技巧篇：史上最好的虛擬主機安全配置

　　技巧篇：史上最好的安全配置 　　這里就我個(gè)人過(guò)去的經(jīng)歷和大家一同來(lái)探討有關(guān)安全配置的問(wèn)題。以下以建立一個(gè)站點(diǎn)cert.ecjtu.jx.cn為例，跟大家共同探討虛擬主機配置問(wèn)題。 　　一、建立Windows用戶(hù) 　　為每個(gè)網(wǎng)站單獨設置windows用戶(hù)帳號cert，刪除帳號的User組，將cert加入Guest用戶(hù)組。將用戶(hù)不能更改密碼，密碼永不過(guò)期兩個(gè)選項選上。 　　二、設置文件夾權限 　　1、設置非站點(diǎn)相關(guān)目錄權限 　　Windows安裝好后，很多目錄和文件默認是everyone可以瀏覽、查看、運行甚至是可以修改 的。這給服務(wù)器安全帶來(lái)極大的隱患。這里就我個(gè)人的一些經(jīng)驗提一些在入侵中較常用的目錄。 　　以上這些目錄或文件的權限應該作適當的限制。如取消Guests用戶(hù)的查看、修改和執行等權限。由于篇幅關(guān)系，這里僅簡(jiǎn)單提及。 技巧篇：史上最好的虛擬主機安全配置 　　2、設置站點(diǎn)相關(guān)目錄權限： 　　A、設置站點(diǎn)根目錄權限：將剛剛建立的用戶(hù)cert給對應站點(diǎn)文件夾，假設為D：cert設置相應的權限：Adiministrators組為完全控制;cert有讀取及運行、列出文件夾目錄、讀取，取消其它所有權限。 　　B、設置可更新文件權限：經(jīng)過(guò)第1步站點(diǎn)根目錄文件夾權限的設置后，Guest用戶(hù)已經(jīng)沒(méi)有修改站點(diǎn)文件夾中任何內容的權限了。這顯然對于一個(gè)有更新的站點(diǎn)是不夠的。這時(shí)就需要對單獨的需更新的文件進(jìn)行權限設置。當然這個(gè)可能對虛擬主機提供商來(lái)說(shuō)有些不方便?？蛻?hù)的站點(diǎn)的需更新的文件內容之類(lèi)的可能都不一樣。這時(shí)，可以規定某個(gè)文件夾可寫(xiě)、可改。如有些虛擬主機提供商就規定，站點(diǎn)根目錄中uploads為web可上傳文件夾，data或者database為數據庫文件夾。這樣虛擬主機服務(wù)商就可以為客戶(hù)定制這兩個(gè)文件夾的權限。當然也可以像有些做的比較好的虛擬主機提供商一樣，給客戶(hù)做一個(gè)程序，讓客戶(hù)自己設定?？赡芤龅竭@樣，服務(wù)商又得花不小的錢(qián)財和人力哦。 　　三、基本的配置應該大家都會(huì )，這里就提幾個(gè)特殊之處或需要注意的地方。 　　1、主目錄權限設置：這里可以設置讀取就行了。寫(xiě)入、目錄瀏覽等都可以不要，最關(guān)鍵的就是目錄瀏覽了。除非特殊情況，否則應該關(guān)閉，不然將會(huì )暴露很多重要的信息。這將為黑客入侵帶來(lái)方便。其余保留默認就可以了。 　　2、應用程序配置：在站點(diǎn)屬性中，主目錄這一項中還有一個(gè)配置選項，點(diǎn)擊進(jìn)入。在應用程序映射選項中可以看到，默認有許多應用程序映射。將需要的保留，不需要的全部都刪除。在入侵過(guò)程中，很多程序可能限制了asp，php等文件上傳，但并不對cer，asa等文件進(jìn)行限制，如果未將對應的應用程序映射刪除，則可以將asp的后綴名改為cer或者asa后進(jìn)行上傳，木馬將可以正常被解析。這也往往被管理員忽視。另外添加一個(gè)應用程序擴展名映射，可執行文件可以任意選擇，后綴名為。mdb.這是為了防止后綴名為mdb的用戶(hù)數據庫被下載。 　　3、目錄安全性設置：在站點(diǎn)屬性中選擇目錄安全性，點(diǎn)擊匿名訪(fǎng)問(wèn)和驗證控制，選擇允許匿名訪(fǎng)問(wèn)，點(diǎn)擊編輯。