web服務(wù)器安全設(shè)置

Web服務(wù)器攻擊常利用Web服務(wù)器軟件和配置中的漏洞，web服務(wù)器安全也是我們現(xiàn)在很多人關(guān)注的一點，那么你知道web服務(wù)器安全設(shè)置嗎?下面是我整理的一些關(guān)于web服務(wù)器安全設(shè)置的相關(guān)資料，供你參考。

創(chuàng)新互聯(lián)建站專注于渾江網(wǎng)站建設(shè)服務(wù)及定制，我們擁有豐富的企業(yè)做網(wǎng)站經(jīng)驗。 熱誠為您提供渾江營銷型網(wǎng)站建設(shè)，渾江網(wǎng)站制作、渾江網(wǎng)頁設(shè)計、渾江網(wǎng)站官網(wǎng)定制、小程序制作服務(wù)，打造渾江網(wǎng)絡(luò)公司原創(chuàng)品牌,更為您提供渾江網(wǎng)站排名全網(wǎng)營銷落地服務(wù)。

web服務(wù)器安全設(shè)置一、IIS的相關(guān)設(shè)置

刪除默認建立的站點的虛擬目錄，停止默認web站點，刪除對應(yīng)的文件目錄c:inetpub，配置所有站點的公共設(shè)置，設(shè)置好相關(guān)的連接數(shù)限制， 帶寬設(shè)置以及性能設(shè)置等其他設(shè)置。配置應(yīng)用程序映射，刪除所有不必要的應(yīng)用程序擴展，只保留asp，php，cgi，pl，aspx應(yīng)用程序擴展。對于php和cgi，推薦使用isapi方式解析，用exe解析對安全和性能有所影響。用戶程序調(diào)試設(shè)置發(fā)送文本錯誤信息給客戶。

對于數(shù)據(jù)庫，盡量采用mdb后綴，不需要更改為asp，可在IIS中設(shè)置一個mdb的擴展映射，將這個映射使用一個無關(guān)的dll文件如C:WINNTsystem32inetsrvssinc.dll來防止數(shù)據(jù)庫被下載。設(shè)置IIS的日志保存目錄，調(diào)整日志記錄信息。設(shè)置為發(fā)送文本錯誤信息。修改403錯誤頁面，將其轉(zhuǎn)向到其他頁，可防止一些掃描器的探測。另外為隱藏系統(tǒng)信息，防止telnet到80端口所泄露的系統(tǒng)版本信息可修改IIS的banner信息，可以使用winhex手工修改或者使用相關(guān)軟件如banneredit修改。

對于用戶站點所在的目錄，在此說明一下，用戶的FTP根目錄下對應(yīng)三個文件佳，wwwroot，database，logfiles，分別存放站點文件，數(shù)據(jù)庫備份和該站點的日志。如果一旦發(fā)生入侵事件可對該用戶站點所在目錄設(shè)置具體的權(quán)限，圖片所在的目錄只給予列目錄的權(quán)限，程序所在目錄如果不需要生成文件(如生成html的程序)不給予寫入權(quán)限。因為是虛擬主機平常對腳本安全沒辦法做到細致入微的地步。

方法

用戶從腳本提升權(quán)限：

web服務(wù)器安全設(shè)置二、ASP的安全設(shè)置

設(shè)置過權(quán)限和服務(wù)之后，防范asp木馬還需要做以下工作，在cmd窗口運行以下命令：

regsvr32/u C:\WINNT\System32\wshom.ocx

del C:\WINNT\System32\wshom.ocx

regsvr32/u C:\WINNT\system32\shell32.dll

del C:\WINNT\system32\shell32.dll

即可將WScript.Shell, Shell.application, WScript.Network組件卸載，可有效防止asp木馬通過wscript或shell.application執(zhí)行命令以及使用木馬查看一些系統(tǒng)敏感信息。另法：可取消以上文件的users用戶的權(quán)限，重新啟動IIS即可生效。但不推薦該方法。

另外，對于FSO由于用戶程序需要使用，服務(wù)器上可以不注銷掉該組件，這里只提一下FSO的防范，但并不需要在自動開通空間的虛擬商服務(wù)器上使用，只適合于手工開通的站點。可以針對需要FSO和不需要FSO的站點設(shè)置兩個組，對于需要FSO的用戶組給予c:winntsystem32scrrun.dll文件的執(zhí)行權(quán)限，不需要的不給權(quán)限。重新啟動服務(wù)器即可生效。

