有史以來最好的windows 虛擬主機安全配置
2024-09-10 00:01:35
供稿:網友
有史以來最好的虛擬主機安全配置 注入漏洞、上傳漏洞、弱口令漏洞等問題隨處可見。大家可以看看下面的文章。 跨站攻擊,遠程控制等等是再老套不過了的話題。有些虛擬主機管理員不知是為了方便還是不熟悉配置,干脆就將所有的網站都放在同一個目錄中,然后將上級目錄設置為站點根目錄。有些呢,則將所有的站點的目錄都設置為可執行、可寫入、可修改。有些則為了方便,在服務器上掛起了QQ,也裝上了BT.更有甚者,竟然把Internet來賓帳號加入到Administrators組中!汗……!普通的用戶將自己的密碼設置為生日之類的6位純數字,這種情況還可以原諒,畢竟他們大部分都不是專門搞網絡研究的,中國國民的安全意識提高還需要一段時間嘛,但如果是網絡管理員也這樣,那就怎么也有點讓人想不通了。
這里就我個人過去的經歷和大家一同來探討有關安全虛擬主機配置的問題。以下以建立一個站點cert.ecjtu.jx.cn為例,跟大家共同探討虛擬主機配置問題。
一、建立Windows用戶
為每個網站單獨設置windows用戶帳號cert,刪除帳號的User組,將cert加入Guest用戶組。將用戶不能更改密碼,密碼永不過期兩個選項選上。
二、設置文件夾權限
1、設置非站點相關目錄權限
Windows安裝好后,很多目錄和文件默認是everyone可以瀏覽、查看、運行甚至是可以修改 的。這給服務器安全帶來極大的隱患。這里就我個人的一些經驗提一些在入侵中較常用的目錄。
以上這些目錄或文件的權限應該作適當的限制。如取消Guests用戶的查看、修改和執行等權限。由于篇幅關系,這里僅簡單提及。
2、設置站點相關目錄權限:
A、設置站點根目錄權限:將剛剛建立的用戶cert給對應站點文件夾,假設為D:cert設置相應的權限:Adiministrators組為完全控制;cert有讀取及運行、列出文件夾目錄、讀取,取消其它所有權限。
B、設置可更新文件權限:經過第1步站點根目錄文件夾權限的設置后,Guest用戶已經沒有修改站點文件夾中任何內容的權限了。這顯然對于一個有更新的站點是不夠的。這時就需要對單獨的需更新的文件進行權限設置。當然這個可能對虛擬主機提供商來說有些不方便。客戶的站點的需更新的文件內容之類的可能都不一樣。這時,可以規定某個文件夾可寫、可改。如有些虛擬主機提供商就規定,站點根目錄中uploads為web可上傳文件夾,data或者 database為數據庫文件夾。這樣虛擬主機服務商就可以為客戶定制這兩個文件夾的權限。當然也可以像有些做的比較好的虛擬主機提供商一樣,給客戶做一個程序,讓客戶自己設定。可能要做到這樣,服務商又得花不小的錢財和人力哦。
基本的配置應該大家都會,這里就提幾個特殊之處或需要注意的地方。
1、主目錄權限設置:這里可以設置讀取就行了。寫入、目錄瀏覽等都可以不要,最關鍵的就是目錄瀏覽了。除非特殊情況,否則應該關閉,不然將會暴露很多重要的信息。這將為黑客入侵帶來方便。其余保留默認就可以了。
2、應用程序配置:在站點屬性中,主目錄這一項中還有一個配置選項,點擊進入。在應用程序映射選項中可以看到,默認有許多應用程序映射。將需要的保留,不需要的全部都刪除。在入侵過程中,很多程序可能限制了asp,php等文件上傳,但并不對cer,asa等文件進行限制,如果未將對應的應用程序映射刪除,則可以將 asp的后綴名改為cer或者asa后進行上傳,木馬將可以正常被解析。這也往往被管理員忽視。另外添加一個應用程序擴展名映射,可執行文件可以任意選擇,后綴名為。mdb.這是為了防止后綴名為mdb的用戶數據庫被下載。
3、目錄安全性設置:在站點屬性中選擇目錄安全性,點擊匿名訪問和驗證控制,選擇允許匿名訪問,點擊編輯。如下圖所示。刪除默認用戶,瀏覽選擇對應于前面為cert網站設定的用戶,并輸入密碼。可以選中允許IIS控制密碼。這樣設定的目的是為了防止一些像站長助手、海洋等木馬的跨目錄跨站點瀏覽,可以有效阻止這類的跨目錄跨站入侵。
