服务器日常维护

.Web效劳器的日常维护是网管的一项重要工作，主要工作有：入侵检测、数据备份、效劳器优化、常见故障处理以及日志安排等一系统日常维护，效劳器管理工作必须规X严谨。 一、入侵检测和数据备份 一入侵检测工作 作为效劳器的日常管理，入侵检测是一项非常重要的工作，在平常的检测过程中，主要包含日常的效劳器平安例行检查和遭到入侵时的入侵检查，也就是分为在入侵进展时的平安检查和在入侵前后的平安检查。系统的平安性遵循木桶原理，木桶原理指的是：一个木桶由许多块木板组成，如果组成木桶的这些木板长短不一，那么这个木桶的最大容量不取决于长的木板，而取决于最短的那块木板。应用到平安方面也就是说系统的平安性取决于系统中最脆弱的地方，这些地方是日常的平安检测的重点所在。 日常的平安检测 日常平安检测主要针对系统的平安性，工作主要按照以下步骤进展： 1、查看效劳器状态： 翻开进程管理器，查看效劳器性能，观察CPU和内存使用状况。查看是否有CPU和内存占用过高等异常情况。 2、检查当前进程情况 切换“任务管理器到进程，查找有无可疑的应用程序或后台进程在运行。用进程管理器查看进程时里面会有一项taskmgr，这个是进程管理器自身的进程。如果正在运行windows更新会有一项wuauclt.exe进程。对于拿不准的进程或者说不知道是效劳器上哪个应用程序开启的进程，可以在网络上搜索一下该进程名加以确定进程知识库：.dofile./。通常的后门如果有进程的话，一般会取一个与系统进程类似的名称，如svch0st.exe，此时要仔细区分通常迷惑手段是变字母o为数字0，变字母l为数字1 3、检查系统XX 翻开计算机管理，展开本地用户和组选项，查看组选项，查看administrators组是否添加有新XX，检查是否有克隆XX。 4、查看当前端口开放情况 使用activeport，查看当前的端口连接情况，尤其是注意与外部连接着的端口情况，看是否有未经允许的端口与外界在通信。如有，立即关闭该端口并记录下该端口对应的程序并记录，将该程序转移到其他目录下存放以便后来分析。翻开计算机管理=软件环境=正在运行任务在此处可以查看进程管理器中看不到的隐藏进程，查看当前运行的程序，如果有不明程序，记录下该程序的位置，翻开任务管理器完毕该进程，对于采用了守护进程的后门等程序可尝试完毕进程树，如仍然无法完毕，在注册表中搜索该程序名，删除掉相关键值，切换到平安模式下删除掉相关的程序文件。 5、检查系统效劳 运行services.msc，检查处于已启动状态的效劳，查看是否有新加的未知效劳并确定效劳的用途。对于不清楚的效劳翻开该效劳的属性，查看该效劳所对应的可执行文件是什么，如果确定该文件是系统内的正常使用的文件，可粗略放过。查看是否有其他正常开放效劳依存在该效劳上，如果有，可以粗略的放过。如果无法确定该执行文件是否是系统内正常文件并且没有其他正常开放效劳依存在该效劳上，可暂时停顿掉该效劳，然后测试下各种应用是否正常。对于一些后门由于采用了hook系统API技术，添加的效劳工程在效劳管理器中是无法看到的，这时需要翻开注册表中的HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices项进展查找，通过查看各效劳的名称、对应的执行文件来确定是否是后门、木马程序等。 6、查看相关日志 运行eventvwr.msc，粗略检查系统中的相关日志记录。在查看时在对应的日志记录上点右键选“属性，在“筛选器中设置一个日志筛选器，只选择错误、警告，查看日志的来源和具体描述信息。对于出现的错误如能在效劳器常见故障排除中找到解决方法那么依照该方法处理该问题，如果无解决方法那么记录下该问题，详细记录下事件来源、ID号和具体描述信息，以便找到问题解决的方法。 7、检查系统文件 主要检查系统盘的exe和dll文件，建议系统安装完毕之后用dir *.exe /s 1.txt将C盘所有的exe文件列表保存下来，然后每次检查的时候再用该命令生成一份当时的列表，用fc比拟两个文件，同样如此针对dll文件做相关检查。需要注意的是打补丁或者安装软件后重新生成一次原始列表。检查相关系统文件是否被替换或系统中是否被安装了木马后门等恶意程序。必要时可运行一次杀毒程序对系统盘进展一次扫描处理。 8、检查平安策略是否更改 翻开本地连接的属性，查看“常规中是否只勾选了“TCP/IP协议，翻开“TCP/IP协议设置，点“高级=“选项，查看“IP平安机制是否是设定的IP策略，查看“TCP/IP筛选允许的端口有没有被更改。