如下圖所示。刪除默認用戶(hù)，瀏覽選擇對應于前面為cert網(wǎng)站設定的用戶(hù)，并輸入密碼?？梢赃x中允許IIS控制密碼。這樣設定的目的是為了防止一些像站長(cháng)助手、海洋等木馬的跨目錄跨站點(diǎn)瀏覽，可以有效阻止這類(lèi)的跨目錄跨站入侵。 　　4、可寫(xiě)目錄執行權限設置：關(guān)閉所有可寫(xiě)目錄的執行權限。由于程序方面的漏洞，目前非常流行上傳一些網(wǎng)頁(yè)木馬，絕大部分都是用web進(jìn)行上傳的。由于不可寫(xiě)的目錄木馬不能進(jìn)行上傳，如果關(guān)閉了可寫(xiě)目錄的執行權限，那么上傳的木馬將不能正常運行?？梢杂行Х乐惯@類(lèi)形式web入侵。 　　5、處理運行錯誤：這里有兩種方法，一是關(guān)閉錯誤回顯。IIS屬性――主目錄――配置――應用程序調試――腳本錯誤消息，選擇發(fā)送文本錯誤信息給客戶(hù)。二是定制錯誤頁(yè)面。在IIS屬性――自定義錯誤信息，在http錯誤信息中雙擊需要定制的錯誤頁(yè)面，將彈出錯誤映射屬性設置框。消息類(lèi)型有默認值、URL和文件三種，可以根據情況自行定制。這樣一方面可以隱藏一些錯誤信息，另外一方面也可以使錯誤顯示更加友好。 　　四、配置FTP 　　Ftp是絕大部分提供商必備的一項服務(wù)。用戶(hù)的站內文件大部分都是使用ftp進(jìn)行上傳的。目前使用的最多的ftp服務(wù)器非Serv-U莫屬了。這里有幾點(diǎn)需要說(shuō)明一下。 　　1、管理員密碼必須更改 　　如果入侵愛(ài)好者們肯定對Serv-U提權再熟悉莫過(guò)了。這些提權工具使用的就是Serv-U默認的管理員的帳號和密碼運行的。因為Serv-U管理員是以超級管理員的身份運行的。如果沒(méi)有更改管理員密碼，這些工具使用起來(lái)就再好用不過(guò)了。如果更改了密碼，那這些工具要想正常運行，那就沒(méi)那么簡(jiǎn)單嘍。得先破解管理員密碼才行。 　　2、更改安裝目錄權限 　　Serv-U的默認安裝目錄都是everyone可以瀏覽甚至可以修改的。安裝的時(shí)候如果選擇將用戶(hù)信息存儲在ini文件中，則可以在ServUDaemon.ini得到用戶(hù)的所有信息。如果Guests有修改權限，那么黑客就可以順利建立具有超級權限的用戶(hù)。這可不是一件好事。所以在安裝好Serv-U之后，得修改相應的文件夾權限，可以取消Guests用戶(hù)的相應權限。 　　五、命令行相關(guān)操作處理 　　1、禁止guests用戶(hù)執行com.exe： 　　我們可以通過(guò)以下命令取消guests執行com.exe的權限 　　cacls C：WINNTsystem3Cmd.exe /e /d guests. 　　2、禁用Wscript.Shell組件： 　　Wscript.Shell可以調用系統內核運行DOS基本命令?？梢酝ㄟ^(guò)修改注冊表，將此組件改名，來(lái)防止此類(lèi)木馬的危害。HKEY_CLASSES_ROOTWscript.Shell及HKEY_CLASSES_ROOTWscript.Shell.1改名為其它的名字。將兩項clsid的值也改一下HKEY_CLASSES_ROOTWscript.ShellCLSID項目的值和HKEY_CLASSES_ROOT Wscript.Shell.1CLSID項目的值，也可以將其刪除。 　　3、禁用Shell.Application組件 　　Shell.Application也可以調用系統內核運行DOS基本命令?？梢酝ㄟ^(guò)修改注冊表，將此組件改名，來(lái)防止此類(lèi)木馬的危害。HKEY_CLASSES_ROOTShell.Application及HKEY_CLASSES_ROOTShell.Application.1改名為其它的名字。