Archive for 八月, 2008


SQL Server防范措施

1. 确认已经安装了NT/2000和SQL Server的最新补丁程序,不用说大家应该已经安装好了,但是我觉得最好还是在这里提醒一下。  

2. 评估并且选择一个考虑到最大的安全性但是同时又不影响功能的网络协议。 多协议是明智的选择, 但是它有时不能在异种的环境中使用。  

3. 给 "sa" 和 "probe" 帐户设定强壮的密码来加强其安全性。设定一个强壮的密码并将其保存在一个安全的地方。 注意: probe帐户被用来进行性能分析和分发传输。 当在标准的安全模态中用的时候 , 给这个帐户设定高强度的密码能影响某些功能的使用。  

4. 使用一个低特权用户作为 SQL 服务器服务的查询操作账户,不要用 LocalSystem 或sa。 这个帐户应该有最小的权利 ( 注意作为一个服务运行的权利是必须的)和应该包含( 但不停止)在妥协的情况下对服务器的攻击。 注意当使用企业管理器做以上设置时 , 文件,注册表和使用者权利上的 ACLs同时被处理。  

5. 确定所有的 SQL 服务器数据,而且系统文件是装置在 NTFS 分区,且appropraite ACLs 被应用。 如果万一某人得到对系统的存取操作权限,该层权限可以阻止入侵者破坏数据,避免造成一场大灾难。  

6.如果不使用Xp_cmdshell就关掉。 如果使用 SQL 6.5, 至少使用Server Options中的SQLExecutieCmdExec 账户操作限制非sa用户使用XP_cmdshell.  
在任何的 isql/ osql 窗口中( 或查询分析器):  
use master  
exec sp_dropextendedproc‘xp_cmdshell‘  
对 SQLExecutiveCmdExec 的详细情况请查看下列文章:  
http://support.microsoft.com/support/kb/article/Q159/2/21.  
如果你不需要 xp_cmdshell 那请停用它。请记住一个系统系统管理员如果需要的话总是能把它增加回来。这也好也不好 – 一个侵入者可能发现它不在,只需要把他加回来。考虑也除去在下面的 dll但是移除之前必须测试因为有些dll同时被一些程序所用。 要找到其他的程序是否使用相同的 dll:  
首先得到该 dll 。  
select o.name,c.text from dbo.syscomments c , dbo.sysobjects o where c.id=o.id and o.name=‘xp_cmdshell‘  
其次,使用相同的 dll发现其他的扩展储存操作是否使用该dll。  
select o.name,c.text from dbo.syscomments c , dbo.sysobjects o where c.id=o.id and c.text=‘xplog70.dll‘  
用户可以用同样的办法处理下面步骤中其他你想去掉的进程。  

7. 如不需要就停用对象连接与嵌入自动化储存程序 ( 警告 – 当这些储存程序被停用的时候 , 一些企业管理器功能可能丢失). 这些包括:  
Sp_OACreate  
Sp_OADestroy  
Sp_OAGetErrorInfo  
Sp_OAGetProperty  
Sp_OAMethod  
Sp_OASetProperty  
Sp_OAStop  
如果你决定停用该进程那么请给他们写一个脚本这样在以后你用到他们的时候你能够把他们重新添加回来 。 记住, 我们在这里正在做的是锁定一个应用程序的功能 – 你的开发平台应该放到其他机器上。  

8. 禁用你不需要的注册表存取程序。(同上面的警告)这些包括:  
Xp_regaddmultistring  (向注册表中增加项目)
Xp_regdeletekey  (从注册表中删除一个键)
Xp_regdeletevalue  (从注册表中删除一个键值)
Xp_regenumvalues  (列举主键下的键值)
Xp_regremovemultistring  (从注册表中删除项目)
注意 :我过去一直在这里列出 xp_regread (读取一个主键下的键值)/ xp_regwrite (向注册表中写入数据)但是这些程序的移除影响一些主要功能包括日志和SP的安装,所以他们的移除不被推荐。  

9.移除其他你认为会造成威胁的系统储存进程。 这种进程是相当多的,而且他们也会浪费一些cpu时间。 小心不要首先在一个配置好的服务器上这样做。首先在开发的机器上测试,确认这样不会影响到任何的系统功能。在下面是我们所推荐的有待你评估的一些列表:  
sp_sdidebug  
xp_availablemedia  
xp_cmdshell  
xp_deletemail  
xp_dirtree  
xp_dropwebtask  
xp_dsninfo  
xp_enumdsn  
xp_enumerrorlogs  
xp_enumgroups  
xp_enumqueuedtasks  
xp_eventlog  
xp_findnextmsg  
xp_fixeddrives  
xp_getfiledetails  
xp_getnetname  
xp_grantlogin  
xp_logevent  
xp_loginconfig  
xp_logininfo  
xp_makewebtask  
xp_msver xp_perfend  
xp_perfmonitor  
xp_perfsample  
xp_perfstart  
xp_readerrorlog  
xp_readmail  
xp_revokelogin  
xp_runwebtask  
xp_schedulersignal  
xp_sendmail  
xp_servicecontrol  
xp_snmp_getstate  
xp_snmp_raisetrap  
xp_sprintf  
xp_sqlinventory  
xp_sqlregister  
xp_sqltrace  
xp_sscanf  
xp_startmail  
xp_stopmail  
xp_subdirs  
xp_unc_to_drive  
xp_dirtree  

10. 在企业管理器中"安全选项" 之下禁用默认登录。(只有SQL 6.5) 当使用整合的安全时候,这使未经认可的不在 syslogins 表中使用者无权登陆一个有效的数据库服务器。  

11. 除去数据库的guest账户把未经认可的使用者据之在外。 例外情况是master和 tempdb 数据库,因为对他们guest帐户是必需的。  

12. 若非必须,请完全地禁用SQL邮件功能。它的存在使潜在的攻击者递送潜在的 trojans ,病毒或是简单实现一个DOS攻击成为可能  

13. 检查master..Sp_helpstartup看有无可疑的木马进程。 确定没有人已经在这里放置秘密的后门程序。 使用 Sp_unmakestartup 移除任何可疑进程。  

