1. web伺服器安全設置
Web伺服器攻擊常利用Web伺服器軟體和配置中的漏洞,web伺服器安全也是我們現在很多人關注的一點,那麼你知道web伺服器安全設置嗎?下面是我整理的一些關於web伺服器安全設置的相關資料,供你參考。
web伺服器安全設置一、IIS的相關設置
刪除默認建立的站點的虛擬目錄,停止默認web站點,刪除對應的文件目錄c:inetpub,配置所有站點的公共設置,設置好相關的連接數限制, 帶寬設置以及性能設置等其他設置。配置應用程序映射,刪除所有不必要的應用程序擴展,只保留asp,php,cgi,pl,aspx應用程序擴展。對於php和cgi,推薦使用isapi方式解析,用exe解析對安全和性能有所影響。用戶程序調試設置發送文本錯誤信息給客戶。
對於資料庫,盡量採用mdb後綴,不需要更改為asp,可在IIS中設置一個mdb的擴展映射,將這個映射使用一個無關的dll文件如C:WINNTsystem32inetsrvssinc.dll來防止資料庫被下載。設置IIS的日誌保存目錄,調整日誌記錄信息。設置為發送文本錯誤信息。修改403錯誤頁面,將其轉向到其他頁,可防止一些掃描器的探測。另外為隱藏系統信息,防止telnet到80埠所泄露的系統版本信息可修改IIS的banner信息,可以使用winhex手工修改或者使用相關軟體如banneredit修改。
對於用戶站點所在的目錄,在此說明一下,用戶的FTP根目錄下對應三個文件佳,wwwroot,database,logfiles,分別存放站點文件,資料庫備份和該站點的日誌。如果一旦發生入侵事件可對該用戶站點所在目錄設置具體的許可權,圖片所在的目錄只給予列目錄的許可權,程序所在目錄如果不需要生成文件(如生成html的程序)不給予寫入許可權。因為是虛擬主機平常對腳本安全沒辦法做到細致入微的地步。
方法
用戶從腳本提升許可權:
web伺服器安全設置二、ASP的安全設置
設置過許可權和服務之後,防範asp木馬還需要做以下工作,在cmd窗口運行以下命令:
regsvr32/u C:WINNTSystem32wshom.ocx
del C:WINNTSystem32wshom.ocx
regsvr32/u C:WINNTsystem32shell32.dll
del C:WINNTsystem32shell32.dll
即可將WScript.Shell, Shell.application, WScript.Network組件卸載,可有效防止asp木馬通過wscript或shell.application執行命令以及使用木馬查看一些系統敏感信息。另法:可取消以上文件的users用戶的許可權,重新啟動IIS即可生效。但不推薦該方法。
另外,對於FSO由於用戶程序需要使用,伺服器上可以不注銷掉該組件,這里只提一下FSO的防範,但並不需要在自動開通空間的虛擬商伺服器上使用,只適合於手工開通的站點。可以針對需要FSO和不需要FSO的站點設置兩個組,對於需要FSO的用戶組給予c:winntsystem32scrrun.dll文件的執行許可權,不需要的不給許可權。重新啟動伺服器即可生效。
對於這樣的設置結合上面的許可權設置,你會發現海陽木馬已經在這里失去了作用!
