Windows Server 2003 虛擬主機的安全配置
2020-10-24 13:30:15
供稿:網友
本人上次工作于某家網絡公司.負責服務器的維護工作.現失業.
經過一段時間的了解.自認為在構件Windows服務器平臺上有所經驗.
鑒于現在很多朋友都開始謀劃屬于自己的虛擬主機.并且呢.
網上相關文章都是很老的那種.所以自己冒昧準備寫一系列.
希望各位多多指點.有問題有錯誤多多斧正.謝謝.
開頭很嚴肅吧.呵呵.那下面就輕松點.哎.才跟GF去吃午飯了.撐的我.哎.老打嗝.
這人跟機器就一樣.快的確是挺好.但是要穩定.服務器的穩定就好比談戀愛的穩定.
否則一天三頓吵.外加吃個消夜.那就甭想好點工作了.呵呵.要建立穩定的戀愛關系.
那首先.基礎很重要.人品.性格.愛好.對不對?那我們就先說硬件吧.
當然推薦品牌的服務器.DELL.IBM.都挺好.如果你跟我一樣窮.那自己裝一臺也成.
主板非IWLL.ASUS.INTEL的不要.CPU當然要HT P4的.512 DDR.裝起來也湊合.
自己曾經用一PC做過一段時間的測試.如果硬件質量都過關.其實也非常強.
然后是重要的服務器操作系統.鑒于本人水平有限制.我們暫時不探討REDHAT.
首推Windwos Server 2003.尤其是安全性和IIS.比W2K要強很多.執行效率高.穩定安全.
在正式進入主題之前.套用FIRE的話作為整個工程的開場白:
"請不要嘗試去攻擊任何一臺主機.因為你永遠都無法知道.
你的對面的管理員.到底是一個天才還是一個偽裝成白癡的天才."
裝系統估計人人都會裝.那我不多說.免得人說我騙稿費.在安裝之前.我們還是要談下服務器的分區.
跟PC分區還是有一點不同的.我按我以前自己做的分區設置羅列一下.下面的內容比較重要.
系統分區定在C盤.個人認為8G足夠了.10G也行.NTFS格式.因為在2003下.非NTFS不能安裝IIS.
權限保持默認.因為我曾經修改過一次系統盤的默認權限.結果不知道為什么系統就給崩了.55555.
軟件分區定在D盤.8G到10G.主要安裝輔助軟件.WINRAR.日志檢測軟件.網絡檢測軟件.Commview這類等.
至于MSN哦.QQ哦什么的.其實不推薦安裝.為什么.當然會有點小隱患.推薦使用NTFS格式.
權限請保留ADMIN組和SYSTEM組.一共兩個.其他的一律DEL掉.尤其是什么EVERYONE.
為什么.因為安裝到系統中SYSTEM當然是必須具備.然后管理員要操作.所以要ADMIN組.
E盤我們做為服務器軟件的安裝分區.大小自己定義.包括CGI.PHP.ZEND.MYSQL.MSSQL.IMAIL.SERV-U等.
文件格式為NTFS.權限保留ADMIN組.SYSTEM組.和"IWAN_你的計算機名"這個帳號.一共三個.其他的DEL掉.
說明一下.這個"IWAN_你的計算機名"帳號.主要是負責操作應用程序地址池和服務器軟件.比如PHP腳本.
F盤就可以做對外服務的分區.比如IIS的WEB服務.FTP空間.IMAIL郵件帳號空間.
建議建立三個文件夾: WEB.FTP和IMAIL.然后分門別類的放置每個軟件的每個帳號的目錄.
并且不繼承F盤的父權限.獨立來定制這三個目錄的操作權限.具體我們下面說.
推薦權限為保留如下三個組: ADMIN組和SYSTEM組以及"USER_你的計算機名"這個帳號組.
"USER_你的計算機名"這個帳號組.權限為GUESTS.是匿名訪問WEB服務器的默認帳號.
