注入漏洞���、上傳漏洞����、弱口令漏洞等問題隨處可見?��?缯竟?��,遠程控制等等是再老套不過了的話題。有些虛擬主機管理員不知是為了方便還是不熟悉配置�,干脆就將所有的網(wǎng)站都放在同一個目錄中,然后將上級目錄設置為站點根目錄���。有些呢��,則將所有的站點的目錄都設置為可執(zhí)行����、可寫入��、可修改����。有些則為了方便��,在服務器上掛起了QQ,也裝上了BT��。更有甚者�����,竟然把Internet來賓帳號加入到Administrators組中!汗……!普通的用戶將自己的密碼設置為生日之類的6位純數(shù)字,這種情況還可以原諒�����,畢竟他們大部分都不是專門搞網(wǎng)絡研究的�,中國國民的安全意識提高還需要一段時間嘛�����,但如果是網(wǎng)絡管理員也這樣��,那就怎么也有點讓人想不通了��。網(wǎng)絡安全問題日益突出���,最近不又有人聲稱“萬網(wǎng):我進來玩過兩次了!”一句話�����,目前很大部分的網(wǎng)站安全狀況讓人擔憂!
這里就我個人過去的經(jīng)歷和大家一同來探討有關安全虛擬主機配置的問題���。以下以建立一個站點cert.ecjtu.jx.cn為例��,跟大家共同探討虛擬主機配置問題��。
一�����、建立Windows用戶
為每個網(wǎng)站單獨設置windows用戶帳號cert����,刪除帳號的User組�,將cert加入Guest用戶組��。將用戶不能更改密碼�,密碼永不過期兩個選項選上。
二�����、設置文件夾權限
1、設置非站點相關目錄權限
Windows安裝好后���,很多目錄和文件默認是everyone可以瀏覽、查看�、運行甚至是可以修改 的。這給服務器安全帶來極大的隱患���。這里就我個人的一些經(jīng)驗提一些在入侵中較常用的目錄����。
C:/; D:/; ……
C:/perl
C:/temp/
C:/MySQL/
c:/php/
C:/autorun.inf
C:/Documents and setting/
C:/Documents and Settings/All Users/「開始」菜單/程序/
C:/Documents and Settings/All Users/「開始」菜單/程序/啟動
C:/Documents and Settings/All Users/Documents/
C:/Documents and Settings/All Users/application Data/Symantec/
C:/Documents and Settings/All Users/Application Data/Symantec/pcAnywhere
C:/WINNT/system32/config/
C:/winnt/system32/inetsrv/data/
C:/WINDOWS/system32/inetsrv/data/
C:/PRogram Files/
C:/Program Files/Serv-U/
c:/Program Files/KV2004/
c:/Program Files/Rising/RAV
C:/Program Files/RealServer/
C:/Program Files/Microsoft SQL server/
C:/Program Files/java Web Start/
以上這些目錄或文件的權限應該作適當?shù)南拗啤H缛∠鸊uests用戶的查看����、修改和執(zhí)行等權限。由于篇幅關系�����,這里僅簡單提及�。
2、設置站點相關目錄權限:
A�、設置站點根目錄權限:將剛剛建立的用戶cert給對應站點文件夾,假設為D:/cert設置相應的權限:Adiministrators組為完全控制; cert有讀取及運行����、列出文件夾目錄、讀取��,取消其它所有權限��。
