Windows Server 2003 虛擬主機的安全配置
2020-10-24 13:30:15
供稿:網(wǎng)友
本人上次工作于某家網(wǎng)絡(luò)公司.負(fù)責(zé)服務(wù)器的維護(hù)工作.現(xiàn)失業(yè).
經(jīng)過一段時間的了解.自認(rèn)為在構(gòu)件Windows服務(wù)器平臺上有所經(jīng)驗.
鑒于現(xiàn)在很多朋友都開始謀劃屬于自己的虛擬主機.并且呢.
網(wǎng)上相關(guān)文章都是很老的那種.所以自己冒昧準(zhǔn)備寫一系列.
希望各位多多指點.有問題有錯誤多多斧正.謝謝.
開頭很嚴(yán)肅吧.呵呵.那下面就輕松點.哎.才跟GF去吃午飯了.撐的我.哎.老打嗝.
這人跟機器就一樣.快的確是挺好.但是要穩(wěn)定.服務(wù)器的穩(wěn)定就好比談戀愛的穩(wěn)定.
否則一天三頓吵.外加吃個消夜.那就甭想好點工作了.呵呵.要建立穩(wěn)定的戀愛關(guān)系.
那首先.基礎(chǔ)很重要.人品.性格.愛好.對不對?那我們就先說硬件吧.
當(dāng)然推薦品牌的服務(wù)器.DELL.IBM.都挺好.如果你跟我一樣窮.那自己裝一臺也成.
主板非IWLL.ASUS.INTEL的不要.CPU當(dāng)然要HT P4的.512 DDR.裝起來也湊合.
自己曾經(jīng)用一PC做過一段時間的測試.如果硬件質(zhì)量都過關(guān).其實也非常強.
然后是重要的服務(wù)器操作系統(tǒng).鑒于本人水平有限制.我們暫時不探討REDHAT.
首推Windwos Server 2003.尤其是安全性和IIS.比W2K要強很多.執(zhí)行效率高.穩(wěn)定安全.
在正式進(jìn)入主題之前.套用FIRE的話作為整個工程的開場白:
"請不要嘗試去攻擊任何一臺主機.因為你永遠(yuǎn)都無法知道.
你的對面的管理員.到底是一個天才還是一個偽裝成白癡的天才."
裝系統(tǒng)估計人人都會裝.那我不多說.免得人說我騙稿費.在安裝之前.我們還是要談下服務(wù)器的分區(qū).
跟PC分區(qū)還是有一點不同的.我按我以前自己做的分區(qū)設(shè)置羅列一下.下面的內(nèi)容比較重要.
系統(tǒng)分區(qū)定在C盤.個人認(rèn)為8G足夠了.10G也行.NTFS格式.因為在2003下.非NTFS不能安裝IIS.
權(quán)限保持默認(rèn).因為我曾經(jīng)修改過一次系統(tǒng)盤的默認(rèn)權(quán)限.結(jié)果不知道為什么系統(tǒng)就給崩了.55555.
軟件分區(qū)定在D盤.8G到10G.主要安裝輔助軟件.WINRAR.日志檢測軟件.網(wǎng)絡(luò)檢測軟件.Commview這類等.
至于MSN哦.QQ哦什么的.其實不推薦安裝.為什么.當(dāng)然會有點小隱患.推薦使用NTFS格式.
權(quán)限請保留ADMIN組和SYSTEM組.一共兩個.其他的一律DEL掉.尤其是什么EVERYONE.
為什么.因為安裝到系統(tǒng)中SYSTEM當(dāng)然是必須具備.然后管理員要操作.所以要ADMIN組.
E盤我們做為服務(wù)器軟件的安裝分區(qū).大小自己定義.包括CGI.PHP.ZEND.MYSQL.MSSQL.IMAIL.SERV-U等.
文件格式為NTFS.權(quán)限保留ADMIN組.SYSTEM組.和"IWAN_你的計算機名"這個帳號.一共三個.其他的DEL掉.
說明一下.這個"IWAN_你的計算機名"帳號.主要是負(fù)責(zé)操作應(yīng)用程序地址池和服務(wù)器軟件.比如PHP腳本.
F盤就可以做對外服務(wù)的分區(qū).比如IIS的WEB服務(wù).FTP空間.IMAIL郵件帳號空間.
建議建立三個文件夾: WEB.FTP和IMAIL.然后分門別類的放置每個軟件的每個帳號的目錄.
并且不繼承F盤的父權(quán)限.獨立來定制這三個目錄的操作權(quán)限.具體我們下面說.
推薦權(quán)限為保留如下三個組: ADMIN組和SYSTEM組以及"USER_你的計算機名"這個帳號組.
