win2003服务器 虚拟主机安全配置
注入漏洞、上传漏洞、弱口令漏洞等问题随处可见。跨站***,远程控制等等是再老套不过了的话题。有些虚拟主机管理员不知是为了方便还是不熟悉配置,干脆就将所有的网站都放在同一个目录中,然后将上级目录设置为站点根目录。有些呢,则将所有的站点的目录都设置为可执行、可写入、可修改。有些则为了方便,在服务器上挂起了QQ,也装上了BT。更有甚者,竟然把Internet来宾帐号加入到Administrators组中!汗……!普通的用户将自己的密码设置为生日之类的6位纯数字,这种情况还可以原谅,毕竟他们大部分都不是专门搞网络研究的,中国国民的安全意识提高还需要一段时间嘛,但如果是网络管理员也这样,那就怎么也有点让人想不通了。网络安全问题日益突出,最近不又有人声称“万网:我进来玩过两次了!”一句话,目前很大部分的网站安全状况让人担忧!
这里就我个人过去的经历和大家一同来探讨有关安全虚拟主机配置的问题。以下以建立一个站点cert.ecjtu.jx.cn为例,跟大家共同探讨虚拟主机配置问题。
一、建立Windows用户
为每个网站单独设置windows用户帐号cert,删除帐号的User组,将cert加入Guest用户组。将用户不能更改密码,密码永不过期两个选项选上。
二、设置文件夹权限
1、设置非站点相关目录权限
Windows安装好后,很多目录和文件默认是everyone可以浏览、查看、运行甚至是可以修改 的。这给服务器安全带来极大的隐患。这里就我个人的一些经验提一些在***中较常用的目录。
C:\;D:\;……
  C:\perl
  C:\temp\
  C:\Mysql\
  c:\php\
  C:\autorun.inf
  C:\Documents and setting\
  C:\Documents and Settings\All Users\「开始」菜单\程序\
  C:\Documents and Settings\All Users\「开始」菜单\程序\启动
  C:\Documents and Settings\All Users\Documents\
  C:\Documents and Settings\All Users\Application Data\Symantec\
  C:\Documents and Settings\All Users\Application Data\Symantec\pcAnywhere
  C:\WINNT\system32\config\
  C:\winnt\system32\inetsrv\data\
  C:\WINDOWS\system32\inetsrv\data\
  C:\Program Files\
  C:\Program Files\Serv-U\
  c:\Program Files\KV2004\
  c:\Program Files\Rising\RAV
  C:\Program Files\RealServer\
  C:\Program Files\Microsoft SQL server\
  C:\Program Files\Java Web Start\
以上这些目录或文件的权限应该作适当的限制。如取消Guests用户的查看、修改和执行等权限。由于篇幅关系,这里仅简单提及。
2、设置站点相关目录权限:
A、设置站点根目录权限:将刚刚建立的用户cert给对应站点文件夹,假设为D:\cert设置相应的权限:Adiministrators组为完全控制;cert有读取及运行、列出文件夹目录、读取,取消其它所有权限。
B、设置可更新文件权限:经过第1步站点根目录文件夹权限的设置后,Guest用户已经没有修改站点文件夹中任何内容的权限了。这显然对于一个有更新的站点是不够的。这时就需要对单独的需更新的文件进行权限设置。当然这个可能对虚拟主机提供商来说有些不方便。客户的站点的需更新的文件内容之类的可能都不一样。这时,可以规定某个文件夹可写、可改。如有些虚拟主机提供商就规定,站点根目录中uploads为web可上传文件夹,data或者 database为数据库文件夹。这样虚拟主机服务商就可以为客户定制这两个文件夹的权限。当然也可以像有些做的比较好的虚拟主机提供商一样,给客户做一个程序,让客户自己设定。可能要做到这样,服务商又得花不小的钱财和人力哦。
基本的配置应该大家都会,这里就提几个特殊之处或需要注意的地方。
1、主目录权限设置:这里可以设置读取就行了。写入、目录浏览等都可以不要,最关键的就是目录浏览了。除非特殊情况,否则应该关闭,不然将会暴露很多重要的信息。这将为******带来方便。其余保留默认就可以了。
2、应用程序配置:在站点属性中,主目录这一项中还有一个配置选项,点击进入。在应用程序映射选项中可以看到,默认有许多应用程序映射。将需要的保留,不需要的全部都删除。在***过程中,很多程序可能限制了asp,php等文件上传,但并不对cer,asa等文件进行限制,如果未将对应的应用程序映射删除,则可以将asp的后缀名改为cer或者asa后进行上传,***将可以正常被解析。这也往往被管理员忽视。另外添加一个应用程序扩展名映射,可执行文件可以任意选择,后缀名为.mdb。这是为了防止后缀名为mdb的用户数据库被下载。
3、目录安全性设置:在站点属性中选择目录安全性,点击匿名访问和验证控制,选择允许匿名访问,点击编辑。如下图所示。删除默认用户,浏览选择对应于前面为cert网站设定的用户,并输入密码。可以选中允许IIS控制密码。这样设定的目的是为了防止一些像站长助手、海洋等***的跨目录跨站点浏览,可以有效阻止这类的跨目录跨站***。
