亚洲欧美精品沙发,日韩在线精品视频,亚洲Av每日更新在线观看,亚洲国产另类一区在线5

<pre id="hdphd"></pre>

  • <div id="hdphd"><small id="hdphd"></small></div>
      學(xué)習(xí)啦>學(xué)習(xí)電腦>網(wǎng)絡(luò)知識(shí)>網(wǎng)絡(luò)基礎(chǔ)知識(shí)>

      web服務(wù)器安全設(shè)置

      時(shí)間: 權(quán)威724 分享

        Web服務(wù)器攻擊常利用Web服務(wù)器軟件和配置中的漏洞,web服務(wù)器安全也是我們現(xiàn)在很多人關(guān)注的一點(diǎn),那么你知道web服務(wù)器安全設(shè)置嗎?下面是學(xué)習(xí)啦小編整理的一些關(guān)于web服務(wù)器安全設(shè)置的相關(guān)資料,供你參考。

        web服務(wù)器安全設(shè)置一、IIS的相關(guān)設(shè)置

        刪除默認(rèn)建立的站點(diǎn)的虛擬目錄,停止默認(rèn)web站點(diǎn),刪除對(duì)應(yīng)的文件目錄c:inetpub,配置所有站點(diǎn)的公共設(shè)置,設(shè)置好相關(guān)的連接數(shù)限制, 帶寬設(shè)置以及性能設(shè)置等其他設(shè)置。配置應(yīng)用程序映射,刪除所有不必要的應(yīng)用程序擴(kuò)展,只保留asp,php,cgi,pl,aspx應(yīng)用程序擴(kuò)展。對(duì)于php和cgi,推薦使用isapi方式解析,用exe解析對(duì)安全和性能有所影響。用戶(hù)程序調(diào)試設(shè)置發(fā)送文本錯(cuò)誤信息給客戶(hù)。

        對(duì)于數(shù)據(jù)庫(kù),盡量采用mdb后綴,不需要更改為asp,可在IIS中設(shè)置一個(gè)mdb的擴(kuò)展映射,將這個(gè)映射使用一個(gè)無(wú)關(guān)的dll文件如C:WINNTsystem32inetsrvssinc.dll來(lái)防止數(shù)據(jù)庫(kù)被下載。設(shè)置IIS的日志保存目錄,調(diào)整日志記錄信息。設(shè)置為發(fā)送文本錯(cuò)誤信息。修改403錯(cuò)誤頁(yè)面,將其轉(zhuǎn)向到其他頁(yè),可防止一些掃描器的探測(cè)。另外為隱藏系統(tǒng)信息,防止telnet到80端口所泄露的系統(tǒng)版本信息可修改IIS的banner信息,可以使用winhex手工修改或者使用相關(guān)軟件如banneredit修改。

        對(duì)于用戶(hù)站點(diǎn)所在的目錄,在此說(shuō)明一下,用戶(hù)的FTP根目錄下對(duì)應(yīng)三個(gè)文件佳,wwwroot,database,logfiles,分別存放站點(diǎn)文件,數(shù)據(jù)庫(kù)備份和該站點(diǎn)的日志。如果一旦發(fā)生入侵事件可對(duì)該用戶(hù)站點(diǎn)所在目錄設(shè)置具體的權(quán)限,圖片所在的目錄只給予列目錄的權(quán)限,程序所在目錄如果不需要生成文件(如生成html的程序)不給予寫(xiě)入權(quán)限。因?yàn)槭翘摂M主機(jī)平常對(duì)腳本安全沒(méi)辦法做到細(xì)致入微的地步。

        方法

        用戶(hù)從腳本提升權(quán)限:

        web服務(wù)器安全設(shè)置二、ASP的安全設(shè)置

        設(shè)置過(guò)權(quán)限和服務(wù)之后,防范asp木馬還需要做以下工作,在cmd窗口運(yùn)行以下命令:

        regsvr32/u C:\WINNT\System32\wshom.ocx

        del C:\WINNT\System32\wshom.ocx

        regsvr32/u C:\WINNT\system32\shell32.dll

        del C:\WINNT\system32\shell32.dll

        即可將WScript.Shell, Shell.application, WScript.Network組件卸載,可有效防止asp木馬通過(guò)wscript或shell.application執(zhí)行命令以及使用木馬查看一些系統(tǒng)敏感信息。另法:可取消以上文件的users用戶(hù)的權(quán)限,重新啟動(dòng)IIS即可生效。但不推薦該方法。

