web服務(wù)器該怎么進(jìn)行安全設(shè)置

系統(tǒng)設(shè)置

成都創(chuàng)新互聯(lián)公司-專業(yè)網(wǎng)站定制、快速模板網(wǎng)站建設(shè)、高性價比炎陵網(wǎng)站開發(fā)、企業(yè)建站全套包干低至880元,成熟完善的模板庫,直接使用。一站式炎陵網(wǎng)站制作公司更省心,省錢,快速模板網(wǎng)站建設(shè)找我們，業(yè)務(wù)覆蓋炎陵地區(qū)。費用合理售后完善，十余年實體公司更值得信賴。

1、屏蔽不必要的端口。沒有特殊的需要,web服務(wù)器只需要開個21和80以及3389就足夠了。

2、及時更新補(bǔ)丁。而且要打全,否則很容易中木馬。

3、關(guān)閉危險組件和服務(wù)項。

IIS相關(guān)設(shè)置

1、盡量取消不必要的程序擴(kuò)展,僅保留asp,php,cgi,pl,aspx應(yīng)用程序擴(kuò)展就可以了。擴(kuò)展越多意味著風(fēng)險系數(shù)越大,能關(guān)閉就盡量關(guān)閉。

2、數(shù)據(jù)庫要推薦使用mdb后綴,可以在IIS中設(shè)置mdb的擴(kuò)展映射,把映射利用一個毫不相關(guān)的dll文件如來禁止被下載。如C:WINNTsystem32inetsrvssinc.dll。

3、設(shè)置好IIS的日志存放目錄,調(diào)整日志的記錄信息。設(shè)置成發(fā)送文本錯誤信息。修改403錯誤頁面,將其轉(zhuǎn)向到其他頁,這樣可以防止一些掃描器的探測。

代碼安全

1、少用不明網(wǎng)站的第三方代碼,特別是一些不知名的個人或者小團(tuán)隊的公開代碼。像DISCUZ這么強(qiáng)大的代碼都一直被爆出漏洞,更別說其他的代碼了,原因很簡單,就是因為這些代碼是開放的,可以直接在源代碼里面找漏洞。

2、代碼放注入。只要有數(shù)據(jù)庫就會有注入,抵御與繞過抵御的方法有很多。總之這個是要靠程序員日積月累的代碼功底和安全意識的。

3、防止上傳漏洞。除了代碼的注入,文件的上傳也是個大安全漏洞。所以,可以減少上傳數(shù)量,提高嚴(yán)重強(qiáng)度,以及驗證的時候要固定后綴和類型。

