服务器日常维护.docx

Web效劳器的日常维护是网管的一项重要工作,主要工作有：入侵检测、数据备份、效劳器优化、罕见故障处置以及日志安插等一系统日常维护,效劳器治理工作必需标准严谨.一、入侵检测和数据备份之巴公井开创作时间：二。二一年七月二十九日（一）入侵检测工作作为效劳器的日常治理,入侵检测是一项非常重要的工作，在平常的检测过程中，主要包括日常的效劳器平安例行检查和遭到入侵时的入侵检查,也就是分为在入侵进行时的平安检查和在入侵前后的平安检查.系统的平安性遵循木桶原理,木桶原理指的是：一个木桶由许多块木板组成，如果组成木桶的这些木板长短纷歧,那么这个木桶的最年夜容量不取决于长的木板，而取决于最短的那块木板.应用到平安方面也就是说系统的平安性取决于系统中最懦弱的处所,这些处所是日常的平安检测的重点所在.日常的平安检测日常平安检测主要针对系统的平安性,工作主要依照以下步伐进行:1、检查效劳器状态：翻开进程治理器,检查效劳器性能,观察CPU和内存使用状况.检查是否有CPU和内存占用过高等异常情况.2、检查以后进程情况切换“任务治理器到进程,查找有无可疑的应用法式或后台进程在运行.用进程治理器检查进程时里面会有一项taskmgr,这个是进程治理器自身的进程.如果正在运行windows更新会有一项wuauclt.exe进程,对拿禁绝的进程或者说不知道是效劳器上哪个应用法式开启的进程,可以在网络上搜索一下该进程名加以确定进程知识库：/dofile/.通常的后门如果有进程的话,一般会取一个与系统进程类似的名称,如SVChOSt.exe,此时要仔细分辨通常迷惑手段是变字母。为数字0,变字母1为数字13、检查系统帐号翻开计算机治理,展开本地用户和组选项,检查组选项,检查administrators组是否添加有新帐号,检查是否有克隆帐号.4、检查以后端口开放情况使用activeport,检查以后的端口连接情况,尤其是注意与外部连接着的端口情况,看是否有未经允许的端口与外界在通信.如有,立即关闭该端口并记录下该端口对应的法式并记录,将该法式转移到其他目录下存放以便后来分析.翻开计算机治理=?软件环境=?正在运行任务在此处可以检查进程治理器中看不到的隐藏进程,检查以后运行的法式,如果有不明法式,记录下该法式的位置,翻开任务治理器结束该进程,对采纳了守护进程的后门等法式可检验测试结束进程树,如仍然无法结束,在注册表中搜索该法式名，删除失落相关键值,切换到平安模式下删除失落相关的法式文件.5、检查系统效劳运行services,msc,检查处于已启动状态的效劳,检查是否有新加的未知效劳并确定效劳的用途.对不清楚的效劳翻开该效劳的属性,检查该效劳所对应的可执行文件是什么，如果确定该文件是系统内的正常使用的文件,可粗略放过.检查是否有其他正常开放效劳依存在该效劳上,如果有,可以粗略的放过.如果无法确定该执行文件是否是系统内正常文件而且没有其他正常开放效劳依存在该效劳上,可暂时停止失落该效劳，然后测试下各种应用是否正常.对一些后门由于采纳了hook系统APl技术,添加的效劳工程在效劳治理器中是无法看到的，这时需要翻开注册表中的HKEY_LOCAL_MACHINESYSTEMCurrentControlSet一Services项进行查找,通过检查各效劳的名称、对应的执行文件来确定是否是后门、木马法式等.6、检查相关日志运行eventvwr.msc,粗略检查系统中的相关日志记录.在检查时在对应的日志记录上点右键选“属性，在“筛选器中设置一个日志筛选器，只选择毛病、警告,检查日志的来源和具体描述信息.对呈现的毛病如能在效劳器罕见故障排除中找到解决法子那么依照该法子处置该问题，如果无解决法子那么记录下该问题，详细记录下事件来源、ID号和具体描述信息，以便找到问题解决的法子.7、检查系统文件主要检查系统盘的exe和dl1文件,建议系统装置完毕之后用dir*.exe/s>1txt将C盘所有的exe文件列表保管下来,然后每次检查的时候再用该命令生成一份那时的列表,用fc比力两个文件,同样如此针对dll文件做相关检查.需要注意的是打补钉或者装置软件后重新生成一次原始列表.检查相关系统文件是否被替换或系统中是否被装置了木马后门等恶意法式.需要时可运行一次杀毒法式对系统盘进行一次扫描处置.8、检查平安战略是否更改翻开本地连接的属性,检查“惯例中是否只勾选了“TCP/IP协议，翻开“TCP/IP”协议设置,点“高级二二？"