下载文档原格式
如何搭建一个安全可靠的Web服务器在当今数字化时代,Web服务器已经成为许多企业和个人必不可少的基础设施之一。
然而,随之而来的安全威胁也日益增多,因此搭建一个安全可靠的Web服务器显得尤为重要。
本文将介绍如何搭建一个安全可靠的Web服务器,以确保数据和信息的安全性。
一、选择合适的操作系统和服务器软件首先,选择一个安全性高、稳定性好的操作系统是搭建安全Web 服务器的第一步。
目前,Linux系统被广泛认为是最安全的操作系统之一,因此推荐选择基于Linux的操作系统,如Ubuntu、CentOS等。
在选择服务器软件时,可以考虑使用Apache、Nginx等知名的Web服务器软件,它们具有良好的安全性和稳定性。
二、配置防火墙和安全组配置防火墙是保护Web服务器安全的重要措施之一。
可以使用防火墙软件如iptables或firewalld来限制对服务器的访问,只允许必要的端口和服务对外开放。
此外,如果使用云服务器,还可以配置安全组规则,限制不必要的流量进入服务器,提高服务器的安全性。
三、使用SSL证书加密数据传输为Web服务器配置SSL证书是保护数据传输安全的关键步骤。
SSL 证书可以加密用户和服务器之间的通信,防止数据在传输过程中被窃取或篡改。
可以选择购买SSL证书或使用免费的Let's Encrypt证书,确保网站的数据传输安全。
四、定期更新系统和软件定期更新操作系统和服务器软件是保持Web服务器安全的重要措施之一。
及时安装系统和软件的补丁可以修复已知的安全漏洞,提高服务器的安全性。
建议设置自动更新功能,确保系统和软件始终保持最新状态。
五、配置安全的访问权限合理配置访问权限是保护Web服务器安全的重要手段。
可以通过设置文件权限、用户权限等方式限制对服务器的访问,避免未授权用户获取敏感信息。
此外,建议禁止使用默认账号和密码,定期更改密码,确保服务器的安全性。
六、备份数据和日志定期备份数据和日志是保障Web服务器可靠性的重要措施之一。
WEB 服务器软件配置和安全配置方案一、系统的安装1、按照Windows2003安装光盘的提示安装,默认情况下2003没有把IIS6.0安装在系统里面。
2、IIS6.0的安装开始菜单—>控制面板—>添加或删除程序—>添加/删除Windows组件应用程序———(可选)|——启用网络COM+ 访问(必选)|——Internet 信息服务(IIS)———Internet 信息服务管理器(必选)|——公用文件(必选)|——万维网服务———Active Server pages(必选)|——Internet 数据连接器(可选)|——WebDA V 发布(可选)|——万维网服务(必选)|——在服务器端的包含文件(可选)然后点击确定—>下一步安装。
3、系统补丁的更新点击开始菜单—>所有程序—>Windows Update按照提示进行补丁的安装。
4、备份系统用GHOST备份系统。
5、安装常用的软件例如:杀毒软件、解压缩软件等;安装之后用GHOST再次备份系统。
二、系统权限的设置1、磁盘权限系统盘及所有磁盘只给Administrators 组和SYSTEM 的完全控制权限系统盘\Documents and Settings 目录只给Administrators 组和SYSTEM 的完全控制权限系统盘\Documents and Settings\All Users 目录只给Administrators 组和SYSTEM 的完全控制权限系统盘\Inetpub 目录及下面所有目录、文件只给Administrators 组和SYSTEM 的完全控制权限系统盘\Windows\System32\cacls.exe、cmd.exe、net.exe、net1.exe 文件只给Administrators 组和SYSTEM 的完全控制权限2、本地安全策略设置开始菜单—>管理工具—>本地安全策略A、本地策略——>审核策略审核策略更改成功失败审核登录事件成功失败审核对象访问失败审核过程跟踪无审核审核目录服务访问失败审核特权使用失败审核系统事件成功失败审核账户登录事件成功失败审核账户管理成功失败B、本地策略——>用户权限分配关闭系统:只有Administrators组、其它全部删除。
Web服务的安全配置方案任务需求:由于公网IP数量紧张,多个站点在一台服务器已经很普遍,对于拥有虚拟站点的主机,我们要设置好用户的访问权,同时对于有子网站的用户,单列出一个主机头,使用自己的虚拟目录,这样在子网站存在漏洞被黑客入侵时也很难跨站入侵。