翻开“管理工具=“本地平安策略，查看目前使用的IP平安策略是否发生更改。 9、检查目录权限 重点查看系统目录和重要的应用程序权限是否被更改。需要查看的目录有c:; c:winnt; C:winntsystem32; c:winntsystem32/inetsrv;c:winntsystem32/inetsrvdata; c:documents and Settings;然后再检查serv-u安装目录，查看这些目录的权限是否做过变动。检查system32下的一些重要文件是否更改正权限，包括：cmd，net，ftp，tftp，cacls等文件。 10、检查启动项 主要检查当前的开机自启动程序。可以使用AReporter来检查开机自启动的程序。 发现入侵时的应对措施 对于即时发现的入侵事件，以下情况针对系统已遭受到破坏情况下的处理，系统未遭受到破坏或暂时无法发觉到破坏，先按照上述的检查步骤检查一遍后再酌情考虑以下措施。系统遭受到破坏后应立即采取以下措施： 视情况严重决定处理的方式，是通过远程处理还是通过实地处理。如情况严重建议采用实地处理。如采用实地处理，在发现入侵的第一时间通知机房关闭效劳器，待处理人员赶到机房时断开网线，再进入系统进展检查。如采用远程处理，如情况严重第一时间停顿所有应用效劳，更改IP策略为只允许远程管理端口进展连接然后重新启动效劳器，重新启动之后再远程连接上去进展处理，重启前先用AReporter检查开机自启动的程序。然后再进展平安检查。 以下处理措施针对用户站点被入侵但未危及系统的情况，如果用户要求加强自己站点的平安性，可按如下方式加固用户站点的平安： 站点根目录-只给administrator读取权限，权限继承下去。 root -给web用户读取、写入权限。高级里面有删除子文件夹和文件权限 logfiles-给system写入权限。 database-给web用户读取、写入权限。高级里面没有删除子文件夹和文件权限 如需要进一步修改，可针对用户站点的特性对于普通文件存放目录如html、js、图片文件夹只给读取权限，对asp等脚本文件给予上表中的权限。另外查看该用户站点对应的平安日志，找出漏洞原因，协助用户修补程序漏洞。 二数据备份和数据恢复 数据备份工作大致如下： 1、每月备份一次系统数据。 2、备份系统后的两周单独备份一次应用程序数据，主要包括IIS、serv-u、数据库等数据。 3、确保备份数据的平安，并分类放置这些数据备份。因根本上采用的都是全备份方法，对于数据的保存周期可以只保存该次备份和上次备份数据两份即可。 数据恢复工作： 1、系统崩溃或遇到其他不可恢复系统正常状态情况时，先对上次系统备份后发生的一些更改事件如应用程序、平安策略等的设置做好备份，恢复完系统后再恢复这些更改。 2、应用程序等出错采用最近一次的备份数据恢复相关内容。 二、效劳器性能优化 1、整理系统空间： 删除系统备份文件，删除驱动备份，刪除不用的输入法，刪除系统的帮助文件，卸载不常用的组件。最小化C盘文件。 2、性能优化： 删除多余的开机自动运行程序； 减少预读取，减少进度条等待时间； 让系统自动关闭停顿响应的程序； 禁用错误报告,但在发生严重错误时通知； 关闭自动更新,改为手动更新计算机； 启用硬件和DirectX加速； 禁用关机事件跟踪； 禁用配置效劳器向导； 减少开机磁盘扫描等待时间； 将处理器方案和内存使用都调到应用程序上； 调整虚拟内存； 内存优化； 修改cpu的二级缓存； 修改磁盘缓存。 IIS性能优化 1、调整IIS高速缓存 HKEY_LOCAL_MACHINE SystemCurrentControlSetServicesInetInfoParametersMemoryCacheSize MemoryCacheSize的X围是从0道4GB，缺省值为30720003MB。一般来说此值最小应设为效劳器内存的10%。IIS通过高速缓存系统句柄、目录列表以及其他常用数据的值来提高系统的性能。这个参数指明了分配给高速缓存的内存大小。如果该值为0，那就意味着“不进展任何高速缓存。在这种情况下系统的性能可能会降低。如果你的效劳器网络通讯繁忙，并且有足够的内存空间，可以考虑增大该值。必须注意的是修改注册表后，需要重新启动才能使新值生效。 2、不要关闭系统效劳: “Protected Storage 3、对访问流量进展限制 1对站点访问人数进展限制 2站点带宽限制。