WEB專用伺服器的安全設置的實戰技巧(1)

IIS的相關設置： 刪除預設建立的網站的虛擬目錄，停止預設web網站，刪除對應的檔目錄c:inetpub，配置所有網站的公共設置，設置好相關的連接數限制，頻寬設置以及性能設置等其他設置。 配置應用程式映射，刪除所有不必要的應用程式擴展，只保留asp，php，cgi，pl，aspx應用程式擴展。 對於php和cgi，推薦使用isapi方式解析，用exe解析對安全和性能有所影響。 使用者程式調試設置發送文本錯誤資訊給戶。 對於資料庫，儘量採用mdb尾碼，不需要更改為asp，可在IIS中設置一個mdb的擴展映射，將這個映射使用一個無關的dll檔如C:WINNTsystem32inetsrvssinc.dll來防止資料庫被下載。 設置IIS的日誌保存目錄，調整日誌記錄資訊。 設置為發送文本錯誤資訊。 修改403錯誤頁面，將其轉向到其他頁，可防止一些掃描器的探測。 另外為隱藏系統資訊，防止telnet到80埠所洩露的系統版本資訊可修改IIS的banner資訊，可以使用winhex手工修改或者使用相關軟體如banneredit修改。 對於使用者網站所在的目錄，在此說明一下，使用者的FTP根目錄下對應三個檔佳，wwwroot，database，logfiles，分別存放網站檔，資料庫備份和該網站的日誌。 如果一旦發生入侵事件可對該使用者網站所在目錄設置具體的許可權，圖片所在的目錄只給予列目錄的許可權，程式所在目錄如果不需要生成檔（如生成html的程式）不給予寫入權限。 因為是虛擬主機平常對腳本安全沒辦法做到細緻入微的地步，更多的只能在方法使用者從腳本提升許可權： ASP的安全設置： 設置過許可權和服務之後，防範asp木馬還需要做以下工作，在cmd視窗運行以下命令： regsvr32/u C:\ WINNT\System32\wshom.ocx del C:\WINNT\System32\wshom.ocx regsvr32/u C:\WINNT\system32\shell32.dll del C:\WINNT\ system32\shell32.dll 即可將WScript.Shell, Shell.application, WScript.Network元件卸載，可有效防止asp木馬通過wscript或shell.application執行命令以及使用木馬查看一些系統敏感資訊。 另法：可取消以上檔的users使用者的許可權，重新開機IIS即可生效。 但不推薦該方法。 另外，對於FSO由於使用者程式需要使用，伺服器上可以不登出掉該元件，這裡只提一下FSO的防範，但並不需要在自動開通空間的虛擬商伺服器上使用，只適合於手工開通的網站。 可以針對需要FSO和不需要FSO的網站設置兩個組，對於需要FSO的使用者組給予c:winntsystem32scrrun.dll檔的執行許可權，不需要的不給許可權。 重新開機伺服器即可生效。 對於這樣的設置結合上面的許可權設置，你會發現海陽木馬已經在這裡失去了作用！ PHP的安全設置： 預設安裝的php需要有以下幾個注意的問題： C:\winnt\php.ini只給予users讀許可權即可。 在php.ini裡需要做如下設置： Safe_mode=on register_globals = Off allow_url_fopen = Off display_errors = Off magic_quotes_gpc = On [預設 是on，但需檢查一遍] open_basedir =web目錄 disable_functions =passthru,exec,shell_exec,system,phpinfo,get_cfg_var,popen,chmod 預設設置com.allow_dcom = true修改為false[修改前要取消掉前面的；] MySQL安全設置： 如果伺服器上啟用MySQL資料庫，MySQL資料庫需要注意的安全設置為： 刪除mysql中的所有預設使用者， 只保留本地root帳戶，為root使用者加上一個複雜的密碼。 