|
这是我在站长交流与互助群(17770150)里的讲座 希望大家多多捧场
感谢大家给我这个机会 能让我在这里讲课
今天给大家讲的是 网站服务器的安全配置
首先给大家介绍国内的著名的安全站点 网络安全文章资料相当齐全 大家有空去 看看
http://forum.eviloctal.com 邪恶八进制
http://www.wrsky.com 火狐联盟
http://www.xfocus.net 网络安全焦点
/html/edu/System/Win2003/index.html win系统安全和应用
这些都是国内最有权威的纯技术讨论安全站点 网络安全文章资料相当齐全
网上流传的很多关于windows server 2003系统的安全配置,但是仔细分析下发现很多都不全面,并且很多仍然配置的不够合理,并且有很大的安全隐患,今天我决定仔细做下极端BT的2003服务器的安全配置,让更多的网管朋友高枕无忧。
我们配置的服务器需要提供支持的组件如下:(ASP、ASPX、CGI、PHP、FSO、JMAIL、MySql、SMTP、POP3、FTP、3389终端服务、远程桌面Web连接管理服务等),这里前提是已经安装好了系统,IIS,包括FTP服务器,邮件服务器等,这些具体配置方法的就不再重复了,现在我们着重主要阐述下关于安全方面的配置。
关于常规的如安全的安装系统,设置和管理帐户,关闭多余的服务,审核策略,修改终端管理端口, 以及配置MS-SQL,删除危险的存储过程,用最低权限的public帐户连接等等,都不说了,大家在网上搜索到处是相关文章,315安全网上也多的很:
常规安全配置2003的:http://www.315safe.com/showarticle.asp?NewsID=2770
防范ASP木马在服务器上运行的:http://www.315safe.com/showarticle.asp?NewsID=2865
终端服务安全配置的:http://www.315safe.com/showarticle.asp?NewsID=2831
安装防火墙的:http://www.315safe.com/showarticle.asp?NewsID=2813
MS-SQL的安全配置:http://www.315safe.com/showarticle.asp?NewsID=2933
先说关于系统的NTFS磁盘权限设置,大家可能看得都多了,但是2003服务器有些细节地方需要注意的,我看很多文章都没写完全。
C盘只给administrators 和system权限,其他的权限不给,其他的盘也可以这样设置,这里给的system权限也不一定需要给,只是由于某些第三方应用程序是以服务形式启动的,需要加上这个用户,否则造成启动不了。
Windows目录要加上给users的默认权限,否则ASP和ASPX等应用程序就无法运行。以前有朋友单独设置Instsrv和temp等目录权限,其实没有这个必要的。
另外在c:/Documents and Settings/这里相当重要,后面的目录里的权限根本不会继承从前的设置,如果仅仅只是设置了C盘给administrators权限,而在All Users\Application Data目录下会 出现everyone用户有完全控制权限,这样入侵这可以跳转到这个目录,写入脚本或只文件,再结合其他漏洞来提升权限;譬如利用serv-u的本地溢出提升权限,或系统遗漏有补丁,数据库的弱点,甚至社会工程学等等N多方法,从前不是有牛人发飑说:“只要给我一个webshell,我就能拿到system",这也的确是有可能的。在用做web\ftp服务器的系统里,建议是将这些目录都设置的锁死。其他每个盘的目录都按照这样设置,没个盘都只给adinistrators权限。
上一篇:白云飘飘域名报道续:将在网上进行域名拍卖
下一篇:2007年3月1日域名删除列表
|
精品推荐