有史以來(lái)最好的windows 虛擬主機(jī)安全配置
2024-09-10 00:05:37
供稿:網(wǎng)友
跨站攻擊,遠(yuǎn)程控制等等是再老套不過(guò)了的話題。有些虛擬主機(jī)管理員不知是為了方便還是不熟悉配置,干脆就將所有的網(wǎng)站都放在同一個(gè)目錄中,然后將上級(jí)目錄設(shè)置為站點(diǎn)根目錄。有些呢,則將所有的站點(diǎn)的目錄都設(shè)置為可執(zhí)行、可寫(xiě)入、可修改。有些則為了方便,在服務(wù)器上掛起了QQ,也裝上了BT.更有甚者,竟然把Internet來(lái)賓帳號(hào)加入到Administrators組中!汗……!普通的用戶將自己的密碼設(shè)置為生日之類的6位純數(shù)字,這種情況還可以原諒,畢竟他們大部分都不是專門(mén)搞網(wǎng)絡(luò)研究的,中國(guó)國(guó)民的安全意識(shí)提高還需要一段時(shí)間嘛,但如果是網(wǎng)絡(luò)管理員也這樣,那就怎么也有點(diǎn)讓人想不通了。
這里就我個(gè)人過(guò)去的經(jīng)歷和大家一同來(lái)探討有關(guān)安全虛擬主機(jī)配置的問(wèn)題。以下以建立一個(gè)站點(diǎn)cert.ecjtu.jx.cn為例,跟大家共同探討虛擬主機(jī)配置問(wèn)題。
一、建立Windows用戶
為每個(gè)網(wǎng)站單獨(dú)設(shè)置windows用戶帳號(hào)cert,刪除帳號(hào)的User組,將cert加入Guest用戶組。將用戶不能更改密碼,密碼永不過(guò)期兩個(gè)選項(xiàng)選上。
二、設(shè)置文件夾權(quán)限
1、設(shè)置非站點(diǎn)相關(guān)目錄權(quán)限
Windows安裝好后,很多目錄和文件默認(rèn)是everyone可以瀏覽、查看、運(yùn)行甚至是可以修改 的。這給服務(wù)器安全帶來(lái)極大的隱患。這里就我個(gè)人的一些經(jīng)驗(yàn)提一些在入侵中較常用的目錄。
以上這些目錄或文件的權(quán)限應(yīng)該作適當(dāng)?shù)南拗啤H缛∠鸊uests用戶的查看、修改和執(zhí)行等權(quán)限。由于篇幅關(guān)系,這里僅簡(jiǎn)單提及。
2、設(shè)置站點(diǎn)相關(guān)目錄權(quán)限:
A、設(shè)置站點(diǎn)根目錄權(quán)限:將剛剛建立的用戶cert給對(duì)應(yīng)站點(diǎn)文件夾,假設(shè)為D:cert設(shè)置相應(yīng)的權(quán)限:Adiministrators組為完全控制;cert有讀取及運(yùn)行、列出文件夾目錄、讀取,取消其它所有權(quán)限。
B、設(shè)置可更新文件權(quán)限:經(jīng)過(guò)第1步站點(diǎn)根目錄文件夾權(quán)限的設(shè)置后,Guest用戶已經(jīng)沒(méi)有修改站點(diǎn)文件夾中任何內(nèi)容的權(quán)限了。這顯然對(duì)于一個(gè)有更新的站點(diǎn)是不夠的。這時(shí)就需要對(duì)單獨(dú)的需更新的文件進(jìn)行權(quán)限設(shè)置。當(dāng)然這個(gè)可能對(duì)虛擬主機(jī)提供商來(lái)說(shuō)有些不方便。客戶的站點(diǎn)的需更新的文件內(nèi)容之類的可能都不一樣。這時(shí),可以規(guī)定某個(gè)文件夾可寫(xiě)、可改。如有些虛擬主機(jī)提供商就規(guī)定,站點(diǎn)根目錄中uploads為web可上傳文件夾,data或者 database為數(shù)據(jù)庫(kù)文件夾。這樣虛擬主機(jī)服務(wù)商就可以為客戶定制這兩個(gè)文件夾的權(quán)限。當(dāng)然也可以像有些做的比較好的虛擬主機(jī)提供商一樣,給客戶做一個(gè)程序,讓客戶自己設(shè)定。可能要做到這樣,服務(wù)商又得花不小的錢(qián)財(cái)和人力哦。
基本的配置應(yīng)該大家都會(huì),這里就提幾個(gè)特殊之處或需要注意的地方。
1、主目錄權(quán)限設(shè)置:這里可以設(shè)置讀取就行了。寫(xiě)入、目錄瀏覽等都可以不要,最關(guān)鍵的就是目錄瀏覽了。除非特殊情況,否則應(yīng)該關(guān)閉,不然將會(huì)暴露很多重要的信息。這將為黑客入侵帶來(lái)方便。其余保留默認(rèn)就可以了。