使用IIS6.0来建立web站点:和,在站点上建立两个虚拟目录en和cn。
建立主页:主页内容为“”;/en主页内容为“”;/cn主页内容为“”任务重点:实现web站点的安全配置任务实现(根据以下方案完成web站点的安全配置,并截图)1. 完成上述站点的配置并测试合格后,做下面的站点安全配置(基于)2.保证IIS自身的安全性1)IIS的更新在保证系统具有较高安全性的情况下,还要保证IIS的安全性。
要构建一个安全的IIS服务器,多个角度来充分考虑安全问题。
●修改IIS 站点的主目录的路径IIS的默认安装的路径是\inetpub,Web服务的页面路径是\inetpub\wwwroot,这是任何一个熟悉IIS的人都知道的,入侵者也不例外,使用默认的安装路径无疑是告诉了入侵者系统的重要资料,所以需要更改。
将上述站点的主目录放到非系统分区(C盘由于安装了操作系统,故成为系统分区),例如D盘上。
●打开windows update ,及时为Windows和IIS的补丁只要提高安全意识,经常注意系统和IIS的设置情况,并打上最新的补丁,IIS就会是一个比较安全的服务器平台,能为我们提供安全稳定的服务。
2)IIS的安全配置✧删除危险的IIS组件:提示:控制面板——添加删除程序——windows组件默认安装后的有些IIS组件可能会造成安全威胁,应该从系统中去掉,以下是一些“黑名单”,大家可以根据自己的需要决定是否需要删除。
⏹SMTP Service和NNTP Service:如果不打算使用服务器转发邮件和提供新闻组服务,就可以不安装这两项,否则,可能因为它们的漏洞带来新的不安全。
web服务器配置方案随着互联网的迅速发展,Web服务器的配置也越来越重要。
Web服务器配置是通过计算机网络向浏览器提供网页文件的过程。
为了使Web应用程序能够顺畅运行,需要对服务器进行配置。
以下是一些Web服务器配置方案。
1. 防火墙配置防火墙是一种硬件或软件产品,用于保护计算机和网络免受未授权访问。
防火墙可以通过限制访问来保护Web服务器免受攻击。
防火墙配置的最佳实践包括设置白名单和黑名单、限制入站和出站流量等。
2. 操作系统设置操作系统的设置对于Web服务器的安全性和性能都非常重要。
推荐使用最新版本的操作系统,并安装各种更新补丁。
还要严格控制对服务器的访问权限。
3. Web服务器软件配置Web服务器软件配置是非常核心的部分,涉及到资源管理、Web服务的端口设置、绑定监听地址、设定虚拟主机、应用程序部署等。
比如Apache服务器上,需要对httpd.conf进行设置。
4. 程序部署程序部署需要设置Web服务器对程序的默认启动位置、日志输出位置等。
还需要设置应用程序所依赖的环境变量、运行时参数等。
这些设置与不同的Web服务器有所区别。
5. 数据库设置Web服务器与数据库服务器之间需要进行协调配合,以保证Web应用程序正常运行。
在Web服务器中,需要进行数据库驱动的设置,以及数据库访问的权限设置等。
6. 安全检查Web服务器配置完成后,需要进行安全检查以确保服务器的安全性。
检查包括端口扫描、漏洞检测、病毒扫描、防火墙设置、登录策略等等。
综上所述,Web服务器配置方案的核心要素包括防火墙配置、操作系统设置、Web服务器软件配置、程序部署、数据库设置以及安全检查。
只有在完善的配置方案下,Web应用程序才能够更加安全,更加顺畅地运行。
图解web服务器安全设置一、系统设置1、先关闭不需要的端口开启防火墙导入IPSEC策略在” 网络连接”里,把不需要的协议和服务都删掉,这里只安装了基本的Internet协议(TCP/IP),由于要控制带宽流量服务,额外安装了Qos数据包计划程序。
在高级tcp/ip设置里--"NetBIOS"设置"禁用tcp/IP上的NetBIOS(S)"。
在高级选项里,使用"Internet连接防火墙",这是windows 2003 自带的防火墙,在2000系统里没有的功能,虽然没什么功能,但可以屏蔽端口,这样已经基本达到了一个IPSec 的功能。
然后点击确定—>下一步安装。
(具体见本文附件1)2、系统补丁的更新点击开始菜单—>所有程序—>Windows Update按照提示进行补丁的安装。
3、备份系统用GHOST备份系统。