對于這樣的設(shè)置結(jié)合上面的權(quán)限設(shè)置，你會發(fā)現(xiàn)海陽木馬已經(jīng)在這里失去了作用!

web服務(wù)器安全設(shè)置三、PHP的安全設(shè)置

默認安裝的php需要有以下幾個注意的問題：

C:\winnt\php.ini只給予users讀權(quán)限即可。在php.ini里需要做如下設(shè)置：

Safe_mode=on

register_globals = Off

allow_url_fopen = Off

display_errors = Off

magic_quotes_gpc = On [默認是on，但需檢查一遍]

open_basedir =web目錄

disable_functions =passthru,exec,shell_exec,system,phpinfo,get_cfg_var,popen,chmod

默認設(shè)置com.allow_dcom = true修改為false[修改前要取消掉前面的;]

web服務(wù)器安全設(shè)置四、MySQL安全設(shè)置

如果服務(wù)器上啟用MySQL數(shù)據(jù)庫，MySQL數(shù)據(jù)庫需要注意的安全設(shè)置為：

刪除mysql中的所有默認用戶，只保留本地root帳戶，為root用戶加上一個復(fù)雜的密碼。賦予普通用戶updatedeletealertcreatedrop權(quán)限的時候，并限定到特定的數(shù)據(jù)庫，尤其要避免普通客戶擁有對mysql數(shù)據(jù)庫操作的權(quán)限。檢查mysql.user表，取消不必要用戶的shutdown_priv,reload_priv,process_priv和File_priv權(quán)限，這些權(quán)限可能泄漏更多的服務(wù)器信息包括非mysql的 其它 信息出去。可以為mysql設(shè)置一個啟動用戶，該用戶只對mysql目錄有權(quán)限。設(shè)置安裝目錄的data數(shù)據(jù)庫的權(quán)限(此目錄存放了mysql數(shù)據(jù)庫的數(shù)據(jù)信息)。對于mysql安裝目錄給users加上讀取、列目錄和執(zhí)行權(quán)限。

Serv-u安全問題：

安裝程序盡量采用最新版本，避免采用默認安裝目錄，設(shè)置好serv-u目錄所在的權(quán)限，設(shè)置一個復(fù)雜的管理員密碼。修改serv-u的banner信息，設(shè)置被動模式端口范圍(4001—4003)在本地服務(wù)器中設(shè)置中做好相關(guān)安全設(shè)置：包括檢查匿名密碼，禁用反超時調(diào)度，攔截“FTP bounce”攻擊和FXP，對于在30秒內(nèi)連接超過3次的用戶攔截10分鐘。域中的設(shè)置為：要求復(fù)雜密碼，目錄只使用小寫字母，高級中設(shè)置取消允許使用MDTM命令更改文件的日期。

更改serv-u的啟動用戶：在系統(tǒng)中新建一個用戶，設(shè)置一個復(fù)雜點的密碼，不屬于任何組。將servu的安裝目錄給予該用戶完全控制權(quán)限。建立一個FTP根目錄，需要給予這個用戶該目錄完全控制權(quán)限，因為所有的ftp用戶上傳，刪除，更改文件都是繼承了該用戶的權(quán)限，否則無法操 作文 件。另外需要給該目錄以上的上級目錄給該用戶的讀取權(quán)限，否則會在連接的時候出現(xiàn)530 Not logged in, home directory does not exist。比如在測試的時候ftp根目錄為d:soft，必須給d盤該用戶的讀取權(quán)限，為了安全取消d盤其他文件夾的繼承權(quán)限。而一般的使用默認的system啟動就沒有這些問題，因為system一般都擁有這些權(quán)限的。

web服務(wù)器安全設(shè)置五、數(shù)據(jù)庫服務(wù)器的安全設(shè)置

對于專用的MSSQL數(shù)據(jù)庫服務(wù)器，按照上文所講的設(shè)置TCP/IP篩選和IP策略，對外只開放1433和5631端口。對于MSSQL首先需要為sa設(shè)置一個強壯的密碼，使用混合身份驗證,加強數(shù)據(jù)庫日志的記錄,審核數(shù)據(jù)庫登陸事件的”成功和失敗”.刪除一些不需要的和危險的OLE自動存儲過程(會造成 企業(yè)管理 器中部分功能不能使用),這些過程包括如下:

Sp_OAcreate Sp_OADestroy Sp_OAGetErrorInfo Sp_OAGetProperty

Sp_OAMethod Sp_OASetProperty Sp_OAStop

去掉不需要的注冊表訪問過程,包括有:

Xp_regaddmultistring Xp_regdeletekey Xp_regdeletevalue

Xp_regenumvalues Xp_regread Xp_regremovemultistring

Xp_regwrite

去掉其他系統(tǒng)存儲過程，如果認為還有威脅，當然要小心drop這些過程，可以在測試機器上測試，保證正常的系統(tǒng)能完成工作，這些過程包括：

xp_cmdshell xp_dirtree xp_dropwebtask sp_addsrvrolemember

xp_makewebtask xp_runwebtask xp_subdirs sp_addlogin

sp_addextendedproc

在實例屬性中選擇TCP/IP協(xié)議的屬性。選擇隱藏 SQL Server 實例可防止對1434端口的探測,可修改默認使用的1433端口。除去數(shù)據(jù)庫的guest賬戶把未經(jīng)認可的使用者據(jù)之在外。 例外情況是master和 tempdb 數(shù)據(jù)庫,因為對他們guest帳戶是必需的。另外注意設(shè)置好各個數(shù)據(jù)庫用戶的權(quán)限，對于這些用戶只給予所在數(shù)據(jù)庫的一些權(quán)限。在程序中不要用sa用戶去連接任何數(shù)據(jù)庫。網(wǎng)絡(luò)上有建議大家使用協(xié)議加密的，千萬不要這么做，否則你只能重裝MSSQL了。

FTP權(quán)限設(shè)置

分類: 電腦/網(wǎng)絡(luò) 互聯(lián)網(wǎng)

問題描述:

我自己在家里 架設(shè)了一個FTP的服務(wù)器 目前已經(jīng)架設(shè)成功可以訪問！

但是我現(xiàn)在的問題就是！

只想允許別人訪問瀏覽到我的FTP服務(wù)器，不想讓別人在里面進行寫入與下載里面的文件 只是讓大家可以瀏覽到！不知道可不可以實現(xiàn)

我用的是系統(tǒng)是 番茄花園XP 里面自帶的IIS 不想用其他的FTP軟件 所以請不要建議我用什么軟件 我只想用自帶的這個IIS

解析:

在桌面上右擊“我的電腦”，執(zhí)行“管理”命令，在“計算機管理”窗口的左窗格中依次展開“系統(tǒng)工具”→“本地用戶和組”目錄，單擊選中“用戶”選項。在右側(cè)窗格中單擊右鍵，執(zhí)行“新用戶”命令。在打開的“新用戶”對話框中填寫用戶名（如hanjiang），并設(shè)定密碼。然后取消“用戶下次登錄時需更改密碼”復(fù)選框，并勾選“用戶不能更改密碼”和“密碼永不過期”復(fù)選框，單擊“創(chuàng)建”按鈕完成該用戶的添加。重復(fù)這一過程添加其他用戶，最后單擊“關(guān)閉”按鈕即可。

為方便對這些用戶的管理，最好將他們放入一個專門的組中。例如我們可以創(chuàng)建一個“FTPUsers”組：在“計算機管理”窗口的目錄樹中單擊選中“組”選項，然后在右側(cè)窗格中單擊右鍵，執(zhí)行“新建組”命令，并將該組命名為“FTPUsers”。接著依次單擊“添加”→“高級”→“立即查找”按鈕，將剛才創(chuàng)建的用戶全部添加進來，最后依次單擊“創(chuàng)建”→“結(jié)束”按鈕。

然而事情并沒有完，因為上述創(chuàng)建的用戶默認隸屬于“Users”組，也就是說他們擁有對大部分資源的瀏覽權(quán)限。為了實現(xiàn)對特定資源的有效管理，需要將這些用戶從“Users”組中刪除。在“計算機管理”窗口的右側(cè)窗格中雙擊“Users”選項，用鼠標拖選所有剛添加的用戶并單擊“刪除”按鈕即可。

