WEB专用服务器安全设置技巧（范文推荐）

下面是小编为大家整理的WEB专用服务器安全设置技巧（范文推荐）,供大家参考。

WEB 专用服务器的安全设置技巧 关于专用的 MSSQL 数据库服务器，按照上文所讲的设置 TCP/IP 筛选与 IP 策略，对外只开放 1433 与5631 端口。

　　IIS 的有关设置：

　　 删除默认建立的站点的虚拟目录，停止默认 web 站点，删除对应的文件目录 c:inetpub，配置所有站点的公共设置，设置好有关的连接数限制，带宽设置与性能设置等其他设置。配置应用程序映射，删除所有不必要的应用程序扩展，只保留 asp，php，cgi，pl，aspx 应用程序扩展。关于 php 与 cgi，推荐使用 isapi方式解析，用 exe 解析对安全与性能有所影响。用户程序调试设置发送文本错误信息给户。关于数据库，尽量使用 mdb 后缀，不需要更换为 asp，可在 IIS 中设置一个 mdb 的扩展映射，将这个映射使用一个无关的 dll 文件如 C:WINNTsystem32inetsrvssinc.dll 来防止数据库被下载。设置 IIS 的日志储存目录，调整日志记录信息。设置为发送文本错误信息。修改 403 错误页面，将其转向到其他页，可防止一些扫描器的探测。另外为隐藏系统信息，防止 telnet 到 80 端口所泄露的系统版本信息可修改 IIS 的 banner 信息，能够使用winhex 手工修改或者者使用有关软件如 banneredit 修改。

　　 关于用户站点所在的目录，在此说明一下，用户的 FTP 根目录下对应三个文件佳，wwwroot，database，logfiles，分别存放站点文件，数据库备份与该站点的日志。假如一旦发生入侵事件可对该用户站点所在目录设置具体的权限，图片所在的目录只给予列目录的权限，程序所在目录假如不需要生成文件（如生成 html的程序）不给予写入权限。由因此虚拟主机平常对脚本安全没办法做到细致入微的地步，更多的只能在方法用户从脚本提升权限：

　　 ASP 的安全设置：

　　 设置过权限与服务之后，防范 asp 木马还需要做下列工作，在 cmd 窗口运行下列命令：

　　 regsvr32/u C:\WINNT\System32\wshom.ocx del C:\WINNT\System32\wshom.ocx regsvr32/u C:\WINNT\system32\shell32.dll del C:\WINNT\system32\shell32.dll 即可将 WScript.Shell, Shell.application, WScript.Network 组件卸载，可有效防止 asp 木马通过 wscript或者 shell.application 执行命令与使用木马查看一些系统敏感信息。另法：可取消以上文件的 users 用户的权限，重新启动 IIS 即可生效。但不推荐该方法。

　　 另外，关于 FSO 由于用户程序需要使用，服务器上能够不注销掉该组件，这里只提一下 FSO 的防范，但并不需要在自动开通空间的虚拟商服务器上使用，只适合于手工开通的站点。能够针对需要 FSO 与不需要 FSO 的站点设置两个组，关于需要 FSO 的用户组给予 c:winntsystem32scrrun.dll 文件的执行权限，不需要的不给权限。重新启动服务器即可生效。

　　 关于这样的设置结合上面的权限设置，你会发现海阳木马已经在这里失去了作用！ PHP 的安全设置：

　　 默认安装的 php 需要有下列几个注意的问题：

　　 C:\winnt\php.ini 只给予 users 读权限即可。在 php.ini 里需要做如下设置：

　　 Safe_mode=on register_globals = Off allow_url_fopen = Off display_errors = Off magic_quotes_gpc = On [默认是 on，但需检查一遍] open_basedir =web 目录 disable_functions =passthru,exec,shell_exec,system,phpinfo,get_cfg_var,popen,chmod 默认设置 com.allow_dcom = true 修改为 false[修改前要取消掉前面的；] MySQL 安全设置：

　　 假如服务器上启用 MySQL 数据库，MySQL 数据库需要注意的安全设置为：

　　 删除 mysql 中的所有默认用户，只保留本地 root 帐户，为 root 用户加上一个复杂的密码。给予普通用户 updatedeletealertcreatedrop 权限的时候，并限定到特定的数据库，特别要避免普通客户拥有对 mysql 数据库操作的权限。检查 mysql.user 表，取消不必要用户的 shutdown_priv,relo ad_priv,process_priv 与 File_priv 权限，这些权限可能泄漏更多的服务器信息包含非 mysql 的其它信息出去。能够为 mysql 设置一个启动用户，该用户只对 mysql 目录有权限。设置安装目录的 data 数据库的权限(此目录存放了 mysql 数据库的数据信息)。关于 mysql 安装目录给 users 加上读取、列目录与执行权限。