保持HTTP连接。 3进程限制, 输入CPU的耗用百分比 4、提高IIS的处理效率 应用程序设置处的“应用程序保护下拉按钮，从弹出的下拉列表中，选中“低IIS进程选项,IIS效劳器处理程序的效率可以提高20%左右。但此设置会带来严重的平安问题，不值得推荐。 5、将IIS效劳器设置为独立的效劳器 1提高硬件配置来优化IIS性能 硬盘：硬盘空间被NT和IIS效劳以如下两种方式使用：一种是简单地存储数据；另一种是作为虚拟内存使用。如果使用Ultra2的SCSI硬盘，可以显著提高IIS的性能 2可以把NT效劳器的页交换文件分布到多个物理磁盘上，注意是多个“物理磁盘，分布在多个分区上是无效的。另外，不要将页交换文件放在与WIndows NT引导区一样的分区中 3使用磁盘镜像或磁盘带区集可以提高磁盘的读取性能 4最好把所有的数据都储存在一个单独的分区里。然后定期运行磁盘碎片整理程序以保证在存储Web效劳器数据的分区中没有碎片。使用NTFS有助于减少碎片。推荐使用Norton的Speeddisk，可以很快的整理NTFS分区。 6、起用HTTP压缩 HTTP压缩是在Web效劳器和浏览器间传输压缩文本内容的方法。HTTP压缩采用通用的压缩算法如gzip等压缩HTML、Javas cript或CSS文件。可使用pipeboost进展设置。 7、起用资源回收 使用IIS5 Recycle定时回收进程资源。 三、效劳器常见故障排除 1、ASP“请求的资源正在使用中的解决方法： 该问题一般与杀毒软件有关，在效劳器上安装个人版杀毒软件所致。出现这种错误可以通过卸载杀毒软件解决，也可尝试重新注册vbs cript.dll和jscript.dll来解决，在命令行下运行：regsvr32 vbscript.dll 和regsvr32 jscript.dll即可。 2、ASP500错误解决方法： 首先确定该问题是否是单一站点存在还是所有站点存在，如果是单一站点存在该问题，那么是程序的问题，可翻开该站点的错误提示，把IE的“显示友好HTTP错误信息取消，查看具体错误信息，然后对应修改相关程序。如是所有站点存在该问题，并且HTML页面没有出现该问题，相关日志出现“效劳器无法加载应用程序/LM/W3SVC/1/ROOT。错误是 不支持此接口。那十有八九是效劳器系统中的ASP相关组件出现了问题，重新启动IIS效劳，尝试是否可以解决该问题，无法解决重新启动系统尝试是否可解决该问题，如无法解决可重新修复一下ASP组件：首先删除组件中的关于IIS的三个东西，需要先将属性里的高级中“制止删除的勾选取消。 命令行中，输入“cd winntsystem32inetsrv字符串命令，单击回车键后，再执行“rundll32 wamreg.dll,CreateIISPackage命令，接着再依次执行“regsvr32 asptxn.dll命令、“iisreset命令，最后重新启动一下计算机操作系统，这样IIS效劳器就能重新正确响应ASP脚本页面了。 3、IIS出现105错误： 在系统日志中“效劳器无法注册管理工具发现信息。管理工具可能无法看到此效劳器 来源：w3svc ID：105 解决方法：在网络连接中重新安装netbios协议即可，安装完成之后取消掉勾选。 4、MySQL效劳无法启动【错误代码1067】的解决方法 启动MySQL效劳时都会在中途报错！内容为：在 本地计算机 无法启动MySQL效劳 错误1067：进程意外中止。 解决方法：查找Windows目录下的my.ini文件，编辑内容如果没有该文件，那么新建一个，至少包含basedir，datadir这两个根本的配置。 mysqld * set basedir to installation path, e.g., c:/mysql * 设置为MYSQL的安装目录 basedir=D:/WebServer/MySQL * set datadir to location of data directory, * e.g., c:/mysql/data or d:/mydata/data * 设置为MYSQL的数据目录 datadir=D:/WebServer/MySQL/data 注意，我在更改系统的temp目录之后没有对更改后的目录给予system用户的权限也出现过该问题。 5、DllHotst进程消耗cpu 100%的问题 效劳器正常CPU消耗应该在75%以下，而且CPU消耗应该是上下起伏的，出现这种问题的效劳器，CPU会突然一直处100%的水平，而且不会下降。