為了保證服務(wù)器能夠安全高效的提供服務(wù)，應(yīng)該如何配置服務(wù)器的安全設(shè)置。

web服務(wù)器安全關(guān)鍵是要看你的web服務(wù)器提供服務(wù)的安全需求是什么，如果是普通的服務(wù)公眾的服務(wù)器可以參考一下內(nèi)容： 刪除默認(rèn)建立的站點的虛擬目錄，停止默認(rèn)web站點，刪除對應(yīng)的文件目錄c：inetpub，配置所有站點的公共設(shè)置，設(shè)置好相關(guān)的連接數(shù)限制，帶寬設(shè)置以及性能設(shè)置等其他設(shè)置。配置應(yīng)用程序映射，刪除所有不必要的應(yīng)用程序擴(kuò)展，只保留asp，php，cgi，pl，aspx應(yīng)用程序擴(kuò)展。對于php和cgi，推薦使用isapi方式解析，用exe解析對安全和性能有所影響。用戶程序調(diào)試設(shè)置發(fā)送文本錯誤信息給戶。對于數(shù)據(jù)庫，盡量采用mdb后綴，不需要更改為asp，可在IIS中設(shè)置一個mdb的擴(kuò)展映射，將這個映射使用一個無關(guān)的dll文件如C：WINNTsystem32inetsrvssinc.dll來防止數(shù)據(jù)庫被下載。設(shè)置IIS的日志保存目錄，調(diào)整日志記錄信息。設(shè)置為發(fā)送文本錯誤信息。修改403錯誤頁面，將其轉(zhuǎn)向到其他頁，可防止一些掃描器的探測。另外為隱藏系統(tǒng)信息，防止telnet到80端口所泄露的系統(tǒng)版本信息可修改IIS的banner信息，可以使用winhex手工修改或者使用相關(guān)軟件如banneredit修改。 對于用戶站點所在的目錄，在此說明一下，用戶的FTP根目錄下對應(yīng)三個文件佳，wwwroot，database，logfiles，分別存放站點文件，數(shù)據(jù)庫備份和該站點的日志。如果一旦發(fā)生入侵事件可對該用戶站點所在目錄設(shè)置具體的權(quán)限，圖片所在的目錄只給予列目錄的權(quán)限，程序所在目錄如果不需要生成文件（如生成html的程序）不給予寫入權(quán)限。因為是虛擬主機(jī)平常對腳本安全沒辦法做到細(xì)致入微的地步，更多的只能在方法用戶從腳本提升權(quán)限： ASP的安全設(shè)置： 設(shè)置過權(quán)限和服務(wù)之后，防范asp木馬還需要做以下工作，在cmd窗口運(yùn)行以下命令： regsvr32/u C：\WINNT\System32\wshom.ocx del C：\WINNT\System32\wshom.ocx regsvr32/u C：\WINNT\system32\shell32.dll del C：\WINNT\system32\shell32.dll 即可將WScript.Shell， Shell.application， WScript.Network組件卸載，可有效防止asp木馬通過wscript或shell.application執(zhí)行命令以及使用木馬查看一些系統(tǒng)敏感信息。另法：可取消以上文件的users用戶的權(quán)限，重新啟動IIS即可生效。但不推薦該方法。 另外，對于FSO由于用戶程序需要使用，服務(wù)器上可以不注銷掉該組件，這里只提一下FSO的防范，但并不需要在自動開通空間的虛擬商服務(wù)器上使用，只適合于手工開通的站點。可以針對需要FSO和不需要FSO的站點設(shè)置兩個組，對于需要FSO的用戶組給予c：winntsystem32scrrun.dll文件的執(zhí)行權(quán)限，不需要的不給權(quán)限。重新啟動服務(wù)器即可生效。 對于這樣的設(shè)置結(jié)合上面的權(quán)限設(shè)置，你會發(fā)現(xiàn)海陽木馬已經(jīng)在這里失去了作用！ PHP的安全設(shè)置： 默認(rèn)安裝的php需要有以下幾個注意的問題： C：\winnt\php.ini只給予users讀權(quán)限即可。在php.ini里需要做如下設(shè)置： Safe_mode=on register_globals = Off allow_url_fopen = Off display_errors = Off magic_quotes_gpc = On [默認(rèn)是on，但需檢查一遍] open_basedir =web目錄 disable_functions =passthru，exec，shell_exec，system，phpinfo，get_cfg_var，popen，chmod 默認(rèn)設(shè)置com.allow_dcom = true修改為false[修改前要取消掉前面的；] MySQL安全設(shè)置： 如果服務(wù)器上啟用MySQL數(shù)據(jù)庫，MySQL數(shù)據(jù)庫需要注意

centos7 服務(wù)器基本的安全設(shè)置步驟

關(guān)閉ping掃描，雖然沒什么卵用

先切換到root

echo 1 /proc/sys/net/ipv4/icmp_echo_ignore_all

1代表關(guān)閉

0代表開啟

用iptables

iptables -I INPUT -p icmp -j DROP

簡單介紹下基本的 dedecms _aq/' target='_blank'安全設(shè)置

一、創(chuàng)建普通用戶，禁止root登錄，只允許普通用戶使用su命令切換到root

這樣做的好處是雙重密碼保護(hù)，黑客就算知道了普通用戶的密碼，如果沒有root密碼，對服務(wù)器上攻擊也比較有限

以下是具體做法(需要在root下)