如果需要有寫操作權限的另外建立個帳號.具體可以參考FSO分配這類文章.
G盤為FTA32格式.放置系統安裝文件.日常工具軟件的安裝程序.系統備份.策略等等.
注意.敏感內容請通過第三方軟件加密.以免病毒感染或者被黑客捆綁后門和木馬.
如果條件允許就做異地備份.光盤或者磁帶機備份.建議裝個GHOST 2003.對于重要內容可以做鏡像文件.
到這里基本上比較合理的分配了空間.并且也考慮以后的拓展性.我們可以準備進入下面的環節了.
下面我們來說安裝.哎哎.你.坐好.雖然我出去了一下.出去的一小下而已嘛.
你也要注意紀律.什么?說我只知道陪MM不寫教程.你知道個啥.兩手都要硬.明白不?
安裝的情況.這個.一般情況下分兩種.不排除有變態的第N種可能.
對了.有一期科幻世界上有一篇叫第九種可能的文章.挺不錯的.哦哦.打住打住.
首先是升級.WINDOWS 2003好象不支持WINDOWS 2000 PRO上的升級.
個人推薦還是別整什么升級的好.直接重新安裝.免去了很多D版出現的妖異問題.
掃盲: 妖異問題就是一些搞半天搞不好不知道怎么搞不好最后不知道怎么自己搞好或者是別人隨便一搞就搞好的問題.
直接安裝.如果你的系統是好的.我是說.可以進入系統并且可以使用CD-ROM的情況.
你可以選擇直接在現有的系統上安裝.然后選擇重新安裝.輸入SN序列號.直接NEXT就可以了.
注意在安裝的時候.如果你做對外的服務器就選擇系統盤為NTFS格式.分區方案見上面的.
如果你是自己用.做本地調試或者是測試的.那就隨便你怎么弄吧.只要你覺得舒服.
OK.下面來說一下純DOS里面的安裝.雖然是很OLD的內容.
在DOS里面要使用一個名為 Smartdrv.exe 的命令.
意思是增補磁盤高速緩存.什么意思?我不想跟 IQ < 70 的人探討技術問題.
這個命令可以在 Windows 98 的安裝目錄里找到.直接執行就可以了.不需要增加參數.
執行結果以后是什么樣?沒什么樣.你多執行幾次就會看到效果了.知道不?
然后執行 FORMAT C: /S/Q 切記.
如果你想保證你的 WINDOWS 2003 以后能擁有 DOS 啟動進入 MS-DOS 環境的話.
請一定按照我上面說的做.只要在安裝 WINDOWS 20003 之前把系統 FORMAT 以后.
以后安裝完 WINDOWS 2003 以后.可以通過如下方法進入 純DOS 環境而不需要其他引導光盤.
啟動計算機.按 F8 鍵.進入 WINDOW 2003 SERVER 的操作系統高級選擇菜單.
選擇 帶命令的安全模式 然后選擇 MICROSOFT WINDWOS 即可.
另外一個命令.說實話我也不知道是做什么用的.名為 Lock.exe 的命令.
看樣子似乎是鎖定.一般的用法是執行完 Smartdrv.exe 以后執行一個 Lock.exe C: 假設你要裝到C盤.
Lock.exe命令 - 解釋:
執行該程序可有效地鎖住你的光驅.
使光驅上的EJECT鍵暫時失效.直至用UNLOCK.EXE或RESET.EXE程序解鎖.
重新啟動計算機也可使EJECT鍵再次生效.
LOCK.EXE的應用格式為:
LOCK [device]
其中device即CD-ROM的盤號.默認為第一光驅.
總結一下流程.HOHO.
1. 修改 CMOS 為 CD-ROM 引導.不會?那一邊涼快去.
2. 放入 Windows 98 引導光盤.進入Dos模式.進入 Windows 98 安裝目錄.執行 Smartdrv.exe 和 Lock.exe C:
3. 彈出光盤.更換一張 Windows 2003 Server 的安裝光盤.進入 I386 目錄.執行 Winnt.exe
好了.開始安裝了.隨便說一句.在安裝的時候請不要設置Administrator的密碼.就為 Null 空著.
