WEB專用伺服器的安全設定的實戰技巧

來源:互聯網
上載者:User
web|安全|伺服器|技巧

刪除預設建立的網站的虛擬目錄,停止預設web網站,刪除對應的檔案目錄c:inetpub,配置所有網站的公用設定,設定好相關的串連數限制,頻寬設定以及效能設定等其他設定。配置應用程式對應,刪除所有不必要的應用程式擴充,只保留asp,php,cgi,pl,aspx應用程式擴充。對於php和cgi,推薦使用isapi方式解析,用exe解析對安全和效能有所影響。使用者程式調試設定發送文本錯誤資訊給戶。對於資料庫,盡量採用mdb尾碼,不需要更改為asp,可在IIS中設定一個mdb的擴充映射,將這個映射使用一個無關的dll檔案如C:WINNTsystem32inetsrvssinc.dll來防止資料庫被下載。設定IIS的日誌儲存目錄,調整日誌記錄資訊。設定為發送文本錯誤資訊。修改403錯誤頁面,將其轉向到其他頁,可防止一些掃描器的探測。另外為隱藏系統資訊,防止telnet到80連接埠所泄露的系統版本資訊可修改IIS的banner資訊,可以使用winhex手工修改或者使用相關軟體如banneredit修改。

對於使用者網站所在的目錄,在此說明一下,使用者的FTP根目錄下對應三個檔案佳,wwwroot,database,logfiles,分別存放網站檔案,Database Backup和該網站的日誌。如果一旦發生入侵事件可對該使用者網站所在目錄設定具體的許可權,圖片所在的目錄只給予列目錄的許可權,程式所在目錄如果不需要組建檔案(如產生html的程式)不給予寫入許可權。因為是虛擬機器主機平常對指令碼安全沒辦法做到細緻入微的地步,更多的只能在方法使用者從指令碼提升許可權:

ASP的安全設定:

設定過許可權和服務之後,防範asp木馬還需要做以下工作,在cmd視窗運行以下命令:

regsvr32/u C:\WINNT\System32\wshom.ocx

del C:\WINNT\System32\wshom.ocx

regsvr32/u C:\WINNT\system32\shell32.dll

del C:\WINNT\system32\shell32.dll

即可將Wscript.Shell, Shell.application, Wscript.Network組件卸載,可有效防止asp木馬通過wscript或shell.application執行命令以及使用木馬查看一些系統敏感資訊。另法:可取消以上檔案的users使用者的許可權,重新啟動IIS即可生效。但不推薦該方法。

另外,對於FSO由於使用者程式需要使用,伺服器上可以不登出掉該組件,這裡只提一下FSO的防範,但並不需要在自動開通空間的虛擬商伺服器上使用,只適合於手工開通的網站。可以針對需要FSO和不需要FSO的網站設定兩個組,對於需要FSO的使用者組給予c:winntsystem32scrrun.dll檔案的執行許可權,不需要的不給許可權。重新啟動伺服器即可生效。

對於這樣的設定結合上面的使用權限設定,你會發現海陽木馬已經在這裡失去了作用!

PHP的安全設定:

預設安裝的php需要有以下幾個注意的問題:

C:\winnt\php.ini只給予users讀許可權即可。在php.ini裡需要做如下設定:

Safe_mode=on

register_globals = Off

allow_url_fopen = Off

display_errors = Off

magic_quotes_gpc = On [預設是on,但需檢查一遍]

open_basedir =web目錄

disable_functions =passthru,exec,shell_exec,system,phpinfo,get_cfg_var,popen,chmod

預設設定com.allow_dcom = true修改為false[修改前要取消掉前面的;]

MySQL安全設定:

如果伺服器上啟用MySQL資料庫,MySQL資料庫需要注意的安全設定為:

