属性,检查“惯例中是否只勾选了“TCP/IP协议，翻开“TCP/IP”协议设置,点“高级二二？选项，检查“讦平安机制是否是设定的IP战略,检查TCP/IP筛选允许的端口有没有被更改.翻开“治理工具二？“本地平安战略，检查目前使用的讦平安战略是否发生更改.9、检查目录权限重点检查系统目录和重要的应用法式权限是否被更改.需要检查的目录有c:;c:winnt;C:vinntsystem32;c:WinntSyStem32/inetsrv;cwinntsystem32/inetsrvdata;c:documentsandSettings;然后再检查serv-u装置目录，检查这些目录的权限是

8、否做过变更.检查system32下的一些重要文件是否更改正权限,包括：cmd,net,ftp,tftp,cacls等文件.10、检查启动项主要检查以后的开机自启动法式.可以使用AReporter来检查开机自启动的法式.发现入侵时的应对方法对即时发现的入侵事件，以下情况针对系统已遭受到破坏情况下的处置，系统未遭受到破坏或暂时无法觉察到破坏，先依照上述的检查步伐检查一遍后再酌情考虑以下方法.系统遭受到破坏后应立即采用以下方法：视情况严重决定处置的方式,是通过远程处置还是通过实地处置.如情况严重建议采纳实地处置.如采纳实地处置,在发现入侵的第一时间通知机房关闭效劳器,待处置人员赶到机房时断开网线，再

9、进入系统进行检查.如采纳远程处置,如情况严重第一时间停止所有应用效劳,更改IP战略为只允许远程治理端口进行连接然后重新启动效劳器，重新启动之后再远程连接上去进行处置，重启前先用AReporter检查开机自启动的法式.然后再进行平安检查.以下处置方法针对用户站点被入侵但未危及系统的情况，如果用户要求增强自己站点的平安性,可按如下方式加固用户站点的平安：站点根目录-一只给administrator读取权限,权限继承下去.WWWrOot给web用户读取、写入权限.高级里面有删除子文件夹和文件权限logfiles给system写入权限.database给Web用户读取、写入权限.高级里面没有删除子文件

10、夹和文件权限如需要进一步修改,可针对用户站点的特性对普通文件寄存目录如八51、js、图片文件夹只给读取权限,对asp等脚本文件给予上表中的权限.另外检查该用户站点对应的平安日志,找露马脚原因,协助用户修补法式漏洞.（二）数据备份和数据恢复数据备份工作年夜致如下：1、每月备份一次系统数据.2、备份系统后的两周单独备份一次应用法式数据,主要包括HS、SerV-U、数据库等数据.3、保证备份数据的平安,并分类放置这些数据备份.因根本上采纳的都是全备份方法,对数据的保管周期可以只保管该次备份和上次备份数据两份即可.数据恢复工作：1、系统解体或遇到其他不成恢复系统正常状态情况时，先对上次系统备份后发生的

11、一些更改事件如应用法式、平安战略等的设置做好备份,恢复完系统后再恢复这些更改.2、应用法式等犯错采纳最近一次的备份数据恢复相关内容.二、效劳器性能优化1、整理系统空间：删除系统备份文件,删除驱动备份,删除不用的输入法,删除系统的帮手文件,卸载不经常使用的组件.最小化C盘文件.2、性能优化：删除过剩的开机自动运行法式；减少预读取,减少进度条等候时间；让系统自动关闭停止响应的法式；禁用毛病陈述,但在发生严重毛病时通知；关闭自动更新,改为手动更新计算机；启用硬件和DireCtX加速；禁用关机事件跟踪；禁用配置效劳器向导；减少开机磁盘扫描等候时间；将处置器方案和内存使用都调到应用法式上；调整虚拟内存；

12、内存优化；修改cpu的二级缓存；修改磁盘缓存.IlS性能优化1、调整HS高速缓存HKEy_local_machineSystemcurrentcontroisetserviceslnetInfoParametersMemoryCaCheSizeMemoryCacheSize的范围是从0道4GB,缺省值为3072000(3MB).一般来说此值最小应设为效劳器内存的10%.IIS通过高速缓存系统句柄、目录列表以及其他经常使用数据的值来提升系统的性能.这个参数指明了分配给高速缓存的内存年夜小.如果该值为0,那就意味着“不进行任何高速缓存.在这种情况下系统的性能可能会降低.如果你的效劳器网络通讯繁忙,

13、而且有足够的内存空间，可以考虑增年夜该值.必需注意的是修改注册表后，需要重新启动才华使新值生效.2、不要关闭系统效劳：ProtectedStorage”3、对访问流量进行限制(1)对站点访问人数进行限制(2)站点带宽限制.坚持连接.(3)进程限制,输入CPU的耗用百分比4、提升HS的处置效率应用法式设置处的“应用法式呵护下拉按钮,从弹出的下拉列表中,选中“低C笈进程)选项,IIS效劳器处置法式的效率可以提升20%左右.但此设置会带来严重的平安问题,不值得推荐.5、将IlS效劳器设置为自力的效劳器U)提升硬件配置来优化HS性能硬盘：硬盘空间被NT和IlS效劳以如下两种方式使用：一种是简单地存储数

14、据；另一种是作为虚拟内存使用,如果使用Ultra2的SCSI硬盘,可以显著提升IIS的性能(2)可以把NT效劳器的页交换文件分布到多个物理磁盘上,注意是多个“物理磁盘，分布在多个分区上是无效的.另外,不要将页交换文件放在与windowsNT引导区相同的分区中(3)使用磁盘镜像或磁盘带区集可以提升磁盘的读取性能(4)最好把所有的数据都贮存在一个单独的分区里.然后按期运行磁盘碎片整理法式以保证在存储Web效劳器数据的分区中没有碎片.使用NTFS有助于减少碎片.推荐使用Norton的Speeddisk,可以很快的整理NTFS分区.6、起用压缩压缩是在Web效劳器和浏览器间传输压缩文本内容的方法.压缩

15、采纳通用的压缩算法如gzip等压缩HTML、Javascript或CSS文件.可使用pipeboost进行设置.7、起用资源回收使用IIS5Recycle按时回收进程资源.三、效劳器罕见故障排除1、ASP”请求的资源正在使用中的解决法子：该问题一般与杀毒软件有关,在效劳器上装置个人版杀毒软件所致.呈现这种毛病可以通过卸载杀毒软件解决，也可检验考试重新注册VbScript.dll和jscript.dll来解决,在命令行下运行：regsvr32vbscript.dll和regsvr32jscript.dll即可.2、ASP500毛病解决法子：首先确定该问题是否是单一站点存在还是所有站点存在，如果是单一站点存在该问题,那么是网站法式的问题，可翻开该站点的毛病提示,把IE的“显示友好毛病信息取消,检查具体毛病信息,然后对应修改相关法式.如是所有站点存在该问题,而且HTML页面没有呈现该问题，相关日志呈现“效劳器无法加载应用法式LMW3SVC1RooT.毛病是不支持此接口.那十有八九是效劳器系统中的ASP相关组件呈现了问题,重新启动US效劳,检验测试是否可以解决该问题,无法解决重新启动系统检验测试是否可解决该问题,如无法解决可重新修复一下ASP组件：首先删除com组件中的关于IIS的三个工具,需要先将属性里的高级中“禁止删除的勾选取消.