4、可写目录执行权限设置:关闭所有可写目录的执行权限。由于程序方面的漏洞,目前非常流行上传一些网页***,绝大部分都是用web进行上传的。由于不可写的目录***不能进行上传,如果关闭了可写目录的执行权限,那么上传的***将不能正常运行。可以有效防止这类形式web***。
5、处理运行错误:这里有两种方法,一是关闭错误回显。IIS属性――主目录――配置――应用程序调试――脚本错误消息,选择发送文本错误信息给客户。二是定制错误页面。在IIS属性――自定义错误信息,在http错误信息中双击需要定制的错误页面,将弹出错误映射属性设置框。消息类型有默认值、URL和文件三种,可以根据情况自行定制。这样一方面可以隐藏一些错误信息,另外一方面也可以使错误显示更加友好。
四、配置FTP
Ftp是绝大部分虚拟主机提供商必备的一项服务。用户的站内文件大部分都是使用ftp进行上传的。目前使用的最多的ftp服务器非Serv-U莫属了。这里有几点需要说明一下。
1、管理员密码必须更改
如果***爱好者们肯定对Serv-U提权再熟悉莫过了。这些提权工具使用的就是Serv-U默认的管理员的帐号和密码运行的。因为Serv-U管理员是以超级管理员的身份运行的。如果没有更改管理员密码,这些工具使用起来就再好用不过了。如果更改了密码,那这些工具要想正常运行,那就没那么简单喽。得先破解管理员密码才行。
2、更改安装目录权限
Serv-U的默认安装目录都是everyone可以浏览甚至可以修改的。安装的时候如果选择将用户信息存储在ini文件中,则可以在ServUDaemon.ini得到用户的所有信息。如果Guests有修改权限,那么***就可以顺利建立具有超级权限的用户。这可不是一件好事。所以在安装好Serv-U之后,得修改相应的文件夹权限,可以取消Guests用户的相应权限。
五、命令行相关操作处理
1、禁止guests用户执行com.exe:
我们可以通过以下命令取消guests执行com.exe的权限
cacls C:\WINNT\system3\Cmd.exe /e /d guests。
2、禁用Wscript.Shell组件:
Wscript.Shell可以调用系统内核运行DOS基本命令。可以通过修改注册表,将此组件改名,来防止此类***的危害。 HKEY_CLASSES_ROOT\Wscript.Shell\ 及HKEY_CLASSES_ROOT\Wscript.Shell.1\改名为其它的名字。将两项clsid的值也改一下 HKEY_CLASSES_ROOT\Wscript.Shell\CLSID\项目的值和HKEY_CLASSES_ROOT\ Wscript.Shell.1\CLSID\项目的值,也可以将其删除。
3、禁用Shell.Application组件
Shell.Application也可以调用系统内核运行DOS基本命令。可以通过修改注册表,将此组件改名,来防止此类***的危害。 HKEY_CLASSES_ROOT\Shell.Application\ 及HKEY_CLASSES_ROOT\Shell.Application.1\ 改名为其它的名字。将HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值 HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值更改或删除。同时,禁止Guest用户使用 shell32.dll来防止调用此组件。使用命令:cacls C:\WINNT\system32\shell32.dll /e /d guests
4、FileSystemObject组件
FileSystemObject可以对文件进行常规操作可以通过修改注册表,将此组件改名,来防止此类***的危害。对应注册表项为HKEY_CLASSES_ROOT\ scripting.FileSystemObject\。可以禁止guests用户使用或直接将其删除。考虑到很多的上传都会使用到这个组件,为了方便,这里不建议更改或删除。
5、禁止telnet登陆
在C:\WINNT\system32目录下有个login.cmd文件,将其用记事本打开,在文件末尾另取一行,加入exit保存。这样用户在登陆telnet时,便会立即自动退出。
注:以上修改注册表操作均需要重新启动WEB服务后才会生效。
六、端口设置
端口窗体底端就是门,这个比喻非常形象。如果我们服务器的所有端口都开放的话,那就意味着***有好多门可以进行***。所以我个人觉得,关闭未使用的端口是一件重要的事情。在控制面板――网络与拨号连接――本地连接――属性――Internet协议(TCP/IP)属性,点击高级,进入高级TCP/IP设置,选择选项,在可选的设置中选择TCP/IP筛选,启用TCP/IP筛选。添加需要的端口,如21、80等,关闭其余的所有未使用的端口。
七、关闭文件共享
系统默认是启用了文件共享功能的。我们应给予取消。在控制面板――网络和拨号连接――本地连接――属性,在常规选项种,取消Microsoft 网络文件和打印共享。服务最少原则是保障安全的一项重要原则。非必要的服务应该给予关闭。系统服务可以在控制面板――管理工具――服务中进行设定。
八、关闭非必要服务
类似telnet服务、远程注册表操作等服务应给予禁用。同时尽可能安装最少的软件。这可以避免一些由软件漏洞带来的安全问题。有些网管在服务器上安装QQ,利用服务器挂QQ,这种做法是极度错误的。
九、关注安全动态及时更新漏洞补丁
更新漏洞补丁对于一个网络管理员来说是非常重要的。更新补丁,可以进一步保证系统的安全。