　　 Serv-u 安全问题：

　　 安装程序尽量使用最新版本，避免使用默认安装目录，设置好 serv-u 目录所在的权限，设置一个复杂的管理员密码。修改 serv-u 的 banner 信息，设置被动模式端口范围（4001—4003）在本地服务器中设置中做好有关安全设置：包含检查匿名密码，禁用反超时调度，拦截“FTP bounce”攻击与 FXP，关于在 30秒内连接超过 3 次的用户拦截 10 分钟。域中的设置为：要求复杂密码，目录只使用小写字母，高级中设置取消同意使用 MDTM 命令更换文件的日期。

　　 更换 serv-u 的启动用户：在系统中新建一个用户，设置一个复杂点的密码，不属于任何组。将 servu的安装目录给予该用户完全操纵权限。建立一个 FTP 根目录，需要给予这个用户该目录完全操纵权限，由于所有的 ftp 用户上传，删除，更换文件都是继承了该用户的权限，否则无法操作文件。另外需要给该目录以上的上级目录给该用户的读取权限，否则会在连接的时候出现 530 Not logged in, home directory does not exist。比如在测试的时候 ftp 根目录为 d:soft，务必给 d 盘该用户的读取权限，为了安全取消 d 盘其他文件夹的继承权限。而通常的使用默认的 system 启动就没有这些问题，由于 system 通常都拥有这些权限的。

　　 数据库服务器的安全设置 关于专用的 MSSQL 数据库服务器，按照上文所讲的设置 TCP/IP 筛选与 IP 策略，对外只开放 1433 与5631 端口。关于 MSSQL 首先需要为 sa 设置一个强壮的密码，使用混合身份验证,加强数据库日志的记录,审核数据库登陆事件的”成功与失败”.删除一些不需要的与危险的 OLE 自动存储过程(会造成企业管理器中部分功能不能使用),这些过程包含如下: Sp_OACreate Sp_OADestroy Sp_OAGetErrorInfo Sp_OAGetProperty Sp_OAMethod Sp_OASetProperty Sp_OAStop 去掉不需要的注册表访问过程,包含有: Xp_regaddmultistring Xp_regdeletekey Xp_regdeletevalue Xp_regenumvalues Xp_regread Xp_regremovemultistring Xp_regwrite 去掉其他系统存储过程，假如认为还有威胁，当然要小心 Drop 这些过程，能够在测试机器上测试，保证正常的系统能完成工作，这些过程包含：

　　 xp_cmdshell xp_dirtree xp_dropwebtask sp_addsrvrolemember xp_makewebtask xp_runwebtask xp_subdirs sp_addlogin sp_addextendedproc 在实例属性中选择 TCP/IP 协议的属性。选择隐藏 SQL Server 实例可防止对 1434 端口的探测,可修改默认使用的 1433 端口。除去数据库的 guest 账户把未经认可的使用者据之在外。

　　例外情况是 master 与 tempdb 数据库,由于对他们 guest 帐户是必需的。另外注意设置好各个数据库用户的权限，关于这些用户只给予所在数据库的一些权限。在程序中不要用 sa 用户去连接任何数据库。网络上有建议大家使用协议加密的，千万不要这么做，否则你只能重装 MSSQL 了。

　　 入侵检测与数据备份 入侵检测工作 作为服务器的日常管理，入侵检测是一项非常重要的工作，在平常的检测过程中，要紧包含日常的服务器安全例行检查与遭到入侵时的入侵检查，也就是分为在入侵进行时的安全检查与在入侵前后的安全检查。系统的安全性遵循木桶原理，木桶原理指的是：一个木桶由许多块木板构成，假如构成木桶的这些木 板长短不一，那么这个木桶的最大容量不取决于长的木板，而取决于最短的那块木板。应用到安全方面也就是说系统的安全性取决于系统中最脆弱的地方，这些地方是日常的安全检测的重点所在。

　　 日常的安全检测 日常安全检测要紧针对系统的安全性，工作要紧按照下列步骤进行：

　　 1 ．查看服务器状态：

　　 打开进程管理器，查看服务器性能，观察 CPU 与内存使用状况。查看是否有 CPU 与内存占用过高等特殊情况。

　　 2 ．检查当前进程情况 3 ．检查系统帐号 打开计算机管理，展开本地用户与组选项，查看组选项，查看 administrators 组是否添加有新帐号，检查是否有克隆帐号。

　　 4 ．查看当前端口开放情况 使用 activeport，查看当前的端口连接情况，特别是注意与外部连接着的端口情况，看是否有未经同意的端口与外界在通信。如有，立即关闭该端口并记录下该端口对应的程序并记录，将该程序转移到其他目录下存放以便后来分析。打开计算机管理==》软件环境==》正在运行任务[在此处能够查看进程管理器中看不到的隐藏进程]，查看当前运行的程序，假如有不明程序，记录下该程序的位置，打开任务管理器结束该进程，关于使用了守护进程的后门等程序可尝试结束进程树，如仍然无法结束，在注册表中搜索该程序名，删除掉有关键值，切换到安全模式下删除掉有关的程序文件。