4、安装常用的软件例如:杀毒软件、解压缩软件等;安装完毕后,配置杀毒软件,扫描系统漏洞,安装之后用GHOST再次备份修改3389远程连接端口修改注册表.开始--运行--regedit依次展开HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/ TERMINAL SERVER/WDS/RDPWD/TDS/TCP右边键值中PortNumber 改为你想用的端口号.注意使用十进制(例10000 )HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/TERMINAL SERVER/ WINSTATIONS/RDP-TCP/右边键值中PortNumber 改为你想用的端口号.注意使用十进制(例10000 )注意:别忘了在WINDOWS2003自带的防火墙给+上10000端口修改完毕.重新启动服务器.设置生效.二、用户的安全设置1、禁用Guest账号在计算机管理的用户里面把Guest账号禁用。
web服务器配置方案一、简介Web服务器是指提供Web服务的软件和硬件设备。
在互联网时代,Web服务器扮演着至关重要的角色,负责接收用户请求并返回相应的网页内容。
为了保证Web服务器的性能和稳定性,合理的配置方案非常重要。
本文将提供一种Web服务器配置方案,旨在提高服务器性能、保障数据安全、提升用户体验。
二、硬件配置1. 型号选择对于小型网站或网页访问量较低的应用,可以选择低成本的服务器硬件。
但对于大型网站或高访问量的需求,应考虑选择高性能的服务器型号,以满足用户对速度和体验的需求。
2. 处理器和内存处理器是Web服务器的核心组件,直接影响服务器的计算能力和响应速度。
对于大型网站,建议选择多核处理器,并配置足够的内存以提高并发处理能力,避免系统崩溃或服务中断。
3. 硬盘和RAID为了保障数据安全,建议采用RAID(冗余磁盘阵列)技术。
RAID可以通过数据备份和容错机制,提高服务器存储的可靠性和读写性能。
同时,选择高速硬盘可以提高数据的读写速度,加快服务器响应时间。
三、软件配置1. 操作系统常见的Web服务器操作系统有Windows Server、Linux等。
根据具体需求和预算,选择适合的操作系统版本,并及时安装最新的安全补丁,以增强服务器的稳定性和安全性。
2. Web服务器软件最常用的Web服务器软件是Apache、Nginx和IIS。
根据具体需求和预算,选择合适的Web服务器软件。
同时,配置Web服务器软件的虚拟主机和负载均衡,可以提高服务器的并发处理能力和稳定性。
3. 数据库对于需要存储和管理大量数据的网站,合理选择和配置数据库非常重要。
常见的数据库软件有MySQL、SQL Server等。
根据需求选择合适的数据库软件,并进行性能调优,以提高数据库读写速度和查询效率。
四、安全配置1. 防火墙在Web服务器上安装并配置防火墙,可以有效保护服务器不受恶意攻击和非法访问。
防火墙可以设置访问控制规则、端口过滤等,提高服务器的安全性和稳定性。
实验环境:主机A centos7(192.168.91.128)作为服务器配置web服务器并设置安全规则;主机B kali(192.168.91.129)作为客户机和测试机器。
环境不一定要和我的一致根据自己实际的IP情况来设置即可。
一、配置web服务器1、安装服务yum install httpdyum install mod_sql2、修改web服务器启动httpd并查看状态在浏览器访问并确认服务器是否已经配置完成替换默认页面:保存推出之后修改配置文件:显示行号:set nu164行修改文件名为1:保存推出重启再次访问查看网页是否被修改:3、配置防火墙设置默认区域为dmz添加https服务:添加192.168.91.0/24作为信任的来源添加到work域查看默认域,配置无误查看所有的存活域只要看到work的源有我们刚才设置的IP即可:确认服务添加成功:测试,此时不可以通过HTTP访问只能通过HTTPS访问服务器:添加连接次数限制并记录到日志之中,首先移除之前接受的IP规则再添加富规则:此时再去客户机访问:打开服务器的日志信息可以发现都被记录到日志:二、配置web实现伪装和端口转发默认情况下ssh服务的端口号是22但是为了保护服务器安全要求将其端口号修改为7678并且服务器拒绝所有的icmp请求1、修改端口号此时再查询ssh的端口发现已经添加成功重启sshd服务修改效果生效设置默认防火墙区域为dmz并添加新的ssh端口7687开启路由转发查询网卡信息将不同的网卡配置到不同的防火墙区域添加IP伪装添加IP转发,将访问192.168