a亚洲精品_精品国产91乱码一区二区三区_亚洲精品在线免费观看视频_欧美日韩亚洲国产综合_久久久久久久久久久成人_在线区

首頁 > 系統(tǒng) > Windows > 正文

windows的虛擬主機(jī)安全配置方法

2019-11-28 04:32:30
字體:
供稿:網(wǎng)友

注入漏洞、上傳漏洞、弱口令漏洞等問題隨處可見。跨站攻擊,遠(yuǎn)程控制等等是再老套不過了的話題。有些虛擬主機(jī)管理員不知是為了方便還是不熟悉配置,干脆就將所有的網(wǎng)站都放在同一個目錄中,然后將上級目錄設(shè)置為站點根目錄。有些呢,則將所有的站點的目錄都設(shè)置為可執(zhí)行、可寫入、可修改。有些則為了方便,在服務(wù)器上掛起了QQ,也裝上了BT。更有甚者,竟然把Internet來賓帳號加入到Administrators組中!汗……!普通的用戶將自己的密碼設(shè)置為生日之類的6位純數(shù)字,這種情況還可以原諒,畢竟他們大部分都不是專門搞網(wǎng)絡(luò)研究的,中國國民的安全意識提高還需要一段時間嘛,但如果是網(wǎng)絡(luò)管理員也這樣,那就怎么也有點讓人想不通了。網(wǎng)絡(luò)安全問題日益突出,最近不又有人聲稱“萬網(wǎng):我進(jìn)來玩過兩次了!”一句話,目前很大部分的網(wǎng)站安全狀況讓人擔(dān)憂!

  這里就我個人過去的經(jīng)歷和大家一同來探討有關(guān)安全虛擬主機(jī)配置的問題。以下以建立一個站點cert.ecjtu.jx.cn為例,跟大家共同探討虛擬主機(jī)配置問題。

  一、建立Windows用戶

  為每個網(wǎng)站單獨設(shè)置windows用戶帳號cert,刪除帳號的User組,將cert加入Guest用戶組。將用戶不能更改密碼,密碼永不過期兩個選項選上。

  二、設(shè)置文件夾權(quán)限

  1、設(shè)置非站點相關(guān)目錄權(quán)限

  Windows安裝好后,很多目錄和文件默認(rèn)是everyone可以瀏覽、查看、運行甚至是可以修改 的。這給服務(wù)器安全帶來極大的隱患。這里就我個人的一些經(jīng)驗提一些在入侵中較常用的目錄。

  C:/; D:/; ……
  C:/perl
  C:/temp/
  C:/Mysql/
  c:/php/
  C:/autorun.inf
  C:/Documents and setting/
  C:/Documents and Settings/All Users/「開始」菜單/程序/
  C:/Documents and Settings/All Users/「開始」菜單/程序/啟動
  C:/Documents and Settings/All Users/Documents/
  C:/Documents and Settings/All Users/Application Data/Symantec/
  C:/Documents and Settings/All Users/Application Data/Symantec/pcAnywhere
  C:/WINNT/system32/config/
  C:/winnt/system32/inetsrv/data/
  C:/WINDOWS/system32/inetsrv/data/
  C:/Program Files/
  C:/Program Files/Serv-U/
  c:/Program Files/KV2004/
  c:/Program Files/Rising/RAV
  C:/Program Files/RealServer/
  C:/Program Files/Microsoft SQL server/
  C:/Program Files/Java Web Start/

  以上這些目錄或文件的權(quán)限應(yīng)該作適當(dāng)?shù)南拗啤H缛∠鸊uests用戶的查看、修改和執(zhí)行等權(quán)限。由于篇幅關(guān)系,這里僅簡單提及。

  2、設(shè)置站點相關(guān)目錄權(quán)限:

  A、設(shè)置站點根目錄權(quán)限:將剛剛建立的用戶cert給對應(yīng)站點文件夾,假設(shè)為D:/cert設(shè)置相應(yīng)的權(quán)限:Adiministrators組為完全控制; cert有讀取及運行、列出文件夾目錄、讀取,取消其它所有權(quán)限。

