服務(wù)器安全配置:常用的WEB服務(wù)器安全配置技巧_負載集群教程

2024-09-10 14:21:04

字體：大中小

供稿：網(wǎng)友

刪除默認建立的站點的虛擬目錄，停止默認web站點，刪除對應(yīng)的文件目錄c：inetpub，配置所有站點的公共設(shè)置，設(shè)置好相關(guān)的連接數(shù)限制，帶寬設(shè)置以及性能設(shè)置等其他設(shè)置。配置應(yīng)用程序映射，刪除所有不必要的應(yīng)用程序擴展，只保留asp，php，cgi，pl，aspx應(yīng)用程序擴展。對于php和cgi，推薦使用isapi方式解析，用exe解析對安全和性能有所影響。用戶程序調(diào)試設(shè)置發(fā)送文本錯誤信息給戶。對于數(shù)據(jù)庫，盡量采用mdb后綴，不需要更改為asp，可在IIS中設(shè)置一個mdb的擴展映射，將這個映射使用一個無關(guān)的dll文件如C：WINNTsystem32inetsrvssinc.dll來防止數(shù)據(jù)庫被下載。設(shè)置IIS的日志保存目錄，調(diào)整日志記錄信息。設(shè)置為發(fā)送文本錯誤信息。修改403錯誤頁面，將其轉(zhuǎn)向到其他頁，可防止一些掃描器的探測。另外為隱藏系統(tǒng)信息，防止telnet到80端口所泄露的系統(tǒng)版本信息可修改IIS的banner信息，可以使用winhex手工修改或者使用相關(guān)軟件如banneredit修改。

對于用戶站點所在的目錄，在此說明一下，用戶的FTP根目錄下對應(yīng)三個文件佳，wwwroot，database，logfiles，分別存放站點文件，數(shù)據(jù)庫備份和該站點的日志。如果一旦發(fā)生入侵事件可對該用戶站點所在目錄設(shè)置具體的權(quán)限，圖片所在的目錄只給予列目錄的權(quán)限，程序所在目錄如果不需要生成文件（如生成html的程序）不給予寫入權(quán)限。因為是虛擬主機平常對腳本安全沒辦法做到細致入微的地步，更多的只能在方法用戶從腳本提升權(quán)限：

ASP的安全設(shè)置：

設(shè)置過權(quán)限和服務(wù)之后，防范asp木馬還需要做以下工作，在cmd窗口運行以下命令：

regsvr32/u C：WINNTSystem32wshom.ocx

del C：WINNTSystem32wshom.ocx

regsvr32/u C：WINNTsystem32shell32.dll

del C：WINNTsystem32shell32.dll

即可將WScript.Shell， Shell.application， WScript.Network組件卸載，可有效防止asp木馬通過wscript或shell.application執(zhí)行命令以及使用木馬查看一些系統(tǒng)敏感信息。另法：可取消以上文件的users用戶的權(quán)限，重新啟動IIS即可生效。但不推薦該方法。

另外，對于FSO由于用戶程序需要使用，服務(wù)器上可以不注銷掉該組件，這里只提一下FSO的防范，但并不需要在自動開通空間的虛擬商服務(wù)器上使用，只適合于手工開通的站點。可以針對需要FSO和不需要FSO的站點設(shè)置兩個組，對于需要FSO的用戶組給予c：winntsystem32scrrun.dll文件的執(zhí)行權(quán)限，不需要的不給權(quán)限。重新啟動服務(wù)器即可生效。

對于這樣的設(shè)置結(jié)合上面的權(quán)限設(shè)置，你會發(fā)現(xiàn)海陽木馬已經(jīng)在這里失去了作用！

PHP的安全設(shè)置：

默認安裝的php需要有以下幾個注意的問題：

C：winntphp.ini只給予users讀權(quán)限即可。在php.ini里需要做如下設(shè)置：

Safe_mode=on

register_globals = Off

allow_url_fopen = Off

display_errors = Off

magic_quotes_gpc = On [默認是on，但需檢查一遍]

open_basedir =web目錄

disable_functions =passthru，exec，shell_exec，system，phpinfo，get_cfg_var，popen，chmod

默認設(shè)置com.allow_dcom = true修改為false[修改前要取消掉前面的；]

MySQL安全設(shè)置：

如果服務(wù)器上啟用MySQL數(shù)據(jù)庫，MySQL數(shù)據(jù)庫需要注意的安全設(shè)置為：

刪除mysql中的所有默認用戶，只保留本地root帳戶，為root用戶加上一個復(fù)雜的密碼。賦予普通用戶updatedeletealertcreatedrop權(quán)限的時候，并限定到特定的數(shù)據(jù)庫，尤其要避免普通客戶擁有對mysql數(shù)據(jù)庫操作的權(quán)限。檢查mysql.user表，取消不必要用戶的shutdown_priv，relo

ad_priv，process_priv和File_priv權(quán)限，這些權(quán)限可能泄漏更多的服務(wù)器信息包括非mysql的其它信息出去。可以為mysql設(shè)置一個啟動用戶，該用戶只對mysql目錄有權(quán)限。設(shè)置安裝目錄的data數(shù)據(jù)庫的權(quán)限（此目錄存放了mysql數(shù)據(jù)庫的數(shù)據(jù)信息）。對于mysql安裝目錄給users加上讀取、列目錄和執(zhí)行權(quán)限。

Serv-u安全問題：

安裝程序盡量采用最新版本，避免采用默認安裝目錄，設(shè)置好serv-u目錄所在的權(quán)限，設(shè)置一個復(fù)雜的管理員密碼。修改serv-u的banner信息，設(shè)置被動模式端口范圍（4001—4003）在本地服務(wù)器中設(shè)置中做好相關(guān)安全設(shè)置：包括檢查匿名密碼，禁用反超時調(diào)度，攔截“FTP bounce”攻擊和FXP，對于在30秒內(nèi)連接超過3次的用戶攔截10分鐘。域中的設(shè)置為：要求復(fù)雜密碼，目錄只使用小寫字母，高級中設(shè)置取消允許使用MDTM命令更改文件的日期。

更改serv-u的啟動用戶：在系統(tǒng)中新建一個用戶，設(shè)置一個復(fù)雜點的密碼，不屬于任何組。將servu的安裝目錄給予該用戶完全控制權(quán)限。建立一個FTP根目錄，需要給予這個用戶該目錄完全控制權(quán)限，因為所有的ftp用戶上傳，刪除，更改文件都是繼承了該用戶的權(quán)限，否則無法操作文件。另外需要給該目錄以上的上級目錄給該用戶的讀取權(quán)限，否則會在連接的時候出現(xiàn)530 Not logged in， home directory does not exist.比如在測試的時候ftp根目錄為d：soft，必須給d盤該用戶的讀取權(quán)限，為了安全取消d盤其他文件夾的繼承權(quán)限。而一般的使用默認的system啟動就沒有這些問題，因為system一般都擁有這些權(quán)限的

上一篇：自定義FTP 體驗極速的下載快感_負載集群教程

下一篇：介紹服務(wù)器安全熱點12項技術(shù)_負載集群教程