為什么.你不聽我話算了.以后出現問題了別找我.也不要怪我沒說.
下面就進入最關鍵的環節了.大家振作精神.
如果你硬盤空間足夠的話.并且現在時間也比較充足.那我推薦下面的步驟.
1. 重新啟動系統.按F8.進入命令提示的模式.選擇 MICROSOFT WINDWOS.
2. 進入 DOS 以后.啟動 GHOST.做個 WINDOWS 2003 C盤的 GHO 文件.放到 FAT32 分區上.
關于第一點.請認真參看上面關于在 WINDOWS 2003 上進入純 DOS 的內容.
如果你沒有按我前面說的做.那就使用 CD-ROM 引導.然后修改 CMOS 啟動.進入 DOS 環境.
做好GHO文件以后.就不怕以后萬一崩潰以后重新安裝的麻煩.
當然.你也可以把 "小白" 更新 Windows Update 以后做GHO.
本人推薦把干凈的系統通過 更新 Windows Update 以后.什么都不做.然后直接GHOST做GHO.不過前提是你比較了解系統.
下面繼續.GOGO.
把NIC卡.也就是網卡啦.禁用.然后設置好IP和DNS.GATEWAY.不要啟用.切記.
為什么?因為如果你SERVER.那當然你一旦設置好NIC信息就可以上網了.但是在安裝的時候沒有設置 ADMINISTRATORS 的密碼.
所以連入網絡就會不安全.別說一會兒沒事.我們不能保證無聊的人在窺視你的網絡.呵呵.萬一遇到個瞎貓也不好嘛.
現在服務器暫時無法連通任何網絡.
這樣可以防止裸機被沖擊波或者HACKER掃描.
可以說是安全的.推薦這個時候操作人員不要離開工作臺.呵呵.
下面高舉注冊表和組策略大法.開始我們的核心之旅途.
在開始之前.我想說的是.我們必須深入了解這臺服務器的用途.
每種用途針對不同的設置和部署策略.只有最合適的也才可能是最安全的.
按我下面的例子繼續展開.GO.
我選了一個比較典型的例子.比如一臺服務器.準備作為WEB+FTP+MAIL服務.
分細致一點列在下面:
1. WEB當然是使用 IIS 6.0 支持 ASP.PHP.CGI 腳本.
2. FTP使用 SERV-U 5.0 中文版
3. MAIL使用 IMAIL 8.02 中文版
4. 數據庫使用 MYSQL 數據庫.當然是 5.0 版本的.PHP 也用 5.0.
5. 其他的.比如ZEND.JMAIL一律使用官方最新版本.
上面這類軟件推薦在官方網站下載.或者是去 www.SKYCN.NET 下載.
按照上面的列表.我們可以得到最后的結果.開放端口如下:
80 => WEB
21 => FTP
25 => MAIL
110 => MAIL
3389 => 終端服務
8383 => MAIL WEB
我們可以按照上面的.以后做個可靠的IP和PORT策略.
即除了上面的TCP PORT.一律給予BLOCK.
當然了.推薦也將ICMP ECHO給予關閉.
如果你需要遠程管理.推薦使用 PCANYWHERE 或者 WIN的終端服務 或者 WINVNC.
該例子我們選用了 WINDOWS 2003 的終端服務.所以上面開放了 3389 端口.
隨便說一下.網上有很多人很多教材推薦要通過注冊表修改終端服務的端口.
這里我想說的是.根本不需要.完全是杞人憂天.自己耽誤工夫.
對于現在的 SP4 的 W2K 或者是 WINDOWS 2003.
終端服務已經非常完善和安全.如果一個管理員通過合理和正確的配置.
完全可以讓服務器.我是說.裸機.暴露在網上承受每天10W次的掃描和嘗試攻擊.
除腳本漏洞以外.幾乎是沒有什么安全