查看任务管理器，可以发现是DLLHOST.EXE消耗了所有的CPU空闲时间，管理员在这种情况下，只好重新启动IIS效劳，奇怪的是，重新启动IIS效劳后一切正常，但可能过了一段时间后，问题又再次出现了。 直接原因： 有一个或多个ACCESS数据库在屡次读写过程中损坏， MDAC系统在写入这个损坏的ACCESS文件时，ASP线程处于BLOCK状态，结果其他线程只能等待，IIS被死锁了，全部的CPU时间都消耗在DLLHOST中。 解决方法： 把数据库下载到本地，然后用ACCESS翻开，进展修复操作。再上传到。如果还不行，只有新建一个ACCESS数据库，再从原来的数据库中导入所有表和记录。然后把新数据库上传到效劳器上。 6、Windows installer出错： 在安装软件的时候出现“不能访问windows installer 效劳。可能你在平安模式下运行 windows ，或者windows installer 没有正确的安装。请和你的支持人员联系以获得帮助 如果试图重新安装InstMsiW.exe，提示：“指定的效劳已存在。 解决方法： 关于installer的错误，可能还有其他错误提示，可尝试以下解决方法： 首先确认是否是权限方面的问题，提示信息会提供相关信息，如果是权限问题，给予winnt目录everyone权限即可安装完把权限改回来即可。如果提示的是上述信息，可以尝试以下解决方法：运行“msiexec /unregserver卸载Windows Installer效劳，如果无法卸载可使用SRVINSTW进展卸载，然后下载windows installer的安装程序地址：.newhua./cfan/200410/instmsiw.exe，用winrar解压该文件，在解压缩出来的文件夹里面找到msi.inf文件，右键单击选择“安装，重新启动系统后运行“msiexec /regserver重新注册Windows Installer效劳。 四、效劳器管理 一效劳器日常管理安排 效劳器管理工作必须规X严谨，尤其在不是只有一位管理员的时候，日常管理工作包括： 1、效劳器的定时重启。每台效劳器保证每周重新启动一次。重新启动之后要进展复查，确认效劳器已经启动了，确认效劳器上的各项效劳均恢复正常。对于没有启动起来或效劳未能及时恢复的情况要采取相应措施。前者可请求托管商的相关工作人员帮助手工重新启动，必要时可要求让连接上显示器确认是否已启动起来；后者需要远程登陆上效劳器进展原因查找并根据原因尝试恢复效劳。 2、效劳器的平安、性能检查，每效劳器至少保证每周登陆两次粗略检查两次。每次检查的结果要求进展登记在册。如需要使用一些工具进展检查，可直接在e:tools中查找到相关工具。对于临时需要从网络上找的工具，首先将IE的平安级别调整到高，然后在网络上进展查找，不要去任何不明站点下载，尽量选择如华军、天空等大型进展下载，下载后确保当前杀毒软件已升级到最新版本，升级完毕后对下载的软件进展一次杀毒，确认正常前方能使用。对于下载的新工具对以后维护需要使用的话，将该工具保存到e:tools下，并在该目录中的readme.txt文件中做好相应记录，记录该工具的名称，功能，使用方法。并且在该文件夹中的rar文件夹中保存一份该工具的winrar压缩文件备份，设置解压密码。 3、效劳器的数据备份工作，每效劳器至少保证每月备份一次系统数据，系统备份采用ghost方式，对于ghost文件固定存放在e:ghost文件目录下，文件名以备份的日期命名，如0824.gho，每效劳器至少保证每两周备份一次应用程序数据，每效劳器至少保证每月备份一次用户数据，备份的数据固定存放在e:databak文件夹，针对各种数据再建立对应的子文件夹，如serv-u用户数据放在该文件夹下的servu文件夹下，iis站点数据存放在该文件夹下的iis文件夹下。 4、效劳器的监控工作，每天正常工作期间必须保证监视所有效劳器状态，一旦发现效劳停顿要及时采取相应措施。对于发现效劳停顿，首先检查该效劳器上同类型的效劳是否中断，如所有同类型的效劳都已中断及时登陆效劳器查看相关原因并针对该原因尝试重新开启对应效劳。 5、效劳器的相关日志操作，每效劳器保证每月对相关日志进展一次清理，清理前对应的各项日志如应用程序日志、平安日志、系统日志等都应选择“保存日志。所有的日志文件统一保存在e:logs下，应用程序日志保存在e:logsapp中，系统程序日志保存在e:logssys中，平安日志保存在e:logssec中。