选项，检查“讦平安机制是否是设定的IP战略,检查TCP/IP筛选允许的端口有没有被更改.翻开“治理工具二？“本地平安战略，检查目前使用的讦平安战略是否发生更改.9、检查目录权限重点检查系统目录和重要的应用法式权限是否被更改.需要检查的目录有c:;c:winnt;C:vinntsystem32;c:WinntSyStem32/inetsrv;cwinntsystem32/inetsrvdata;c:documentsandSettings;然后再检查serv-u装置目录，检查这些目录的权限是否做过变更.检查system32下的一些重要文件是否更改正权限,包括：cmd,net,ftp,tftp,cacls等文件.10、检查启动项主要检查以后的开机自启动法式.可以使用AReporter来检查开机自启动的法式.发现入侵时的应对方法对即时发现的入侵事件，以下情况针对系统已遭受到破坏情况下的处置，系统未遭受到破坏或暂时无法觉察到破坏，先依照上述的检查步伐检查一遍后再酌情考虑以下方法.系统遭受到破坏后应立即采用以下方法：视情况严重决定处置的方式,是通过远程处置还是通过实地处置.如情况严重建议采纳实地处置.如采纳实地处置,在发现入侵的第一时间通知机房关闭效劳器,待处置人员赶到机房时断开网线，再进入系统进行检查.如采纳远程处置,如情况严重第一时间停止所有应用效劳,更改IP战略为只允许远程治理端口进行连接然后重新启动效劳器，重新启动之后再远程连接上去进行处置，重启前先用AReporter检查开机自启动的法式.然后再进行平安检查.以下处置方法针对用户站点被入侵但未危及系统的情况，如果用户要求增强自己站点的平安性,可按如下方式加固用户站点的平安：站点根目录-一只给administrator读取权限,权限继承下去.WWWrOot给web用户读取、写入权限.高级里面有删除子文件夹和文件权限logfiles给system写入权限.database给Web用户读取、写入权限.高级里面没有删除子文件夹和文件权限如需要进一步修改,可针对用户站点的特性对普通文件寄存目录如八51、js、图片文件夹只给读取权限,对asp等脚本文件给予上表中的权限.另外检查该用户站点对应的平安日志,找露马脚原因,协助用户修补法式漏洞.（二）数据备份和数据恢复数据备份工作年夜致如下：1、每月备份一次系统数据.2、备份系统后的两周单独备份一次应用法式数据,主要包括HS、SerV-U、数据库等数据.3、保证备份数据的平安,并分类放置这些数据备份.因根本上采纳的都是全备份方法,对数据的保管周期可以只保管该次备份和上次备份数据两份即可.数据恢复工作：1、系统解体或遇到其他不成恢复系统正常状态情况时，先对上次系统备份后发生的一些更改事件如应用法式、平安战略等的设置做好备份,恢复完系统后再恢复这些更改.2、应用法式等犯错采纳最近一次的备份数据恢复相关内容.二、效劳器性能优化1、整理系统空间：删除系统备份文件,删除驱动备份,删除不用的输入法,删除系统的帮手文件,卸载不经常使用的组件.最小化C盘文件.2、性能优化：删除过剩的开机自动运行法式；减少预读取,减少进度条等候时间；让系统自动关闭停止响应的法式；禁用毛病陈述,但在发生严重毛病时通知；关闭自动更新,改为手动更新计算机；启用硬件和DireCtX加速；禁用关机事件跟踪；禁用配置效劳器向导；减少开机磁盘扫描等候时间；将处置器方案和内存使用都调到应用法式上；调整虚拟内存；内存优化；修改cpu的二级缓存；修改磁盘缓存.IlS性能优化1、调整HS高速缓存HKEy_local_machineSystemcurrentcontroisetserviceslnetInfoParametersMemoryCaCheSizeMemoryCacheSize的范围是从0道4GB,缺省值为3072000(3MB).一般来说此值最小应设为效劳器内存的10%.IIS通过高速缓存系统句柄、目录列表以及其他经常使用数据的值来提升系统的性能.这个参数指明了分配给高速缓存的内存年夜小.如果该值为0,那就意味着“不进行任何高速缓存.在这种情况下系统的性能可能会降低.如果你的效劳器网络通讯繁忙,而且有足够的内存空间，可以考虑增年夜该值.必需注意的是修改注册表后，需要重新启动才华使新值生效.2、不要关闭系统效劳：ProtectedStorage”3、对访问流量进行限制(1)对站点访问人数进行限制(2)站点带宽限制.