WEB服務(wù)器的安全設(shè)置的實(shí)用技巧_百度文庫(kù)

1、WEB服務(wù)器的安全設(shè)置的實(shí)用技巧IIS設(shè)置IIS的相關(guān)設(shè)置：刪除默認(rèn)建立的站點(diǎn)的虛擬目錄，停止默認(rèn)web站點(diǎn)，刪除對(duì)應(yīng)的文件目錄c:inetpub，配置所有站點(diǎn)的公共設(shè)置，設(shè)置好相關(guān)的連接數(shù)限制，帶寬設(shè)置以及性能設(shè)置等其他設(shè)置。配置應(yīng)用程序映射，刪除所有不必要的應(yīng)用程序擴(kuò)展，只保留asp，php，cgi，pl，aspx應(yīng)用程序擴(kuò)展。對(duì)于php和cgi，推薦使用isapi方式解析，用exe解析對(duì)安全和性能有所影響。用戶(hù)程序調(diào)試設(shè)置發(fā)送文本錯(cuò)誤信息給戶(hù)。對(duì)于數(shù)據(jù)庫(kù)，盡量采用mdb后綴，不需要更改為asp，可在IIS中設(shè)置一個(gè)mdb的擴(kuò)展映射，將這個(gè)映射使用一個(gè)無(wú)關(guān)的dll文件如C:WINNTsys

2、tem32inetsrvssinc.dll來(lái)防止數(shù)據(jù)庫(kù)被下載。設(shè)置IIS的日志保存目錄，調(diào)整日志記錄信息。設(shè)置為發(fā)送文本錯(cuò)誤信息。修改403錯(cuò)誤頁(yè)面，將其轉(zhuǎn)向到其他頁(yè)，可防止一些掃描器的探測(cè)。另外為隱藏系統(tǒng)信息，防止telnet到80端口所泄露的系統(tǒng)版本信息可修改IIS的banner信息，可以使用winhex手工修改或者使用相關(guān)軟件如banneredit修改。對(duì)于用戶(hù)站點(diǎn)所在的目錄，在此說(shuō)明一下，用戶(hù)的FTP根目錄下對(duì)應(yīng)三個(gè)文件佳，wwwroot，database，logfiles，分別存放站點(diǎn)文件，數(shù)據(jù)庫(kù)備份和該站點(diǎn)的日志。如果一旦發(fā)生入侵事件可對(duì)該用戶(hù)站點(diǎn)所在目錄設(shè)置具體的權(quán)限，圖片所在的

3、目錄只給予列目錄的權(quán)限，程序所在目錄如果不需要生成文件（如生成html的程序）不給予寫(xiě)入權(quán)限。因?yàn)槭翘摂M主機(jī)平常對(duì)腳本安全沒(méi)辦法做到細(xì)致入微的地步，更多的只能在方法用戶(hù)從腳本提升權(quán)限：ASP的安全設(shè)置：設(shè)置過(guò)權(quán)限和服務(wù)之后，防范asp木馬還需要做以下工作，在cmd窗口運(yùn)行以下命令：regsvr32/u C:WINNTSystem32wshom.ocxdel C:WINNTSystem32wshom.ocxregsvr32/u C:WINNTsystem32shell32.dlldel C:WINNTsystem32shell32.dll即可將WScript.Shell, Shell.appli

4、cation, WScript.Network組件卸載，可有效防止asp木馬通過(guò)wscript或shell.application執(zhí)行命令以及使用木馬查看一些系統(tǒng)敏感信息。另法：可取消以上文件的users用戶(hù)的權(quán)限，重新啟動(dòng)IIS即可生效。但不推薦該方法。另外，對(duì)于FSO由于用戶(hù)程序需要使用，服務(wù)器上可以不注銷(xiāo)掉該組件，這里只提一下FSO的防范，但并不需要在自動(dòng)開(kāi)通空間的虛擬商服務(wù)器上使用，只適合于手工開(kāi)通的站點(diǎn)。可以針對(duì)需要FSO和不需要FSO的站點(diǎn)設(shè)置兩個(gè)組，對(duì)于需要FSO的用戶(hù)組給予c:winntsystem32scrrun.dll文件的執(zhí)行權(quán)限，不需要的不給權(quán)限。重新啟動(dòng)服務(wù)器即可生效