刪除mysql中的所有預設使用者,只保留本地root帳戶,為root使用者加上一個複雜的密碼。賦予普通使用者updatedeletealertcreatedrop許可權的時候,並限定到特定的資料庫,尤其要避免普通客戶擁有對mysql資料庫操作的許可權。檢查mysql.user表,取消不必要使用者的shutdown_priv,relo

ad_priv,process_priv和File_priv許可權,這些許可權可能泄漏更多的伺服器資訊包括非mysql的其它資訊出去。可以為mysql設定一個啟動使用者,該使用者只對mysql目錄有許可權。設定安裝目錄的data資料庫的許可權(此目錄存放了mysql資料庫的資料資訊)。對於mysql安裝目錄給users加上讀取、列目錄和執行許可權。

Serv-u安全問題:

安裝程式盡量採用最新版本,避免採用預設安裝目錄,設定好serv-u目錄所在的許可權,設定一個複雜的管理員密碼。修改serv-u的banner資訊,設定被動模式連接埠範圍(4001—4003)在本機伺服器中設定中做好相關安全設定:包括檢查匿名密碼,禁用反逾時調度,攔截“FTP bounce”攻擊和FXP,對於在30秒內串連超過3次的使用者攔截10分鐘。域中的設定為:要求複雜密碼,目錄只使用小寫字母,進階中設定取消允許使用MDTM命令變更檔的日期。

更改serv-u的啟動使用者:在系統中建立一個使用者,設定一個複雜點的密碼,不屬於任何組。將servu的安裝目錄給予該使用者完全控制許可權。建立一個FTP根目錄,需要給予這個使用者該目錄完全控制許可權,因為所有的ftp使用者上傳,刪除,變更檔都是繼承了該使用者的許可權,否則無法操作檔案。另外需要給該目錄以上的上級目錄給該使用者的讀取許可權,否則會在串連的時候出現530 Not logged in, home directory does not exist.比如在測試的時候ftp根目錄為d:soft,必須給d盤該使用者的讀取許可權,為了安全取消d盤其他檔案夾的繼承許可權。而一般的使用預設的system啟動就沒有這些問題,因為system一般都擁有這些許可權的。
資料庫伺服器的安全設定

對於專用的MSSQL資料庫伺服器,按照上文所講的設定TCP/IP篩選和IP策略,對外只開放1433和5631連接埠。對於MSSQL首先需要為sa設定一個強壯的密碼,使用混合身分識別驗證,加強資料庫日誌的記錄,審核心數據庫登陸事件的“成功和失敗”。刪除一些不需要的和危險的OLE自動預存程序(會造成企業管理器中部分功能不能使用),這些過程包括如下:

Sp_OACreate Sp_OADestroy Sp_OAGetErrorInfo Sp_OAGetProperty

Sp_OAMethod Sp_OASetProperty Sp_OAStop

去掉不需要的註冊表訪問過程,包括有:

Xp_regaddmultistring Xp_regdeletekey Xp_regdeletevalue

Xp_regenumvalues Xp_regread Xp_regremovemultistring

Xp_regwrite

去掉其他系統預存程序,如果認為還有威脅,當然要小心Drop這些過程,可以在測試機器上測試,保證正常的系統能完成工作,這些過程包括:

xp_cmdshell xp_dirtree xp_dropwebtask sp_addsrvrolemember

xp_makewebtask xp_runwebtask xp_subdirs sp_addlogin



相關文章

Cloud Intelligence Leading the Digital Future

Alibaba Cloud ACtivate Online Conference, Nov. 20th & 21st, 2019 (UTC+08)

Register Now >

Starter Package

SSD Cloud server and data transfer for only $2.50 a month

Get Started >

Alibaba Cloud Free Trial

Learn and experience the power of Alibaba Cloud with a free trial worth $300-1200 USD

Learn more >

聯繫我們

該頁面正文內容均來源於網絡整理,並不代表阿里雲官方的觀點,該頁面所提到的產品和服務也與阿里云無關,如果該頁面內容對您造成了困擾,歡迎寫郵件給我們,收到郵件我們將在5個工作日內處理。

如果您發現本社區中有涉嫌抄襲的內容,歡迎發送郵件至: info-contact@alibabacloud.com 進行舉報並提供相關證據,工作人員會在 5 個工作天內聯絡您,一經查實,本站將立刻刪除涉嫌侵權內容。