我必须build立一个Windows 2003小型企业服务器作为Subversion版本库,稍后可能作为电子邮件服务器。
该机器是一个虚拟的,托pipe公司,并新鲜初始化。
我使用安全configuration向导来停用所有服务器angular色。 在我安装Subversion后,我会打开服务的必要端口; 另外,显然,RDP将保持开放,所以我可以远程控制机器。
自动更新被激活,每次有人login到服务器时,我都会设置电子邮件通知。
我是一名程序员,而不是一名专业的系统pipe理员,所以我想知道你是否会认为这是一个安全可靠的(公开可用)框来托pipe敏感代码和/或电子邮件。
还有什么我应该做的,使机器安全?
除了监视事件日志(只要我可以理解它),并且看到任何修复程序安装正确,除了监视事件日志之外,是否还有任何事情可以长期保持机器的安全?
如果你满足于SBS 2003 / Windows,我认为你现在已经做了一个体面的工作。 其他一些事情:
在事件日志中启用失败审计,以便您可以看到login失败发生的时间,而不仅仅是成功; 你可以谷歌如何做到这一点。
创build一个名为“somebodyelse”的新pipe理员用户,或者禁用内置的\ administrator用户(检查确保没有服务与它一起运行,并相应地改变)。 这样,任何进行身份validation的人都需要知道用户名和密码。
仅启用NTLMv2; LanManager哈希值是微不足道的。
使用密码而不是密码
使用远程工作网站,而不是RDP直接到您的SBS服务器; 我还会限制可以使用防火墙访问Remote Web Workplace(443,4125)的IP地址; 如果可能的话,同样适用于SVN。
在TechNet上查看微软关于Windows Hardening的文档; 您可以完成清单,还可以运行Baseline Security Analyzer: http : //www.microsoft.com/downloads/details.aspx? FamilyID=F32921AF-9DBE-4DCE-889E-ECF997EB18E9&displaylang =en
Windows小型企业服务器对于金钱来说是非常有价值的:您可以以非常低的价格获得Exchange,SharePoint,远程工作网站等,这对于小型办公室来说非常合适。
不过,SBS可能是我build议用于特定目的的SVN服务器的最后一个服务器,不pipe是否有电子邮件。 我觉得在类似UNIX的操作系统(Linux / BSD在您select的发行版)上托pipeSVN的东西好像Postfix的邮件。 不仅在主机费用上不那么昂贵(例如没有购买Windows许可/ CAL),而且你可以通过像FreeBSD这样的东西从根本上减less占用空间(从而攻击媒介),只需安装支持你的两个端口所需的端口包要求; 同样Linux的服务器版本(Ubuntu,Debian,CentOS,RHEL等)与SBS没有任何困难。
另一个select是与专用的私人SVN托pipe公司运行; 我听说过有关http://beanstalkapp.com/的好消息。
同样,对于电子邮件(以及一些协作function,如共享日历和私有Google文档),您可以使用Google Apps for My Domain – 免费/标准版本支持多达5个用户。