我们经常会碰到个人博客被黑客入侵并挂木马的事情,我以前曾经介绍过“服务器的安全配置技巧总结”,但是没有具体结合某个博客程序讲解,今天,我这里就介绍一下在Z-Blog 1.7的系统以及主机可配置的条件下(托管、租用或者合租主机)的系统安全设置。让黑客的入侵变得不那么容易。
首先Windows 2000或者Windows Server必须格式化为NTFS的格式,格式完成后,设置网站硬盘的安全性。C盘为操作系统盘,D盘放常用软件,E盘网站,格式化完成后立刻设置磁盘权限,C盘默认,D盘的安全设置为Administrator和System完全控制,其他用户删除,E盘放网站,设置Administrator和System完全控制,Everyone读取。
将Z-Blog的文件目录复制过来,此时会自动将所有文件设置为Everyone读取,这时,选择DATA目录设置为Everyone修改、读取和写入。选择UPLOAD、INCLUDE、CACHE、POST目录,设置为Everyone读取写入,选择RSS.XML、ATOM.XML文件也设置为Everyone读取写入。
下一步非常关键,就是在IIS管理界面中,选择目录属性,将上面设置的所有“可写”目录的应用程序执行许可都设置为“无”,如下图所示,这样设置之后,可写的目录就无法运行任何ASP或者其他脚本,其意义在于,即使黑客通过某个漏洞上传到了某个可写目录下一段恶意程序代码,这个恶意程序代码依旧无法执行,这就从根本上杜绝了黑客上传木马的可能性。
最后总结一下安全设置的要点,所有ASP程序应该放在只读目录下,可写的目录均不能放置ASP程序,所有可写的目录均不能有执行许可,DATA目录最好能设置为不能下载。按照我所介绍的这样配置之后,Z-Blog系统的安全性就应该是不错的了。