5、。對(duì)于這樣的設(shè)置結(jié)合上面的權(quán)限設(shè)置，你會(huì)發(fā)現(xiàn)海陽(yáng)木馬已經(jīng)在這里失去了作用！PHP的安全設(shè)置：默認(rèn)安裝的php需要有以下幾個(gè)注意的問(wèn)題：C:winntphp.ini只給予users讀權(quán)限即可。在php.ini里需要做如下設(shè)置：Safe_mode=onregister_globals = Offallow_url_fopen = Offdisplay_errors = Offmagic_quotes_gpc = On 默認(rèn)是on，但需檢查一遍open_basedir =web目錄disable_functions =passthru,exec,shell_exec,system,phpinfo,g

6、et_cfg_var,popen,chmod默認(rèn)設(shè)置com.allow_dcom = true修改為false修改前要取消掉前面的；MySQL安全設(shè)置：如果服務(wù)器上啟用MySQL數(shù)據(jù)庫(kù)，MySQL數(shù)據(jù)庫(kù)需要注意的安全設(shè)置為：刪除mysql中的所有默認(rèn)用戶(hù)，只保留本地root帳戶(hù)，為root用戶(hù)加上一個(gè)復(fù)雜的密碼。賦予普通用戶(hù)updatedeletealertcreatedrop權(quán)限的時(shí)候，并限定到特定的數(shù)據(jù)庫(kù)，尤其要避免普通客戶(hù)擁有對(duì)mysql數(shù)據(jù)庫(kù)操作的權(quán)限。檢查mysql.user表，取消不必要用戶(hù)的shutdown_priv,reload_priv,process_priv和File_p

7、riv權(quán)限，這些權(quán)限可能泄漏更多的服務(wù)器信息包括非mysql的其它信息出去?？梢詾閙ysql設(shè)置一個(gè)啟動(dòng)用戶(hù)，該用戶(hù)只對(duì)mysql目錄有權(quán)限。設(shè)置安裝目錄的data數(shù)據(jù)庫(kù)的權(quán)限(此目錄存放了mysql數(shù)據(jù)庫(kù)的數(shù)據(jù)信息。對(duì)于mysql安裝目錄給users加上讀取、列目錄和執(zhí)行權(quán)限。Serv-u安全問(wèn)題：安裝程序盡量采用最新版本，避免采用默認(rèn)安裝目錄，設(shè)置好serv-u目錄所在的權(quán)限，設(shè)置一個(gè)復(fù)雜的管理員密碼。修改serv-u的banner信息，設(shè)置被動(dòng)模式端口范圍（40014003）在本地服務(wù)器中設(shè)置中做好相關(guān)安全設(shè)置：包括檢查匿名密碼，禁用反超時(shí)調(diào)度，攔截“FTP bounce”攻擊和FXP，

8、對(duì)于在30秒內(nèi)連接超過(guò)3次的用戶(hù)攔截10分鐘。域中的設(shè)置為：要求復(fù)雜密碼，目錄只使用小寫(xiě)字母，高級(jí)中設(shè)置取消允許使用MDTM命令更改文件的日期。更改serv-u的啟動(dòng)用戶(hù)：在系統(tǒng)中新建一個(gè)用戶(hù)，設(shè)置一個(gè)復(fù)雜點(diǎn)的密碼，不屬于任何組。將servu的安裝目錄給予該用戶(hù)完全控制權(quán)限。建立一個(gè)FTP根目錄，需要給予這個(gè)用戶(hù)該目錄完全控制權(quán)限，因?yàn)樗械膄tp用戶(hù)上傳，刪除，更改文件都是繼承了該用戶(hù)的權(quán)限，否則無(wú)法操作文件。另外需要給該目錄以上的上級(jí)目錄給該用戶(hù)的讀取權(quán)限，否則會(huì)在連接的時(shí)候出現(xiàn)530 Not logged in, home directory does not exist。比如在測(cè)試的時(shí)