設(shè)置獨立權(quán)限

這里的權(quán)限設(shè)置需要分兩部分來進行，即對FTP服務(wù)器主目錄的權(quán)限設(shè)置和對各個用戶文件夾的權(quán)限設(shè)置。假設(shè)FTP服務(wù)器的主目錄路徑為“G:/FTPServer”，我們先來取消“FTPUsers”組的用戶對“FTPServer”文件夾的“寫入 ”權(quán)限。右擊“FTPServer”文件夾，執(zhí)行“屬性”命令。在打開的“FTPServer 屬性”對話框中切換至“安全”選項卡下，然后依次單擊“添加”→“高級”→“立即查找”按鈕，單擊選中“FTPUsers”組并依次單擊“確定”按鈕回到“FTPServer 屬性”對話框。接著在“FTPUsers的權(quán)限”列表框中勾選“拒絕寫入”復(fù)選框。為了使“拒絕寫入”權(quán)限僅對“FTPServer”文件夾有效，還需要單擊“高級”按鈕，在“FTPServer的高級安全設(shè)置”對話框中雙擊“權(quán)限列表”中的“拒絕FTPUsers寫入”選項，打開“FTPServer的權(quán)限設(shè)置”對話框。在“應(yīng)用到”下拉列表中選中“只有該文件夾”選項，連續(xù)單擊“確定”按鈕完成設(shè)置（如圖1）。

接著我們?yōu)槊總€用戶創(chuàng)建獨立的文件夾（以用戶名命名），并針對每個文件夾賦予相應(yīng)用戶適當?shù)臋?quán)限。以文件夾“hanjiang”為例，在“hanjiang 屬性”對話框的“安全”選項卡下將用戶“hanjiang”添加進來，并賦予其讀取和寫入的權(quán)限。同理，對于其他文件夾，也只賦予相應(yīng)用戶讀取和寫入的權(quán)限。

小提示：需要受到權(quán)限保護的文件夾必須在NTFS分區(qū)中創(chuàng)建，F(xiàn)AT32分區(qū)內(nèi)的資源無法設(shè)置權(quán)限。

至此，設(shè)置工作就全部結(jié)束了。在任意一臺機器上以用戶“hanjiang”的身份登錄FTP服務(wù)器，你會發(fā)現(xiàn)該用戶只能在“hanjiang”文件夾中任意讀寫，而無法看到主目錄和其他用戶目錄的內(nèi)容。

bairenzhan

如何設(shè)置Windows服務(wù)器安全設(shè)置

如何設(shè)置Windows服務(wù)器安全設(shè)置

一、取消文件夾隱藏共享在默認狀態(tài)下，Windows 2000/XP會開啟所有分區(qū)的隱藏共享，從“控制面板/管理工具/計算機管理”窗口下選擇“系統(tǒng)工具/共享文件夾/共享”，就可以看到硬盤上的每個分區(qū)名后面都加了一個“$”。但是只要鍵入“計算機名或者IPC$”，系統(tǒng)就會詢問用戶名和密碼，遺憾的是，大多數(shù)個人用戶系統(tǒng)Administrator的密碼都為空，入侵者可以輕易看到C盤的內(nèi)容，這就給網(wǎng)絡(luò)安全帶來了極大的隱患。

怎么來消除默認共享呢?方法很簡單，打開注冊表編輯器，進入“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetSevicesLanmanworkstationparameters”，新建一個名為“AutoShareWKs”的雙字節(jié)值，并將其值設(shè)為“0”，然后重新啟動電腦，這樣共享就取消了。關(guān)閉“文件和打印共享”文件和打印共享應(yīng)該是一個非常有用的功能，但在不需要它的時候，也是黑客入侵的很好的安全漏洞。所以在沒有必要“文件和打印共享”的情況下，我們可以將它關(guān)閉。用鼠標右擊“網(wǎng)絡(luò)鄰居”，選擇“屬性”，然后單擊“文件和打印共享”按鈕，將彈出的“文件和打印共享”對話框中的兩個復(fù)選框中的鉤去掉即可。二、禁止建立空連接打開注冊表編輯器，進入“HKEY_LOCAL_MACHINESystemCurrentControlSetControlLsa”，將DWORD值“RestrictAnonymous”的鍵值改為“1”即可。三、刪掉不必要的.協(xié)議對于服務(wù)器來說，只安裝TCP/IP協(xié)議就夠了。鼠標右擊“網(wǎng)絡(luò)鄰居”，選擇“屬性”，再鼠標右擊“本地連接”，選擇“屬性”，卸載不必要的協(xié)議。其中NETBIOS是很多安全缺陷的根源，對于不需要提供文件和打印共享的主機，還可以將綁定在TCP/IP協(xié)議的NETBIOS關(guān)閉，避免針對NETBIOS的攻擊。選擇“TCP/IP協(xié)議/屬性/高級”，進入“高級TCP/IP設(shè)置”對話框，選擇“WINS”標簽，勾選“禁用TCP/IP上的NETBIOS”一項，關(guān)閉NETBIOS。四、禁用不必要的服務(wù):Automatic Updates(自動更新下載)Computer BrowserDHCP ClientDNS ClientMessengerPrint SpoolerRemote Registry(遠程修改注冊表)Server(文件共享)Task Scheduler(計劃任務(wù))TCP/IP NetBIOS HelperThemes(桌面主題)Windows AudioWindows TimeWorkstation五、更換管理員帳戶

