IIS的相關設置:
刪除默認建立的站點的虛擬目錄,停止默認web站點��,刪除對應的文件目錄c:inetpub����,配置所有站點的公共設置�����,設置好相關的連接數限制��,帶寬設置以及性能設置等其他設置�。配置應用程序映射,刪除所有不必要的應用程序擴展�����,只保留asp����,php����,cgi,pl����,aspx應用程序擴展����。對于php和cgi���,推薦使用isapi方式解析����,用exe解析對安全和性能有所影響�。用戶程序調試設置發送文本錯誤信息給客戶。對于數據庫����,盡量采用mdb后綴,不需要更改為asp�,可在IIS中設置一個mdb的擴展映射,將這個映射使用一個無關的dll文件如C:WINNTsystem32inetsrvssinc.dll來防止數據庫被下載��。設置IIS的日志保存目錄���,調整日志記錄信息�����。設置為發送文本錯誤信息�����。修改403錯誤頁面��,將其轉向到其他頁��,可防止一些掃描器的探測��。另外為隱藏系統信息�����,防止telnet到80端口所泄露的系統版本信息可修改IIS的banner信息�����,可以使用winhex手工修改或者使用相關軟件如banneredit修改�����。
對于用戶站點所在的目錄�,在此說明一下�,用戶的FTP根目錄下對應三個文件佳�����,wwwroot�,database�����,logfiles�,分別存放站點文件,數據庫備份和該站點的日志��。如果一旦發生入侵事件可對該用戶站點所在目錄設置具體的權限�����,圖片所在的目錄只給予列目錄的權限�����,程序所在目錄如果不需要生成文件(如生成html的程序)不給予寫入權限��。因為是虛擬主機平常對腳本安全沒辦法做到細致入微的地步����,更多的只能在方法用戶從腳本提升權限:
ASP的安全設置:
設置過權限和服務之后���,防范asp木馬還需要做以下工作,在cmd窗口運行以下命令:
regsvr32/u C:WINNTSystem32wshom.ocx
del C:WINNTSystem32wshom.ocx
regsvr32/u C:WINNTsystem32shell32.dll
del C:WINNTsystem32shell32.dll
即可將WScript.Shell, Shell.application, WScript.Network組件卸載����,可有效防止asp木馬通過wscript或shell.application執行命令以及使用木馬查看一些系統敏感信息。另法:可取消以上文件的users用戶的權限�,重新啟動IIS即可生效。但不推薦該方法����。
另外,對于FSO由于用戶程序需要使用���,服務器上可以不注銷掉該組件��,這里只提一下FSO的防范�����,但并不需要在自動開通空間的虛擬商服務器上使用,只適合于手工開通的站點�。可以針對需要FSO和不需要FSO的站點設置兩個組,對于需要FSO的用戶組給予c:winntsystem32scrrun.dll
文件的執行權限����,不需要的不給權限。重新啟動服務器即可生效��。
對于這樣的設置結合上面的權限設置��,你會發現海陽木馬已經在這里失去了作用!
