有史以來最好的windows 虛擬主機安全配置

2024-09-10 00:05:37

字體：大中小

來源：轉載

供稿：網友

跨站攻擊，遠程控制等等是再老套不過了的話題。有些虛擬主機管理員不知是為了方便還是不熟悉配置，干脆就將所有的網站都放在同一個目錄中，然后將上級目錄設置為站點根目錄。有些呢，則將所有的站點的目錄都設置為可執行、可寫入、可修改。有些則為了方便，在服務器上掛起了QQ，也裝上了BT.更有甚者，竟然把Internet來賓帳號加入到Administrators組中！汗……！普通的用戶將自己的密碼設置為生日之類的6位純數字，這種情況還可以原諒，畢竟他們大部分都不是專門搞網絡研究的，中國國民的安全意識提高還需要一段時間嘛，但如果是網絡管理員也這樣，那就怎么也有點讓人想不通了。
這里就我個人過去的經歷和大家一同來探討有關安全虛擬主機配置的問題。以下以建立一個站點cert.ecjtu.jx.cn為例，跟大家共同探討虛擬主機配置問題。
一、建立Windows用戶
為每個網站單獨設置windows用戶帳號cert，刪除帳號的User組，將cert加入Guest用戶組。將用戶不能更改密碼，密碼永不過期兩個選項選上。
二、設置文件夾權限
1、設置非站點相關目錄權限
Windows安裝好后，很多目錄和文件默認是everyone可以瀏覽、查看、運行甚至是可以修改的。這給服務器安全帶來極大的隱患。這里就我個人的一些經驗提一些在入侵中較常用的目錄。

以上這些目錄或文件的權限應該作適當的限制。如取消Guests用戶的查看、修改和執行等權限。由于篇幅關系，這里僅簡單提及。
2、設置站點相關目錄權限：
A、設置站點根目錄權限：將剛剛建立的用戶cert給對應站點文件夾，假設為D：cert設置相應的權限：Adiministrators組為完全控制；cert有讀取及運行、列出文件夾目錄、讀取，取消其它所有權限。
B、設置可更新文件權限：經過第1步站點根目錄文件夾權限的設置后，Guest用戶已經沒有修改站點文件夾中任何內容的權限了。這顯然對于一個有更新的站點是不夠的。這時就需要對單獨的需更新的文件進行權限設置。當然這個可能對虛擬主機提供商來說有些不方便。客戶的站點的需更新的文件內容之類的可能都不一樣。這時，可以規定某個文件夾可寫、可改。如有些虛擬主機提供商就規定，站點根目錄中uploads為web可上傳文件夾，data或者 database為數據庫文件夾。這樣虛擬主機服務商就可以為客戶定制這兩個文件夾的權限。當然也可以像有些做的比較好的虛擬主機提供商一樣，給客戶做一個程序，讓客戶自己設定。可能要做到這樣，服務商又得花不小的錢財和人力哦。
基本的配置應該大家都會，這里就提幾個特殊之處或需要注意的地方。
1、主目錄權限設置：這里可以設置讀取就行了。寫入、目錄瀏覽等都可以不要，最關鍵的就是目錄瀏覽了。除非特殊情況，否則應該關閉，不然將會暴露很多重要的信息。這將為黑客入侵帶來方便。其余保留默認就可以了。

上一篇：WinRAR 任務計劃免費定時備份

下一篇：win2003 服務器安全設置技術實例(比較安全的方法)