將HKEY_CLASSES_ROOTShell.ApplicationCLSID項目的值HKEY_CLASSES_ROOTShell.ApplicationCLSID項目的值更改或刪除。同時(shí)，禁止Guest用戶(hù)使用shell32.dll來(lái)防止調用此組件。使用命令：cacls C：WINNTsystem32shell32.dll /e /d guests 　　4、FileSystemObject組件 　　FileSystemObject可以對文件進(jìn)行常規操作可以通過(guò)修改注冊表，將此組件改名，來(lái)防止此類(lèi)木馬的危害。對應注冊表項為HKEY_CLASSES_ROOT scripting.FileSystemObject.可以禁止guests用戶(hù)使用或直接將其刪除?？紤]到很多的上傳都會(huì )使用到這個(gè)組件，為了方便，這里不建議更改或刪除。 　　5、禁止telnet登陸 　　在C：WINNTsystem32目錄下有個(gè)login.cmd文件，將其用記事本打開(kāi)，在文件末尾另取一行，加入exit保存。這樣用戶(hù)在登陸telnet時(shí)，便會(huì )立即自動(dòng)退出。 　　注：以上修改注冊表操作均需要重新啟動(dòng)WEB服務(wù)后才會(huì )生效。 　　六、端口設置 　　端口窗體底端就是門(mén)，這個(gè)比喻非常形象。如果我們服務(wù)器的所有端口都開(kāi)放的話(huà)，那就意味著(zhù)黑客有好多門(mén)可以進(jìn)行入侵。所以我個(gè)人覺(jué)得，關(guān)閉未使用的端口是一件重要的事情。在控制面板――網(wǎng)絡(luò )與撥號連接――本地連接――屬性――Internet協(xié)議(TCP/IP)屬性，點(diǎn)擊高級，進(jìn)入高級TCP/IP設置，選擇選項，在可選的設置中選擇TCP/IP篩選，啟用TCP/IP篩選。添加需要的端口，如21、80等，關(guān)閉其余的所有未使用的端口。 　　七、關(guān)閉文件共享 　　系統默認是啟用了文件共享功能的。我們應給予取消。在控制面板――網(wǎng)絡(luò )和撥號連接――本地連接――屬性，在常規選項種，取消Microsoft 網(wǎng)絡(luò )文件和打印共享。服務(wù)最少原則是保障安全的一項重要原則。非必要的服務(wù)應該給予關(guān)閉。系統服務(wù)可以在控制面板――管理工具――服務(wù)中進(jìn)行設定。 　　八、關(guān)閉非必要服務(wù) 　　類(lèi)似telnet服務(wù)、遠程注冊表操作等服務(wù)應給予禁用。同時(shí)盡可能安裝最少的軟件。這可以避免一些由軟件漏洞帶來(lái)的安全問(wèn)題。有些網(wǎng)管在服務(wù)器上安裝QQ，利用服務(wù)器掛QQ，這種做法是極度錯誤的。 　　九、關(guān)注安全動(dòng)態(tài)及時(shí)更新漏洞補丁 　　更新漏洞補丁對于一個(gè)網(wǎng)絡(luò )管理員來(lái)說(shuō)是非常重要的。更新補丁，可以進(jìn)一步保證系統的安全。

文章來(lái)源：http://www.tuidc.com/idczixun/chanpin/host/1758.html

相關(guān)推薦

【上云季-1折驚爆價(jià)】香港/美國高性能云服務(wù)器27元起秒殺專(zhuān)場(chǎng)，上云必備，火爆開(kāi)搶>>點(diǎn)擊查看詳情<<

【全球云-高性能限量搶】高性能云主機好用能省，高性能高配置高儲存，輕松解鎖云端場(chǎng)景>>點(diǎn)擊查看詳情<<

【服務(wù)器-特價(jià)服務(wù)器】新購指定配置可享受限時(shí)特惠7折。每個(gè)用戶(hù)不限臺數 低至280元月>>點(diǎn)擊查看詳情<<