賦予普通使用者updatedeletealertcreatedrop許可權的時候，並限定到特定的資料庫，尤其要避免普通客戶擁有對mysql資料庫操作的許可權。 檢查mysql.user表，取消不必要使用者的shutdown_priv,relo ad_priv,process_priv和File_priv許可權，這些許可權可能洩漏更多的伺服器資訊包括非mysql的其它資訊出去。 可以為mysql設置一個啟動使用者，該使用者只對mysql目錄有許可權。 設置安裝目錄的data資料庫的許可權(此目錄存放了mysql資料庫的資料資訊)。 對於mysql安裝目錄給users加上讀取、列目錄和執行許可權。 Serv-u安全問題： 安裝程式儘量採用最新版本，避免採用預設安裝目錄，設置好serv-u目錄所在的許可權，設置一個複雜的管理員密碼。 修改serv-u的banner資訊，設置被動模式埠範圍（4001—4003）在本機伺服器中設置中做好相關安全設置：包括檢查匿名密碼，禁用反超時調度，攔截「FTP bounce」攻擊和FXP， 對於在30秒內連接超過3次的使用者攔截10分鐘。 域中的設置為：要求複雜密碼，目錄只使用小寫字母，高級中設置取消允許使用MDTM命令更改檔的日期。 更改serv-u的啟動使用者：在系統中新建一個使用者，設置一個複雜點的密碼，不屬於任何組。 將servu的安裝目錄給予該使用者完全控制許可權。 建立一個FTP根目錄，需要給予這個使用者該目錄完全控制許可權，因為所有的ftp使用者上傳，刪除，更改檔都是繼承了該使用者的許可權，否則無法操作檔。 另外需要給該目錄以上的上級目錄給該使用者的讀取權限，否則會在連接的時候出現530 Not logged in, home directory does not exist。 比如在測試的時候ftp根目錄為d:soft，必須給d盤該使用者的讀取權限，為了安全取消d盤其他資料夾的繼承許可權。 而一般的使用預設的system啟動就沒有這些問題，因為system一般都擁有這些許可權的。 資料庫伺服器的安全設置 對於專用的MSSQL資料庫伺服器，按照上文所講的設置TCP/IP篩選和IP策略，對外只開放1433和5631埠。 對於MSSQL首先需要為sa設置一個強壯的密碼，使用混合身份驗證,加強資料庫日誌的記錄,審核資料庫登陸事件的」成功和失敗」.刪除一些不需要的和危險的OLE自動預存程序(會造成企業管理器中部分功能不能使用), 這些過程包括如下: Sp_OACreate Sp_OADestroy Sp_OAGetErrorInfo Sp_OAGetProperty Sp_OAMethod Sp_OASetProperty Sp_OAStop 去掉不需要的註冊表訪問過程,包括有: Xp_regaddmultistring Xp_regdeletekey Xp_regdeletevalue Xp_regenumvalues Xp_regread Xp_ regremovemultistring Xp_regwrite 去掉其他系統預存程序，如果認為還有威脅，當然要小心Drop這些過程，可以在測試機器上測試，保證正常的系統能完成工作，這些過程包括： xp_cmdshell xp_dirtree xp_dropwebtask sp_addsrvrolemember xp_makewebtask xp_runwebtask xp_subdirs sp_addlogin sp _addextendedproc 在實例屬性中選擇TCP/IP協定的屬性。 選擇隱藏 SQL Server 實例可防止對1434埠的探測,可修改預設使用的1433埠。 除去資料庫的guest帳戶把未經認可的消費者據之在外。 例外情況是master和 tempdb 資料庫,因為對他們guest帳戶是必需的。 另外注意設置好各個資料庫使用者的許可權，對於這些使用者只給予所在資料庫的一些許可權。 在程式中不要用sa使用者去連接任何資料庫。 網路上有建議大家使用協定加密的，千萬不要這麼做，否則你只能重裝MSSQL了。 