Administrator帳戶擁有最高的系統(tǒng)權(quán)限，一旦該帳戶被人利用，后果不堪設(shè)想。黑客入侵的常用手段之一就是試圖獲得Administrator帳戶的密碼，所以我們要重新配置Administrator帳號。

首先是為Administrator帳戶設(shè)置一個強大復(fù)雜的密碼(個人建議至少12位)，然后我們重命名Administrator帳戶，再創(chuàng)建一個沒有管理員權(quán)限的Administrator帳戶欺騙入侵者。這樣一來，入侵者就很難搞清哪個帳戶真正擁有管理員權(quán)限，也就在一定程度上減少了危險性六、把Guest及其它不用的賬號禁用有很多入侵都是通過這個賬號進一步獲得管理員密碼或者權(quán)限的。如果不想把自己的計算機給別人當玩具，那還是禁止的好。打開控制面板，雙擊“用戶和密碼”，單擊“高級”選項卡，再單擊“高級”按鈕，彈出本地用戶和組窗口。在Guest賬號上面點擊右鍵，選擇屬性，在“常規(guī)”頁中選中“賬戶已停用”。另外，將Administrator賬號改名可以防止黑客知道自己的管理員賬號，這會在很大程度上保證計算機安全。七、防范木馬程序

木馬程序會竊取所植入電腦中的有用信息，因此我們也要防止被黑客植入木馬程序，常用的辦法有：

● 在下載文件時先放到自己新建的文件夾里，再用殺毒軟件來檢測，起到提前預(yù)防的作用。

● 在“開始”→“程序”→“啟動”或“開始”→“程序”→“Startup”選項里看是否有不明的運行項目，如果有，刪除即可。

● 將注冊表里 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun下的所有以“Run”為前綴的可疑程序全部刪除即可。八、如果開放了Web服務(wù)，還需要對IIS服務(wù)進行安全配置：

(1) 更改Web服務(wù)主目錄。右鍵單擊“默認Web站點→屬性→主目錄→本地路徑”，將“本地路徑”指向其他目錄。

(2) 刪除原默認安裝的Inetpub目錄。(或者更改文件名)

(3) 刪除以下虛擬目錄: _vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、MSADC。九、打開審核策略Windows默認安裝沒有打開任何安全審核，所以需要進入[我的電腦]→[控制面板]→[管理工具]→[本地安全策略]→[審核策略]中打開相應(yīng)的審核。系統(tǒng)提供了九類可以審核的事件，對于每一類都可以指明是審核成功事件、失敗事件，還是兩者都審核策略更改：成功或失敗登錄事件：成功和失敗對象訪問：失敗事件過程追蹤：根據(jù)需要選用目錄服務(wù)訪問：失敗事件特權(quán)使用：失敗事件系統(tǒng)事件：成功和失敗賬戶登錄事件：成功和失敗賬戶管理：成功和失敗十、安裝必要的安全軟件

我們還應(yīng)在電腦中安裝并使用必要的防黑軟件，殺毒軟件和防火墻都是必備的。在上網(wǎng)時打開它們，這樣即便有黑客進攻我們的安全也是有保證的。當然我們也不應(yīng)安裝一些沒必要的軟件,比如:QQ一些聊天工具,這樣盡可能給黑客提供少的后門.最后建議大家給自己的系統(tǒng)打上補丁，微軟那些沒完沒了的補丁還是很有用的。

當前名稱：服務(wù)器安全權(quán)限設(shè)置 服務(wù)器安全設(shè)置在哪
文章出自：http://www.rwnh.cn/article14/ddjcige.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供自適應(yīng)網(wǎng)站、定制網(wǎng)站、做網(wǎng)站、建站公司、品牌網(wǎng)站設(shè)計、全網(wǎng)營銷推廣

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)