坚持连接.(3)进程限制,输入CPU的耗用百分比4、提升HS的处置效率应用法式设置处的“应用法式呵护下拉按钮,从弹出的下拉列表中,选中“低C笈进程)选项,IIS效劳器处置法式的效率可以提升20%左右.但此设置会带来严重的平安问题,不值得推荐.5、将IlS效劳器设置为自力的效劳器U)提升硬件配置来优化HS性能硬盘：硬盘空间被NT和IlS效劳以如下两种方式使用：一种是简单地存储数据；另一种是作为虚拟内存使用,如果使用Ultra2的SCSI硬盘,可以显著提升IIS的性能(2)可以把NT效劳器的页交换文件分布到多个物理磁盘上,注意是多个“物理磁盘，分布在多个分区上是无效的.另外,不要将页交换文件放在与windowsNT引导区相同的分区中(3)使用磁盘镜像或磁盘带区集可以提升磁盘的读取性能(4)最好把所有的数据都贮存在一个单独的分区里.然后按期运行磁盘碎片整理法式以保证在存储Web效劳器数据的分区中没有碎片.使用NTFS有助于减少碎片.推荐使用Norton的Speeddisk,可以很快的整理NTFS分区.6、起用压缩压缩是在Web效劳器和浏览器间传输压缩文本内容的方法.压缩采纳通用的压缩算法如gzip等压缩HTML、Javascript或CSS文件.可使用pipeboost进行设置.7、起用资源回收使用IIS5Recycle按时回收进程资源.三、效劳器罕见故障排除1、ASP”请求的资源正在使用中的解决法子：该问题一般与杀毒软件有关,在效劳器上装置个人版杀毒软件所致.呈现这种毛病可以通过卸载杀毒软件解决，也可检验考试重新注册VbScript.dll和jscript.dll来解决,在命令行下运行：regsvr32vbscript.dll和regsvr32jscript.dll即可.2、ASP500毛病解决法子：首先确定该问题是否是单一站点存在还是所有站点存在，如果是单一站点存在该问题,那么是网站法式的问题，可翻开该站点的毛病提示,把IE的“显示友好毛病信息取消,检查具体毛病信息,然后对应修改相关法式.如是所有站点存在该问题,而且HTML页面没有呈现该问题，相关日志呈现“效劳器无法加载应用法式'LMW3SVC1RooT'.毛病是'不支持此接口'.那十有八九是效劳器系统中的ASP相关组件呈现了问题,重新启动US效劳,检验测试是否可以解决该问题,无法解决重新启动系统检验测试是否可解决该问题,如无法解决可重新修复一下ASP组件：首先删除com组件中的关于IIS的三个工具,需要先将属性里的高级中“禁止删除的勾选取消.命令行中，输入“.4winntsystem32inetsrv,z字符串命令，单击回车键后，再执行urundll32wamreg.dn,CreateIISPackage，/命令,接着再依次执行"regsvr32asptxn.dl,命令、“iisreset”命令最后重新启动一下计算机把持系统,这样HS效劳器就能重新正确响应ASP脚本页面T.3、IlS呈现105毛病：在系统日志中“效劳器无法注册治理工具发现信息.治理工具可能无法看到此效劳器来源：w3svcID：105解决法子：在网络连接中重新装置netbios协议即可,装置完成之后取消失落勾选.4、MySQL效劳无法启动【毛病代码1067】的解决方法启动MySQL效劳时城市在中途报错！内容为：在本地计算机无法启动MySQL效劳毛病1067：进程意外中止.解决方法：查找WindoWS目录下的my.ini文件,编纂内容（如果没有该文件,那么新建一个），至少包括basedir,datadir这两个根本的配置.mysqld# setbasedirtoinstallationpath,e.g.,c:/mysql# 设置为MYSQL的装置目录basedir=D:/urwwWebServerMySQL# setdatadirtolocationofdatadirectory,# e.g.,c:/mysql/dataord:/mydata/data# 设置为MYSQL的数据目录datadir=D:/www/WebServer/MySQL/data注意,我在更改系统的temp目录之后没有对更改后的目录给予SyStenI用户的权限也呈现过该问题.5、DIIHotSt进程消耗CPU100%的问题效劳器正常CPU消耗应该在75%以下,而且CPU消耗应该是上下起伏的,呈现这种问题的效劳器,CPU会忽然一直处100%的水平,而且不会下降.