开发者社区> zhubaojie> 正文
阿里云
为了无法计算的价值
打开APP
阿里云APP内打开

史上最好的虚拟主机安全配置

简介:
+关注继续查看

这里就我个人过去的经历和大家一同来探讨有关安全虚拟主机配置的问题。以下以建立一个站点cert.ecjtu.jx.cn为例,跟大家共同探讨虚拟主机配置问题。

一、建立Windows用户
为每个网站单独设置windows用户帐号cert,删除帐号的User组,将cert加入Guest用户组。将用户不能更改密码,密码永不过期两个选项选上。

二、设置文件夹权限
1、设置非站点相关目录权限

Windows安装好后,很多目录和文件默认是everyone可以浏览、查看、运行甚至是可以修改 的。这给服务器安全带来极大的隐患。这里就我个人的一些经验提一些在入侵中较常用的目录。

以上这些目录或文件的权限应该作适当的限制。如取消Guests用户的查看、修改和执行等权限。由于篇幅关系,这里仅简单提及。

2、设置站点相关目录权限:

A、设置站点根目录权限:将刚刚建立的用户cert给对应站点文件夹,假设为D:cert设置相应的权限:Adiministrators组为完全控制;cert有读取及运行、列出文件夹目录、读取,取消其它所有权限。

B、设置可更新文件权限:经过第1步站点根目录文件夹权限的设置后,Guest用户已经没有修改站点文件夹中任何内容的权限了。这显然对于一个有更新的站点是不够的。这时就需要对单独的需更新的文件进行权限设置。当然这个可能对虚拟主机提供商来说有些不方便。客户的站点的需更新的文件内容之类的可能都不一样。这时,可以规定某个文件夹可写、可改。如有些虚拟主机提供商就规定,站点根目录中uploads为web可上传文件夹,data或者database为数据库文件夹。这样虚拟主机服务商就可以为客户定制这两个文件夹的权限。当然也可以像有些做的比较好的虚拟主机提供商一样,给客户做一个程序,让客户自己设定。可能要做到这样,服务商又得花不小的钱财和人力哦。

三、基本的配置应该大家都会,这里就提几个特殊之处或需要注意的地方。
1、主目录权限设置:这里可以设置读取就行了。写入、目录浏览等都可以不要,最关键的就是目录浏览了。除非特殊情况,否则应该关闭,不然将会暴露很多重要的信息。这将为黑客入侵带来方便。其余保留默认就可以了。

2、应用程序配置:在站点属性中,主目录这一项中还有一个配置选项,点击进入。在应用程序映射选项中可以看到,默认有许多应用程序映射。将需要的保留,不需要的全部都删除。在入侵过程中,很多程序可能限制了asp,php等文件上传,但并不对cer,asa等文件进行限制,如果未将对应的应用程序映射删除,则可以将asp的后缀名改为cer或者asa后进行上传,木马将可以正常被解析。这也往往被管理员忽视。另外添加一个应用程序扩展名映射,可执行文件可以任意选择,后缀名为。mdb.这是为了防止后缀名为mdb的用户数据库被下载。

3、目录安全性设置:在站点属性中选择目录安全性,点击匿名访问和验证控制,选择允许匿名访问,点击编辑。如下图所示。删除默认用户,浏览选择对应于前面为cert网站设定的用户,并输入密码。可以选中允许IIS控制密码。这样设定的目的是为了防止一些像站长助手、海洋等木马的跨目录跨站点浏览,可以有效阻止这类的跨目录跨站入侵。

4、可写目录执行权限设置:关闭所有可写目录的执行权限。由于程序方面的漏洞,目前非常流行上传一些网页木马,绝大部分都是用web进行上传的。由于不可写的目录木马不能进行上传,如果关闭了可写目录的执行权限,那么上传的木马将不能正常运行。可以有效防止这类形式web入侵。