14. 检查master..Sp_password看有无trojan代码。比较你的产品scripts和一个新安装的系统的默认scripts而且方便的保存。  

15. 记录所有的用户存取访问情况。 从企业管理器做这些设定或通过以sa登陆进入查询分析器的下列各项:  
xp_instance_regwrite N‘HKEY_LOCAL_MACHINE‘, N‘SOFTWARE MicrosoftMSSQLServerMSSQLServer‘,N‘AuditLevel‘,REG_DWORD,3  

16. 重写应用程序使用更多用户定义的储存和察看进程所以一般的对表的访问可以被禁用。 在这里你也应该看到由于不必经常进行查询计划操作而带来的性能提升。  

17. 除去不需要的网络协议。  

18. 注意SQL 服务器的物理安全。把它锁在固定的房间里,并且注意钥匙的安全。只要有机会到服务器面前,就总是会找到一个方法进入。  

19. 建立一个计划的任务运行:  
findstr/C:" Login Failed"mssql7log*.*‘  

然后再重定向输出到一个文本文件或电子邮件,因此你监测失败的登录尝试。这也为系统管理员提供一个好的记录攻击的方法。 也有很多用来分析NT日志事件的第三者工具。 注意: 你可能需要将路径换成你安装SQL的路径。  

20. 设定非法访问和登陆失败日志警报。到 企业管理器中的"Manager SQL Server Messages "搜寻任何有关无权访问的消息 ( 从查找"login failed"和"denied"开始). 确定你所有感兴趣的信息被记录到事件日志。然后在这些信息上设定警报 , 发送一个电子邮件或信息到一个能够对问题及时响应的操作员。  

21. 确定在服务器和数据库层次上的角色都只被授给了需要的用户。 当 SQL Server 安全模型 7 有许多增强的时候, 它也增加额外的许可层,我们必须监控该层,确定没有人被授予了超过必需的权限。  

22. 经常检查组或角色全体会员并且确定用组分配权限,这样你的审计工作能够简化。 确定当你在的时候 , 公众的组不能从系统表执行选择操作。  

23. 花些时间审计用空密码登陆的请求。 使用下面的代码进行空密码检查:  
使用主体  
选择名字,  
password  
from syslogins  
where password is null  
order by name  

24. 如果可能,在你的组织中利用整合的安全策略。 通过使用整合的安全策略,你能够依赖系统的安全,最大简化管理工作从维护二个分开的安全模型中分离开来。这也不让密码接近连接字串。  

25. 检查所有非sa用户的存取进程和扩充存储进程的权限。 使用下面的查询定期的查询哪一个进程有公众存储权限。(在SQL Server中 使用 "type" 而不是 "xtype"):  
Use master  
select sysobjects.name  
from sysobjects,sysprotects  
where sysprotects.uid=0  
AND xtype 在 (‘X‘,‘P‘)  
AND sysobjects.id=sysprotects.id  
Order by name  

26. 当时用企业管理器的时候,使用整合的安全策略。 过去,企业管理器被发现在标准的安全模态中储存 "sa" 密码在注册表的 plaintext 中。 注意: 即使你改变模态,密码也会留在注册表中。 使用 regedit 而且检查键:  
HKEY_CURRENT_USERSOFTWAREMicrosoftMSSQLServerSQLEW RegediSQL 6.5  
现在数据被隐藏在  
HKEY_USERS{yourSID}softwareMicrosoftMicrosoft SQL server80toolSQLEWregistered server XSQL server group  
("SQL server组" 是默认值但是你可能已建立用户组因此相应地改变其位置)  

27. 发展一个审核计划而且订定每月的安全报告,对IT主管可用的报表包括任何的新exploit,成功的攻击 , 备份保护 , 和对象存取失败统计。  

28. 不要允许使用者交互式登陆到 SQL Server之上。这个规则适用任何的服务器。 一旦一个使用者能够交互式进入一个服务器之内,就有能用来获得管理员的存取特权得到管理员权限。  

30. 尽力限制对SQL Server的查询与存取操作。 用户可以用最小权限查询sql server中的很多东西。若非必须不要给他们机会。

软件配置:

httpd-2.0.52-28.ent.centos4

php-4.3.9-3.15

1、开启安全模式(做为商业应用的服务器不建议开启)

复制内容到剪贴板

代码:

#vi /usr/local/Zend/etc/php.ini            (没装ZO时php.ini文件位置为:/etc/php.ini)

safe_mode = On

2、锁定PHP程序应用目录

复制内容到剪贴板

代码:

#vi /etc tpd/conf.d irtualhost.conf

加入

php_admin_value open_basedir /home/*** (***为站点目录)

3、千万不要给不必要的目录给写权限,也就是777权限,根目录保持为711权限,如果不能运行PHP请改为755

4、屏蔽PHP不安全的参数(webshell)

复制内容到剪贴板

代码:

#vi /usr/local/Zend/etc/php.ini           (没装ZO时php.ini文件位置为:/etc/php.ini)

disable_functions = system,exec,shell_exec,passthru,popen

以下为我的服务器屏蔽参数:

复制内容到剪贴板

代码:

disable_functions = passthru,exec,shell_exec,system,set_time_limit,ini_alter,dl,

pfsockopen,openlog,syslog,readlink,symlink,link,leak,fsockopen,popen,escapeshell

cmd,error_log

  一般来说,免费信箱一次只能申请一个,再有其他需要就只能再申请另外一个,但这样一来你就需要同时管理多个信箱,要记录多个账户,这种方式对于用浏览器收信的用户尤其不方便,需要多次登录、注销。Gmail可以很好解决这个问题:

  假设你有四种不同的联系人:稿件作者、女朋友、同学、同事,你不希望他们的信混在一起,你不必申请4个信箱,只需申请一个信箱,比如DEF@gmail.com。然后分别在“@”之前加上一个“+”和一个名字,组成一个新的信箱,如DEF+article@gmail.comDEF+GF@gmail.comDEF+mates@gmail.com……把这些新信箱的告诉不同的人,让他们寄信就行了。

  Gmail会忽略用户名中"+"以及后面的部分,所以实际上这些信还会寄到DEF@gmail.com。在“设置→标签”中分别为这几种人添加标签,用来分类。在“设置→过滤器”中添加过滤器,条件为收件人是DEF+article@gmail.com,按“下一步”,为它选择上一步建立的标签—“稿件”,然后完成设置。同样方法设置另外三种联系人之后,就可以点击左侧的标签来查看相关信件,一点也不会混淆了。

1.网站同步的数据分类

网站数据基本分为两类:

一类是文件,比如HTML,ASP,PHP等网页文件,或者RAR,ZIP,RM,AVI等可下载文件!

要实现他们的同步很简单,用FTP同步软件就可以了!至于哪几个我会在后面做详细介绍.

一类是数据库数据文件,比如MySQL,SQL Server等等,数据库同步的方法也很多,最简单的办法只是将数据库目录同步一下就OK了! 在后面我也会做详细讲解!

2.网站文件的同步

在这里用到的主要工具就是FTP,网站文件同步分两种情况,一种是本地到远程,一种是远程到远程(FXP)!第一种不用说了,第二种远程到远程即FXP,支持它的软件也很多,但是真正适合多网站同步镜像的却不多!

下面我介绍几个我认为不错的软件!(PS:如果熟悉FTP命令,完全可以自己制作一个批处理文件时间的)

1.首先我要推荐的是国产的FTP软件”网络传神”,功能非常强大,特别是在网站的同步镜像方面,可惜的是,这款非常经典的软件已经不再更新了,最后更新时间是2003年3月,最后一个版本是3.12!虽然如此还是非常好用的!下面是一段官方的简介:

网络传神完全吸收了Cuteftp和UpdataNow的全部功能,并且增加了其他软件没有的多项功能:支持网站互传;支持网站同步(UPDATA NOW);支持后台上传(多线程上传多个文件);可同时打开多个站点;多站点计划上传功能,支持镜像站点;支持宏操作支持计划操作;支持文件高级比较上传;支持目录隐藏过滤(为用ForntPage作主页的朋友带来福音);服务器自动识别功能;资源管理器浏览方式;可以自定义命令;支持RFC959标准具有更好的稳定性;完备的信息返回机制及错误监控机制完整的中文帮助。

2.第二款是由ReGet同一开发公司制作的专用于网站同步的软件”WebSynchronizer”,用这款软件,你才会体验到网站同步的方便快捷,简单容易.最新版本是1.3.62, 网上能找到XX的最后版本是1.1版!下面是一段简介:

档案同步化工具 – WebSynchronizer,由知名续传软件 ReGet 之软件出版公司所推出,是网站同步化、档案镜像、档案备份的绝佳工具,可以执行下列主要工作:1) 本机资料夹及远程资料夹的同步化;2) 两台远程计算机中的资料夹同步化;3) 两个本机资料之同步化。 

3.其他还有一些软件如同步快梭(AutoSyncFTP),也能实现简单的网站同步,不过,这款软件非常不稳定,而且2001年就已经停止开发.所以,不用考虑了!还有上次有朋友提到的SiteMirro,由于网上找不到可以用的版本,所以没有办法测试!

4.网络传神网站同步镜像使用傻瓜指南

第一次运行网络传神的时候,它会让你选择”完全模式”和”启动模式”,要使用网站同步必须选择”完全模式”.

进入主界面:你会发现这个软件非常像FlashGet,要使用网站同步功能,点击软件左下角的”FTP客户端”.

现在你要做的就是添加你的镜像母站和需要镜像的网站:文件->站点管理,在里面添加你需要同步的几个的FTP服务器,下面我将介绍具体设置(主要是镜像母站的设置)

母站设置最重要的地方就是”比较目录(网站同步)”:

A.拖动传送:就是手动拖动传送时候的传送方式,非拖动方式不受影响,因为母站的更新基本上是从本地目录进行的,所以建议这里选择第二项”只上传不同的文件”,镜像站点这里可以忽略;B.磁盘比较设置:这个功能非常有用,可以通过文件长度和文件日期进行文件差异对比.

你还可以设置本地目录过滤和服务器目录过滤,非常灵活! 好了,添加好母站和镜像站之后,我们来设置同步:

如果是添加镜像站,则会跳出下面的母站选择窗口:

设置好多个镜像站点之后,返回主界面就可以进行网站同步了,

注意事项:

一般不要改动镜像站点前面的“对钩”标志,因为镜像站点同步的原理是“根据主站点的同步信息更新镜像站点”,如果景象站点没有更新那么必须将该镜像站点单独同步。

注意一般应该“选项窗口”-〉“FTP客户端”-〉“计划”中的“最大连接个数”和“最大线程个数”一般不要改动保持为“1”。

如果同步时某个站点出错同步没有完全完成只需按“计划”窗口中的 按钮单独执行某个站点的传送即可。

再介绍一下网站镜像同步中必要的功能,定时同步,这样你就只要做好母站的更新,其他的让网络传神帮你完成。

点击设置:

进入网络传神的选项设置窗口,选中FTP客户端中的定时同步

定时下载:在指定的时段内下载文件。

定时上传:在指定的时段内用网站同步的方法进行上传。

开始时间:如果要使用定时方式必须设置此项,在设置的时间中会自动开始所有设置为计划的站点。

停止时间:如果设置此项则当系统时间大于停止时间时自动停止所有设置为计划的站点。

注意:定时上传种没有“停止时间”选项,网站同步完成后会自动停止,同时网站同步同一时间只能运行一次。

网络传神还有很多为便于同步镜像设置的功能,大家实际使用中去体会吧!