B��、設置可更新文件權限:經(jīng)過第1步站點根目錄文件夾權限的設置后���,Guest用戶已經(jīng)沒有修改站點文件夾中任何內(nèi)容的權限了。這顯然對于一個有更新的站點是不夠的�����。這時就需要對單獨的需更新的文件進行權限設置�。當然這個可能對虛擬主機提供商來說有些不方便?���?蛻舻恼军c的需更新的文件內(nèi)容之類的可能都不一樣。這時�,可以規(guī)定某個文件夾可寫����、可改��。如有些虛擬主機提供商就規(guī)定����,站點根目錄中uploads為web可上傳文件夾���,data或者 database為數(shù)據(jù)庫文件夾��。這樣虛擬主機服務商就可以為客戶定制這兩個文件夾的權限。當然也可以像有些做的比較好的虛擬主機提供商一樣�����,給客戶做一個程序�����,讓客戶自己設定�?��?赡芤龅竭@樣��,服務商又得花不小的錢財和人力哦���。
基本的配置應該大家都會,這里就提幾個特殊之處或需要注意的地方���。
1�����、主目錄權限設置:這里可以設置讀取就行了�����。寫入���、目錄瀏覽等都可以不要,最關鍵的就是目錄瀏覽了���。除非特殊情況�,否則應該關閉�����,不然將會暴露很多重要的信息�����。這將為黑客入侵帶來方便��。其余保留默認就可以了���。
2����、應用程序配置:在站點屬性中�,主目錄這一項中還有一個配置選項����,點擊進入。在應用程序映射選項中可以看到�����,默認有許多應用程序映射���。將需要的保留�����,不需要的全部都刪除�。在入侵過程中�,很多程序可能限制了asp,php等文件上傳��,但并不對cer��,asa等文件進行限制�����,如果未將對應的應用程序映射刪除���,則可以將asp的后綴名改為cer或者asa后進行上傳,木馬將可以正常被解析�。這也往往被管理員忽視。另外添加一個應用程序擴展名映射����,可執(zhí)行文件可以任意選擇���,后綴名為.mdb。這是為了防止后綴名為mdb的用戶數(shù)據(jù)庫被下載���。
3��、目錄安全性設置:在站點屬性中選擇目錄安全性����,點擊匿名訪問和驗證控制�,選擇允許匿名訪問,點擊編輯����。如下圖所示。刪除默認用戶�,瀏覽選擇對應于前面為cert網(wǎng)站設定的用戶,并輸入密碼�。可以選中允許IIS控制密碼。這樣設定的目的是為了防止一些像站長助手�、海洋等木馬的跨目錄跨站點瀏覽,可以有效阻止這類的跨目錄跨站入侵。
4��、可寫目錄執(zhí)行權限設置:關閉所有可寫目錄的執(zhí)行權限�����。由于程序方面的漏洞����,目前非常流行上傳一些網(wǎng)頁木馬,絕大部分都是用web進行上傳的��。由于不可寫的目錄木馬不能進行上傳�,如果關閉了可寫目錄的執(zhí)行權限��,那么上傳的木馬將不能正常運行�。可以有效防止這類形式web入侵�。
5、處理運行錯誤:這里有兩種方法��,一是關閉錯誤回顯��。IIS屬性――主目錄――配置――應用程序調試――腳本錯誤消息��,選擇發(fā)送文本錯誤信息給客戶�����。二是定制錯誤頁面�。在IIS屬性――自定義錯誤信息,在http錯誤信息中雙擊需要定制的錯誤頁面���,將彈出錯誤映射屬性設置框���。消息類型有默認值、URL和文件三種�����,可以根據(jù)情況自行定制��。這樣一方面可以隱藏一些錯誤信息��,另外一方面也可以使錯誤顯示更加友好�。
四��、配置FTP
Ftp是絕大部分虛擬主機提供商必備的一項服務��。用戶的站內(nèi)文件大部分都是使用ftp進行上傳的。目前使用的最多的ftp服務器非Serv-U莫屬了�����。這里有幾點需要說明一下����。
1、管理員密碼必須更改
如果入侵愛好者們肯定對Serv-U提權再熟悉莫過了���。這些提權工具使用的就是Serv-U默認的管理員的帳號和密碼運行的��。因為Serv-U管理員是以超級管理員的身份運行的。如果沒有更改管理員密碼����,這些工具使用起來就再好用不過了。如果更改了密碼��,那這些工具要想正常運行�����,那就沒那么簡單嘍����。得先破解管理員密碼才行。
2��、更改安裝目錄權限
Serv-U的默認安裝目錄都是everyone可以瀏覽甚至可以修改的����。安裝的時候如果選擇將用戶信息存儲在ini文件中,則可以在ServUDaemon.ini得到用戶的所有信息�。如果Guests有修改權限�����,那么黑客就可以順利建立具有超級權限的用戶�。這可不是一件好事。所以在安裝好Serv-U之后�,得修改相應的文件夾權限,可以取消Guests用戶的相應權限��。
五�����、命令行相關操作處理
1、禁止guests用戶執(zhí)行com.exe:
我們可以通過以下命令取消guests執(zhí)行com.exe的權限
cacls C:/WINNT/system3/Cmd.exe /e /d guests����。
2�����、禁用Wscript.Shell組件:
Wscript.Shell可以調用系統(tǒng)內(nèi)核運行DOS基本命令�����?����?梢酝ㄟ^修改注冊表�����,將此組件改名�����,來防止此類木馬的危害�。 HKEY_CLASSES_ROOT/Wscript.Shell/ 及HKEY_CLASSES_ROOT/Wscript.Shell.1/改名為其它的名字����。將兩項clsid的值也改一下 HKEY_CLASSES_ROOT/Wscript.Shell/CLSID/項目的值和HKEY_CLASSES_ROOT/ Wscript.Shell.1/CLSID/項目的值,也可以將其刪除�。
3、禁用Shell.Application組件
Shell.Application也可以調用系統(tǒng)內(nèi)核運行DOS基本命令����。可以通過修改注冊表�,將此組件改名,來防止此類木馬的危害���。 HKEY_CLASSES_ROOT/Shell.Application/ 及HKEY_CLASSES_ROOT/Shell.Application.1/ 改名為其它的名字���。將HKEY_CLASSES_ROOT/Shell.Application/CLSID/項目的值 HKEY_CLASSES_ROOT/Shell.Application/CLSID/項目的值更改或刪除。同時�����,禁止Guest用戶使用 shell32.dll來防止調用此組件��。使用命令:cacls C:/WINNT/system32/shell32.dll /e /d guests
4�、FileSystemObject組件
FileSystemObject可以對文件進行常規(guī)操作可以通過修改注冊表,將此組件改名����,來防止此類木馬的危害���。對應注冊表項為HKEY_CLASSES_ROOT/ scripting.FileSystemObject/�?���?梢越筭uests用戶使用或直接將其刪除�。考慮到很多的上傳都會使用到這個組件�����,為了方便�,這里不建議更改或刪除。
5�����、禁止telnet登陸
在C:/WINNT/system32目錄下有個login.cmd文件��,將其用記事本打開,在文件末尾另取一行��,加入exit保存��。這樣用戶在登陸telnet時��,便會立即自動退出��。
注:以上修改注冊表操作均需要重新啟動WEB服務后才會生效�。
六�����、端口設置
端口窗體底端就是門�����,這個比喻非常形象�。如果我們服務器的所有端口都開放的話�,那就意味著黑客有好多門可以進行入侵。所以我個人覺得���,關閉未使用的端口是一件重要的事情����。在控制面板――網(wǎng)絡與撥號連接――本地連接――屬性――Internet協(xié)議(TCP/IP)屬性��,點擊高級�,進入高級TCP/IP設置,選擇選項��,在可選的設置中選擇TCP/IP篩選�����,啟用TCP/IP篩選�����。添加需要的端口,如21���、80等�����,關閉其余的所有未使用的端口����。
七、關閉文件共享
系統(tǒng)默認是啟用了文件共享功能的�����。我們應給予取消����。在控制面板――網(wǎng)絡和撥號連接――本地連接――屬性,在常規(guī)選項種����,取消Microsoft 網(wǎng)絡文件和打印共享。服務最少原則是保障安全的一項重要原則����。非必要的服務應該給予關閉����。系統(tǒng)服務可以在控制面板――管理工具――服務中進行設定。
八����、關閉非必要服務
類似telnet服務����、遠程注冊表操作等服務應給予禁用�����。同時盡可能安裝最少的軟件�����。這可以避免一些由軟件漏洞帶來的安全問題���。有些網(wǎng)管在服務器上安裝QQ,利用服務器掛QQ�����,這種做法是極度錯誤的��。
九�����、關注安全動態(tài)及時更新漏洞補丁
更新漏洞補丁對于一個網(wǎng)絡管理員來說是非常重要的�����。更新補丁���,可以進一步保證系統(tǒng)的安全����。