"USER_你的計算機名"這個帳號組.權(quán)限為GUESTS.是匿名訪問WEB服務(wù)器的默認(rèn)帳號.
如果需要有寫操作權(quán)限的另外建立個帳號.具體可以參考FSO分配這類文章.
G盤為FTA32格式.放置系統(tǒng)安裝文件.日常工具軟件的安裝程序.系統(tǒng)備份.策略等等.
注意.敏感內(nèi)容請通過第三方軟件加密.以免病毒感染或者被黑客捆綁后門和木馬.
如果條件允許就做異地備份.光盤或者磁帶機備份.建議裝個GHOST 2003.對于重要內(nèi)容可以做鏡像文件.
到這里基本上比較合理的分配了空間.并且也考慮以后的拓展性.我們可以準(zhǔn)備進(jìn)入下面的環(huán)節(jié)了.
下面我們來說安裝.哎哎.你.坐好.雖然我出去了一下.出去的一小下而已嘛.
你也要注意紀(jì)律.什么?說我只知道陪MM不寫教程.你知道個啥.兩手都要硬.明白不?
安裝的情況.這個.一般情況下分兩種.不排除有變態(tài)的第N種可能.
對了.有一期科幻世界上有一篇叫第九種可能的文章.挺不錯的.哦哦.打住打住.
首先是升級.WINDOWS 2003好象不支持WINDOWS 2000 PRO上的升級.
個人推薦還是別整什么升級的好.直接重新安裝.免去了很多D版出現(xiàn)的妖異問題.
掃盲: 妖異問題就是一些搞半天搞不好不知道怎么搞不好最后不知道怎么自己搞好或者是別人隨便一搞就搞好的問題.
直接安裝.如果你的系統(tǒng)是好的.我是說.可以進(jìn)入系統(tǒng)并且可以使用CD-ROM的情況.
你可以選擇直接在現(xiàn)有的系統(tǒng)上安裝.然后選擇重新安裝.輸入SN序列號.直接NEXT就可以了.
注意在安裝的時候.如果你做對外的服務(wù)器就選擇系統(tǒng)盤為NTFS格式.分區(qū)方案見上面的.
如果你是自己用.做本地調(diào)試或者是測試的.那就隨便你怎么弄吧.只要你覺得舒服.
OK.下面來說一下純DOS里面的安裝.雖然是很OLD的內(nèi)容.
在DOS里面要使用一個名為 Smartdrv.exe 的命令.
意思是增補磁盤高速緩存.什么意思?我不想跟 IQ < 70 的人探討技術(shù)問題.
這個命令可以在 Windows 98 的安裝目錄里找到.直接執(zhí)行就可以了.不需要增加參數(shù).
執(zhí)行結(jié)果以后是什么樣?沒什么樣.你多執(zhí)行幾次就會看到效果了.知道不?
然后執(zhí)行 FORMAT C: /S/Q 切記.
如果你想保證你的 WINDOWS 2003 以后能擁有 DOS 啟動進(jìn)入 MS-DOS 環(huán)境的話.
請一定按照我上面說的做.只要在安裝 WINDOWS 20003 之前把系統(tǒng) FORMAT 以后.
以后安裝完 WINDOWS 2003 以后.可以通過如下方法進(jìn)入 純DOS 環(huán)境而不需要其他引導(dǎo)光盤.
啟動計算機.按 F8 鍵.進(jìn)入 WINDOW 2003 SERVER 的操作系統(tǒng)高級選擇菜單.
選擇 帶命令的安全模式 然后選擇 MICROSOFT WINDWOS 即可.
另外一個命令.說實話我也不知道是做什么用的.名為 Lock.exe 的命令.
看樣子似乎是鎖定.一般的用法是執(zhí)行完 Smartdrv.exe 以后執(zhí)行一個 Lock.exe C: 假設(shè)你要裝到C盤.
Lock.exe命令 - 解釋:
執(zhí)行該程序可有效地鎖住你的光驅(qū).
使光驅(qū)上的EJECT鍵暫時失效.直至用UNLOCK.EXE或RESET.EXE程序解鎖.
重新啟動計算機也可使EJECT鍵再次生效.
LOCK.EXE的應(yīng)用格式為:
LOCK [device]
其中device即CD-ROM的盤號.默認(rèn)為第一光驅(qū).
總結(jié)一下流程.HOHO.
1. 修改 CMOS 為 CD-ROM 引導(dǎo).不會?那一邊涼快去.
2. 放入 Windows 98 引導(dǎo)光盤.進(jìn)入Dos模式.進(jìn)入 Windows 98 安裝目錄.執(zhí)行 Smartdrv.exe 和 Lock.exe C:
3. 彈出光盤.更換一張 Windows 2003 Server 的安裝光盤.進(jìn)入 I386 目錄.執(zhí)行 Winnt.exe
好了.開始安裝了.隨便說一句.在安裝的時候請不要設(shè)置Administrator的密碼.就為 Null 空著.