5. Web Synchronizer 网站同步镜像使用傻瓜指南

Web Synchronizer功能非常强大,不单单是网站同步,还可以进行本地目录同步,本地到远程同步,功能方面远胜过传神,不过,国内好像没有汉化版,对于一些对英文感冒的朋友用起来会不太舒服,希望CCF里的汉化高手能将他中文化!

开始运行程序,老外的软件就是智能,一打开这个软件就会有一个同步向导跳出来!

在这里,你也看出来了吧,这个软件只支持两个目录间的同步.不过,我们可以创建多个项目来解决这个问题!具体我在后面介绍!这里,我们来看看如何建立两个远程目录的同步!

选择第二项,进入下一个选择框:

网站同步当然是选择第一项了!再进入下一步,要你选择同步的第一个服务器,建议在这里servers list,先编辑好需要同步的几个FTP。

同步方式设置说明:

第一项的意思是:上传下载所有改变的文件

第二项的意思是:不改变文件夹内容,只下载新的文件

点击下一步进行第二个服务器设置,方法和第一个一样! 设置完成后,你还可以修改任务名称! 我觉得这点就是这个软件非常优秀的地方,以任务的方式进行管理.非常方便! OK,现在我们就可以看到他的主界面了! 还有一点要提,他的计划任务更能也很强大,在这里我就不再多说了!用过才知道他的强大!

有朋友会说,我要进行两个以上的网站同步怎么办? 很简单,再多建几个任务就可以了,要镜像多少网站都没有问题!
这个软件的网站同步镜像可以非常灵活,比如可以本地-远程,然后再远程-远程!或者本地-远程1,本地-远程2,远程1-远程2,任何情形下的同步都可以完成! 

3.数据库同步操作指南

说完了文件同步,我们再来探讨一下数据库同步! 这里我主要教大家两种最常用的数据库的同步方法!

MySQL

MySQL数据同步主要有三种方式:

1.利用MySQL自身的数据库同步功能

2.利用MySQL数据库的特性(数据库存在固顶目录,并且以文件形式存储),进行数据库目录同步以达到数据同步目的

3.利用专用的MySQL数据库同步软件

1. 利用MySQL自身的数据库同步功能(下面参考自网上的文章,写的非常详细了)

MySQL从3.23.15版本以后提供数据库复制功能。利用该功能可以实现两个数据库同步,主从模式,互相备份模式的功能.

数据库同步复制功能的设置都在mysql的设置文件中体现。mysql的配置文件(一般是my.cnf),在unix环境下在/etc/mysql/my.cnf 或者在mysql用户的home目录下的my.cnf。

windows环境中,如果c:根目录下有my.cnf文件则取该配置文件。当运行mysql的winmysqladmin.exe工具时候,该工具会把c:根目录下的my.cnf 命名为mycnf.bak。并在winnt目录下创建my.ini。mysql服务器启动时候会读该配置文件。所以可以把my.cnf中的内容拷贝到my.ini文件中,用my.ini文件作为mysql服务器的配置文件。

设置范例环境:

操作系统:window2000 professional

mysql:4.0.4-beta-max-nt-log

A ip:10.10.10.22

B ip:10.10.10.53

A:设置

1.增加一个用户最为同步的用户帐号:

GRANT FILE ON *.* TO backup@’10.10.10.53′ IDENTIFIED BY ‘1234’

2.增加一个数据库作为同步数据库:

create database backup

B:设置

1.增加一个用户最为同步的用户帐号:

GRANT FILE ON *.* TO backup@’10.10.10.22′ IDENTIFIED BY ‘1234’

2.增加一个数据库作为同步数据库:

create database backup

主从模式:A->B

A为master

修改A mysql的my.ini文件。在mysqld配置项中加入下面配置:

以下为引用的内容:

       server-id=1

        log-bin

     #设置需要记录log 可以设置log-bin=c:mysqlbakmysqllog 设置日志文件的目录,
  #其中mysqllog是日志文件的名称,mysql将建立不同扩展名,文件名为mysqllog的几个日志文件。
  binlog-do-db=backup #指定需要日志的数据库
  重起数据库服务。
  用show master status 命令看日志情况。
  B为slave
  修改B mysql的my.ini文件。在mysqld配置项中加入下面配置:
  server-id=2
  master-host=10.10.10.22
  master-user=backup #同步用户帐号
  master-password=1234
  master-port=3306
  master-connect-retry=60 预设重试间隔60秒
  replicate-do-db=backup 告诉slave只做backup数据库的更新
  重起数据库
  用show slave status看同步配置情况。
  注意:由于设置了slave的配置信息,mysql在数据库目录下生成master.info
  所以如有要修改相关slave的配置要先删除该文件。否则修改的配置不能生效。
  双机互备模式。
  如果在A加入slave设置,在B加入master设置,则可以做B->A的同步。
  在A的配置文件中 mysqld 配置项加入以下设置:
  master-host=10.10.10.53
  master-user=backup
  master-password=1234
  replicate-do-db=backup
  master-connect-retry=10
  在B的配置文件中 mysqld 配置项加入以下设置:
  log-bin=c:mysqllogmysqllog
  binlog-do-db=backup
  注意:当有错误产生时*.err日志文件。同步的线程退出,当纠正错误后要让同步机制进行工作,运行slave start
  重起AB机器,则可以实现双向的热备。
  测试:
  向B批量插入大数据量表AA(1872000)条
  A数据库每秒钟可以更新2500条数据。 

2.数据库目录同步,方法和文件同步一样,设置好需要同步的两个数据库目录就可以了! 缺点很明显,数据同步只能单向进行,可以作为备份方案

3.用专用的MySQL同步软件进行同步

这方面的软件有SQLBalance 和MyReplicator ,优点是方便直观,还有很多争强功能! 缺点和2一样,只能单项同步!