9、候ftp根目錄為d:soft，必須給d盤(pán)該用戶(hù)的讀取權(quán)限，為了安全取消d盤(pán)其他文件夾的繼承權(quán)限。而一般的使用默認(rèn)的system啟動(dòng)就沒(méi)有這些問(wèn)題，因?yàn)閟ystem一般都擁有這些權(quán)限的。數(shù)據(jù)庫(kù)服務(wù)器的安全設(shè)置 對(duì)于專(zhuān)用的MSSQL數(shù)據(jù)庫(kù)服務(wù)器，按照上文所講的設(shè)置TCP/IP篩選和IP策略，對(duì)外只開(kāi)放1433和5631端口。對(duì)于MSSQL首先需要為sa設(shè)置一個(gè)強(qiáng)壯的密碼，使用混合身份驗(yàn)證,加強(qiáng)數(shù)據(jù)庫(kù)日志的記錄,審核數(shù)據(jù)庫(kù)登陸事件的”成功和失敗”.刪除一些不需要的和危險(xiǎn)的OLE自動(dòng)存儲(chǔ)過(guò)程(會(huì)造成企業(yè)管理器中部分功能不能使用,這些過(guò)程包括如下:Sp_OACreate Sp_OADestroy Sp_

10、OAGetErrorInfo Sp_OAGetPropertySp_OAMethod Sp_OASetProperty Sp_OAStop去掉不需要的注冊(cè)表訪問(wèn)過(guò)程,包括有:Xp_regaddmultistring Xp_regdeletekey Xp_regdeletevalueXp_regenumvalues Xp_regread Xp_regremovemultistringXp_regwrite去掉其他系統(tǒng)存儲(chǔ)過(guò)程，如果認(rèn)為還有威脅，當(dāng)然要小心Drop這些過(guò)程，可以在測(cè)試機(jī)器上測(cè)試，保證正常的系統(tǒng)能完成工作，這些過(guò)程包括：xp_cmdshell xp_dirtree xp_dropwe

11、btask sp_addsrvrolememberxp_makewebtask xp_runwebtask xp_subdirs sp_addloginsp_addextendedproc在實(shí)例屬性中選擇TCP/IP協(xié)議的屬性。選擇隱藏 SQL Server 實(shí)例可防止對(duì)1434端口的探測(cè),可修改默認(rèn)使用的1433端口。除去數(shù)據(jù)庫(kù)的guest賬戶(hù)把未經(jīng)認(rèn)可的使用者據(jù)之在外。 例外情況是master和 tempdb 數(shù)據(jù)庫(kù),因?yàn)閷?duì)他們guest帳戶(hù)是必需的。另外注意設(shè)置好各個(gè)數(shù)據(jù)庫(kù)用戶(hù)的權(quán)限，對(duì)于這些用戶(hù)只給予所在數(shù)據(jù)庫(kù)的一些權(quán)限。在程序中不要用sa用戶(hù)去連接任何數(shù)據(jù)庫(kù)。網(wǎng)絡(luò)上有建議大家使用協(xié)議

12、加密的，千萬(wàn)不要這么做，否則你只能重裝MSSQL了。入侵檢測(cè)和數(shù)據(jù)備份 入侵檢測(cè)工作作為服務(wù)器的日常管理，入侵檢測(cè)是一項(xiàng)非常重要的工作，在平常的檢測(cè)過(guò)程中，主要包含日常的服務(wù)器安全例行檢查和遭到入侵時(shí)的入侵檢查，也就是分為在入侵進(jìn)行時(shí)的安全檢查和在入侵前后的安全檢查。系統(tǒng)的安全性遵循木桶原理，木桶原理指的是：一個(gè)木桶由許多塊木板組成，如果組成木桶的這些木板長(zhǎng)短不一，那么這個(gè)木桶的最大容量不取決于長(zhǎng)的木板，而取決于最短的那塊木板。應(yīng)用到安全方面也就是說(shuō)系統(tǒng)的安全性取決于系統(tǒng)中最脆弱的地方，這些地方是日常的安全檢測(cè)的重點(diǎn)所在。日常的安全檢測(cè)日常安全檢測(cè)主要針對(duì)系統(tǒng)的安全性，工作主要按照以下步驟進(jìn)行