5、处理运行错误:这里有两种方法,一是关闭错误回显。IIS属性――主目录――配置――应用程序调试――脚本错误消息,选择发送文本错误信息给客户。二是定制错误页面。在IIS属性――自定义错误信息,在http错误信息中双击需要定制的错误页面,将弹出错误映射属性设置框。消息类型有默认值、URL和文件三种,可以根据情况自行定制。这样一方面可以隐藏一些错误信息,另外一方面也可以使错误显示更加友好。

四、配置FTP
Ftp是绝大部分虚拟主机提供商必备的一项服务。用户的站内文件大部分都是使用ftp进行上传的。目前使用的最多的ftp服务器非Serv-U莫属了。这里有几点需要说明一下。

1、管理员密码必须更改

如果入侵爱好者们肯定对Serv-U提权再熟悉莫过了。这些提权工具使用的就是Serv-U默认的管理员的帐号和密码运行的。因为Serv-U管理员是以超级管理员的身份运行的。如果没有更改管理员密码,这些工具使用起来就再好用不过了。如果更改了密码,那这些工具要想正常运行,那就没那么简单喽。得先破解管理员密码才行。

2、更改安装目录权限

Serv-U的默认安装目录都是everyone可以浏览甚至可以修改的。安装的时候如果选择将用户信息存储在ini文件中,则可以在ServUDaemon.ini得到用户的所有信息。如果Guests有修改权限,那么黑客就可以顺利建立具有超级权限的用户。这可不是一件好事。所以在安装好Serv-U之后,得修改相应的文件夹权限,可以取消Guests用户的相应权限。

五、命令行相关操作处理
1、禁止guests用户执行com.exe:

我们可以通过以下命令取消guests执行com.exe的权限

cacls C:WINNTsystem3Cmd.exe /e /d guests.

2、禁用Wscript.Shell组件:

Wscript.Shell可以调用系统内核运行DOS基本命令。可以通过修改注册表,将此组件改名,来防止此类木马的危害。HKEY_CLASSES_ROOTWscript.Shell及HKEY_CLASSES_ROOTWscript.Shell.1改名为其它的名字。将两项clsid的值也改一下HKEY_CLASSES_ROOTWscript.ShellCLSID项目的值和HKEY_CLASSES_ROOT Wscript.Shell.1CLSID项目的值,也可以将其删除。

3、禁用Shell.Application组件

Shell.Application也可以调用系统内核运行DOS基本命令。可以通过修改注册表,将此组件改名,来防止此类木马的危害。HKEY_CLASSES_ROOTShell.Application及HKEY_CLASSES_ROOTShell.Application.1改名为其它的名字。将HKEY_CLASSES_ROOTShell.ApplicationCLSID项目的值HKEY_CLASSES_ROOTShell.ApplicationCLSID项目的值更改或删除。同时,禁止Guest用户使用shell32.dll来防止调用此组件。使用命令:cacls C:WINNTsystem32shell32.dll /e /d guests

4、FileSystemObject组件

FileSystemObject可以对文件进行常规操作可以通过修改注册表,将此组件改名,来防止此类木马的危害。对应注册表项为HKEY_CLASSES_ROOT scripting.FileSystemObject.可以禁止guests用户使用或直接将其删除。考虑到很多的上传都会使用到这个组件,为了方便,这里不建议更改或删除。

5、禁止telnet登陆

在C:WINNTsystem32目录下有个login.cmd文件,将其用记事本打开,在文件末尾另取一行,加入exit保存。这样用户在登陆telnet时,便会立即自动退出。

注:以上修改注册表操作均需要重新启动WEB服务后才会生效。

六、端口设置
端口窗体底端就是门,这个比喻非常形象。如果我们服务器的所有端口都开放的话,那就意味着黑客有好多门可以进行入侵。所以我个人觉得,关闭未使用的端口是一件重要的事情。在控制面板――网络与拨号连接――本地连接――属性――Internet协议(TCP/IP)属性,点击高级,进入高级TCP/IP设置,选择选项,在可选的设置中选择TCP/IP筛选,启用TCP/IP筛选。添加需要的端口,如21、80等,关闭其余的所有未使用的端口。