添加普通用戶

useradd xxx

設(shè)置密碼

passwd xxx

這樣就創(chuàng)建好了一個普通用戶

禁止root登錄

vi /etc/ssh/sshd_config

PermitRootLogin no

Systemctl restart sshd

這樣就完成了第一步，之后root就無法登錄服務(wù)器只能通過普通用戶su切換

二、修改ssh的默認(rèn)端口22，因為ssh的端口是22，我們?nèi)绻薷牧嗽摱丝冢麄兙托枰ㄙM一點時間來掃描，稍微增加了點難度

以下將端口改為51866可以根據(jù)需要自己更改，最好選擇10000-65535內(nèi)的端口

step1 修改/etc/ssh/sshd_config

vi /etc/ssh/sshd_config

#Port 22 //這行去掉#號

Port 51866 //下面添加這一行

為什么不先刪除22，以防其他端口沒配置成功，而又把22的刪除了，無法再次進(jìn)入服務(wù)器

step2 修改SELinux

安裝semanage

$ yum provides semanage

$ yum -y install policycoreutils-python

使用以下命令查看當(dāng)前SElinux 允許的ssh端口：

semanage port -l | grep ssh

添加51866端口到 SELinux

semanage port -a -t ssh_port_t -p tcp 51866

注：操作不成功，可以參考：

失敗了話應(yīng)該是selinux沒有打開

然后確認(rèn)一下是否添加進(jìn)去

semanage port -l | grep ssh

如果成功會輸出

ssh_port_t tcp 51866, 22

step3 重啟ssh

systemctl restart sshd.service

查看下ssh是否監(jiān)聽51866端口

netstat -tuln

Step4 防火墻開放51866端口

firewall-cmd --permanent --zone=public --add-port=51866/tcp

firewall-cmd --reload

然后測試試試，能不能通過51866登錄，若能登錄進(jìn)來，說明成功，接著刪除22端口

vi /etc/ssh/sshd_config

刪除22端口 wq

systemctl restart sshd.service

同時防火墻也關(guān)閉22端口

firewall-cmd --permanent --zone=public --remove-port=22/tcp

注意如果是使用阿里的服務(wù)器需要到阿里里面的安全組添加新的入站規(guī)則(應(yīng)該是因為阿里的服務(wù)器是用的內(nèi)網(wǎng)，需要做端口映射)

三、使用一些類似DenyHosts預(yù)防SSH暴力破解的軟件(不詳細(xì)介紹)

其實就是一個python腳本，查看非法的登錄，次數(shù)超過設(shè)置的次數(shù)自動將ip加入黑名單。

四、使用云鎖(不詳細(xì)介紹)

參考自

總的來說做好了前兩步能夠減少至少百分之五十的入侵，在做好第三步之后，基本可以杜絕百分之八十以上的入侵。當(dāng)然最重要的還是自己要有安全意識，要多學(xué)習(xí)一些安全知識和linux的知識。

第三第四其中都有稍微提到一點，感興趣可以看看

Windows2003服務(wù)器怎么做好安全設(shè)置

1、禁止危險的服務(wù)

2、去掉C盤危險的權(quán)限

3、刪除危險的組件

4、安裝安全防護(hù)軟件

說起來就這幾樣，不過具體實施起來就比較復(fù)雜了，建議是找專業(yè)的安全廠商處理比較好，我以前用的護(hù)衛(wèi)神.入侵防護(hù)系統(tǒng)，還送一次人工安全加固，效果很不錯，價格還很便宜。

名稱欄目：服務(wù)器怎么做安全設(shè)置模塊 服務(wù)器怎么做安全防護(hù)
標(biāo)題URL：http://www.rwnh.cn/article2/doppjic.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供標(biāo)簽優(yōu)化、軟件開發(fā)、品牌網(wǎng)站設(shè)計、面包屑導(dǎo)航、搜索引擎優(yōu)化、虛擬主機(jī)

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)