转载于:https://blog.51cto.com/oysjun/619683

win2003服务器 虚拟主机安全配置相关推荐

  1. 虚拟服务器伪静态怎么设置,虚拟主机怎么配置伪静态

    启动步骤:进入虚拟主机管理中心,在网站基本功能板块,找到伪静态设置,选择对应的模板,确认即可生成伪静态文件. Linux系统,将程序开发者提供的伪静态规则文件.htaccess上传到网站根目录下即可. ...

  2. 虚拟服务器目录,服务器虚拟主机目录

    服务器虚拟主机目录 内容精选 换一换 用户可以在公有云MRS集群以外的节点上使用客户端,在使用客户端前需要安装客户端.如果集群外的节点已安装客户端且只需要更新客户端,请使用安装客户端的用户例如root ...

  3. Nginx教程--02.Nginx虚拟主机的配置

    1.Nginx虚拟主机的配置 1.1 在conf目录下,使用命令 : vim nginx.conf 对上图解释: //全局区 worker _processes 1; //表示当前有1个工作的子进程, ...

  4. apache 虚拟主机如何配置

    apache 虚拟主机如何配置?相信很多没有经验的人对此束手无策,为此本文总结了问题出现的原因和解决方法,通过这篇文章希望你能解决这个问题.  apache虚拟主机就是在apache服务器上配置多个虚 ...