  B、設(shè)置可更新文件權(quán)限:經(jīng)過第1步站點根目錄文件夾權(quán)限的設(shè)置后,Guest用戶已經(jīng)沒有修改站點文件夾中任何內(nèi)容的權(quán)限了。這顯然對于一個有更新的站點是不夠的。這時就需要對單獨的需更新的文件進(jìn)行權(quán)限設(shè)置。當(dāng)然這個可能對虛擬主機(jī)提供商來說有些不方便。客戶的站點的需更新的文件內(nèi)容之類的可能都不一樣。這時,可以規(guī)定某個文件夾可寫、可改。如有些虛擬主機(jī)提供商就規(guī)定,站點根目錄中uploads為web可上傳文件夾,data或者 database為數(shù)據(jù)庫文件夾。這樣虛擬主機(jī)服務(wù)商就可以為客戶定制這兩個文件夾的權(quán)限。當(dāng)然也可以像有些做的比較好的虛擬主機(jī)提供商一樣,給客戶做一個程序,讓客戶自己設(shè)定。可能要做到這樣,服務(wù)商又得花不小的錢財和人力哦。

  基本的配置應(yīng)該大家都會,這里就提幾個特殊之處或需要注意的地方。

  1、主目錄權(quán)限設(shè)置:這里可以設(shè)置讀取就行了。寫入、目錄瀏覽等都可以不要,最關(guān)鍵的就是目錄瀏覽了。除非特殊情況,否則應(yīng)該關(guān)閉,不然將會暴露很多重要的信息。這將為黑客入侵帶來方便。其余保留默認(rèn)就可以了。

  2、應(yīng)用程序配置:在站點屬性中,主目錄這一項中還有一個配置選項,點擊進(jìn)入。在應(yīng)用程序映射選項中可以看到,默認(rèn)有許多應(yīng)用程序映射。將需要的保留,不需要的全部都刪除。在入侵過程中,很多程序可能限制了asp,php等文件上傳,但并不對cer,asa等文件進(jìn)行限制,如果未將對應(yīng)的應(yīng)用程序映射刪除,則可以將asp的后綴名改為cer或者asa后進(jìn)行上傳,木馬將可以正常被解析。這也往往被管理員忽視。另外添加一個應(yīng)用程序擴(kuò)展名映射,可執(zhí)行文件可以任意選擇,后綴名為.mdb。這是為了防止后綴名為mdb的用戶數(shù)據(jù)庫被下載。

  3、目錄安全性設(shè)置:在站點屬性中選擇目錄安全性,點擊匿名訪問和驗證控制,選擇允許匿名訪問,點擊編輯。如下圖所示。刪除默認(rèn)用戶,瀏覽選擇對應(yīng)于前面為cert網(wǎng)站設(shè)定的用戶,并輸入密碼。可以選中允許IIS控制密碼。這樣設(shè)定的目的是為了防止一些像站長助手、海洋等木馬的跨目錄跨站點瀏覽,可以有效阻止這類的跨目錄跨站入侵。

  4、可寫目錄執(zhí)行權(quán)限設(shè)置:關(guān)閉所有可寫目錄的執(zhí)行權(quán)限。由于程序方面的漏洞,目前非常流行上傳一些網(wǎng)頁木馬,絕大部分都是用web進(jìn)行上傳的。由于不可寫的目錄木馬不能進(jìn)行上傳,如果關(guān)閉了可寫目錄的執(zhí)行權(quán)限,那么上傳的木馬將不能正常運行。可以有效防止這類形式web入侵。

  5、處理運行錯誤:這里有兩種方法,一是關(guān)閉錯誤回顯。IIS屬性

主站蜘蛛池模板: 久久福利影院 | av黄色在线观看 | 最新伦理片 | 欧美成人性生活 | 91精品国产日韩91久久久久久 | 精国产品一区二区三区 | 97国产精品 | 亚洲综合精品视频 | 成人在线精品视频 | 毛片久久| 国产精品视频 – 无名网 | 亚洲欧美一区二区三区 | 羞视频在线观看 | 性国产xxxx乳高跟 | 欧美一区二区三区四区视频 | 黄色香蕉网站 | 亚洲视频综合 | 午夜精选视频 | 亚洲 中文 欧美 日韩在线观看 | 欧美影视一区二区 | 欧美一区黄 | 成人午夜精品一区二区三区 | 成人黄色免费视频网站 | 国产精品自产拍在线观看桃花 | 欧美精品免费在线 | 欧美成人精品一区二区男人看 | 黑人精品视频 | 欧美淫视频 | 久久精品视频网站 | 国产一区二区黄 | 日本欧美久久久久 | 福利片免费观看 | 青青草国产 | 好看的一级毛片 | 黄色成人在线 | 福利精品视频 | 国产18av | 精品久久久久久久久久久 | 一区二区三区在线不卡 | 免费在线观看毛片网站 | 欧美资源在线 |