当然你也可以修改镜像网站的程序为提交数据到母数据库,读取则在当前镜像下的数据,不过,修改起来麻烦!普通用户修改也非常难!呵呵,大家了解一下就可以!给大家一个思路!有能力的朋友可以试试阿!

MSSQL

MSSQL数据同步利用数据库复制技术实现数据同步更新(来自网络,也是非常完美的教程)

复制的概念 

复制是将一组数据从一个数据源拷贝到多个数据源的技术,是将一份数据发布到多个存储站点上的有效方式。使用复制技术,用户可以将一份数据发布到多台服务器上,从而使不同的服务器用户都可以在权限的许可的范围内共享这份数据。复制技术可以确保分布在不同地点的数据自动同步更新,从而保证数据的一致性。 

SQL复制的基本元素包括:出版服务器、订阅服务器、分发服务器、出版物、文章 
SQL复制的工作原理:SQL SERVER 主要采用出版物、订阅的方式来处理复制。源数据所在的服务器是出版服务器,负责发表数据。出版服务器把要发表的数据的所有改变情况的拷贝复制到分发服务器,分发服务器包含有一个分发数据库,可接收数据的所有改变,并保存这些改变,再把这些改变分发给订阅服务器 
SQL SERVER复制技术类型 :SQL SERVER提供了三种复制技术,分别是: 

1、快照复制(待会我们就使用这个) 

2、事务复制 

3、合并复制 

只要把上面这些概念弄清楚了那么对复制也就有了一定的理解。接下来我们就一步一步来实现复制的步骤。 

第一先来配置出版服务器 

(1)选中指定[服务器]节点 

(2)从[工具]下拉菜单的[复制]子菜单中选择[发布、订阅服务器和分发]命令 

(3)系统弹出一个对话框点[下一步]然后看着提示一直操作到完成。 

(4)当完成了出版服务器的设置以后系统会为该服务器的树形结构中添加一个复制监视器。同时也生成一个分发数据库(distribution) 

第二创建出版物 

(1)选中指定的服务器 

(2)从[工具]菜单的[复制]子菜单中选择[创建和管理发布]命令。此时系统会弹出一个对话框 

(3)选择要创建出版物的数据库,然后单击[创建发布] 

(4)在[创建发布向导]的提示对话框中单击[下一步]系统就会弹出一个对话框。对话框上的内容是复制的三个型。我们现在选第一个也就是默认的快照发布(其他两个大家可以去看看帮助) 

(5)单击[下一步]系统要求指定可以订阅该发布的数据库服务器类型,SQLSERVER允许在不同的数据库如 ORACLE或ACCESS之间进行数据复制。但是在这里我们选择运行"SQL SERVER 2000"的数据库服务器 

(6)单击[下一步]系统就弹出一个定义文章的对话框也就是选择要出版的表 

(7)然后[下一步]直到操作完成。当完成出版物的创建后创建出版物的数据库也就变成了一个共享数据库。 

第三设计订阅 

(1)选中指定的订阅服务器 

(2)从[工具]下拉菜单中选择[复制]子菜单的[请求订阅] 

(3)按照单击[下一步]操作直到系统会提示检查SQL SERVER代理服务的运行状态,执行复制操作的前提条件是SQL SERVER代理服务必须已经启动。 

(4)单击[完成]。完成订阅操作。 

完成上面的步骤其实复制也就是成功了。但是如何来知道复制是否成功了呢?这里可以通过这种方法来快速看是否成功。展开出版服务器下面的复制——发布内容——右键发布内容——属性——击活——状态然后点立即运行代理程序接着点代理程序属性击活调度把调度设置为每一天发生,每一分钟,在0:00:00和23:59:59之间。接下来就是判断复制是否成功了打开C:Program FilesMicrosoft SQL/ServerMSSQLREPLDATAuncXIAOWANGZI_database_database下面看是不是有一些以时间做为文件名的文件夹差不多一分中就产生一个。要是你还不信的话就打开你的数据库看在订阅的服务器的指定订阅数据库下看是不是看到了你刚才所发布的表— 

一个手工同步的方案 

–定时同步服务器上的数据 

–例子: 

–测试环境,SQL Server2000,远程服务器名:xz,用户名为:sa,无密码,测试数据库:test 

–服务器上的表(查询分析器连接到服务器上创建) 

以下为引用的内容:

create table [user](id int primary key,number varchar(4),name varchar(10)) 

