<rt id="bn8ez"></rt>
<label id="bn8ez"></label>

  • <span id="bn8ez"></span>

    <label id="bn8ez"><meter id="bn8ez"></meter></label>

    mvc 架構

      BlogJava :: 首頁 :: 聯系 :: 聚合  :: 管理
      74 Posts :: 60 Stories :: 5 Comments :: 0 Trackbacks
    posted on 2007-11-01 15:19 e全 閱讀(111) 評論(0)  編輯  收藏

    刪除默認建立的站點的虛擬目錄,停止默認web站點,刪除對應的文件目錄c:inetpub,配置所有站點的公共設置,設置好相關的連接數限制,帶寬設置以及性能設置等其他設置。配置應用程序映射,刪除所有不必要的應用程序擴展,只保留asp,php,cgi,pl,aspx應用程序擴展。對于php和cgi,推薦使用isapi方式解析,用exe解析對安全和性能有所影響。用戶程序調試設置發送文本錯誤信息給戶。對于數據庫,盡量采用mdb后綴,不需要更改為asp,可在iis中設置一個mdb的擴展映射,將這個映射使用一個無關的dll文件如c:winntsystem32inetsrvssinc.dll來防止數據庫被下載。設置iis的日志保存目錄,調整日志記錄信息。設置為發送文本錯誤信息。修改403錯誤頁面,將其轉向到其他頁,可防止一些掃描器的探測。另外為隱藏系統信息,防止telnet到80端口所泄露的系統版本信息可修改iis的banner信息,可以使用winhex手工修改或者使用相關軟件如banneredit修改。

    對于用戶站點所在的目錄,在此說明一下,用戶的ftp根目錄下對應三個文件佳,wwwroot,database,logfiles,分別存放站點文件,數據庫備份和該站點的日志。如果一旦發生入侵事件可對該用戶站點所在目錄設置具體的權限,圖片所在的目錄只給予列目錄的權限,程序所在目錄如果不需要生成文件(如生成html的程序)不給予寫入權限。因為是虛擬主機平常對腳本安全沒辦法做到細致入微的地步,更多的只能在方法用戶從腳本提升權限:

    asp的安全設置:

    設置過權限和服務之后,防范asp木馬還需要做以下工作,在cmd窗口運行以下命令:


    regsvr32/u c:\winnt\system32\wshom.ocx
    del c:\winnt\system32\wshom.ocx
    regsvr32/u c:\winnt\system32\shell32.dll
    del c:\winnt\system32\shell32.dll
    ?

    即可將wscript.shell, shell.application, wscript.network組件卸載,可有效防止asp木馬通過wscript或shell.application執行命令以及使用木馬查看一些系統敏感信息。另法:可取消以上文件的users用戶的權限,重新啟動iis即可生效。但不推薦該方法。

    另外,對于fso由于用戶程序需要使用,服務器上可以不注銷掉該組件,這里只提一下fso的防范,但并不需要在自動開通空間的虛擬商服務器上使用,只適合于手工開通的站點。可以針對需要fso和不需要fso的站點設置兩個組,對于需要fso的用戶組給予c:winntsystem32scrrun.dll文件的執行權限,不需要的不給權限。重新啟動服務器即可生效。

    對于這樣的設置結合上面的權限設置,你會發現海陽木馬已經在這里失去了作用!

    php的安全設置:

    默認安裝的php需要有以下幾個注意的問題:

    c:\winnt\php.ini只給予users讀權限即可。在php.ini里需要做如下設置:


    safe_mode=on
    register_globals = off
    allow_url_fopen = off
    display_errors = off
    magic_quotes_gpc = on [默認是on,但需檢查一遍]
    open_basedir =web目錄
    disable_functions =passthru,exec,shell_exec,system,phpinfo,get_cfg_var,popen,chmod
    默認設置com.allow_dcom = true修改為false[修改前要取消掉前面的;]
    ?

    mysql安全設置:

    如果服務器上啟用mysql數據庫,mysql數據庫需要注意的安全設置為:

    刪除mysql中的所有默認用戶,只保留本地root帳戶,為root用戶加上一個復雜的密碼。賦予普通用戶updatedeletealertcreatedrop權限的時候,并限定到特定的數據庫,尤其要避免普通客戶擁有對mysql數據庫操作的權限。檢查mysql.user表,取消不必要用戶的shutdown_priv,relod_priv,process_priv和file_priv權限,這些權限可能泄漏更多的服務器信息包括非mysql的其它信息出去。可以為mysql設置一個啟動用戶,該用戶只對mysql目錄有權限。設置安裝目錄的data數據庫的權限(此目錄存放了mysql數據庫的數據信息)。對于mysql安裝目錄給users加上讀取、列目錄和執行權限。

    serv-u安全問題:

    安裝程序盡量采用最新版本,避免采用默認安裝目錄,設置好serv-u目錄所在的權限,設置一個復雜的管理員密碼。修改serv-u的banner信息,設置被動模式端口范圍(4001—4003)在本地服務器中設置中做好相關安全設置:包括檢查匿名密碼,禁用反超時調度,攔截“ftp bounce”攻擊和fxp,對于在30秒內連接超過3次的用戶攔截10分鐘。域中的設置為:要求復雜密碼,目錄只使用小寫字母,高級中設置取消允許使用mdtm命令更改文件的日期。