入侵偵測和資料備份 入侵偵測工作 作為伺服器的日常管理，入侵偵測是一項非常重要的工作，在平常的檢測過程中，主要包含日常的伺服器安全例行檢查和遭到入侵時的入侵檢查，也就是分為在入侵進行時的安全檢查和在入侵前後的安全檢查。 系統的安全性遵循木桶原理，木桶原理指的是：一個木桶由許多塊木板組成，如果組成木桶的這些木板長短不一，那麼這個木桶的最大容量不取決於長的木板，而取決於最短的那塊木板。 應用到安全方面也就是說系統的安全性取決於系統中最脆弱的地方，這些地方是日常的安全檢測的重點所在。 日常的安全檢測 日常安全檢測主要針對系統的安全性，工作主要按照以下步驟進行： 1． 查看伺服器狀態： 打開進程管理器，查看伺服器性能，觀察CPU和記憶體使用狀況。 查看是否有CPU和記憶體佔用過高等異常情況。 2． 檢查當前進程情況 切換「工作管理員」到進程，查找有無可疑的應用程式或後臺進程在運行。 用進程管理器查看進程時裡面會有一項taskmgr，這個是進程管理器自身的進程。 如果正在運行windows更新會有一項wuauclt.exe進程。 對於拿不准的進程或者說不知道是伺服器上哪個應用程式開啟的進程，可以在網路上搜索一下該進程名加以確定[進程知識庫：HTTP://www.dofile.com/]。 通常的後門如果有進程的話，一般會取一個與系統進程類似的名稱，如svch0st.exe，此時要仔細辨別[通常迷惑手段是變字母o為數字0，變字母l為數字1] 3． 檢查系統帳號 打開電腦管理，展開本地使用者和組選項，查看組選項，查看administrators組是否添加有新帳號，檢查是否有克隆帳號。 4． 查看當前埠開放情況 使用activeport，查看當前的埠連接情況，尤其是注意與外部連接著的埠情況，看是否有未經允許的埠與外界在通信。 如有，立即關閉該埠並記錄下該埠對應的程式並記錄，將該程式轉移到其他目錄下存放以便後來分析。 打開電腦管理==》軟體環境==》正在運行任務[在此處可以查看進程管理器中看不到的隱藏進程]，查看當前運行的程式，如果有不明程式，記錄下該程式的位置，打開工作管理員結束該進程， 對於採用了守護進程的後門等程式可嘗試結束進程樹，如仍然無法結束，在註冊表中搜索該程式名，刪除掉相索引碼，切換到安全模式下刪除掉相關的程式檔。 5． 檢查系統服務 運行services.msc，檢查處于已啟動狀態的服務，查看是否有新加的未知服務並確定服務的用途。 對於不清楚的服務打開該服務的屬性，查看該服務所對應的可執行檔是什麼，如果確定該檔是系統內的正常使用的檔，可粗略放過。 查看是否有其他正常開放服務依存在該服務上，如果有，可以粗略的放過。 如果無法確定該執行檔是否是系統內正常檔並且沒有其他正常開放服務依存在該服務上，可暫時停止掉該服務，然後測試下各種應用是否正常。 對於一些後門由於採用了hook系統API技術，添加的服務專案在服務管理員中是無法看到的，這時需要打開註冊表中的HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices項進行查找， 通過查看各服務的名稱、對應的執行檔來確定是否是後門、木馬程式等。 6． 查看相關日誌 運行eventvwr.msc，粗略檢查系統中的相關日誌記錄。 在查看時在對應的日誌記錄上點右鍵選「屬性」，在「篩選器」中設置一個日誌篩選器，只選擇錯誤、警告，查看日誌的來源和具體描述資訊。 對於出現的錯誤如能在伺服器常見故障排除中找到解決辦法則依照該辦法處理該問題，如果無解決辦法則記錄下該問題，詳細記錄下事件來源、ID號和具體描述資訊，以便找到問題解決的辦法。 7． 檢查系統檔 主要檢查系統磁片的exe和dll檔，建議系統安裝完畢之後用dir *.exe /s >1.txt將C盤所有的exe檔案清單保存下來，然後每次檢查的時候再用該命令生成一份當時的清單，用fc比較兩個檔，同樣如此針對dll檔做相關檢查。 需要注意的是打補丁或者安裝軟體後重新生成一次原始清單。 檢查相關系統檔是否被替換或系統中是否被安裝了木馬後門等惡意程式。 必要時可運行一次殺毒程式對系統磁片進行一次掃描處理。 