.91.129的转发到192.168.91.128重启服务三、更改服务端口重启服务启动失败查看是selinux阻止了窗口通过se修改端口再次重启则没有问题添加端口客户机访问四、配置安全的ssh连接ssh连接默认端口是20并且默认无用户连接可能导致不安全的情况因此我们在这个配置中添加专门的ssh用户并且更改ssh的默认端口新增用户修改配置此时发现不可以直接连接但是可以用指定用户连接修改端口号此时再查询ssh的端口发现已经添加成功重启sshd服务修改效果生效再去客户机查看发现可以指定用户和端口五、配置安全的Apache服务器apache服务器默认显示服务版本和使用了默认用户和组,需要新增用户和组管理apache服务器重启httpd服务。
服务器基本安全配置(二)引言概述在前一篇文档中,我们介绍了一些服务器基本安全配置的方法和步骤。
在本文中,我们将继续探讨一些与服务器安全相关的重要方面,帮助您更好地保护服务器和其中存储的数据。
正文内容大点1: 网络安全配置1. 配置防火墙: 使用适当的防火墙软件来限制网络流量,只允许必要的端口和服务。
2. 加密网络连接: 使用安全套接字层(SSL)协议来加密客户端与服务器之间的通信,以防止敏感数据泄露。
3. 禁止不安全的网络协议: 禁用不安全的网络协议,如旧版本的TLS和旧式认证协议,以提高网络安全性。
4. 定期检查网络日志: 定期检查服务器的网络日志,以及查看网络活动是否异常,及时发现潜在的攻击。
大点2: 用户访问控制1. 强密码策略: 强制用户使用复杂且独特的密码,并定期要求更换密码,防止密码被猜测或暴力破解。
2. 多因素身份验证: 启用多因素身份验证,例如通过手机短信验证码或硬件密钥令牌,在登录过程中增加额外的安全层。
3. 最小权限原则: 为每个用户分配最低权限级别,仅允许他们访问所需的系统和文件,以减少意外的数据泄露风险。
4. 定期审计用户账户: 定期检查和审核用户账户,删除不再需要的账户并修复权限配置错误。
大点3: 数据备份和恢复1. 定期备份数据: 设定定期的数据备份计划,并将数据存储在安全的离线存储介质中,以防止硬件故障或数据丢失。
2. 测试备份恢复: 定期进行备份恢复测试,确保备份数据的可靠性和完整性,以便在需要时能够快速有效地恢复数据。
3. 将备份数据存储在不同位置: 将备份数据存储在不同的地理位置,以防止地方性灾难,如自然灾害、火灾等。
大点4: 注重更新和漏洞管理1. 及时安装安全更新: 及时下载和安装服务器操作系统和应用程序的安全更新,以修复已知的漏洞和提高系统的安全性。
2. 配置自动更新: 对于重要的安全更新,可以配置自动更新,确保系统始终保持最新的补丁。
3. 漏洞管理: 定期进行漏洞扫描,并修复发现的漏洞,以减少系统被利用的风险。
web服务器安全配置Web服务器安全配置简介Web服务器是托管和传输网站内容的核心组件。
为了确保网站的安全,正确的服务器安全配置是至关重要的。
本文将介绍一些重要的方法和步骤,以帮助您合理地配置和保护您的Web服务器。
1. 更新服务器软件和操作系统保持服务器软件和操作系统的最新版本非常重要。
这样可以确保您的服务器是基于最新安全补丁和修复程序运行的,以减少黑客和恶意软件的攻击风险。
2. 去除默认配置大多数Web服务器都有默认的配置文件和设置。
黑客经常利用这些默认配置的弱点,因此应该定制和修改这些配置。
将默认的管理员账户名称和密码更改为强密码,并禁用不必要的服务和插件。
3. 使用安全的传输协议为了保护Web服务器和用户之间的数据传输,应该始终使用安全的传输协议,如HTTPS。
HTTPS通过使用SSL/TLS加密协议来确保数据的机密性和完整性,防止数据在传输过程中被黑客窃取或篡改。
4. 创建强大的访问控制使用防火墙和访问控制列表(ACL)来限制对服务器的访问。
只允许必要的IP地址访问您的服务器,并阻止来自已知恶意IP地址的访问。
使用强大的密码策略来保护登录凭证,并定期更改密码。
5. 防御举措采取一些额外的防御措施,例如使用Web应用程序防火墙(WAF)来检测和阻止恶意的HTTP请求。
WAF可以识别和封锁潜在的攻击,如跨站点脚本攻击(XSS)和SQL注入攻击。
6. 安全审计和监控定期进行安全审计和监控是保持服务器安全的关键。
通过监控服务器访问日志和相关指标,可以及时发现潜在的安全问题。
使用入侵检测系统(IDS)和入侵防御系统(IPS)来检测和阻止未经授权的访问和活动。