go 
–以下在局域网(本机操作) 
–本机的表,state说明:null 表示新增记录,1 表示修改过的记录,0 表示无变化的记录 
if exists (select * from dbo.sysobjects where id = object_id(N'[user]’) and OBJECTPROPERTY(id, N’IsUserTable’) = 1) 
drop table [user] 
GO 
create table [user](id int identity(1,1),number varchar(4),name varchar(10),state bit) 
go 
–创建触发器,维护state字段的值 
create trigger t_state on [user] 
after update 
as 
update [user] set state=1 
from [user] a join inserted b on a.id=b.id 
where a.state is not null 
go 
–为了方便同步处理,创建链接服务器到要同步的服务器 
–这里的远程服务器名为:xz,用户名为:sa,无密码 
if exists(select 1 from master..sysservers where srvname=’srv_lnk’) 
exec sp_dropserver ‘srv_lnk’,’droplogins’ 
go 
exec sp_addlinkedserver ‘srv_lnk’,",’SQLOLEDB’,’xz’ 
exec sp_addlinkedsrvlogin ‘srv_lnk’,’false’,null,’sa’ 
go 
–创建同步处理的存储过程 
if exists (select * from dbo.sysobjects where id = object_id(N'[dbo].[p_synchro]’) and OBJECTPROPERTY(id, N’IsProcedure’) = 1) 
drop procedure [dbo].[p_synchro] 
GO 
create proc p_synchro 
as 
–set XACT_ABORT on 
–启动远程服务器的MSDTC服务 
–exec master..xp_cmdshell ‘isql /S"xz" /U"sa" /P"" /q"exec master..xp_cmdshell “net start msdtc",no_output"’,no_output 
–启动本机的MSDTC服务 
–exec master..xp_cmdshell ‘net start msdtc’,no_output 
–进行分布事务处理,如果表用标识列做主键,用下面的方法 
–BEGIN DISTRIBUTED TRANSACTION 
–同步删除的数据 
delete from srv_lnk.test.dbo.[user] 
where id not in(select id from [user]) 
–同步新增的数据 
insert into srv_lnk.test.dbo.[user] 
select id,number,name from [user] where state is null 
–同步修改的数据 
update srv_lnk.test.dbo.[user] set 
number=b.number,name=b.name 
from srv_lnk.test.dbo.[user] a 
join [user] b on a.id=b.id 
where b.state=1 
–同步后更新本机的标志 
update [user] set state=0 where isnull(state,1)=1 
–COMMIT TRAN 
go 
–创建作业,定时执行数据同步的存储过程 
if exists(SELECT 1 from msdb..sysjobs where name=’数据处理’) 
EXECUTE msdb.dbo.sp_delete_job @job_name=’数据处理’ 
exec msdb..sp_add_job @job_name=’数据处理’ 
–创建作业步骤 
declare @sql varchar(800),@dbname varchar(250) 
select @sql=’exec p_synchro’ –数据处理的命令 
,@dbname=db_name() –执行数据处理的数据库名 
exec msdb..sp_add_jobstep @job_name=’数据处理’, 
@step_name = ‘数据同步’, 
@subsystem = ‘TSQL’, 
@database_name=@dbname, 
@command = @sql, 
@retry_attempts = 5, –重试次数 
@retry_interval = 5 –重试间隔 
–创建调度 
EXEC msdb..sp_add_jobschedule @job_name = ‘数据处理’, 
@name = ‘时间安排’, 
@freq_type = 4, –每天 
@freq_interval = 1, –每天执行一次 
@active_start_time = 00000 –0点执行 
go

客户有一个跑了3年多的组装pc服务器, 1.5G内存,p4 2.8G cpu,apache2.28+mod_php+mysql。95%的页面是静态页,每天大约有各类http请求500-1000万个(包括html,js,css,jpg,gif,php等)。启用了gzip压缩,大部分时间负载在1.0以下,但是偶尔会暴涨,导致死机,严重情况一天down机N次。一直没找到原因,可能是服务器不行了。 正好想测试一下nginx + php-fastcgi 性能,也许能行。 说干就干,看了一些nginx文档,开始实施了。过程如下:

安装php最新版,直接用自带的fastcgi模式:
./configure –prefix=/usr/local/php526cgi –with-mysql=/usr/local/mysql –with-zlib=/usr/local/src/zlib –with-gd –with-freetype-dir=/usr/local/src/freetype –with-jpeg-dir=/usr/local/src/jpeg/lib –enable-gd-native-ttf –with-png-dir=/usr/local/src/libpng –enable-exif –enable-ftp –with-curl –enable-mbstring=all –enable-force-cgi-redirect –enable-zip –enable-zend-multibyte  –enable-fastcgi

make
make install

由于已经是有php环境了,zlib等组件早已安装好。我只需要–enable-fastcgi就ok了。 php搞定!

mysql不动它,继续用。

执行php-fastcgi:

我们可以利用Lighttpd的spawn-fcgi来控制cgi进程的运行。获得spawn-fcgi的方法如下:

wget http://www.lighttpd.net/download/lighttpd-1.4.18.tar.bz2 #获取Lighttpd的源码包
tar -xvjf lighttpd-1.4.18.tar.bz2
cd lighttpd-1.4.18
./configure –prefix=/usr/local/lighttpd
make
cp src/spawn-fcgi /usr/local/nginx/bin/spawn-fcgi #取出spawn-fcgi的程序
下面我们就可以使用 spawn-fcgi 来控制php-cgi的FastCGI进程了

/usr/local/nginx/bin/spawn-fcgi -a 127.0.0.1 -p 9000 -C 32 -u nobody -g nobody -f /usr/local/php526cgi/bin/php-cgi

好了,搞定。继续。

安装nginx:
./configure –user=nobody –group=nobody –prefix=/usr/local/nginx –with-http_stub_status_module

make
make install

strip /usr/local/nginx/sbin/nginx 可以压缩执行文件,节约内存

制作nginx启动脚本:
vi /usr/local/nginx/bin/mynginx

#!/bin/bash
case $1 in
start)
        /usr/local/nginx/sbin/nginx
;;
stop)
        killall -9 nginx
;;
test)
        /usr/local/nginx/sbin/nginx -t -c /usr/local/nginx/conf/nginx.conf
;;
restart)
        ps auxww | grep nginx | grep master | awk ‘{print $2}’ | xargs kill -HUP
;;
show)
        ps -aux|grep nginx
;;
esac

用法一看就知道了。设置nginx的配置文件,这个网上一大把,不重复了。有需要的可以上 http://nginx.myhbcms.cn/ 找找

将apache的httpd.conf里面的虚拟主机配置转到nginx里去,由于有几十个虚拟主机,这个花了我好几个小时的时间。

额外插曲:由于使用了apache的mod_vhosts虚拟主机模块,nginx没找到对应的功能模块,不得以,只好继续在8081端口开着apache,用nginx的proxy来反向代理。举例:
        server {
                listen 80;
                server_name *.hbcms.com *.myhbcms.cn;

                location / {
                    proxy_pass http://127.0.0.1:8081/;  // 这是apache运行的端口
                    proxy_set_header   Host             $host;
                    proxy_set_header   X-Real-IP        $remote_addr;
                    proxy_set_header   X-Forwarded-For  $proxy_add_x_forwarded_for;