web伺服器安全設置三、PHP的安全設置
默認安裝的php需要有以下幾個注意的問題:
C:winntphp.ini只給予users讀許可權即可。在php.ini里需要做如下設置:
Safe_mode=on
register_globals = Off
allow_url_fopen = Off
display_errors = Off
magic_quotes_gpc = On [默認是on,但需檢查一遍]
open_basedir =web目錄
disable_functions =passthru,exec,shell_exec,system,phpinfo,get_cfg_var,popen,chmod
默認設置com.allow_dcom = true修改為false[修改前要取消掉前面的;]
web伺服器安全設置四、Mysql安全設置
如果伺服器上啟用MySQL資料庫,MySQL資料庫需要注意的安全設置為:
刪除mysql中的所有默認用戶,只保留本地root帳戶,為root用戶加上一個復雜的密碼。賦予普通用戶updatedeletealertcreatedrop許可權的時候,並限定到特定的資料庫,尤其要避免普通客戶擁有對mysql資料庫操作的許可權。檢查mysql.user表,取消不必要用戶的shutdown_priv,reload_priv,process_priv和File_priv許可權,這些許可權可能泄漏更多的伺服器信息包括非mysql的 其它 信息出去。可以為mysql設置一個啟動用戶,該用戶只對mysql目錄有許可權。設置安裝目錄的data資料庫的許可權(此目錄存放了mysql資料庫的數據信息)。對於mysql安裝目錄給users加上讀取、列目錄和執行許可權。
Serv-u安全問題:
安裝程序盡量採用最新版本,避免採用默認安裝目錄,設置好serv-u目錄所在的許可權,設置一個復雜的管理員密碼。修改serv-u的banner信息,設置被動模式埠范圍(4001—4003)在本地伺服器中設置中做好相關安全設置:包括檢查匿名密碼,禁用反超時調度,攔截“FTP bounce”攻擊和FXP,對於在30秒內連接超過3次的用戶攔截10分鍾。域中的設置為:要求復雜密碼,目錄只使用小寫字母,高級中設置取消允許使用MDTM命令更改文件的日期。
更改serv-u的啟動用戶:在系統中新建一個用戶,設置一個復雜點的密碼,不屬於任何組。將servu的安裝目錄給予該用戶完全控制許可權。建立一個FTP根目錄,需要給予這個用戶該目錄完全控制許可權,因為所有的ftp用戶上傳,刪除,更改文件都是繼承了該用戶的許可權,否則無法操 作文 件。另外需要給該目錄以上的上級目錄給該用戶的讀取許可權,否則會在連接的時候出現530 Not logged in, home directory does not exist。比如在測試的時候ftp根目錄為d:soft,必須給d盤該用戶的讀取許可權,為了安全取消d盤其他文件夾的繼承許可權。而一般的使用默認的system啟動就沒有這些問題,因為system一般都擁有這些許可權的。
web伺服器安全設置五、資料庫伺服器的安全設置
對於專用的MSSQL資料庫伺服器,按照上文所講的設置TCP/IP篩選和IP策略,對外只開放1433和5631埠。對於MSSQL首先需要為sa設置一個強壯的密碼,使用混合身份驗證,加強資料庫日誌的記錄,審核資料庫登陸事件的”成功和失敗”.刪除一些不需要的和危險的OLE自動存儲過程(會造成 企業管理 器中部分功能不能使用),這些過程包括如下:
Sp_OAcreate Sp_OADestroy Sp_OAGetErrorInfo Sp_OAGetProperty
Sp_OAMethod Sp_OASetProperty Sp_OAStop
去掉不需要的注冊表訪問過程,包括有:
Xp_regaddmultistring Xp_regdeletekey Xp_regdeletevalue
Xp_regenumvalues Xp_regread Xp_regremovemultistring
Xp_regwrite
去掉其他系統存儲過程,如果認為還有威脅,當然要小心drop這些過程,可以在測試機器上測試,保證正常的系統能完成工作,這些過程包括:
xp_cmdshell xp_dirtree xp_dropwebtask sp_addsrvrolemember
xp_makewebtask xp_runwebtask xp_subdirs sp_addlogin
sp_addextendedproc
在實例屬性中選擇TCP/IP協議的屬性。選擇隱藏 SQL Server 實例可防止對1434埠的探測,可修改默認使用的1433埠。除去資料庫的guest賬戶把未經認可的使用者據之在外。 例外情況是master和 tempdb 資料庫,因為對他們guest帳戶是必需的。另外注意設置好各個資料庫用戶的許可權,對於這些用戶只給予所在資料庫的一些許可權。在程序中不要用sa用戶去連接任何資料庫。網路上有建議大家使用協議加密的,千萬不要這么做,否則你只能重裝MSSQL了。
2. Web伺服器配置方法教程
伺服器是一種高性能計算機,作為網路的節點,存儲、處理網路上80%的數據、信息,因此也被稱為網路的靈魂。那麼該如何配置Web伺服器呢?如果你不知道,請看我整理的Web伺服器配置方法詳解吧!
