我必须设置一个 Windows 2003 Small Business Server 来作为 Subversion 存储库,并且以后可能作为电子邮件服务器。
该机器是虚拟的,由托管公司托管,并且刚刚初始化。
我使用安全配置向导停用了所有服务器角色。安装 Subversion 后,我将打开服务所需的端口;此外,RDP 显然将保持打开状态,以便我可以远程控制机器。
自动更新已激活,并且每次有人登录服务器时我都会设置电子邮件通知。
我是一名程序员,而不是专业的系统管理员,所以我想知道您是否认为这是一个合理且安全的设置,用于在(公开可用的)盒子上托管敏感代码和/或电子邮件。
我还应该做些什么来确保机器的安全?
除了监视事件日志(就我能理解的而言)和查看是否正确安装了所有修补程序之外,我还能做些什么来长期保证机器的安全?
答案1
如果您对 SBS 2003/Windows 感到满意,我认为您目前的表现还不错。其他几件事:
在事件日志中启用失败审核,以便您查看登录失败的时间,而不仅仅是成功的时间;您可以通过谷歌搜索如何做到这一点。
创建一个名为“somebodyelse”或其他名称的新管理员用户,并禁用内置\管理员用户(首先检查以确保没有服务正在运行,然后进行相应更改)。这样,任何进行身份验证的人都需要知道用户名和密码。
仅启用 NTLMv2;LanManager 哈希很容易被破解。
使用密码短语代替密码
使用远程 Web 工作区(而不是直接使用 RDP)访问您的 SBS 服务器;我还会使用防火墙限制可以访问远程 Web 工作区 (443、4125) 的 IP 地址;如果可能的话,SVN 也是如此。
在 TechNet 上查看 Microsoft 有关 Windows 强化的文档;其中有一份您可以完成的清单,也可以运行 Baseline Security Analyzer: http://www.microsoft.com/downloads/details.aspx?FamilyID=F32921AF-9DBE-4DCE-889E-ECF997EB18E9&displaylang=en
答案2
Windows Small Business Server 物有所值:您可以以非常低的价格获得 Exchange、SharePoint、远程 Web 工作区等,非常适合小型办公室。
但是,无论是否用于电子邮件,SBS 可能是我建议的最后一个专用 SVN 服务器。我更愿意在类 UNIX 操作系统(您选择的发行版中的 Linux/BSD)上托管 SVN,并使用 Postfix 之类的邮件服务。它不仅托管费用更便宜(例如,无需购买 Windows 许可证/CAL),而且您可以通过仅安装支持您的两个要求所需的 Ports 包,从根本上减少占用空间(从而减少攻击媒介);对于 Linux 的服务器版本(Ubuntu、Debian、CentOS、RHEL 等),同样如此,而使用 SBS 则可以轻松实现这一点。
答案3
另一个选择是与专门的私人 SVN 托管公司合作;我听说过http://beanstalkapp.com/。
同样,对于电子邮件(以及一些协作功能,如共享日历和私人 Google Docs),您可以使用 Google Apps for My Domain——免费/标准版最多支持 5 个用户。