刪除默認(rèn)建立的站點(diǎn)的虛擬目錄,停止默認(rèn)web站點(diǎn),刪除對應(yīng)的文件目錄c:inetpub�����,配置所有站點(diǎn)的公共設(shè)置����,設(shè)置好相關(guān)的連接數(shù)限制,帶寬設(shè)置以及性能設(shè)置等其他設(shè)置。配置應(yīng)用程序映射,刪除所有不必要的應(yīng)用程序擴(kuò)展����,只保留asp��,php,cgi�����,pl����,aspx應(yīng)用程序擴(kuò)展��。對于php和cgi�����,推薦使用isapi方式解析,用exe解析對安全和性能有所影響����。用戶程序調(diào)試設(shè)置發(fā)送文本錯誤信息給戶����。對于數(shù)據(jù)庫��,盡量采用mdb后綴�����,不需要更改為asp,可在iis中設(shè)置一個mdb的擴(kuò)展映射����,將這個映射使用一個無關(guān)的dll文件如c:winntsystem32inetsrvssinc.dll來防止數(shù)據(jù)庫被下載��。設(shè)置iis的日志保存目錄,調(diào)整日志記錄信息����。設(shè)置為發(fā)送文本錯誤信息�����。修改403錯誤頁面,將其轉(zhuǎn)向到其他頁��,可防止一些掃描器的探測��。另外為隱藏系統(tǒng)信息,防止telnet到80端口所泄露的系統(tǒng)版本信息可修改iis的banner信息��,可以使用winhex手工修改或者使用相關(guān)軟件如banneredit修改����。
對于用戶站點(diǎn)所在的目錄��,在此說明一下,用戶的ftp根目錄下對應(yīng)三個文件佳�����,wwwroot��,database��,logfiles,分別存放站點(diǎn)文件�����,數(shù)據(jù)庫備份和該站點(diǎn)的日志����。如果一旦發(fā)生入侵事件可對該用戶站點(diǎn)所在目錄設(shè)置具體的權(quán)限,圖片所在的目錄只給予列目錄的權(quán)限����,程序所在目錄如果不需要生成文件(如生成html的程序)不給予寫入權(quán)限��。因為是虛擬主機(jī)平常對腳本安全沒辦法做到細(xì)致入微的地步,更多的只能在方法用戶從腳本提升權(quán)限:
asp的安全設(shè)置:
設(shè)置過權(quán)限和服務(wù)之后,防范asp木馬還需要做以下工作,在cmd窗口運(yùn)行以下命令:
regsvr32/u c:\winnt\system32\wshom.ocx
del c:\winnt\system32\wshom.ocx
regsvr32/u c:\winnt\system32\shell32.dll
del c:\winnt\system32\shell32.dll
?
即可將wscript.shell, shell.application, wscript.network組件卸載,可有效防止asp木馬通過wscript或shell.application執(zhí)行命令以及使用木馬查看一些系統(tǒng)敏感信息。另法:可取消以上文件的users用戶的權(quán)限��,重新啟動iis即可生效��。但不推薦該方法�����。
另外�����,對于fso由于用戶程序需要使用����,服務(wù)器上可以不注銷掉該組件��,這里只提一下fso的防范��,但并不需要在自動開通空間的虛擬商服務(wù)器上使用,只適合于手工開通的站點(diǎn)。可以針對需要fso和不需要fso的站點(diǎn)設(shè)置兩個組����,對于需要fso的用戶組給予c:winntsystem32scrrun.dll文件的執(zhí)行權(quán)限�����,不需要的不給權(quán)限。重新啟動服務(wù)器即可生效��。
對于這樣的設(shè)置結(jié)合上面的權(quán)限設(shè)置����,你會發(fā)現(xiàn)海陽木馬已經(jīng)在這里失去了作用!
php的安全設(shè)置:
默認(rèn)安裝的php需要有以下幾個注意的問題:
c:\winnt\php.ini只給予users讀權(quán)限即可。在php.ini里需要做如下設(shè)置:
safe_mode=on
register_globals = off
allow_url_fopen = off
display_errors = off
magic_quotes_gpc = on [默認(rèn)是on��,但需檢查一遍]
open_basedir =web目錄
disable_functions =passthru,exec,shell_exec,system,phpinfo,get_cfg_var,popen,chmod
默認(rèn)設(shè)置com.allow_dcom = true修改為false[修改前要取消掉前面的����;]
?