检查任务治理器,可以发现是DLLHOST.EXE消耗了所有的CPU空闲时间,治理员在这种情况下，只好重新启动HS服务,奇怪的是,重新启动IIS效劳后一切正常,但可能过了一段时间后，问题又再次呈现了.直接原因：有一个或多个ACCESS数据库在屡次读写过程中损坏,MDAC系统在写入这个损坏的ACCESS文件时,ASP线程处于BLOCK状态，结果其他线程只能等候,HS被死锁了，全部的CPU时间都消耗在DLLHOST中.解决法子：把数据库下载到本地,然后用ACCESS翻开,进行修复把持.再上传到网站.如果还不成,只有新建一个AeCESS数据库,再从原来的数据库中导入所有表和记录.然后把新数据库上传到效劳器上.6>Windowsinstaller犯错：在装置软件的时候呈现“不能访问WindoWSinstaller服务.可能你在平安模式下运行windows,或者windowsinstaller没有正确的装置.请和你的支持人员联系以获得帮手如果试图重新装置InStMSiW.exe,提示：“指定的效劳已存在.解决法子：关于installer的毛病,可能还有其他毛病提示,可检验考试以下解决法子：首先确认是否是权限方面的问题,提示信息会提供相关信息、，如果是权限问题,给予Winnt目录everyone权限即可装置完把权限改回来即可.如果提示的是上述信息,可以检验测试以下解决方法：运行“msiexec/unregserver”卸载WindowsInstaller服务,如果无法卸载可使用SRVINSTW进行卸载,然后下载WindoWSinstaller的装置法式地址：:/newhuacfan200410instmsiw.exe,用winrar解压该文件,在解压缩出来的文件夹里面找到msi.inf文件，右键单击选择“装置，重新启动系统后运行“msiexec/regserver，/重新注册WindowsInstaller效劳.四、效劳器治理（一）效劳器日常治理安插效劳器治理工作必需标准严谨，尤其在不是只有一位治理员的时候，日常治理工作包括：1、效劳器的按时重启.每台效劳器保证每周重新启动一次.重新启动之后要进行复查,确认效劳器已经启动了，确认效劳器上的各项效劳均恢复正常.对没有启动起来或效劳未能及时恢复的情况要采用相应方法.前者可请求托管商的相关工作人员辅佐手工重新启动，需要时可要求让连接上显示器确认是否已启动起来；后者需要远程登岸上效劳器进行原因查找并根据原因检验测试恢复服务.2、效劳器的平安、性能检查,每效劳器至少保证每周登岸两次粗略检查两次.每次检查的结果要求进行挂号在册.如需要使用一些工具进行检查,可直接在e：tools中查找到相关工具.对临时需要从网络上找的工具,首先将IE的平安级别调整到高,然后在网络上进行查找,不要去任何不明站点下载,尽量选择如华军、天空等年夜型网站进行下载,下载后保证以后杀毒软件已升级到最新版本,升级完毕后对下载的软件进行一次杀毒,确认正常前方能使用.对下载的新工具对以后维护需要使用的话,将该工具保管到e:tools下,并在该目录中的readme,txt文件中做好相应记录,记录该工具的名称,功能,使用方法.而且在该文件夹中的rar文件夹中保管一份该工具的winrar压缩文件备份,设置解压密码.3、效劳器的数据备份工作,每效劳器至少保证每月备份一次系统数据，系统备份采纳ghost方式，对ghost文件固定存放在e：ghost文件目录下，文件名以备份的日期命名,如0824.gho,每服务器至少保证每两周备份一次应用法式数据,每效劳器至少保证每月备份一次用户数据,备份的数据固定存放在eIdatabak文件夹，针对各种数据再建立对应的子文件夹,如serv-u用户数据放在该文件夹下的5«口口文件夹下，iis站点数据存放在该文件夹下的iis文件夹下.4、效劳器的监控工作,每天正常工作期间必需保证监视所有效劳器状态,一旦发现效劳停止要及时采用相应方法.对发现服务停止,首先检查该效劳器上同类型的效劳是否中断,如所有同类型的效劳都已中断及时登岸效劳器检查相关原因并针对该原因检验测试重新开启对应效劳.5、效劳器的相关日志把持,每效劳器保证每月对相关日志进行一次清理,清理前对应的各项日志如应用法式日志、平安日志、系统日志等都应选择“保管日志.所有的日志文件统一保管在e:logs下,应用法式日志保管在e:Iogsapp中，系统法式日志保管在e:Iogssys中，平安日志保管在e:Iogssec中.