WEB 專用服務器的安全設置總結

2019-11-02 16:33:18

字體：大中小

來源：轉載

供稿：網友

IIS的相關設置:

　　刪除默認建立的站點的虛擬目錄，停止默認web站點，刪除對應的文件目錄c:inetpub，配置所有站點的公共設置，設置好相關的連接數限制，帶寬設置以及性能設置等其他設置。配置應用程序映射，刪除所有不必要的應用程序擴展，只保留asp，php，cgi，pl，aspx應用程序擴展。對于php和cgi，推薦使用isapi方式解析，用exe解析對安全和性能有所影響。用戶程序調試設置發送文本錯誤信息給客戶。對于數據庫，盡量采用mdb后綴，不需要更改為asp，可在IIS中設置一個mdb的擴展映射，將這個映射使用一個無關的dll文件如C:WINNTsystem32inetsrvssinc.dll來防止數據庫被下載。設置IIS的日志保存目錄，調整日志記錄信息。設置為發送文本錯誤信息。修改403錯誤頁面，將其轉向到其他頁，可防止一些掃描器的探測。另外為隱藏系統信息，防止telnet到80端口所泄露的系統版本信息可修改IIS的banner信息，可以使用winhex手工修改或者使用相關軟件如banneredit修改。

　　對于用戶站點所在的目錄，在此說明一下，用戶的FTP根目錄下對應三個文件佳，wwwroot，database，logfiles，分別存放站點文件，數據庫備份和該站點的日志。如果一旦發生入侵事件可對該用戶站點所在目錄設置具體的權限，圖片所在的目錄只給予列目錄的權限，程序所在目錄如果不需要生成文件(如生成html的程序)不給予寫入權限。因為是虛擬主機平常對腳本安全沒辦法做到細致入微的地步，更多的只能在方法用戶從腳本提升權限:

　　ASP的安全設置:

　　設置過權限和服務之后，防范asp木馬還需要做以下工作，在cmd窗口運行以下命令:

　　regsvr32/u C:/WINNT/System32/wshom.ocx

　　del C:/WINNT/System32/wshom.ocx

　　regsvr32/u C:/WINNT/system32/shell32.dll

　　del C:/WINNT/system32/shell32.dll

　　即可將WScript.Shell, Shell.application, WScript.Network組件卸載，可有效防止asp木馬通過wscript或shell.application執行命令以及使用木馬查看一些系統敏感信息。另法:可取消以上文件的users用戶的權限，重新啟動IIS即可生效。但不推薦該方法。

　　另外，對于FSO由于用戶程序需要使用，服務器上可以不注銷掉該組件，這里只提一下FSO的防范，但并不需要在自動開通空間的虛擬商服務器上使用，只適合于手工開通的站點。可以針對需要FSO和不需要FSO的站點設置兩個組，對于需要FSO的用戶組給予c:winntsystem32scrrun.dll

　　文件的執行權限，不需要的不給權限。重新啟動服務器即可生效。

　　對于這樣的設置結合上面的權限設置，你會發現海陽木馬已經在這里失去了作用!

　　PHP的安全設置:

　　默認安裝的php需要有以下幾個注意的問題:

　　C:/winnt/php.ini只給予users讀權限即可。在php.ini里需要做如下設置:

　　Safe_mode=on

　　register_globals = Off

　　allow_url_fopen = Off

　　display_errors = Off

　　magic_quotes_gpc = On [默認是on，但需檢查一遍]

　　open_basedir =web目錄

　　disable_functions =passthru,exec,shell_exec,system,phpinfo,get_cfg_var,popen,chmod

　　默認設置com.allow_dcom = true修改為false[修改前要取消掉前面的;]

　　MySQL安全設置:

　　如果服務器上啟用MySQL數據庫，MySQL數據庫需要注意的安全設置為:

　　刪除mysql中的所有默認用戶，只保留本地root帳戶，為root用戶加上一個復雜的密碼。賦予普通用戶updatedeletealertcreatedrop權限的時候，并限定到特定的數據庫，尤其要避免普通客戶擁有對mysql數據庫操作的權限。檢查mysql.user表，取消不必要用戶的shutdown_priv,relo　ad_priv,process_priv和File_priv權限，這些權限可能泄漏更多的服務器信息包括非mysql的其它信息出去。可以為mysql設置一個啟動用戶，　該用戶只對mysql目錄有權限。設置安裝目錄的data數據庫的權限(此目錄存放了mysql數據庫的數據信息)。對于mysql安裝目錄給users加上讀取、列目錄和執行權限。

上一篇：IIS 運行ASP文件500內部錯誤解決方法大全

下一篇：IIS&Apache 攻擊記錄分析篇