8． 檢查安全性原則是否更改 打開本地連接的屬性，查看「常規」中是否只勾選了「TCP/IP協定」，打開「TCP/IP」協定設置，點「高級」==》「選項」，查看「IP安全機制」是否是設定的IP策略，查看「TCP/IP」 篩選允許的埠有沒有被更改。 打開「管理工具」=》「本地安全性原則」，查看目前使用的IP安全性原則是否發生更改。 9． 檢查目錄許可權 重點查看系統目錄和重要的應用程式許可權是否被更改。 需要查看的目錄有c:;c:winnt; C:winntsystem32;c:winntsystem32inetsrv;c:winntsystem32inetsrvdata;c:documents and Settings;然後再檢查serv-u安裝目錄， 查看這些目錄的許可權是否做過變動。 檢查system32下的一些重要檔是否更改過許可權，包括：cmd，net，ftp，tftp，cacls等檔。 10． 檢查啟動項 主要檢查當前的開機自啟動程式。 可以使用AReporter來檢查開機自啟動的程式。 發現入侵時的應對措施 對於即時發現的入侵事件，以下情況針對系統已遭受到破壞情況下的處理，系統未遭受到破壞或暫時無法察覺到破壞先按照上述的檢查步驟檢查一遍後再酌情考慮以下措施。 系統遭受到破壞後應立即採取以下措施： 視情況嚴重決定處理的方式，是通過遠端處理還是通過實地處理。 如情況嚴重建議採用實地處理。 如採用實地處理，在發現入侵的第一時間通知機房關閉伺服器，待處理人員趕到機房時斷開網線，再進入系統進行檢查。 如採用遠端處理，如情況嚴重第一時間停止所有應用服務，更改IP策略為只允許遠端系統管理埠進行連接然後重新開機伺服器，重新開機之後再遠端連線上去進行處理，重啟前先用AReporter檢查開機自啟動的程式。 然後再進行安全檢查。 以下處理措施針對使用者網站被入侵但未危及系統的情況，如果使用者要求加強自己網站的安全性，可按如下方式加固使用者網站的安全： 網站根目錄----只給administrator讀取權限，許可權繼承下去。 wwwroot ------給web使用者讀取、寫入權限。 高級裡面有刪除子資料夾和檔許可權 logfiles------給system寫入權限。 database------給web使用者讀取、寫入權限。 高級裡面沒有刪除子資料夾和檔許可權 如需要進一步修改，可針對使用者網站的特性對於普通檔存放目錄如html、js、圖片資料夾只給讀取權限，對asp等指令檔給予上表中的許可權。 另外查看該使用者網站對應的安全性記錄檔，找出漏洞原因，協助使用者修補程式漏洞。 資料備份和資料恢復 資料備份工作大致如下： 1． 每月備份一次系統資料。 2． 備份系統後的兩周單獨備份一次應用程式資料，主要包括IIS、serv-u、資料庫等資料。 3． 確保備份資料的安全，並分類放置這些資料備份。 因基本上採用的都是全備份方法，對於資料的保留週期可以只保留該次備份和上次備份資料兩份即可。 資料恢復工作： 1． 系統崩潰或遇到其他不可恢復系統正常狀態情況時，先對上次系統備份後發生的一些變更事件如應用程式、安全性原則等的設置做好備份，恢復完系統後再恢復這些更改。 2． 應用程式等出錯採用最近一次的備份資料恢復相關內容。 伺服器性能優化 1 伺服器性能優化 系統性能優化 整理系統空間: 刪除系統備份檔案，刪除驅動備份，刪除不用的輸入法，刪除系統的説明檔，卸載不常用的元件。 最小化C盤檔。 性能優化： 刪除多餘的開機自動運行程式；減少預讀取，減少進度條等待時間；讓系統自動關閉停止回應的程式；禁用錯誤報表,但在發生嚴重錯誤時通知；關閉自動更新,改為手動更新電腦；啟用硬體和DirectX加速；禁用關機事件跟蹤 ；禁用佈建服務器嚮導； 減少開機磁片掃描等待時間；將處理器計畫和記憶體使用都調到應用程式上；調整虛擬記憶體；記憶體優化；修改cpu的二級緩存；修改磁片緩存。 1 2 下一頁>> 內容導航 給力(0票)動心(0票)廢話(0票)專業(0票)標題党(0票)路過(0票) 原文：WEB專用伺服器的安全設置的實戰技巧(1) 返回網路安全首頁