最好的虚拟主机安全配置方法
注入漏洞、上传漏洞、弱口令漏洞等问题随处可见。跨站攻击远程控制等等是再老套不过了的话题。有些虚拟主机管理员不知是为了方便还是不熟悉配置干脆就将所有的网站都放在同一个目录中然后将上级目录设置为站点根目录。有些呢则将所有的站点的目录都设置为可执行、可写入、可修改。有些则为了方便在服务器上挂起了也装上了B T。更有甚者竟然把Inter来宾帐号加入到Adminis trators组中!汗!普通的用户将自己的密码设置为生日之类的6位纯数字这种情况还可以原谅毕竟他们大部分都不是专门搞网络研究的 中国国民的安全意识提高还需要一段时间嘛但如果是网络管理员也这样那就怎么也有点让人想不通了。网络安全问题日益突出最近不又有人声称万网我进来玩过两次了!一句话 目前很大部分的网站安全状况让人担忧!
这里就我个人过去的经历和大家一同来探讨有关安全虚拟主机配置的问题。 以下以建立一个站点c ert.ecjtu.jx.为例跟大家共同探讨虚拟主机配置问题。
一、建立ysql c:php
C:auto run.inf
C:Do cuments and s etting
C:Documents and S ettingsAll Us ers 「开始」菜单程序
C:Documents and S ettingsAll Users 「开始」菜单程序启动
C:Documents and S ettingsAll Us ersDocuments
C:Documents and SettingsAll UsersApplication DataSymantec
C:Documents and SettingsAll UsersApplication DataSymantecpcAny32config
C:32 is rvd ata
C:icrosoft SQL server
C:Program FilesJava inistrators组为完全控制; cert有读取及运行、列出文件夹目录、读取取消其它所有权限。
B、设置可更新文件权限经过第1步站点根目录文件夹权限的设置后 Guest用户已经没有修改站点文件夹中任何内容的权限了。这显然对于一个有更新的站点是不够的。这时就需要对单独的需更新的文件进行权限设置。当然这个可能对虚拟主机提供商来说有些不方便。客户的站点的需更新的文件内容之类的可能都不一样。这时可以规定某个文件夹可写、可改。如有些虚拟主机提供商就规定站点根目录中up lo ad s为db。这是为了防止后缀名为
mdb的用户数据库被下载。
3、 目录安全性设置在站点属性中选择目录安全性 点击匿名访问和验证控制选择允许匿名访问 点击编辑。如下图所示。删除默认用户浏览选择对应于前面为c ert网站设定的用户并输入密码。可以选中允许IIS控制密码。这样设定的目的是为了防止一些像站长助手、海洋等木马的跨目录跨站点浏览可以有效阻止这类的跨目录跨站入侵。
4、可写目录执行权限设置关闭所有可写目录的执行权限。 由于程序方面的漏洞 目前非常流行上传一些网页木马绝大部分都是用web进行上传的。 由于不可写的目录木马不能进行上传如果关闭了可写目录的执行权限那么上传的木马将不能正常运行。可以有效防止这类形式web入侵。
5、处理运行错误这里有两种方法一是关闭错误回显。 IIS 属性――主目录――配置――应用程序调试――脚本错误消息选择发送文本错误信息给客户。二是定制错误页面。在IIS属性――自定义错误信息在http错误信息中双击需要定制的错误页面将弹出错误映射属性设置框。消
12下一页. . . . 。息类型有默认值、URL和文件三种可以根据情况自行定制。这样一方面可以隐藏一些错误信息另外一方面也可以使错误显示更加友好。
四、配置F TP
Ftp是绝大部分虚拟主机提供商必备的一项服务。用户的站内文件大部分都是使用ftp进行上传的。 目前使用的最多的ftp服务器非S erv-U莫属了。这里有几点需要说明一下。
1、管理员密码必须更改
如果入侵爱好者们肯定对S erv-U提权再熟悉莫过了。这些提权工具使用的就是S erv-U默认的管理员的帐号和密码运行的。因为S erv-U管理员是以超级管理员的身份运行的。如果没有更改管理员密码这些工具使用起来就再好用不过了。如果更改了密码那这些工具要想正常运行那就没那么简单喽。得先破解管理员密码才行。
2、更改安装目录权限
S erv-U的默认安装目录都是everyo ne可以浏览甚至可以修改的。安装的时候如果选择将用户信息存储在ini文件中则可以在S ervUDa emon.ini得到用户的所有信息。如果Gues ts有修改权限那么黑客就可以顺利建立具有超级权限的用户。这可不是一件好事。所以在安装好S erv-U之后得修改相应的文件夹权限可以取
消Gues ts用户的相应权限。
五、命令行相关操作处理
1、禁止guests用户执行.exe
我们可以通过以下命令取消gues ts执行.exe的权限cacls C:icrosoft网络文件和打印共享。服务最少原则是保障安全的一项重要原则。非必要的服务应该给予关闭。系统服务可以在控制面板――管理工具――服务中进行设定。
八、关闭非必要服务
类似tel服务、远程注册表操作等服务应给予禁用。同时尽可能安装最少的软件。这可以避免一些由软件漏洞带来的安全问题。有些网管在服务器上安装利用服务器挂这种做法是极度错误的。
九、关注安全动态及时更新漏洞补丁
更新漏洞补丁对于一个网络管理员来说是非常重要的。更新补丁可以进一步保证系统的安全。
上一页12. .. . 。
HostHatch在当地时间7月30日发布了一系列的促销套餐,涉及亚洲和欧美的多个地区机房,最低年付15美元起,一次买2年还能免费升级双倍资源。商家成立于2011年,提供基于KVM架构的VPS主机,数据中心包括中国香港、美国、英国、荷兰、印度、挪威、澳大利亚等国家的十几个地区机房。官方网站:https://hosthatch.com/NVMe VPS(香港/悉尼)1 CPU core (12.5%...
hostwebis怎么样?hostwebis昨天在webhosting发布了几款美国高配置大硬盘机器,但报价需要联系客服。看了下该商家的其它产品,发现几款美国服务器、法国服务器还比较实惠,100Mbps不限流量,高配置大硬盘,$44/月起,有兴趣的可以关注一下。HostWebis是一家国外主机品牌,官网宣称1998年就成立了,根据目标市场的不同,以不同品牌名称提供网络托管服务。2003年,通过与W...
Hosteons,一家海外主机商成立于2018年,在之前还没有介绍和接触这个主机商,今天是有在LEB上看到有官方发送的活动主要是针对LEB的用户提供的洛杉矶、达拉斯和纽约三个机房的方案,最低年付21美元,其特点主要在于可以从1G带宽升级至10G,而且是免费的,是不是很吸引人?本来这次活动是仅仅在LEB留言提交账单ID才可以,这个感觉有点麻烦。不过看到老龚同学有拿到识别优惠码,于是就一并来分享给有需...