权限最好的虚拟主机安全配置方法.doc

最好的虚拟主机安全配置方法

注入漏洞、上传漏洞、弱口令漏洞等问题随处可见。跨站攻击远程控制等等是再老套不过了的话题。有些虚拟主机管理员不知是为了方便还是不熟悉配置干脆就将所有的网站都放在同一个目录中然后将上级目录设置为站点根目录。有些呢则将所有的站点的目录都设置为可执行、可写入、可修改。有些则为了方便在服务器上挂起了也装上了B T。更有甚者竟然把Inter来宾帐号加入到Adminis trators组中!汗!普通的用户将自己的密码设置为生日之类的6位纯数字这种情况还可以原谅毕竟他们大部分都不是专门搞网络研究的 中国国民的安全意识提高还需要一段时间嘛但如果是网络管理员也这样那就怎么也有点让人想不通了。网络安全问题日益突出最近不又有人声称万网我进来玩过两次了!一句话 目前很大部分的网站安全状况让人担忧!

这里就我个人过去的经历和大家一同来探讨有关安全虚拟主机配置的问题。 以下以建立一个站点c ert.ecjtu.jx.为例跟大家共同探讨虚拟主机配置问题。

一、建立ysql c:php

C:auto run.inf

C:Do cuments and s etting

C:Documents and S ettingsAll Us ers 「开始」菜单程序

C:Documents and S ettingsAll Users 「开始」菜单程序启动

C:Documents and S ettingsAll Us ersDocuments

C:Documents and SettingsAll UsersApplication DataSymantec

C:Documents and SettingsAll UsersApplication DataSymantecpcAny32config

C:32 is rvd ata

C:icrosoft SQL server

C:Program FilesJava inistrators组为完全控制; cert有读取及运行、列出文件夹目录、读取取消其它所有权限。

B、设置可更新文件权限经过第1步站点根目录文件夹权限的设置后 Guest用户已经没有修改站点文件夹中任何内容的权限了。这显然对于一个有更新的站点是不够的。这时就需要对单独的需更新的文件进行权限设置。当然这个可能对虚拟主机提供商来说有些不方便。客户的站点的需更新的文件内容之类的可能都不一样。这时可以规定某个文件夹可写、可改。如有些虚拟主机提供商就规定站点根目录中up lo ad s为db。这是为了防止后缀名为

mdb的用户数据库被下载。

3、 目录安全性设置在站点属性中选择目录安全性 点击匿名访问和验证控制选择允许匿名访问 点击编辑。如下图所示。删除默认用户浏览选择对应于前面为c ert网站设定的用户并输入密码。可以选中允许IIS控制密码。这样设定的目的是为了防止一些像站长助手、海洋等木马的跨目录跨站点浏览可以有效阻止这类的跨目录跨站入侵。

4、可写目录执行权限设置关闭所有可写目录的执行权限。 由于程序方面的漏洞 目前非常流行上传一些网页木马绝大部分都是用web进行上传的。 由于不可写的目录木马不能进行上传如果关闭了可写目录的执行权限那么上传的木马将不能正常运行。可以有效防止这类形式web入侵。

5、处理运行错误这里有两种方法一是关闭错误回显。 IIS 属性――主目录――配置――应用程序调试――脚本错误消息选择发送文本错误信息给客户。二是定制错误页面。在IIS属性――自定义错误信息在http错误信息中双击需要定制的错误页面将弹出错误映射属性设置框。消

12下一页. . . .  。息类型有默认值、URL和文件三种可以根据情况自行定制。这样一方面可以隐藏一些错误信息另外一方面也可以使错误显示更加友好。

四、配置F TP

Ftp是绝大部分虚拟主机提供商必备的一项服务。用户的站内文件大部分都是使用ftp进行上传的。 目前使用的最多的ftp服务器非S erv-U莫属了。这里有几点需要说明一下。

1、管理员密码必须更改

如果入侵爱好者们肯定对S erv-U提权再熟悉莫过了。这些提权工具使用的就是S erv-U默认的管理员的帐号和密码运行的。因为S erv-U管理员是以超级管理员的身份运行的。如果没有更改管理员密码这些工具使用起来就再好用不过了。如果更改了密码那这些工具要想正常运行那就没那么简单喽。得先破解管理员密码才行。

2、更改安装目录权限

S erv-U的默认安装目录都是everyo ne可以浏览甚至可以修改的。安装的时候如果选择将用户信息存储在ini文件中则可以在S ervUDa emon.ini得到用户的所有信息。如果Gues ts有修改权限那么黑客就可以顺利建立具有超级权限的用户。这可不是一件好事。所以在安装好S erv-U之后得修改相应的文件夹权限可以取

消Gues ts用户的相应权限。

五、命令行相关操作处理

1、禁止guests用户执行.exe

我们可以通过以下命令取消gues ts执行.exe的权限cacls C:icrosoft网络文件和打印共享。服务最少原则是保障安全的一项重要原则。非必要的服务应该给予关闭。系统服务可以在控制面板――管理工具――服务中进行设定。

八、关闭非必要服务

类似tel服务、远程注册表操作等服务应给予禁用。同时尽可能安装最少的软件。这可以避免一些由软件漏洞带来的安全问题。有些网管在服务器上安装利用服务器挂这种做法是极度错误的。

九、关注安全动态及时更新漏洞补丁

更新漏洞补丁对于一个网络管理员来说是非常重要的。更新补丁可以进一步保证系统的安全。

上一页12. .. .  。