        另外,對(duì)于FSO由于用戶(hù)程序需要使用,服務(wù)器上可以不注銷(xiāo)掉該組件,這里只提一下FSO的防范,但并不需要在自動(dòng)開(kāi)通空間的虛擬商服務(wù)器上使用,只適合于手工開(kāi)通的站點(diǎn)??梢葬槍?duì)需要FSO和不需要FSO的站點(diǎn)設(shè)置兩個(gè)組,對(duì)于需要FSO的用戶(hù)組給予c:winntsystem32scrrun.dll文件的執(zhí)行權(quán)限,不需要的不給權(quán)限。重新啟動(dòng)服務(wù)器即可生效。

        對(duì)于這樣的設(shè)置結(jié)合上面的權(quán)限設(shè)置,你會(huì)發(fā)現(xiàn)海陽(yáng)木馬已經(jīng)在這里失去了作用!

        web服務(wù)器安全設(shè)置三、PHP的安全設(shè)置

        默認(rèn)安裝的php需要有以下幾個(gè)注意的問(wèn)題:

        C:\winnt\php.ini只給予users讀權(quán)限即可。在php.ini里需要做如下設(shè)置:

        Safe_mode=on

        register_globals = Off

        allow_url_fopen = Off

        display_errors = Off

        magic_quotes_gpc = On [默認(rèn)是on,但需檢查一遍]

        open_basedir =web目錄

        disable_functions =passthru,exec,shell_exec,system,phpinfo,get_cfg_var,popen,chmod

        默認(rèn)設(shè)置com.allow_dcom = true修改為false[修改前要取消掉前面的;]

        web服務(wù)器安全設(shè)置四、MySQL安全設(shè)置

        如果服務(wù)器上啟用MySQL數(shù)據(jù)庫(kù),MySQL數(shù)據(jù)庫(kù)需要注意的安全設(shè)置為:

        刪除mysql中的所有默認(rèn)用戶(hù),只保留本地root帳戶(hù),為root用戶(hù)加上一個(gè)復(fù)雜的密碼。賦予普通用戶(hù)updatedeletealertcreatedrop權(quán)限的時(shí)候,并限定到特定的數(shù)據(jù)庫(kù),尤其要避免普通客戶(hù)擁有對(duì)mysql數(shù)據(jù)庫(kù)操作的權(quán)限。檢查mysql.user表,取消不必要用戶(hù)的shutdown_priv,reload_priv,process_priv和File_priv權(quán)限,這些權(quán)限可能泄漏更多的服務(wù)器信息包括非mysql的其它信息出去??梢詾閙ysql設(shè)置一個(gè)啟動(dòng)用戶(hù),該用戶(hù)只對(duì)mysql目錄有權(quán)限。設(shè)置安裝目錄的data數(shù)據(jù)庫(kù)的權(quán)限(此目錄存放了mysql數(shù)據(jù)庫(kù)的數(shù)據(jù)信息)。對(duì)于mysql安裝目錄給users加上讀取、列目錄和執(zhí)行權(quán)限。

        Serv-u安全問(wèn)題:

        安裝程序盡量采用最新版本,避免采用默認(rèn)安裝目錄,設(shè)置好serv-u目錄所在的權(quán)限,設(shè)置一個(gè)復(fù)雜的管理員密碼。修改serv-u的banner信息,設(shè)置被動(dòng)模式端口范圍(4001—4003)在本地服務(wù)器中設(shè)置中做好相關(guān)安全設(shè)置:包括檢查匿名密碼,禁用反超時(shí)調(diào)度,攔截“FTP bounce”攻擊和FXP,對(duì)于在30秒內(nèi)連接超過(guò)3次的用戶(hù)攔截10分鐘。域中的設(shè)置為:要求復(fù)雜密碼,目錄只使用小寫(xiě)字母,高級(jí)中設(shè)置取消允許使用MDTM命令更改文件的日期。