                }
        }

大致过程就是这样了,希望对你有所帮助。 至于这个服务器性能会如何,运行一段时间才知道。理论上来说nginx应该会比apache资源占用上小很多。

  1、用户名与口令被破解

  攻击原理:用户名与口令,往往是黑客们最感兴趣的东西,如果被通过某种方式看到源代码,后果是严重的。

  防范技巧:涉及用户名与口令的程序最好封装在服务器端,尽量少在ASP文件里出现,涉及与数据库连接的用户名与口令应给予最小的权限。出现次数多的用户 名与口令可以写在一个位置比较隐蔽的包含文件中。如果涉及与数据库连接,在理想状态下只给它以执行存储过程的权限,千万不要直接给予该用户修改、插入、删 除记录的权限。

  2、验证被绕过

  攻击原理:现在需要经过验证的ASP程序大多是在页面头部加一个判断语句,但这还不够,有可能被黑客绕过验证直接进入。

  防范技巧:需要经过验证的ASP页面,可跟踪上一个页面的文件名,只有从上一页面转进来的会话才能读取这个页面。

  3、inc文件泄露问题

  攻击原理:当存在ASP的主页正在制作且没有进行最后调试完成以前,可以被某些搜索引擎机动追加为搜索对象。如果这时候有人利用搜索引擎对这些网页进行查找,会得到有关文件的定位,并能在浏览器中查看到数据库地点和结构的细节,并以此揭示完整的源代码。

  防范技巧:程序员应该在网页发布前对它进行彻底的调试;安全专家则需要加固ASP文件以便外部的用户不能看到它们。首先对.inc文件内容进行加密,其 次也可以使用.asp文件代替.inc文件使用户无法从浏览器直接观看文件的源代码。inc文件的文件名不要使用系统默认的或者有特殊含义容易被用户猜测 到的名称,尽量使用无规则的英文字母。

  4、自动备份被下载

  攻击原理:在有些编辑ASP程序的工具中,当创建或者 修改一个ASP文件时,编辑器自动创建一个备份文件,比如:UltraEdit就会备份一个.bak文件,如你创建或者修改了some.asp,编辑器会 自动生成一个叫some.asp.bak文件,如果你没有删除这个bak文件,攻击者可以直接下载some.asp.bak文件,这样some.asp的 源程序就会被下载。

  防范技巧:上传程序之前要仔细检查,删除不必要的文档。对以BAK为后缀的文件要特别小心。

  5、特殊字符

  攻击原理:输入框是黑客利用的一个目标,他们可以通过输入脚本语言等对用户客户端造成损坏;如果该输入框涉及数据查询,他们会利用特殊查询语句,得到更 多的数据库数据,甚至表的全部。因此必须对输入框进行过滤。但如果为了提高效率仅在客户端进行输入合法性检查,仍有可能被绕过。

  防范 技巧:在处理类似留言板、BBS等输入框的ASP程序中,最好屏蔽掉HTML、JavaScript、VBScript语句,如无特殊要求,可以限定只允 许输入字母与数字,屏蔽掉特殊字符。同时对输入字符的长度进行限制。而且不但要在客户端进行输入合法性检查,同时要在服务器端程序中进行类似检查。

  6、数据库下载漏洞

  攻击原理:在用Access做后台数据库时,如果有人通过各种方法知道或者猜到了服务器的Access数据库的路径和数据库名称,那么他也能够下载这个Access数据库文件,这是非常危险的。

  防范技巧:

  (1)为你的数据库文件名称起个复杂的非常规的名字,并把它放在几层目录下。所谓 "非常规", 打个比方说,比如有个数据库要保存的是有关书籍的信息, 可不要给它起个"book.mdb"的名字,而要起个怪怪的名称,比如d34ksfslf.mdb, 并把它放在如./kdslf/i44/studi/的几层目录下,这样黑客要想通过猜的方式得到你的Access数据库文件就难上加难了。

  (2)不要把数据库名写在程序中。有些人喜欢把DSN写在程序中,比如:

以下是引用片段:
  DBPath = Server.MapPath("cmddb.mdb")
  conn.Open "driver={Microsoft Access Driver (*.mdb)};dbq=" & DBPath 

  假如万一给人拿到了源程序,你的Access数据库的名字就一览无余了。因此建议你在ODBC里设置数据源,再在程序中这样写: 

  conn.open"shujiyuan"

  (3)使用Access来为数据库文件编码及加密。首先在"工具→安全→加密/解密数据库"中选取数据库(如:employer.mdb),然后按确定,接着会出现"数据库加密后另存为"的窗口,可存为:"employer1.mdb"。

  要注意的是,以上的动作并不是对数据库设置密码,而只是对数据库文件加以编码,目的是为了防止他人使用别的工具来查看数据库文件的内容。

  接下来我们为数据库加密,首先打开经过编码了的 employer1.mdb,在打开时,选择"独占"方式。然后选取功能表的"工具→安全→设置数据库密码",接着输入密码即可。这样即使他人得到了 employer1.mdb文件,没有密码他也是无法看到 employer1.mdb中的内容。

  7、防范远程注入攻击

  这类攻击在以前应该是比较常见的攻击方式,比如POST攻击,攻击者可以随便的改变要提交的数据值已达到攻击目的.又如:COOKIES 的伪造,这一点更值得引起程序编写者或站长的注意,不要使用COOKIES来做为用户验证的方式,否则你和把钥匙留给贼是同一个道理.