七、关闭文件共享
系统默认是启用了文件共享功能的。我们应给予取消。在控制面板――网络和拨号连接――本地连接――属性,在常规选项种,取消Microsoft 网络文件和打印共享。服务最少原则是保障安全的一项重要原则。非必要的服务应该给予关闭。系统服务可以在控制面板――管理工具――服务中进行设定。

八、关闭非必要服务
类似telnet服务、远程注册表操作等服务应给予禁用。同时尽可能安装最少的软件。这可以避免一些由软件漏洞带来的安全问题。有些网管在服务器上安装QQ,利用服务器挂QQ,这种做法是极度错误的。

九、关注安全动态及时更新漏洞补丁
更新漏洞补丁对于一个网络管理员来说是非常重要的。更新补丁,可以进一步保证系统的安全

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
阿里云国际站虚拟主机怎么选?
今天,随着互联网的快速发展,网络空间已经触手可及。只要有一个域名和虚拟空间,任何人都可以在网络世界中拥有自己的空间。 虚拟主机种类繁多,免备案虚拟主机的出现使得购买和构建站点变得更加容易。 那么如何选择合适的免备案虚拟主机呢?www.123clouds带你一起看一下
0 0
阿里云国际站服务器配置如何选
阿里云国际站服务器配置如何选,接下来和www.123clouds.com一起看一下吧
0 0
阿里云国际站新手如何使用服务器
阿里云国际站新手如何使用服务器,如果要注册账户 充值,可以联系阿里云国际版总经销商www.123clouds.com
0 0
阿里云国际站版服务器搭建FRP反向代理有什么作用呢?
阿里云国际站服务器搭建FRP反向代理关系可以用来帮助实现Windows远程连接,也就是让不具备独立公网IP地址的服务器可被用来远程访问。也就意味着一台阿里云国际站的云服务器就可以实现直接在家里运维公司的硬件服务器。
0 0
阿里云国际站windows系统服务器连接教程
本文讲解了阿里云国际站windows系统服务器如何连接
0 0
白嫖中国最好的服务器
**前言** 本人大二Java专业学生,即将实习, 跟所有的实习生一样,一方面对于计算机科学的学习以及以后的工作前景充满着无限的憧憬,另一方面即将实习导致的无限的焦虑,迷茫的焦虑。 本来想通过B站学习专业知识卷死其他人,却因为大学生活迷失自己,在大二系统学习了Javaweb和Servlet 做了自己的项目图书管理系统,因为实习要找个平台来展示自己的项目,通过网上查询资料也没有找到合适的平台,在上课时听讲师讲起了服务器,然后就去了解了一下服务器,正当我在网上查询服务器时,看见很多人都推荐阿里云服务器,抱着试试的态度,去阿里云注册,然而阿里云的功能是强大的,各种眼花缭乱的服
0 0
阿里、华为、腾讯 云服务器端口配置教程汇总
阿里、华为、腾讯 云服务器端口配置教程汇总
0 0
国内优秀的免费素材网站大比拼
奇遇网络专业提供seo优化服务,seo优化外包,免费建站模板,免费wordpress模板,DIV+CSS模板,几千种免费网页模板,收集最好最全的html5模板及css3模板,html5是目前最前瞻的网页技术,本站为大家提供免费技术交流平台。
750 0
国内虚拟主机好还是国外虚拟主机对SEO更有利
文章编辑邢台网站建设www.03191688.com 衡水网站建设www.03181688.com
1946 0
+关注
zhubaojie
网站建设开发、全网营销推广、网站运维托管就找网掌柜,专业服务团队,20000家中小型企业,70多家集团型公司共同的选择
文章
问答
文章排行榜
最热
最新
相关电子书
更多
创业公司的域名想象
立即下载
创业公司的域名想象:简信 JIAN.XIN
立即下载
“域”见更美好的未来—域名筑梦互联网+
立即下载