13、：1查看服務(wù)器狀態(tài)：打開(kāi)進(jìn)程管理器，查看服務(wù)器性能，觀察CPU和內(nèi)存使用狀況。查看是否有CPU和內(nèi)存占用過(guò)高等異常情況。2檢查當(dāng)前進(jìn)程情況切換“任務(wù)管理器”到進(jìn)程，查找有無(wú)可疑的應(yīng)用程序或后臺(tái)進(jìn)程在運(yùn)行。用進(jìn)程管理器查看進(jìn)程時(shí)里面會(huì)有一項(xiàng)taskmgr，這個(gè)是進(jìn)程管理器自身的進(jìn)程。如果正在運(yùn)行windows更新會(huì)有一項(xiàng)wuauclt.exe進(jìn)程。對(duì)于拿不準(zhǔn)的進(jìn)程或者說(shuō)不知道是服務(wù)器上哪個(gè)應(yīng)用程序開(kāi)啟的進(jìn)程，可以在網(wǎng)絡(luò)上搜索一下該進(jìn)程名加以確定進(jìn)程知識(shí)庫(kù)：3檢查系統(tǒng)帳號(hào)打開(kāi)計(jì)算機(jī)管理，展開(kāi)本地用戶(hù)和組選項(xiàng)，查看組選項(xiàng)，查看administrators組是否添加有新帳號(hào)，檢查是否有克隆帳號(hào)。4查看

14、當(dāng)前端口開(kāi)放情況使用activeport，查看當(dāng)前的端口連接情況，尤其是注意與外部連接著的端口情況，看是否有未經(jīng)允許的端口與外界在通信。如有，立即關(guān)閉該端口并記錄下該端口對(duì)應(yīng)的程序并記錄，將該程序轉(zhuǎn)移到其他目錄下存放以便后來(lái)分析。打開(kāi)計(jì)算機(jī)管理=軟件環(huán)境=正在運(yùn)行任務(wù)在此處可以查看進(jìn)程管理器中看不到的隱藏進(jìn)程，查看當(dāng)前運(yùn)行的程序，如果有不明程序，記錄下該程序的位置，打開(kāi)任務(wù)管理器結(jié)束該進(jìn)程，對(duì)于采用了守護(hù)進(jìn)程的后門(mén)等程序可嘗試結(jié)束進(jìn)程樹(shù)，如仍然無(wú)法結(jié)束，在注冊(cè)表中搜索該程序名，刪除掉相關(guān)鍵值，切換到安全模式下刪除掉相關(guān)的程序文件。5檢查系統(tǒng)服務(wù)運(yùn)行services.msc，檢查處于已啟動(dòng)狀態(tài)的

15、服務(wù)，查看是否有新加的未知服務(wù)并確定服務(wù)的用途。對(duì)于不清楚的服務(wù)打開(kāi)該服務(wù)的屬性，查看該服務(wù)所對(duì)應(yīng)的可執(zhí)行文件是什么，如果確定該文件是系統(tǒng)內(nèi)的正常使用的文件，可粗略放過(guò)。查看是否有其他正常開(kāi)放服務(wù)依存在該服務(wù)上，如果有，可以粗略的放過(guò)。如果無(wú)法確定該執(zhí)行文件是否是系統(tǒng)內(nèi)正常文件并且沒(méi)有其他正常開(kāi)放服務(wù)依存在該服務(wù)上，可暫時(shí)停止掉該服務(wù)，然后測(cè)試下各種應(yīng)用是否正常。對(duì)于一些后門(mén)由于采用了hook系統(tǒng)API技術(shù)，添加的服務(wù)項(xiàng)目在服務(wù)管理器中是無(wú)法看到的，這時(shí)需要打開(kāi)注冊(cè)表中的HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices項(xiàng)進(jìn)行查找，通過(guò)查看各服務(wù)的名稱(chēng)、對(duì)應(yīng)的執(zhí)行文件來(lái)確定是否是后門(mén)、木馬程序等。6查看相關(guān)日志運(yùn)行eventvwr.msc，粗略檢查系統(tǒng)中的相關(guān)日志記錄。在查看時(shí)在對(duì)應(yīng)的日志記錄上點(diǎn)右鍵選“屬性”，在“篩選器”中設(shè)置一個(gè)日志篩選器，只選擇錯(cuò)誤、警告，查看日志的來(lái)源和具體描述信息。對(duì)于出現(xiàn)的錯(cuò)誤如能在服務(wù)器常見(jiàn)故障排除中找到解決辦法則依照該辦法處理該問(wèn)題，如果無(wú)解決辦法則記錄