虚拟主机安全配置经验分享

虚拟主机的安全问题是我们必须要加以重视的问题，安全做的好了可以省去很多麻烦的，闵涛就个人多年来服务器安全配置方面的问题来与大家分享一下虚拟主机安全配置的相关问题：

虚拟主机安全配置几点经验

一、建立Windows用户
　　为每个网站单独设置windows用户帐号cert，删除帐号的User组，将cert加入Guest用户组。将用户不能更改密码，密码永不过期两个选项选上。

二、设置文件夹权限
　　1、设置非站点相关目录权限
　　Windows安装好后，很多目录和文件默认是everyone可以浏览、查看、运行甚至是可以修改 的。这给服务器安全带来极大的隐患。
　　2、设置站点相关目录权限：
　　A、设置站点根目录权限：将刚刚建立的用户cert给对应站点文件夹，假设为D：cert设置相应的权限：Adiministrators组为完全控制;cert有读取及运行、列出文件夹目录、读取，取消其它所有权限。
　　B、设置可更新文件权限：经过第1步站点根目录文件夹权限的设置后，Guest用户已经没有修改站点文件夹中任何内容的权限了。这显然对于一个有更新的站点是不够的。这时就需要对单独的需更新的文件进行权限设置。当然这个可能对 虚拟主机 来说有些不方便。客户的站点的需更新的文件内容之类的可能都不一样。这时，可以规定某个文件夹可写、可改。如有些 虚拟主机 提供商就规定，站点根目录中uploads为web可上传文件夹，data或者database为数据库文件夹。这样虚拟主机服务商就可以为客户定制这两个文件夹的权限。当然也可以像有些做的比较好的虚拟主机提供商一样，给客户做一个程序，让客户自己设定。可能要做到这样，服务商又得花不小的钱财和人力哦。
三、配置IIS　　
　　1、主目录权限设置：这里可以设置读取就行了。写入、目录浏览等都可以不要，最关键的就是目录浏览了。除非特殊情况，否则应该关闭，不然将会暴露很多重要的信息。这将为黑客入侵带来方便。其余保留默认就可以了。
　　2、应用程序配置：在站点属性中，主目录这一项中还有一个配置选项，点击进入。在应用程序映射选项中可以看到，默认有许多应用程序映射。将需要的保留，不需要的全部都删除。在入侵过程中，很多程序可能限制了asp，php等文件上传，但并不对cer，asa等文件进行限制，如果未将对应的应用程序映射删除，则可以将asp的后缀名改为cer或者asa后进行上传，木马将可以正常被解析。这也往往被管理员忽视。另外添加一个应用程序扩展名映射，可执行文件可以任意选择，后缀名为.mdb。这是为了防止后缀名为mdb的用户数据库被下载。
　　3、目录安全性设置：在站点属性中选择目录安全性，点击匿名访问和验证控制，选择允许匿名访问，点击编辑。如下图所示。删除默认用户，浏览选择对应于前面为cert网站设定的用户，并输入密码。可以选中允许IIS控制密码。这样设定的目的是为了防止一些像站长助手、海洋等木马的跨目录跨站点浏览，可以有效阻止这类的跨目录跨站入侵。
　　4、可写目录执行权限设置：关闭所有可写目录的执行权限。由于程序方面的漏洞，目前非常流行上传一些网页木马，绝大部分都是用web进行上传的。由于不可写的目录木马不能进行上传，如果关闭了可写目录执行权限，那么上传的木马将不能正常运行。可以有效防止这类形式web入侵。
　　5、处理运行错误：这里有两种方法，一是关闭错误回显。二是定制错误页面。
四、配置FTP
　　1、管理员密码必须更改
　　如果入侵爱好者们肯定对Serv-U提权再熟悉莫过了。这些提权工具使用的就是Serv-U默认的管理员的帐号和密码运行的。因为Serv-U管理员是以超级管理员的身份运行的。如果没有更改管理员密码，这些工具使用起来就再好用不过了。如果更改了密码，那这些工具要想正常运行，那就没那么简单喽。得先破解管理员密码才行。
　　2、更改安装目录权限
　　Serv-U的默认安装目录都是everyone可以浏览甚至可以修改的。
五、命令行相关操作处理
　　1、禁止guests用户执行com.exe：
　　2、禁用W.Shell组件：
　　3、禁用Shell.Application组件　　
　   4、FileSystemObject组件
　　5、禁止telnet登陆
六、端口设置
　　端口窗体底端就是门，这个比喻非常形象。如果我们服务器的所有端口都开放的话，那就意味着黑客有好多门可以进行入侵。所以我个人觉得，关闭未使用的端口是一件重要的事情。在控制面板?D?D网络与拨号连接?D?D本地连接?D?D属性?D?DInternet协议(TCP/IP)属性，点击高级，进入高级TCP/IP设置，选择选项，在可选的设置中选择TCP/IP筛选，启用TCP/IP筛选。添加需要的端口，如21、80等，关闭其余的所有未使用的端口。
七、关闭文件共享
　　系统默认是启用了文件共享功能的。我们应给予取消。在控制面板,网络和拨号连接,本地连接属性，在常规选项种，取消Microsoft 网络文件和打印共享。服务最少原则是保障安全的一项重要原则。非必要的服务应该给予关闭。系统服务可以在控制面板,管理工具,服务中进行设定。
八、关闭非必要服务
　　类似telnet服务、远程注册表操作等服务应给予禁用。同时尽可能安装最少的软件。这可以避免一些由软件漏洞带来的安全问题。有些网管在服务器上安装QQ，利用服务器挂QQ，这种做法是极度错误的
九、关注安全动态及时更新漏洞补丁
　　更新漏洞补丁对于一个网络管理员来说是非常重要的。更新补丁，可以进一步保证系统的安全。

Copyright ＠ 2007-2012 敏韬网(敏而好学，文韬武略--MinTao.Net)（学习笔记） Inc All Rights Reserved.
闵涛 E_mail:admin@mintao.net(欢迎提供学习资源)

鄂公网安备 42011102001154号

站长：MinTao ICP备案号：鄂ICP备11006601号-18