        更改serv-u的啟動(dòng)用戶(hù):在系統(tǒng)中新建一個(gè)用戶(hù),設(shè)置一個(gè)復(fù)雜點(diǎn)的密碼,不屬于任何組。將servu的安裝目錄給予該用戶(hù)完全控制權(quán)限。建立一個(gè)FTP根目錄,需要給予這個(gè)用戶(hù)該目錄完全控制權(quán)限,因?yàn)樗械膄tp用戶(hù)上傳,刪除,更改文件都是繼承了該用戶(hù)的權(quán)限,否則無(wú)法操作文件。另外需要給該目錄以上的上級(jí)目錄給該用戶(hù)的讀取權(quán)限,否則會(huì)在連接的時(shí)候出現(xiàn)530 Not logged in, home directory does not exist。比如在測(cè)試的時(shí)候ftp根目錄為d:soft,必須給d盤(pán)該用戶(hù)的讀取權(quán)限,為了安全取消d盤(pán)其他文件夾的繼承權(quán)限。而一般的使用默認(rèn)的system啟動(dòng)就沒(méi)有這些問(wèn)題,因?yàn)閟ystem一般都擁有這些權(quán)限的。

        web服務(wù)器安全設(shè)置五、數(shù)據(jù)庫(kù)服務(wù)器的安全設(shè)置

        對(duì)于專(zhuān)用的MSSQL數(shù)據(jù)庫(kù)服務(wù)器,按照上文所講的設(shè)置TCP/IP篩選和IP策略,對(duì)外只開(kāi)放1433和5631端口。對(duì)于MSSQL首先需要為sa設(shè)置一個(gè)強(qiáng)壯的密碼,使用混合身份驗(yàn)證,加強(qiáng)數(shù)據(jù)庫(kù)日志的記錄,審核數(shù)據(jù)庫(kù)登陸事件的”成功和失敗”.刪除一些不需要的和危險(xiǎn)的OLE自動(dòng)存儲(chǔ)過(guò)程(會(huì)造成企業(yè)管理器中部分功能不能使用),這些過(guò)程包括如下:

        Sp_OAcreate Sp_OADestroy Sp_OAGetErrorInfo Sp_OAGetProperty

        Sp_OAMethod Sp_OASetProperty Sp_OAStop

        去掉不需要的注冊(cè)表訪問(wèn)過(guò)程,包括有:

        Xp_regaddmultistring Xp_regdeletekey Xp_regdeletevalue

        Xp_regenumvalues Xp_regread Xp_regremovemultistring

        Xp_regwrite

        去掉其他系統(tǒng)存儲(chǔ)過(guò)程,如果認(rèn)為還有威脅,當(dāng)然要小心drop這些過(guò)程,可以在測(cè)試機(jī)器上測(cè)試,保證正常的系統(tǒng)能完成工作,這些過(guò)程包括:

        xp_cmdshell xp_dirtree xp_dropwebtask sp_addsrvrolemember

        xp_makewebtask xp_runwebtask xp_subdirs sp_addlogin

        sp_addextendedproc

        在實(shí)例屬性中選擇TCP/IP協(xié)議的屬性。選擇隱藏 SQL Server 實(shí)例可防止對(duì)1434端口的探測(cè),可修改默認(rèn)使用的1433端口。除去數(shù)據(jù)庫(kù)的guest賬戶(hù)把未經(jīng)認(rèn)可的使用者據(jù)之在外。 例外情況是master和 tempdb 數(shù)據(jù)庫(kù),因?yàn)閷?duì)他們guest帳戶(hù)是必需的。另外注意設(shè)置好各個(gè)數(shù)據(jù)庫(kù)用戶(hù)的權(quán)限,對(duì)于這些用戶(hù)只給予所在數(shù)據(jù)庫(kù)的一些權(quán)限。在程序中不要用sa用戶(hù)去連接任何數(shù)據(jù)庫(kù)。網(wǎng)絡(luò)上有建議大家使用協(xié)議加密的,千萬(wàn)不要這么做,否則你只能重裝MSSQL了。

        看過(guò)文章“web服務(wù)器安全設(shè)置”的人還看了:

        1.如何提升服務(wù)器安全等級(jí)

        2.如何防護(hù)網(wǎng)絡(luò)服務(wù)器安全

        3.如何維護(hù)網(wǎng)絡(luò)服務(wù)器安全

        4.服務(wù)器如何防攻擊

        5.Windows服務(wù)器的基礎(chǔ)安全加固方法

        6.入侵服務(wù)器的基礎(chǔ)知識(shí)

        7.服務(wù)器怎么防攻擊

        8.怎么利用服務(wù)器的DHCP維護(hù)局域網(wǎng)安全

        9.怎么設(shè)置網(wǎng)件PR2000為公共熱點(diǎn)安全模式

        10.服務(wù)器物理安全

      603921