青青子衿, 悠悠我心, 但为君故, 沉吟至今
« 服务器被黑了中文Google地图的发展前景 »

服务器的安全配置技巧总结

  昨天的服务器被黑的事件中,我自己也是有一些责任,因为平时懒得对服务器安全进行设置,有些设置其实几分钟就可以设置完成,可就是懒惰,结果万一服务器被恶意破坏,就需要花费更多的时间恢复数据,因此服务器安全设置早期打好基础,危难时期就会减少很多无谓的损失。

  下面我就结合自己的经验和教训总结一下服务器安全设置的一些技巧和方法。

  一、操作系统的安装

  我这里说的操作系统以Windows 2000为例,高版本的Windows也有类似功能。

  格式化硬盘时候,必须格式化为NTFS的,绝对不要使用FAT32类型。

  C盘为操作系统盘,D盘放常用软件,E盘网站,格式化完成后立刻设置磁盘权限,C盘默认,D盘的安全设置为Administrator和System完全控制,其他用户删除,E盘放网站,如果只有一个网站,就设置Administrator和System完全控制,Everyone读取,如果网站上某段代码必须完成写操作,这时再单独对那个文件所在的文件夹权限进行更改。

  系统安装过程中一定本着最小服务原则,无用的服务一概不选择,达到系统的最小安装,在安装IIS的过程中,只安装最基本必要的功能,那些不必要的危险服务千万不要安装,例如:FrontPage 2000服务器扩展,Internet服务管理器(HTML),FTP服务,文档,索引服务等等。

操作系统的安装

  二、网络安全配置

  网络安全最基本的是端口设置,在“本地连接属性”,点“Internet协议(TCP/IP)”,点“高级”,再点“选项”-“TCP/IP筛选”。仅打开网站服务所需要使用的端口,配置界面如下图。

网络安全配置

  进行如下设置后,从你的服务器将不能使用域名解析,因此上网,但是外部的访问是正常的。这个设置主要为了防止一般规模的DDOS攻击。

  三、安全模板设置

  运行MMC,添加独立管理单元“安全配置与分析”,导入模板basicsv.inf或者securedc.inf,然后点“立刻配置计算机”,系统就会自动配置“帐户策略”、“本地策略”、“系统服务”等信息,一步到位,不过这些配置可能会导致某些软件无法运行或者运行出错。

安全模板设置

  四、WEB服务器的设置

  以IIS为例,绝对不要使用IIS默认安装的WEB目录,而需要在E盘新建立一个目录。然后在IIS管理器中右击主机->属性->WWW服务 编辑->主目录配置->应用程序映射,只保留asp和asa,其余全部删除。

  五、ASP的安全

  在IIS系统上,大部分木马都是ASP写的,因此,ASP组件的安全是非常重要的。

  ASP木马实际上大部分通过调用Shell.Application、WScript.Shell、WScript.Network、FSO、Adodb.Stream组件来实现其功能,除了FSO之外,其他的大多可以直接禁用。

  WScript.Shell组件使用这个命令删除:regsvr32 WSHom.ocx /u

  WScript.Network组件使用这个命令删除:regsvr32 wshom.ocx /u

  Shell.Application可以使用禁止Guest用户使用shell32.dll来防止调用此组件。使用命令:cacls C:\WINNT\system32\shell32.dll /e /d guests

  禁止guests用户执行cmd.exe的命令是: cacls C:\WINNT\system32\Cmd.exe /e /d guests

  FSO组件的禁用比较麻烦,如果网站本身不需要用这个组件,那么就通过RegSrv32 scrrun.dll /u命令来禁用吧。如果网站本身也需要用到FSO,那么请参看这篇文章