7. 数据备份和恢复计划及时备份服务器上的所有数据,并设置定期的备份计划。
这样,在服务器遭受攻击或数据丢失时,可以及时恢复数据并最小化损失。
8. 网络分割将Web服务器与其他敏感数据和系统隔离开来,建立网络分割可以减少攻击面,确保一次攻击不会导致整个网络或系统的崩溃。
web服务器安全设置Web服务器攻击常利用Web服务器软件和配置中的漏洞,web 服务器安全也是我们现在很多人关注的一点,那么你知道web服务器安全设置吗?下面是店铺整理的一些关于web服务器安全设置的相关资料,供你参考。
web服务器安全设置一、IIS的相关设置删除默认建立的站点的虚拟目录,停止默认web站点,删除对应的文件目录c:inetpub,配置所有站点的公共设置,设置好相关的连接数限制,带宽设置以及性能设置等其他设置。
配置应用程序映射,删除所有不必要的应用程序扩展,只保留asp,php,cgi,pl,aspx应用程序扩展。
对于php和cgi,推荐使用isapi方式解析,用exe解析对安全和性能有所影响。
用户程序调试设置发送文本错误信息给客户。
对于数据库,尽量采用mdb后缀,不需要更改为asp,可在IIS 中设置一个mdb的扩展映射,将这个映射使用一个无关的dll文件如C:WINNTsystem32inetsrvssinc.dll来防止数据库被下载。
设置IIS的日志保存目录,调整日志记录信息。
设置为发送文本错误信息。
修改403错误页面,将其转向到其他页,可防止一些扫描器的探测。
另外为隐藏系统信息,防止telnet到80端口所泄露的系统版本信息可修改IIS的banner信息,可以使用winhex手工修改或者使用相关软件如banneredit修改。
对于用户站点所在的目录,在此说明一下,用户的FTP根目录下对应三个文件佳,wwwroot,database,logfiles,分别存放站点文件,数据库备份和该站点的日志。
如果一旦发生入侵事件可对该用户站点所在目录设置具体的权限,图片所在的目录只给予列目录的权限,程序所在目录如果不需要生成文件(如生成html的程序)不给予写入权限。
因为是虚拟主机平常对脚本安全没办法做到细致入微的地步。
方法用户从脚本提升权限:web服务器安全设置二、ASP的安全设置设置过权限和服务之后,防范asp木马还需要做以下工作,在cmd窗口运行以下命令:regsvr32/u C:\WINNT\System32\wshom.ocxdel C:\WINNT\System32\wshom.ocxregsvr32/u C:\WINNT\system32\shell32.dlldel C:\WINNT\system32\shell32.dll即可将WScript.Shell, Shell.application, work组件卸载,可有效防止asp木马通过wscript或shell.application执行命令以及使用木马查看一些系统敏感信息。
WEB服务器安全配置方法(推荐)IIS的相关设置:删除默认建立的站点的虚拟目录,停止默认web站点,删除对应的文件目录c:inetpub,配置所有站点的公共设置,设置好相关的连接数限制,带宽设置以及性能设置等其他设置。
配置应用程序映射,删除所有不必要的应用程序扩展,只保留asp,php,cgi,pl,aspx应用程序扩展。
对于php和cgi,推荐使用isapi方式解析,用exe解析对安全和性能有所影响。
用户程序调试设置发送文本错误信息给户。
对于数据库,尽量采用mdb后缀,不需要更改为asp,可在IIS中设置一个mdb的扩展映射,将这个映射使用一个无关的dll文件如C: WINNTsystem32inetsrvssinc.dll来防止数据库被下载。
设置IIS的日志保存目录,调整日志记录信息。
设置为发送文本错误信息。
修改403错误页面,将其转向到其他页,可防止一些扫描器的探测。
另外为公开系统信息,防止TELnet到80端口所泄露的系统版本信息可修改IIS 的banner信息,可以使用winhex手工修改或者使用相关软件如banneredit修改。
对于用户站点所在的目录,在此说明一下,用户的FTP根目录下对应三个文件佳,wwwroot,database,logfiles,分别存放站点文件,数据库备份和该站点的日志。
如果一旦发生入侵事件可对该用户站点所在目录设置具体的权限,图片所在的目录只给予列目录的权限,程序所在目录如果不需要生成文件(如生成html的程序)不给予写入权限。