    更改serv-u的啟動用戶:在系統中新建一個用戶,設置一個復雜點的密碼,不屬于任何組。將servu的安裝目錄給予該用戶完全控制權限。建立一個ftp根目錄,需要給予這個用戶該目錄完全控制權限,因為所有的ftp用戶上傳,刪除,更改文件都是繼承了該用戶的權限,否則無法操作文件。另外需要給該目錄以上的上級目錄給該用戶的讀取權限,否則會在連接的時候出現530 not logged in, home directory does not exist。比如在測試的時候ftp根目錄為d:soft,必須給d盤該用戶的讀取權限,為了安全取消d盤其他文件夾的繼承權限。而一般的使用默認的system啟動就沒有這些問題,因為system一般都擁有這些權限的。

    數據庫服務器的安全設置

    對于專用的mssql數據庫服務器,按照上文所講的設置tcp/ip篩選和ip策略,對外只開放1433和5631端口。對于mssql首先需要為sa設置一個強壯的密碼,使用混合身份驗證,加強數據庫日志的記錄,審核數據庫登陸事件的”成功和失敗”.刪除一些不需要的和危險的ole自動存儲過程(會造成企業管理器中部分功能不能使用),這些過程包括如下:


    sp_oacreate sp_oadestroy sp_oageterrorinfo sp_oagetproperty
    sp_oamethod sp_oasetproperty sp_oastop
    ?

    去掉不需要的注冊表訪問過程,包括有:


    xp_regaddmultistring xp_regdeletekey xp_regdeletevalue
    xp_regenumvalues xp_regread xp_regremovemultistring
    xp_regwrite
    ?

    去掉其他系統存儲過程,如果認為還有威脅,當然要小心drop這些過程,可以在測試機器上測試,保證正常的系統能完成工作,這些過程包括:


    xp_cmdshell xp_dirtree xp_dropwebtask sp_addsrvrolemember
    xp_makewebtask xp_runwebtask xp_subdirs sp_addlogin
    sp_addextendedproc
    ?

    在實例屬性中選擇tcp/ip協議的屬性。選擇隱藏 sql server 實例可防止對1434端口的探測,可修改默認使用的1433端口。除去數據庫的guest賬戶把未經認可的使用者據之在外。 例外情況是master和 tempdb 數據庫,因為對他們guest帳戶是必需的。另外注意設置好各個數據庫用戶的權限,對于這些用戶只給予所在數據庫的一些權限。在程序中不要用sa用戶去連接任何數據庫。網絡上有建議大家使用協議加密的,千萬不要這么做,否則你只能重裝mssql了。

    入侵檢測和數據備份

    入侵檢測工作

    作為服務器的日常管理,入侵檢測是一項非常重要的工作,在平常的檢測過程中,主要包含日常的服務器安全例行檢查和遭到入侵時的入侵檢查,也就是分為在入侵進行時的安全檢查和在入侵前后的安全檢查。系統的安全性遵循木桶原理,木桶原理指的是:一個木桶由許多塊木板組成,如果組成木桶的這些木板長短不一,那么這個木桶的最大容量不取決于長的木板,而取決于最短的那塊木板。應用到安全方面也就是說系統的安全性取決于系統中最脆弱的地方,這些地方是日常的安全檢測的重點所在。



    只有注冊用戶登錄后才能發表評論。


    網站導航:
     
    主站蜘蛛池模板: 久久亚洲日韩精品一区二区三区| 国产亚洲色婷婷久久99精品| 亚洲欧洲国产综合| 亚洲综合偷自成人网第页色| 国产99视频精品免费专区| 亚洲乱码中文字幕综合| 亚洲精品视频在线播放| 99精品视频在线视频免费观看| 亚洲va在线va天堂va四虎| 日韩亚洲产在线观看| 大地资源在线观看免费高清| 亚洲成网777777国产精品| 亚洲欧美aⅴ在线资源| 亚洲精品视频免费| 99久久99久久精品免费观看| 久久青青草原亚洲AV无码麻豆 | 91亚洲精品麻豆| 91香蕉国产线在线观看免费| 永久免费看mv网站入口| 亚洲成人激情小说| 免费看片免费播放| 免费看黄福利app导航看一下黄色录像| 国产三级在线观看免费| 日日摸日日碰夜夜爽亚洲| 免费国产污网站在线观看15| 亚洲精品中文字幕乱码| 免费无码A片一区二三区| 亚洲精品国产高清在线观看| 一级毛片不卡片免费观看| 国产精品亚洲视频| AAA日本高清在线播放免费观看| 在线观看免费精品国产| 久久精品亚洲综合一品| 免费阿v网站在线观看g| 精品久久亚洲一级α| 国产亚洲日韩在线三区| 黑人粗长大战亚洲女2021国产精品成人免费视频| 日韩高清在线免费看| 中文字幕一区二区免费| 亚洲精品国产自在久久| 无码国产精品一区二区免费式芒果|