  比如:

以下是引用片段:
  If trim(Request. cookies ("uname"))="fqy" and Request.cookies("upwd") ="fqy#e3i5.com" then 
……..more……… 
End if 

  我想各位站长或者是喜好写程序的朋友千万别出这类错误,真的是不可饶恕.伪造COOKIES 都多少年了,你还用这样的就不能怪别人跑你的密码.涉及到用户密码或者是用户登陆时,你最好使用session 它才是最安全的.如果要使用COOKIES就在你的COOKIES上多加一个信息,SessionID,它的随机值是64位的,要猜解它,不可能.例:

以下是引用片段:
  if not (rs.BOF or rs.eof) then 
login="true" 
Session("username"&sessionID) = Username 
Session("password"& sessionID) = Password 
‘Response.cookies("username")= Username 
‘Response.cookies("Password")= Password 

下面我们来谈谈如何防范远程注入攻击,一般的攻击都是将单表提交文件拖到本地,将Form ACTION="chk.asp" 指向你服务器中处理数据的文件即可.如果你全部的数据过滤都在单表页上,那么恭喜你,你将已经被脚本攻击了.

  怎么才能制止这样的远程攻击?好办,请看代码如下: 程序体(9)

以下是引用片段:
<% 
server_v1=Cstr(Request.ServerVariables("HTTP_REFERER")) 
server_v2=Cstr(Request.ServerVariables("SERVER_NAME")) 
if mid(server_v1,8,len(server_v2))<>server_v2 then 
response.write "<br><br><center>" 
response.write " " 
response.write "你提交的路径有误,禁止从站点外部提交数据请不要乱改参数!" 
response.write "" 
response.end 
end if 
%> 

  ’个人感觉上面的代码过滤不是很好,有一些外部提交竟然还能堂堂正正的进来,于是再写一个.

  ’这个是过滤效果很好,建议使用.
  
if instr(request.servervariables("http_referer"),"http://"&request.servervariables("host") )<1 then response.write "处理 URL 时服务器上出错。

  如果您是在用任何手段攻击服务器,那你应该庆幸,你的所有操作已经被服务器记录,我们会第一时间通知公安局与国家安全部门来调查你的IP. "

以下是引用片段:
response.end 
end if 

程序体(9)

  本以为这样就万事大吉了,在表格页上加一些限制,比如maxlength啦,等等..但天公就是那么不作美,你越怕什么他越来什么.你别忘了,攻击者可 以突破sql注入攻击时输入框长度的限制.写一个SOCKET程序改变HTTP_REFERER?我不会。网上发表了这样一篇文章:

以下是引用片段:
  ————len.reg—————– 
Windows Registry Editor Version 5.00 
[HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMenuExt扩展(&E)] 
@="C:Documents and SettingsAdministrator桌面len.htm" 
"contexts"=dword:00000004 
———–end———————- 
———–len.htm—————— 
  ———-end———————– 

  用法:先把len.reg导入注册表(注意文件路径)

  然后把len.htm拷到注册表中指定的地方.

  打开网页,光标放在要改变长度的输入框上点右键,看多了一个叫扩展的选项了吧

  单击搞定! 后记:同样的也就可以对付那些限制输入内容的脚本了.

  怎么办?我们的限制被饶过了,所有的努力都白费了?不,举起你de键盘,说不。让我们继续回到脚本字符的过滤吧,他们所进行的注入无非就是进行脚本攻 击。我们把所有的精力全都用到ACTION以后的页面吧,在chk.asp页中,我们将非法的字符全部过滤掉,结果如何?我们只在前面虚晃一枪,叫他们去 改注册表吧,当他们改完才会发现,他们所做的都是那么的徒劳。

  8、ASP木马

  已经讲到这里了,再提醒各位论坛站长一句,小心你们的文件上传:为什么论坛程序被攻破后主机也随之被攻击者占据。原因就在……对!ASP木马!一个绝对可恶的东西。病毒么?非也.把个 文件随便放到你论坛的程序中,您老找去吧。不吐血才怪哦。如何才能防止ASP木马被上传到服务器呢?方法很简单,如果你的论坛支持文件上传,请设定好你要 上传的文件格式,我不赞成使用可更改的文件格式,直接从程序上锁定,只有图象文件格式,和压缩文件就完全可以,多给自己留点方便也就多给攻击者留点方便。 怎么判断格式,我这里收集了一个,也改出了一个,大家可以看一下:

  程序体(10)

以下是引用片段:
  ’判断文件类型是否合格 
Private Function CheckFileExt (fileEXT) 
dim Forumupload 
Forumupload="gif,jpg,bmp,jpeg" 
Forumupload=split(Forumupload,",") 
for i=0 to ubound(Forumupload) 
if lcase(fileEXT)=lcase(trim(Forumupload(i))) then 
CheckFileExt=true 
exit Function 
else 
CheckFileExt=false 
end if 
next 
End Function 
‘验证文件内容的合法性 
  set MyFile = server.CreateObject ("Scripting.FileSystemObject") 
set MyText = MyFile.OpenTextFile (sFile, 1) ’ 读取文本文件 
sTextAll = lcase(MyText.ReadAll): MyText.close 
’判断用户文件中的危险操作 
sStr ="8 .getfolder .createfolder .deletefolder .createdirectory  
.deletedirectory" 
sStr = sStr & " .saveas wscript.shell script.encode" 
sNoString = split(sStr," ") 
for i = 1 to sNoString(0) 
if instr(sTextAll, sNoString(i)) <> 0 then 
sFile = Upl.Path & sFileSave: fs.DeleteFile sFile 
Response.write "<center><br><big>"& sFileSave &"文件中含有与操作目录等有关的命令"&_ 
"<br><font color=red>"& mid(sNoString(i),2) &"</font>,为了安全原因,<b>不能上传。<b>"&_"</big></center></html>" 
Response.end 
end if 
next 

  把他们加到你的上传程序里做一次验证,那么你的上传程序安全性将会大大提高.

  什么?你还不放心?拿出杀手锏,请你的虚拟主机服务商来帮忙吧。登陆到服务器,将PROG ID 中的"shell.application"项和"shell.application.1"项改名或删除。再将"WSCRIPT.SHELL"项和" WSCRIPT.SHELL.1"这两项都要改名或删除。呵呵,我可以大胆的说,国内可能近半以上的虚拟主机都没改过。只能庆幸你们的用户很合作,否 则……我删,我删,我删删删……