对另外其他一些应用法式的日志,也依照这个方式进行处置,如ftp的日志保管在eIlogsftp中.所有的备份日志文件都以备份的日期命名，如20050824.evt.对不是单文件形式的日志,在对应的记录位置下建立一个以日期命名的文件夹,将这些文件存放在该文件夹中.6、效劳器的补钉修补、应用法式更新工作,对新出的漏洞补钉,应用法式方面的平安更新一定要在发现的第一时间给每效劳器打上应用法式的补钉.7、效劳器的隐患检查工作,主要包括平安隐患、性能等方面.每效劳器必需保证每月重点的单独检查一次.每次的检查结果必需做好记录.8、不按时的相关工作,每效劳器由于应用软件更改或其他某原因需要装置新的应用法式或卸载应用法式等把持必需知会所有治理员.9、按期的治理密码更改工作,每效劳器保证至少每两个月更改一次密码,对SQL效劳器由于如果SQL采纳混合验证更改系统治理员密码会影响数据库的使用那么不予修改.相关建议：对每效劳器设立一个效劳器治理记载,治理员每次登岸系统都应该在其中进行详细的记录,共需要记录以下几项：登入时间,退出时间，登入时效劳器状态包括不明进程记录,端口连接状态,系统帐号状态，内存/CPU状态,详细把持情况记录详细记录下治理员登岸系统后的每一步把持.无论是远程登岸把持还是物理接触把持都要进行记录,然后将这些记录依照各效劳器归档，按时间顺序整理好文档.对数据备份、效劳器按时重启等把持建议将效劳器分组，例如分成四组,每月的周六晚备份一组效劳器的数据，每周的某一天按时去重启一组的效劳器,这样对工作的开展比力方便,这些属于固定性的工作.另外有些工作可以同步进行,如每月一次的数据备份、平安检查和治理员密码修改工作,先进行数据备份,然后进行平安检查,再修改密码.对需要的即时把持如效劳器补钉法式的装置、效劳器不按时的故障维护等工作，这些属于即时性的工作，可是原那么上即时性的工作不能影响固定工作的安插.（二）治理员日常考前须知在效劳器治理过程中，治理员需要注意以下事项：1、对自己的每一次把持应做好详细记录,具体见上述建议，以便于后来检查.2、努力提升自身水平,增强学习硬件维护1、贮存设备的扩充当资源不竭扩展的时候,效劳器就需要更多的内存和硬盘容量来贮存这些资源.所以，内存和硬盘的扩充是很罕见的.增加内存前需要认定与效劳器原有的内存的兼容性,最好是同一品牌的规格的内存.如果是效劳器专用的ECC内存,那么必需选用相同的内存，普通的SDRAM内存与ECC内存在同一台效劳器上使用很可能会引起统严重犯错.在增加硬盘以前,需要认定效劳器是否有空余的硬盘支架、硬盘接口和电源接口，还有主板是否支持这种容量的硬盘.尤其需要注意,预防买来了设备却无法使用.2、设备的卸载和更换卸载和更换设备时的问题不年夜，需要注意的是有许多品牌效劳器机箱的设计比力特殊，需要特殊的工具或机关才华翻开，在卸机箱盖的时候，需要仔细看说明书，不要强行装配.另外,必需在完全断电、效劳器接地良好的情况下进行，即使是支持热插拔的设备也是如此，以预防静电对设备造成损坏.3、除尘灰尘是效劳器最年夜的杀手,因此需要按期给效劳器除尘.对效劳器来说,灰尘甚至是致命的.除尘方法与普通PC除尘方法相同,尤其要注意的是电源的除尘.软件维护1、把持系统的维护把持系统是效劳器运行的软件根底,其重要性不言自明.大都效劳器把持系统使用WindOWSNT或WindowS2000SerVer作为把持系统,维护起来还是比力容易的.在WindOWSNT或WindOWS2000SerVer翻开事件检查器，在系统日志、平安日志和应用法式日志中检查有没有特别异常的记录.现在网上的黑客越来越多了，因此需要到微软的网站上下载最新的ServicePack（升级效劳包）装置上,将平安漏洞及时补上.2、网络效劳的维护网络效劳有很多，如WWW效劳、DNS效劳、DHCP效劳、SMTP效劳、FTP效劳等,随着效劳器提供的效劳越来越多，系统也容易混舌L,此时可能需要重新设定各个效劳的参数,使之正常运行.3、数据库效劳数据库经过长期的运行,需要调整数据库性能,使之进入最优化状态.数据库中的数据是最重要的,这些数据库如果丧失,损失是巨年夜的，因此需要按期来备份数据库，以防万一.4、用户数据经过频繁使用，效劳器可能存放了年夜量的数据.这些数据是非常贵重的资源,所以需要加以整理,并刻成光盘永久保管起来，即使效劳器有故障,也能恢复数据.时间：二。二一年七月二十九日