因为是虚拟主机平常对脚本安全没办法做到细致入微的地步,更多的只能在方法用户从脚本提升权限:ASP的安全设置:设置过权限和服务之后,防范asp木马还需要做以下工作,在cmd窗口运行以下命令:regsvr32/u C:\\WINNT\\System32\\wshom.ocxdel C:\\WINNT\\System32\\wshom.ocxregsvr32/u C:\\WINNT\\system32\\shell32.dlldel C:\\WINNT\\system32\\shell32.dll即可将WScript.Shell, Shell.application, work组件卸载,可有效防止asp木马通过wscript或shell.application执行命令以及使用木马查看一些系统敏感信息。
另法:可取消以上文件的users用户的权限,重新启动IIS即可生效。
但不推荐该方法。
另外,对于FSO由于用户程序需要使用,服务器上可以不注销掉该组件,这里只提一下FSO的防范,但并不需要在自动开通空间的虚拟商服务器上使用,只适合于手工开通的站点。
可以针对需要FSO和不需要FSO的站点设置两个组,对于需要FSO的用户组给予c: winntsystem32scrrun.dll文件的执行权限,不需要的不给权限。
重新启动服务器即可生效。
对于这样的设置结合上面的权限设置,你会发现海阳木马已经在这里失去了作用!PHP的安全设置:默认安装的php需要有以下几个注意的问题:C:\\winnt\\php.ini只给予users读权限即可。
在php.ini里需要做如下设置:Safe_mode=onregister_globals = Offallow_url_fopen = Offdisplay_errors = Offmagic_quotes_gpc = On [默认是on,但需检查一遍]open_basedir =web目录disable_functions =passthru,exec,shell_exec,system,phpinfo,get_cfg_var,popen,chmod默认设置com.allow_dcom = true修改为false[修改前要取消掉前面的;] [Page]MySQL安全设置:如果服务器上启用MySQL数据库,MySQL数据库需要注意的安全设置为:删除mysql中的所有默认用户,只保留本地root帐户,为root用户加上一个复杂的密码。
赋予普通用户updatedeletealertcreatedrop权限的时候,并限定到特定的数据库,尤其要避免普通客户拥有对mysql数据库操作的权限。
检查er表,取消不必要用户的shutdown_priv,reload_priv,process_priv和File_priv权限,这些权限可能泄漏更多的服务器信息包括非mysql的其它信息出去。
可以为mysql设置一个启动用户,该用户只对mysql目录有权限。
设置安装目录的data数据库的权限(此目录存放了mysql数据库的数据信息)。
对于mysql安装目录给users加上读取、列目录和执行权限。
Serv-u安全问题:安装程序尽量采用最新版本,避免采用默认安装目录,设置好serv-u目录所在的权限,设置一个复杂的管理员密码。
修改serv-u的banner信息,设置被动模式端口范围(4001—4003)在本地服务器中设置中做好相关安全设置:包括检查匿名密码,禁用反超时调度,拦截“FTP bounce”攻击和FXP,对于在30秒内连接超过3次的用户拦截10分钟。
域中的设置为:要求复杂密码,目录只使用小写字母,高级中设置取消允许使用MDTM命令更改文件的日期。
更改serv-u的启动用户:在系统中新建一个用户,设置一个复杂点的密码,不属于任何组。
将servu的安装目录给予该用户完全控制权限。
建立一个FTP根目录,需要给予这个用户该目录完全控制权限,因为所有的ftp用户上传,删除,更改文件都是继承了该用户的权限,否则无法操作文件。
另外需要给该目录以上的上级目录给该用户的读取权限,否则会在连接的时候出现530 Not logged in, home directory does not exist。
比如在测试的时候ftp根目录为d:soft,必须给d盘该用户的读取权限,为了安全取消d盘其他文件夹的继承权限。
而一般的使用默认的system启动就没有这些问题,因为system一般都拥有这些权限的。
数据库服务器的安全设置对于专用的MSSQL数据库服务器,按照上文所讲的设置TCP/IP筛选和IP策略,对外只开放1433和5631端口。