　　 5 ．检查系统服务 运行 services.msc，检查处于已启动状态的服务，查看是否有新加的未知服务并确定服务的用途。关于不清晰的服务打开该服务的属性，查看该服务所对应的可执行文件是什么，假如确定该文件是系统内的正常使用的文件，可粗略放过。查看是否有其他正常开放服务依存在该服务上，假如有，能够粗略的放过。假如无法确定该执行文件是否是系统内正常文件同时没有其他正常开放服务依存在该服务上，可暂时停止掉该服务，然后测试下各类应用是否正常。关于一些后门由于使用了 hook 系统 API 技术，添加的服务项目 在 服 务 管 理 器 中 是 无 法 看 到 的 ， 这 时 需 要 打 开 注 册 表 中 的HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices 项进行查找，通过查看各服务的名称、对应的执行文件来确定是否是后门、木马程序等。

　　 6 ．查看有关日志 运行 eventvwr.msc，粗略检查系统中的有关日志记录。在查看时在对应的日志记录上点右键选“属性”，在“筛选器”中设置一个日志筛选器，只选择错误、警告，查看日志的来源与具体描述信息。关于出现的错误如能在服务器常见故障排除中找到解决办法则依照该办法处理该问题，假如无解决办法则记录下该问题，全面记录下事件来源、ID 号与具体描述信息，以便找到问题解决的办法。

　　 7 ．检查系统文件 要紧检查系统盘的 exe 与 dll 文件，建议系统安装完毕之后用 dir *.exe /s >1.txt 将 C 盘所有的 exe 文件列表储存下来，然后每次检查的时候再用该命令生成一份当时的列表，用 fc 比较两个文件，同样如此针对dll 文件做有关检查。需要注意的是打补丁或者者安装软件后重新生成一次原始列表。检查有关系统文件是否被替换或者系统中是否被安装了木马后门等恶意程序。必要时可运行一次杀毒程序对系统盘进行一次扫描处理。

　　 8 ．检查安全策略是否更换 打开本地连接的属性，查看“常规”中是否只勾选了“TCP/IP 协议”，打开“TCP/IP”协议设置，点“高级”==》“选项”，查看“IP 安全机制”是否是设定的 IP 策略，查看“TCP/IP”筛选同意的端口是否具有被更换。打开“管理工具”=》“本地安全策略”，查看目前使用的 IP 安全策略是否发生更换。

　　 9 ．检查目录权限 重点查看系统目录与重要的应用程序权限是否被更换。需要查看的目录有 c:;c:winnt; C:winntsystem32;c:winntsystem32inetsrv;c:winntsystem32inetsrvdata;c:documents and Settings;然后再检查 serv-u 安装目录，查看这些目录的权限是否做过变动。检查 system32 下的一些重 要文件是否更换过权限，包含：cmd，net，ftp，tftp，cacls 等文件。

　　 10．检查启动项 要紧检查当前的开机自启动程序。能够使用 AReporter 来检查开机自启动的程序。

　　 发现入侵时的应对措施 关于即时发现的入侵事件，下列情况针对系统已遭受到破坏情况下的处理，系统未遭受到破坏或者暂时无法察觉到破坏先按照上述的检查步骤检查一遍后再酌情考虑下列措施。系统遭受到破坏后应立即采取下列措施：

　　 视情况严重决定处理的方式，是通过远程处理还是通过实地处理。如情况严重建议使用实地处理。如使用实地处理，在发现入侵的第一时间通知机房关闭服务器，待处理人员赶到机房时断开网线，再进入系统进行检查。如使用远程处理，如情况严重第一时间停止所有应用服务，更换 IP 策略为只同意远程管理端口进行连接然后重新启动服务器，重新启动之后再远程连接上去进行处理，重启前先用 AReporter 检查开机自启动的程序。然后再进行安全检查。

　　 下列处理措施针对用户站点被入侵但未危及系统的情况，假如用户要求加强自己站点的安全性，可按如下方式加固用户站点的安全：

　　 站点根目录----只给 administrator 读取权限，权限继承下去。

　　 wwwroot ------给 web 用户读取、写入权限。高级里面有删除子文件夹与文件权限 logfiles------给 system 写入权限。

　　 database------给 web 用户读取、写入权限。高级里面没有删除子文件夹与文件权限 如需要进一步修改，可针对用户站点的特性关于普通文件存放目录如 html、js、图片文件夹只给读取权限，对 asp 等脚本文件给予上表中的权限。另外查看该用户站点对应的安全日志，找出漏洞原因，协助用户修补程序漏洞。

　　 数据备份与数据恢复 数据备份工作大致如下：

　　 1． 每月备份一次系统数据。

　　 2． 备份系统后的两周单独备份一次应用程序数据，要紧包...

推荐访问： 标签 专用 设置