PHP的安全設置:
默認安裝的php需要有以下幾個注意的問題:
C:winntphp.ini只給予users讀權限即可����。在php.ini里需要做如下設置:
Safe_mode=on
register_globals = Off
allow_url_fopen = Off
display_errors = Off
magic_quotes_gpc = On [默認是on,但需檢查一遍]
open_basedir =web目錄
disable_functions =passthru,exec,shell_exec,system,phpinfo,get_cfg_var,popen,chmod
默認設置com.allow_dcom = true修改為false[修改前要取消掉前面的;]
MySQL安全設置:
如果服務器上啟用MySQL數據庫����,MySQL數據庫需要注意的安全設置為:
刪除mysql中的所有默認用戶,只保留本地root帳戶��,為root用戶加上一個復雜的密碼���。賦予普通用戶updatedeletealertcreatedrop權限的時候����,并限定到特定的數據庫�,尤其要避免普通客戶擁有對mysql數據庫操作的權限。檢查mysql.user表,取消不必要用戶的shutdown_priv,relo ad_priv,process_priv和File_priv權限�����,這些權限可能泄漏更多的服務器信息包括非mysql的其它信息出去��?���?梢詾閙ysql設置一個啟動用戶, 該用戶只對mysql目錄有權限��。設置安裝目錄的data數據庫的權限(此目錄存放了mysql數據庫的數據信息)��。對于mysql安裝目錄給users加上讀取����、列目錄和執行權限。
Serv-u安全問題:
安裝程序盡量采用最新版本�����,避免采用默認安裝目錄�����,設置好serv-u目錄所在的權限,設置一個復雜的管理員密碼��。修改serv-u的banner信息����,設置被動模式端口范圍(4001―4003)
在本地服務器中設置中做好相關安全設置:包括檢查匿名密碼��,禁用反超時調度���,攔截“FTP bounce”攻擊和FXP����,對于在30秒內連接超過3次的用戶攔截10分鐘���。域中的設置為:要求復雜密碼�,目錄只使用小寫字母��,高級中設置取消允許使用MDTM命令更改文件的日期����。
更改serv-u的啟動用戶:在系統中新建一個用戶,設置一個復雜點的密碼�,不屬于任何組��。將servu的安裝目錄給予該用戶完全控制權限��。建立一個FTP根目錄�����,需要給予這個用戶該目錄完全控制權限�����,因為所有的ftp用戶上傳����,刪除����,更改文件都是繼承了該用戶的權限,否則無法操作文件�。另外需要給該目錄以上的上級目錄給該用戶的讀取權限,否則會在連接的時候出現530 Not logged in, home directory does not exist����。比如在測試的時候ftp根目錄為d:soft,必須給d盤該用戶的讀取權限��,為了安全取消d盤其他文件夾的繼承權限。而一般的使用默認的system啟動就沒有這些問題���,因為system一般都擁有這些權限的����。
數據庫服務器的安全設置
對于專用的MSSQL數據庫服務器����,按照上文所講的設置TCP/IP篩選和IP策略�����,對外只開放1433和5631端口�。對于MSSQL首先需要為sa設置一個強壯的密碼,使用混合身份驗證,加強數據庫日志的記錄,審核數據庫登陸事件的”成功和失敗”.刪除一些不需要的和危險的OLE自動存儲過程(會造成企業管理器中部分功能不能使用),這些過程包括如下:
Sp_OACreate Sp_OADestroy Sp_OAGetErrorInfo Sp_OAGetProperty
Sp_OAMethod Sp_OASetProperty Sp_OAStop
去掉不需要的注冊表訪問過程,包括有:
Xp_regaddmultistring Xp_regdeletekey Xp_regdeletevalue
Xp_regenumvalues Xp_regread Xp_regremovemultistring
Xp_regwrite
去掉其他系統存儲過程��,如果認為還有威脅��,當然要小心Drop這些過程����,可以在測試機器上測試,保證正常的系統能完成工作�,這些過程包括:
xp_cmdshell xp_dirtree xp_dropwebtask sp_addsrvrolemember
xp_makewebtask xp_runwebtask xp_subdirs sp_addlogin
sp_addextendedproc
在實例屬性中選擇TCP/IP協議的屬性����。選擇隱藏 SQL Server 實例可防止對1434端口的探測,可修改默認使用的1433端口��。除去數據庫的guest賬戶把未經認可的使用者據之在外��。 例外情況是master和 tempdb 數據庫,因為對他們guest帳戶是必需的���。另外注意設置好各個數據庫用戶的權限��,對于這些用戶只給予所在數據庫的一些權限��。在程序中不要用sa用戶去連接任何數據庫����。網絡上有建議大家使用協議加密的��,千萬不要這么做����,否則你只能重裝MSSQL了。