对于MSSQL首先需要为sa设置一个强壮的密码,使用混合身份验证,加强数据库日志的记录,审核数据库登陆事件的”成功和失败”.删除一些不需要的和危险的OLE自动存储过程(会造成企业管理器中部分功能不能使用),这些过程包括如下: Sp_OACreate Sp_OADestroy Sp_OAGetErrorInfo Sp_OAGetPropertySp_OAMethod Sp_OASetProperty Sp_OAStop去掉不需要的注册表访问过程,包括有:Xp_regaddmultistring Xp_regdeletekey Xp_regdeletevalueXp_regenumvalues Xp_regread Xp_regremovemultistringXp_regwrite去掉其他系统存储过程,如果认为还有威胁,当然要小心Drop这些过程,可以在测试机器上测试,保证正常的系统能完成工作,这些过程包括:xp_cmdshell xp_dirtree xp_dropwebtask sp_addsrvrolememberxp_makewebtask xp_runwebtask xp_subdirs sp_addloginsp_addextendedproc在实例属性中选择TCP/IP协议的属性。
选择公开SQL Server 实例可防止对1434端口的探测,可修改默认使用的1433端口。
除去数据库的guest账户把未经认可的使用者据之在外。
例外情况是master和tempdb 数据库,因为对他们guest帐户是必需的。
另外注意设置好各个数据库用户的权限,对于这些用户只给予所在数据库的一些权限。
在程序中不要用sa用户去连接任何数据库。
网络上有建议大家使用协议加密的,千万不要这么做,否则你只能重装MSSQL了。
[Page]入侵检测和数据备份入侵检测工作作为服务器的日常管理,入侵检测是一项非常重要的工作,在平常的检测过程中,主要包含日常的服务器安全例行检查和遭到入侵时的入侵检查,也就是分为在入侵进行时的安全检查和在入侵前后的安全检查。
系统的安全性遵循木桶原理,木桶原理指的是:一个木桶由许多块木板组成,如果组成木桶的这些木板长短不一,那么这个木桶的最大容量不取决于长的木板,而取决于最短的那块木板。
应用到安全方面也就是说系统的安全性取决于系统中最脆弱的地方,这些地方是日常的安全检测的重点所在。
日常的安全检测日常安全检测主要针对系统的安全性,工作主要按照以下步骤进行:1.查看服务器状态:打开进程管理器,查看服务器性能,观察CPU和内存使用状况。
查看是否有CPU和内存占用过高等异常情况。
2.检查当前进程情况切换“任务管理器”到进程,查找有无可疑的应用程序或后台进程在运行。
用进程管理器查看进程时里面会有一项taskmgr,这个是进程管理器自身的进程。
如果正在运行windows 更新会有一项wuauclt.exe进程。
对于拿不准的进程或者说不知道是服务器上哪个应用程序开启的进程,可以在网络上搜索一下该进程名加以确定[进程知识库:/]。
通常的后门如果有进程的话,一般会取一个与系统进程类似的名称,如svch0st.exe,此时要仔细辨别[通常迷惑手段是变字母o为数字0,变字母l为数字1]3.检查系统帐号打开计算机管理,展开本地用户和组选项,查看组选项,查看administrators组是否添加有新帐号,检查是否有克隆帐号。
4.查看当前端口开放情况使用activeport,查看当前的端口连接情况,尤其是注意与外部连接着的端口情况,看是否有未经允许的端口与外界在通信。
如有,立即关闭该端口并记录下该端口对应的程序并记录,将该程序转移到其他目录下存放以便后来分析。
打开计算机管理==》软件环境==》正在运行任务[在此处可以查看进程管理器中看不到的公开进程],查看当前运行的程序,如果有不明程序,记录下该程序的位置,打开任务管理器结束该进程,对于采用了守护进程的后门等程序可尝试结束进程树,如仍然无法结束,在注册表中搜索该程序名,删除掉相关键值,切换到安全模式下删除掉相关的程序文件。
5.检查系统服务运行services.msc,检查处于已启动状态的服务,查看是否有新加的未知服务并确定服务的用途。
对于不清楚的服务打开该服务的属性,查看该服务所对应的可执行文件是什么,如果确定该文件是系统内的正常使用的文件,可粗略放过。
查看是否有其他正常开放服务依存在该服务上,如果有,可以粗略的放过。