对于另外其他一些应用程序的日志，也按照这个方式进展处理，如ftp的日志保存在e:logsftp中。所有的备份日志文件都以备份的日期命名，如20050824.evt。对于不是单文件形式的日志，在对应的记录位置下建立一个以日期命名的文件夹，将这些文件存放在该文件夹中。 6、效劳器的补丁修补、应用程序更新工作，对于新出的漏洞补丁，应用程序方面的平安更新一定要在发现的第一时间给每效劳器打上应用程序的补丁。 7、效劳器的隐患检查工作，主要包括平安隐患、性能等方面。每效劳器必须保证每月重点的单独检查一次。每次的检查结果必须做好记录。 8、不定时的相关工作，每效劳器由于应用软件更改或其他某原因需要安装新的应用程序或卸载应用程序等操作必须知会所有管理员。 9、定期的管理密码更改工作，每效劳器保证至少每两个月更改一次密码，对于SQL效劳器由于如果SQL采用混合验证更改系统管理员密码会影响数据库的使用那么不予修改。 相关建议：对每效劳器设立一个效劳器管理记载，管理员每次登陆系统都应该在此中进展详细的记录，共需要记录以下几项：登入时间，退出时间，登入时效劳器状态包含不明进程记录，端口连接状态，系统XX状态，内存/CPU状态，详细操作情况记录详细记录下管理员登陆系统后的每一步操作。无论是远程登陆操作还是物理接触操作都要进展记录，然后将这些记录按照各效劳器归档，按时间顺序整理好文档。 对于数据备份、效劳器定时重启等操作建议将效劳器分组，例如分成四组，每月的周六晚备份一组效劳器的数据，每周的某一天定时去重启一组的效劳器，这样对于工作的开展比拟方便，这些属于固定性的工作。另外有些工作可以同步进展，如每月一次的数据备份、平安检查和管理员密码修改工作，先进展数据备份，然后进展平安检查，再修改密码。对于需要的即时操作如效劳器补丁程序的安装、效劳器不定时的故障维护等工作，这些属于即时性的工作，但是原那么上即时性的工作不能影响固定工作的安排。 二管理员日常考前须知 在效劳器管理过程中，管理员需要注意以下事项： 1、对自己的每一次操作应做好详细记录，具体见上述建议，以便于后来检查。 2、努力提高自身水平，加强学习硬件维护 1、储存设备的扩大 当资源不断扩展的时候，效劳器就需要更多的内存和硬盘容量来储存这些资源。所以，内存和硬盘的扩大是很常见的。增加内存前需要认定与效劳器原有的内存的兼容性，最好是同一品牌的规格的内存。如果是效劳器专用的ECC内存，那么必须选用一样的内存，普通的SDRAM内存与ECC内存在同一台效劳器上使用很可能会引起统严重出错。在增加硬盘以前，需要认定效劳器是否有空余的硬盘支架、硬盘接口和电源接口，还有主板是否支持这种容量的硬盘。尤其需要注意，防止买来了设备却无法使用。 2、设备的卸载和更换 卸载和更换设备时的问题不大，需要注意的是有许多品牌效劳器机箱的设计比拟特殊，需要特殊的工具或机关才能翻开，在卸机箱盖的时候，需要仔细看说明书，不要强行拆卸。另外，必须在完全断电、效劳器接地良好的情况下进展，即使是支持热插拔的设备也是如此，以防止静电对设备造成损坏。 3、除尘 尘土是效劳器最大的杀手，因此需要定期给效劳器除尘。对于效劳器来说，灰尘甚至是致命的。除尘方法与普通PC除尘方法一样，尤其要注意的是电源的除尘。软件维护 1、操作系统的维护 操作系统是效劳器运行的软件根底，其重要性不言自明。多数效劳器操作系统使用Windows NT或Windows 2000 Server作为操作系统，维护起来还是比拟容易的。 在Windows NT或Windows 2000 Server翻开事件查看器，在系统日志、平安日志和应用程序日志中查看有没有特别异常的记录。现在网上的黑客越来越多了，因此需要到微软的上下载最新的Service Pack(升级效劳包)安装上，将平安漏洞及时补上。 2、网络效劳的维护 网络效劳有很多，如效劳、DNS效劳、DHCP效劳、SMTP效劳、FTP效劳等，随着效劳器提供的效劳越来越多，系统也容易混乱，此时可能需要重新设定各个效劳的参数，使之正常运行。 3、数据库效劳 数据库经过长期的运行，需要调整数据库性能，使之进入最优化状态。数据库中的数据是最重要的，这些数据库如果丧失，损失是巨大的，因此需要定期来备份数据库，以防万一。 4、用户数据 经过频繁使用，效劳器可能存放了大量的数据。这些数据是非常珍贵的资源，所以需要加以整理，并刻成光盘永久保存起来，即使效劳器有故障，也能恢复数据。. v