  5. Apache 虚拟主机 VirtualHost 配置

    虚拟主机 (Virtual Host) 是在同一台机器搭建属于不同域名或者基于不同 IP 的多个网站服务的技术. 可以为运行在同一物理机器上的各个网站指配不同的 IP 和端口, 也可让多个网站拥有不同 ...

  6. 虚拟主机和托盘服务器,虚拟主机和托盘服务器

    虚拟主机和托盘服务器 内容精选 换一换 源端服务器数据收集声明.源端服务器上安装和配置完迁移Agent后,迁移Agent会把源端服务器信息发送给主机迁移服务校验,收集的源端服务器的详细信息请参见主机迁 ...

  7. linux虚拟主机泛解析,Apache虚拟主机的配置和泛域名解析实现代码

    Apache虚拟主机的配置和泛域名解析实现代码 更新时间:2012年03月11日 00:28:19   作者: Apache虚拟主机的配置和泛域名解析实现代码,需要的朋友可以参考下 虚拟主机的配置 基 ...

  8. wdcp服务器/虚拟主机管理系统,wdcp服务器/虚拟主机管理系统1.1发布(最后更新20110423)...

    wdcp服务器/虚拟主机管理系统1.1发布 (最后更新20110423,查看更新日志) wdcp (WDlinux Control Panel) 是一套用PHP开发的Linux服务器管理系统,旨在易于 ...

  9. apache 虚拟主机详细配置:http.conf配置详解

    Apache的配置文件http.conf参数含义详解 Apache的配置由httpd.conf文件配置,因此下面的配置指令都是在httpd.conf文件中修改. 主站点的配置(基本配置) (1) 基本 ...

最新文章

  1. poj3692(二分图最大独立集)
  2. 文武双全,AI 女神们的修炼手册!
  3. 第二周数据采样过程及结果
  4. tensorlfow.saved_model的使用
  5. ffplay.c学习-6-⾳视频同步基础
  6. matlab控制realsense,RealSense开发学习--1.初识RealSense
  7. 如何在命令行更改IP地址
  8. 模拟退火算法_Simulated Annealing 模拟退火算法
  9. Qt 批量替换指定文本为目标文本
  10. 表格闪退怎么解决_excel2010表格打开闪退怎么回事
  11. 如何实现小程序的无限推送
  12. 4GDTU称重系统无线监测系统
  13. 智慧时代,如何让路口交通安全又高效?
  14. 国外大学诸多自学课程
  15. OC和Clover黑苹果USB定制和注入
  16. 拒绝面试造火箭,工作拧螺丝——Java经典面试题分享『带答案』
  17. PHP网页简单的计算机源代码
  18. 未能加载文件或程序集“office, Version=15.0.0.0, Culture=neutral, PublicKeyToken=71e9bce111e9429c”或它的某一个依赖项。拒绝访问
  19. 高精度除法:高精度除以低精度
  20. 手把手教你应用三种工厂模式在SpringIOC中创建对象实例【案例详解】

热门文章

  1. php如何查看上传的文件大小,PHP设置最大上传文件大小
  2. c语言中文件是如何存储的,急求如何将下列C语言程序数据存储到文件中?
  3. 中北大学和陕西科技大学计算机专业,西北地区两所重点大学,中北大学和陕西科技大学...
  4. sql replace 双引号变单引号_sql-汇总、排序以及分析思路
  5. android蓝牙串口 hc06,Android手机通过蓝牙模块HC-06连接Arduino串口输出
  6. python基本符合_python 3-3(2019-11-06 ) Python基础 (三)
  7. 【JAVA基础篇】面对对象的特征
  8. 防抖 节流_【前端面试】节流与防抖
  9. C语言其实不难,只是你没有找对方法!
  10. AC_Dream 1224 Robbers(贪心)