為什么.你不聽我話算了.以后出現(xiàn)問題了別找我.也不要怪我沒說.
下面就進(jìn)入最關(guān)鍵的環(huán)節(jié)了.大家振作精神.
如果你硬盤空間足夠的話.并且現(xiàn)在時間也比較充足.那我推薦下面的步驟.
1. 重新啟動系統(tǒng).按F8.進(jìn)入命令提示的模式.選擇 MICROSOFT WINDWOS.
2. 進(jìn)入 DOS 以后.啟動 GHOST.做個 WINDOWS 2003 C盤的 GHO 文件.放到 FAT32 分區(qū)上.
關(guān)于第一點.請認(rèn)真參看上面關(guān)于在 WINDOWS 2003 上進(jìn)入純 DOS 的內(nèi)容.
如果你沒有按我前面說的做.那就使用 CD-ROM 引導(dǎo).然后修改 CMOS 啟動.進(jìn)入 DOS 環(huán)境.
做好GHO文件以后.就不怕以后萬一崩潰以后重新安裝的麻煩.
當(dāng)然.你也可以把 "小白" 更新 Windows Update 以后做GHO.
本人推薦把干凈的系統(tǒng)通過 更新 Windows Update 以后.什么都不做.然后直接GHOST做GHO.不過前提是你比較了解系統(tǒng).
下面繼續(xù).GOGO.
把NIC卡.也就是網(wǎng)卡啦.禁用.然后設(shè)置好IP和DNS.GATEWAY.不要啟用.切記.
為什么?因為如果你SERVER.那當(dāng)然你一旦設(shè)置好NIC信息就可以上網(wǎng)了.但是在安裝的時候沒有設(shè)置 ADMINISTRATORS 的密碼.
所以連入網(wǎng)絡(luò)就會不安全.別說一會兒沒事.我們不能保證無聊的人在窺視你的網(wǎng)絡(luò).呵呵.萬一遇到個瞎貓也不好嘛.
現(xiàn)在服務(wù)器暫時無法連通任何網(wǎng)絡(luò).
這樣可以防止裸機被沖擊波或者HACKER掃描.
可以說是安全的.推薦這個時候操作人員不要離開工作臺.呵呵.
下面高舉注冊表和組策略大法.開始我們的核心之旅途.
在開始之前.我想說的是.我們必須深入了解這臺服務(wù)器的用途.
每種用途針對不同的設(shè)置和部署策略.只有最合適的也才可能是最安全的.
按我下面的例子繼續(xù)展開.GO.
我選了一個比較典型的例子.比如一臺服務(wù)器.準(zhǔn)備作為WEB+FTP+MAIL服務(wù).
分細(xì)致一點列在下面:
1. WEB當(dāng)然是使用 IIS 6.0 支持 ASP.PHP.CGI 腳本.
2. FTP使用 SERV-U 5.0 中文版
3. MAIL使用 IMAIL 8.02 中文版
4. 數(shù)據(jù)庫使用 MYSQL 數(shù)據(jù)庫.當(dāng)然是 5.0 版本的.PHP 也用 5.0.
5. 其他的.比如ZEND.JMAIL一律使用官方最新版本.
上面這類軟件推薦在官方網(wǎng)站下載.或者是去 www.SKYCN.NET 下載.
按照上面的列表.我們可以得到最后的結(jié)果.開放端口如下:
80 => WEB
21 => FTP
25 => MAIL
110 => MAIL
3389 => 終端服務(wù)
8383 => MAIL WEB
我們可以按照上面的.以后做個可靠的IP和PORT策略.
即除了上面的TCP PORT.一律給予BLOCK.
當(dāng)然了.推薦也將ICMP ECHO給予關(guān)閉.
如果你需要遠(yuǎn)程管理.推薦使用 PCANYWHERE 或者 WIN的終端服務(wù) 或者 WINVNC.
該例子我們選用了 WINDOWS 2003 的終端服務(wù).所以上面開放了 3389 端口.
隨便說一下.網(wǎng)上有很多人很多教材推薦要通過注冊表修改終端服務(wù)的端口.
這里我想說的是.根本不需要.完全是杞人憂天.自己耽誤工夫.
對于現(xiàn)在的 SP4 的 W2K 或者是 WINDOWS 2003.
終端服務(wù)已經(jīng)非常完善和安全.如果一個管理員通過合理和正確的配置.
完全可以讓服務(wù)器.我是說.裸機.暴露在網(wǎng)上承受每天10W次的掃描和嘗試攻擊.
除腳本漏洞以外.幾乎是沒有什么安全