mysql安全設(shè)置:
如果服務(wù)器上啟用mysql數(shù)據(jù)庫,mysql數(shù)據(jù)庫需要注意的安全設(shè)置為:
刪除mysql中的所有默認(rèn)用戶,只保留本地root帳戶��,為root用戶加上一個復(fù)雜的密碼����。賦予普通用戶updatedeletealertcreatedrop權(quán)限的時候��,并限定到特定的數(shù)據(jù)庫��,尤其要避免普通客戶擁有對mysql數(shù)據(jù)庫操作的權(quán)限。檢查mysql.user表��,取消不必要用戶的shutdown_priv,relod_priv,process_priv和file_priv權(quán)限����,這些權(quán)限可能泄漏更多的服務(wù)器信息包括非mysql的其它信息出去����?�?梢詾閙ysql設(shè)置一個啟動用戶�����,該用戶只對mysql目錄有權(quán)限。設(shè)置安裝目錄的data數(shù)據(jù)庫的權(quán)限(此目錄存放了mysql數(shù)據(jù)庫的數(shù)據(jù)信息)����。對于mysql安裝目錄給users加上讀取�����、列目錄和執(zhí)行權(quán)限。
serv-u安全問題:
安裝程序盡量采用最新版本,避免采用默認(rèn)安裝目錄����,設(shè)置好serv-u目錄所在的權(quán)限,設(shè)置一個復(fù)雜的管理員密碼��。修改serv-u的banner信息��,設(shè)置被動模式端口范圍(4001—4003)在本地服務(wù)器中設(shè)置中做好相關(guān)安全設(shè)置:包括檢查匿名密碼�����,禁用反超時調(diào)度,攔截“ftp bounce”攻擊和fxp�����,對于在30秒內(nèi)連接超過3次的用戶攔截10分鐘��。域中的設(shè)置為:要求復(fù)雜密碼����,目錄只使用小寫字母����,高級中設(shè)置取消允許使用mdtm命令更改文件的日期。
更改serv-u的啟動用戶:在系統(tǒng)中新建一個用戶�����,設(shè)置一個復(fù)雜點(diǎn)的密碼����,不屬于任何組。將servu的安裝目錄給予該用戶完全控制權(quán)限�����。建立一個ftp根目錄����,需要給予這個用戶該目錄完全控制權(quán)限��,因為所有的ftp用戶上傳����,刪除����,更改文件都是繼承了該用戶的權(quán)限,否則無法操作文件。另外需要給該目錄以上的上級目錄給該用戶的讀取權(quán)限�����,否則會在連接的時候出現(xiàn)530 not logged in, home directory does not exist��。比如在測試的時候ftp根目錄為d:soft����,必須給d盤該用戶的讀取權(quán)限,為了安全取消d盤其他文件夾的繼承權(quán)限�����。而一般的使用默認(rèn)的system啟動就沒有這些問題����,因為system一般都擁有這些權(quán)限的。
數(shù)據(jù)庫服務(wù)器的安全設(shè)置
對于專用的mssql數(shù)據(jù)庫服務(wù)器��,按照上文所講的設(shè)置tcp/ip篩選和ip策略�����,對外只開放1433和5631端口。對于mssql首先需要為sa設(shè)置一個強(qiáng)壯的密碼,使用混合身份驗證,加強(qiáng)數(shù)據(jù)庫日志的記錄,審核數(shù)據(jù)庫登陸事件的”成功和失敗”.刪除一些不需要的和危險的ole自動存儲過程(會造成企業(yè)管理器中部分功能不能使用),這些過程包括如下:
sp_oacreate sp_oadestroy sp_oageterrorinfo sp_oagetproperty
sp_oamethod sp_oasetproperty sp_oastop
?
去掉不需要的注冊表訪問過程,包括有:
xp_regaddmultistring xp_regdeletekey xp_regdeletevalue
xp_regenumvalues xp_regread xp_regremovemultistring
xp_regwrite
?
去掉其他系統(tǒng)存儲過程����,如果認(rèn)為還有威脅����,當(dāng)然要小心drop這些過程�����,可以在測試機(jī)器上測試��,保證正常的系統(tǒng)能完成工作,這些過程包括:
xp_cmdshell xp_dirtree xp_dropwebtask sp_addsrvrolemember
xp_makewebtask xp_runwebtask xp_subdirs sp_addlogin
sp_addextendedproc
?
在實(shí)例屬性中選擇tcp/ip協(xié)議的屬性����。選擇隱藏 sql server 實(shí)例可防止對1434端口的探測,可修改默認(rèn)使用的1433端口�����。除去數(shù)據(jù)庫的guest賬戶把未經(jīng)認(rèn)可的使用者據(jù)之在外。 例外情況是master和 tempdb 數(shù)據(jù)庫,因為對他們guest帳戶是必需的。另外注意設(shè)置好各個數(shù)據(jù)庫用戶的權(quán)限�����,對于這些用戶只給予所在數(shù)據(jù)庫的一些權(quán)限��。在程序中不要用sa用戶去連接任何數(shù)據(jù)庫����。網(wǎng)絡(luò)上有建議大家使用協(xié)議加密的��,千萬不要這么做����,否則你只能重裝mssql了��。
入侵檢測和數(shù)據(jù)備份
入侵檢測工作
作為服務(wù)器的日常管理,入侵檢測是一項非常重要的工作�����,在平常的檢測過程中��,主要包含日常的服務(wù)器安全例行檢查和遭到入侵時的入侵檢查����,也就是分為在入侵進(jìn)行時的安全檢查和在入侵前后的安全檢查��。系統(tǒng)的安全性遵循木桶原理��,木桶原理指的是:一個木桶由許多塊木板組成,如果組成木桶的這些木板長短不一�����,那么這個木桶的最大容量不取決于長的木板��,而取決于最短的那塊木板��。應(yīng)用到安全方面也就是說系統(tǒng)的安全性取決于系統(tǒng)中最脆弱的地方�����,這些地方是日常的安全檢測的重點(diǎn)所在。
|