分享
 
 
 

实战网络服务器安全配置技巧

王朝other·作者佚名  2008-09-13
窄屏简体版  字體: |||超大  

下面我用的例子,将是一台标准的虚拟主机。

系统:Windows2003

服务:[IIS] [SERV-U] [IMAIL] [SQL SERVER 2000] [PHP] [MYSQL]

描述:为了演示,绑定了最多的服务,大家可以根据实际情况做筛减

1. WINDOWS本地安全策略 端口限制

A. 对于我们的例子来说,需要开通以下端口

外->本地 80

外->本地 20

外->本地 21

外->本地 PASV所用到的一些端口

外->本地 25

外->本地 110

外->本地 3389

然后按照具体情况,打开SQL SERVER和MYSQL的端口

外->本地 1433

外->本地 3306

B. 接着是开放从内部往外需要开放的端口

按照实际情况,如果无需邮件服务,则不要打开以下两条规则

本地->外 53 TCP,UDP

本地->外 25

按照具体情况,如果无需在服务器上访问网页,尽量不要开以下端口

本地->外 80

C. 除了明确允许的一律阻止,这个是安全规则的关键

外->本地 所有协议 阻止

2. 用户帐号

A. 将administrator改名,例子中改为root

B. 取消所有除管理员root外所有用户属性中的

远程控制->启用远程控制 以及

终端服务配置文件->允许登陆到终端服务器

C. 将guest改名为administrator并且修改密码

D. 除了管理员root、IUSER以及IWAM以及ASPNET用户外,禁用其他一切用户,包括SQL DEBUG以及TERMINAL USER等等

3. 目录权限

将所有盘符的权限,全部改为只有

administrators组 全部权限

ystem 全部权限

将C盘的所有子目录和子文件继承C盘的administrator(组或用户)和SYSTEM所有权限的两个权限

然后做如下修改

C:\Program Files\Common Files 开放Everyone默认的读取及运行 列出文件目录 读取三个权限

C:\WINDOWS\ 开放Everyone默认的读取及运行 列出文件目录 读取三个权限

C:\WINDOWS\Temp 开放Everyone 修改、读取及运行、列出文件目录、读取、写入权限

现在WebShell就无法在系统目录内写入文件了。当然也可以使用更严格的权限,在WINDOWS下分别目录设置权限。可是比较复杂,效果也并不明显。

4. IIS

在IIS 6下,应用程序扩展内的文件类型对应ISAPI的类型已经去掉了IDQ、PRINT等等危险的脚本类型,

在IIS 5下我们需要把除了ASP以及ASA以外所有类型删除。

安装URLSCAN

在[DenyExtensions]中一般加入以下内容 .cer

.cdx

.mdb

.bat

.cmd

.com

.htw

.ida

.idq

.htr

.idc

.shtm

.shtml

.stm

.printer

这样入侵者就无法下载.mdb数据库,这种方法比外面一些在文件头加入特殊字符的方法更加彻底。

因为即便文件头加入特殊字符,还是可以通过编码构造出来的

5. WEB目录权限

作为虚拟主机,会有许多独立客户。比较保险的做法就是为每个客户建立一个Windows用户,然后在IIS的响应的站点项内把IIS执行的匿名用户,绑定成这个用户并且把他指向的目录,权限变更为administrators 全部权限

system 全部权限

单独建立的用户(或者IUSER) 选择高级->打开除 完全控制、遍历文件夹/运行程序、取得所有权 3个外的其他权限

如果服务器上站点不多,并且有论坛,我们可以把每个论坛的上传目录去掉此用户的执行权限,只有读写权限这样入侵者即便绕过论坛文件类型检测上传了webshell也是无法运行的。

6. MS SQL SERVER2000

使用系统帐户登陆查询分析器运行以下脚本 use master

exec sp_dropextendedproc 'xp_cmdshell'

exec sp_dropextendedproc 'xp_dirtree'

exec sp_dropextendedproc 'xp_enumgroups'

exec sp_dropextendedproc 'xp_fixeddrives'

exec sp_dropextendedproc 'xp_loginconfig'

exec sp_dropextendedproc 'xp_enumerrorlogs'

exec sp_dropextendedproc 'xp_getfiledetails'

exec sp_dropextendedproc 'Sp_OACreate'

exec sp_dropextendedproc 'Sp_OADestroy'

exec sp_dropextendedproc 'Sp_OAGetErrorInfo'

exec sp_dropextendedproc 'Sp_OAGetProperty'

exec sp_dropextendedproc 'Sp_OAMethod'

exec sp_dropextendedproc 'Sp_OASetProperty'

exec sp_dropextendedproc 'Sp_OAStop'