  另外,使用微软提供的URLScan Tool这个过滤非法URL访问的工具,也可以起到一定防范作用。当然,每天备份也是一个好习惯。



  除非注明,月光博客文章均为原创,转载请以链接形式标明本文地址

  本文地址:http://www.williamlong.info/archives/787.html
  • 文章排行:
  • 1.哈哈
  • 安信网络:专业的域名注册,服务器托管租用,网站建设3w.anxin.net QQ交流1978666972
  • 2014/6/20 16:37:41   支持(7)反对(2) 回复
  • 2.peng
  • 昨天给的建议,今天就开始了啊
  • 2007/2/10 1:00:04   支持(7)反对(3) 回复
  • 4.linuxcity
  • BSD只要花很少的时间配置就可以很安全,Win要花很多的时间配置才可以相对安全...再说我觉得BSD对于William不是问题
  • 2007/2/10 18:10:50   支持(8)反对(4) 回复
  • 6.helo
  • 不错,不过服务器还是linux,BSD比较好
  • 2007/2/28 15:12:50   支持(11)反对(8) 回复
  • 7.John
  • 请教一下,一般服务器需要安装什么防火墙软件?有作用么?我看一下市面上有天网、norton等,win2003自己也带了防火墙,够用么?
  • 2007/3/8 11:36:39   支持(9)反对(6) 回复
  • 8.luke
  • 收藏了,对偶的服务器用的着~
  • 2007/5/2 2:43:42   支持(6)反对(4) 回复
  • 9.陈少举
  • 好东西!收录下了~! :D
  • 2007/2/9 21:08:09   支持(5)反对(4) 回复
  • 10.stanleyxu
  • 好文,收藏了,以后自己有服务器了用的着~
  • 2007/2/9 21:28:38   支持(7)反对(6) 回复
  • 15.235617429
  • 你以为现在就安全了吗 最起码的21跟3389一定不要用 21大家都知道 FTP的漏洞严重 3389几乎每秒300台机子扫你的速度。
  • 2007/6/1 13:47:28   支持(9)反对(8) 回复
  • 16.请回答我的问题
  • 非常感谢博主,只是我不懂21 3389是随便设置的吗?
  • 2007/10/28 18:52:28   支持(4)反对(3) 回复
  • 20.serverman
  • 现在直接用安全狗软件即可,全部傻瓜化,一键解决,无需自己手动设置
  • 2015/4/9 19:46:13   支持(6)反对(6) 回复
  • 21.John
  • 能否给出一篇更加详细的服务器安全设置,我是说针对入门级朋友的文章。这篇文章也非常易读,但是看上去好像很简单的样子,还有些地方一笔带过,并无完全的指导意义。以上是代表入门级朋友的建议。
  • 2007/2/10 14:17:34   支持(5)反对(6) 回复
  • 26.linuxcity
  • 刚刚看了你关于热文排行算法的帖子,很喜欢。以前就想设计一个适用于网上购物排名的算法。我的想法是设计的和Amarok这个软件一样。如果你浏览一个物品,过了3秒钟,你就点下一个,那么这个物品的score就减一部分。仔细阅读的产品,会加分。现在又有了其他的想法,比如根据用户浏览产品顺序和点击顺序排列不同产品的interaction map.最近学了统计学,以后可能会应用一些。呵呵,也希望能多看到你讨论算法的文章。BTW我们这边银行是用的Token+3个pin code
  • 2007/2/9 23:19:46   支持(6)反对(9) 回复
  • 28.linuxcity
  • 干吗非要死守asp那~用BSD多安全
  • 2007/2/9 21:58:18   支持(5)反对(9) 回复
  • 29.不群
  • 做服务器还是BSD的好 .为什么不用它啦?
  • 2007/2/10 9:01:50   支持(5)反对(9) 回复
  • 30.fmimi
  • 准备要一台服务器,正好学习了。
  • 2007/2/10 11:46:18   支持(5)反对(9) 回复
  • 32.kele
  • 自己做的服务器老是被攻击,学习了。。
  • 2007/6/20 3:23:54   支持(5)反对(10) 回复
  • 33.浪淘风
  • 虽然BSD比较好,可是很多人不会用啊~~
  • 2007/2/10 11:58:25   支持(4)反对(13) 回复

发表评论:

 请勿发送垃圾信息、广告、推广信息或链接,这样的信息将会被直接删除。

订阅博客

  • 订阅我的博客:订阅我的博客
  • 关注新浪微博:关注新浪微博
  • 关注腾讯微博:关注腾讯微博
  • 关注认证空间:关注QQ空间
  • 通过电子邮件订阅
  • 通过QQ邮件订阅

站内搜索

热文排行


月度排行

本站采用创作共用版权协议, 要求署名、非商业用途和相同方式共享. 转载本站内容必须也遵循“署名-非商业用途-相同方式共享”的创作共用协议.
This site is licensed under a Creative Commons Attribution-NonCommercial-ShareAlike 3.0 License.