exec sp_dropextendedproc 'Xp_regaddmultistring'

exec sp_dropextendedproc 'Xp_regdeletekey'

exec sp_dropextendedproc 'Xp_regdeletevalue'

exec sp_dropextendedproc 'Xp_regenumvalues'

exec sp_dropextendedproc 'Xp_regread'

exec sp_dropextendedproc 'Xp_regremovemultistring'

exec sp_dropextendedproc 'Xp_regwrite'

drop procedure sp_makewebtask

go 删除所有危险的扩展 7. 修改CMD.EXE以及NET.EXE权限

将两个文件的权限修改到特定管理员才能访问,比如本例中,我们如下修改

cmd.exe root用户 所有权限

et.exe root用户 所有权现

这样就能防止非法访问

还可以使用例子中提供的comlog程序将com.exe改名_com.exe,然后替换com文件,这样可以记录所有执行的命令行指令

8. 备份

使用ntbackup软件备份系统状态,使用reg.exe 备份系统关键数据,如reg export

LM\SOFTWARE\ODBC e:\backup\system\odbc.reg /y

来备份系统的ODBC

9. 杀毒

这里介绍MCAFEE 8i 中文企业版,因为这个版本对于国内的许多恶意代码和木马都能够及时的更新。

比如已经能够检测到海阳顶端2006,而且能够杀除IMAIL等SMTP软件使用的队列中MIME编码的病毒文件,而很多人喜欢安装诺顿企业版,而诺顿企业版,对于WEBSHELL,基本都是没有反应的。而且无法对于MIME编码的文件进行杀毒。

在MCAFEE中,我们还能够加入规则阻止在windows目录建立和修改EXE.DLL文件等,我们在软件中加入对WEB目录的杀毒计划,每天执行一次,并且打开实时监控。

10. 关闭无用的服务

我们一般关闭如下服务

Computer Browser

Help and Support

Messenger

Print Spooler

Remote Registry

TCP/IP NetBIOS Helper

如果服务器不用作域控,我们也可以禁用Workstation

11. 取消危险组件

如果服务器不需要FSO,regsvr32 /u c:windows\system32\scrrun.dll注销组件,使用regedit将/HKEY_CLASSES_ROOT下的 WScript.Network

WScript.Network.1

WScript.Shell

WScript.Shell.1

Shell.Application

Shell.Application.1

键值改名或删除

将这些键值下CLSID中包含的字串

如{72C24DD5-D70A-438B-8A42-98424B88AFB8}

到/HKEY_CLASSES_ROOT/CLSID下找到以这些字串命名的键值

全部删除

12. 审计

本地安全策略->本地策略->审核策略

打开以下内容

审核策略更改 成功,失败

审核系统事件 成功,失败

审核帐户登陆事件 成功,失败

审核帐户管理 成功,失败

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
2023年上半年GDP全球前十五强
 百态   2023-10-24
美众议院议长启动对拜登的弹劾调查
 百态   2023-09-13
上海、济南、武汉等多地出现不明坠落物
 探索   2023-09-06
印度或要将国名改为“巴拉特”
 百态   2023-09-06
男子为女友送行,买票不登机被捕
 百态   2023-08-20
手机地震预警功能怎么开?
 干货   2023-08-06
女子4年卖2套房花700多万做美容:不但没变美脸,面部还出现变形
 百态   2023-08-04
住户一楼被水淹 还冲来8头猪
 百态   2023-07-31
女子体内爬出大量瓜子状活虫
 百态   2023-07-25
地球连续35年收到神秘规律性信号,网友:不要回答!
 探索   2023-07-21
全球镓价格本周大涨27%
 探索   2023-07-09
钱都流向了那些不缺钱的人,苦都留给了能吃苦的人
 探索   2023-07-02
倩女手游刀客魅者强控制(强混乱强眩晕强睡眠)和对应控制抗性的关系
 百态   2020-08-20
美国5月9日最新疫情:美国确诊人数突破131万
 百态   2020-05-09
荷兰政府宣布将集体辞职
 干货   2020-04-30
倩女幽魂手游师徒任务情义春秋猜成语答案逍遥观:鹏程万里
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案神机营:射石饮羽
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案昆仑山:拔刀相助
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案天工阁:鬼斧神工
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案丝路古道:单枪匹马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:与虎谋皮
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:李代桃僵
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:指鹿为马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:小鸟依人
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:千金买邻
 干货   2019-11-12
 
推荐阅读
 
 
 
>>返回首頁<<
 
靜靜地坐在廢墟上,四周的荒凉一望無際,忽然覺得,淒涼也很美
© 2005- 王朝網路 版權所有