2、單擊窗口中的“添加/刪除Windows組件”圖標,彈出“Windows組件向導”對話框。
3、選中“向導”中的“應用程序伺服器”復選框。單擊“詳細信息”按鈕,彈出“應用程序伺服器”對話框。
4、選擇需要的組件,其中“Internet信息服務(IIS)”和“應用程序伺服器控制台”是必須選中的。選中“Internet信息服務(IIS)”後,再單擊“詳細信息”按鈕,彈出“Internet信息服務(IIS)”對話框。
5、選中“Internet信息服務管理器”和“萬維網服務”。並且選中“萬維網服務”後,再單擊“詳細信息”按鈕,彈出“萬維網服務”對話框。
6、其中的“萬維網服務”必須選中。如果想要伺服器支持ASP,還應該選中“Active Server Pages”。逐個單擊“確定”按鈕,關閉各對話框,直到返回圖1的“Windows組件向導”對話框。
7、單擊“下一步”按鈕,系統開始IIS的安裝,這期間可能要求插入Windows Server 2003安裝盤,系統會自動進行安裝工作。
8、安裝完成後,彈出提示安裝成功的對話框,單擊“確定”按鈕就完成了IIS的安裝。
友情提示:如果想要同時裝入FTP伺服器,在“Internet信息服務(IIS)”對話框中應該把“文件傳輸協議(FTP)服務”的復選框也選中。
在IIS中創建Web網站
打開“Internet 信息服務管理器”,在目錄樹的“網站”上單擊右鍵,在右鍵菜單中選擇“新建→網站”,彈出“網站創建向導”:
網站描述就是網站的名字,它會顯示在IIS窗口的目錄樹中,方便管理員識別各個站點。本例中起名為“枝葉的網站”。
網站IP地址:如果選擇“全部未分配”,則伺服器會將本機所有IP地址綁定在該網站上,這個選項適合於伺服器中只有這一個網站的情況。也可以從 下拉式列表框中選擇一個IP地址(下拉式列表框中列出的是本機已配置的IP地址,如果沒有,應該先為本機配置IP地址,再選擇。)
TCP埠:一般使用默認的埠號80,如果改為其它值,則用戶在訪問該站點時必須在地址中加入埠號。
主機頭:如果該站點已經有域名,可以在主機頭中輸入域名。
主目錄路徑是網站根目錄的位置,可以用“瀏覽”按鈕選擇一個文件夾作為網站的主目錄。
網站訪問許可權是限定用戶訪問網站時的許可權,“讀取”是必需的,“運行腳本”可以讓站點支持ASP,其它許可權可根據需要設置。
單擊“下一步”,彈出“完成向導”對話框,就完成了新網站的創建過程,在IIS中可以看到新建的網站。把做好的網頁和相關文件復制到主目錄中,通常就可以訪問這個網站了。
訪問網站的方法是:如果在本機上訪問,可以在瀏覽器的地址欄中輸入“http://localhost/”;如果在網路中其它計算機上訪問,可以在瀏覽器的地址欄中輸入“http://網站IP地址”。
說明:如果網站的TCP埠不是80,在地址中還需加上埠號。假設TCP埠設置為8080,則訪問地址應寫為“http://localhost:8080/”或“http://網站IP地址:8080”。
網站的基本配置
如果需要修改網站的參數,可以在“網站名字”上單擊右鍵,在右鍵菜單中選擇“屬性”,可以打開“網站屬性”對話框。
1、“網站”標簽
“網站標識”:可以設置網站名字、IP地址、埠號。單擊“高級”按鈕可以設置主機頭名。
2、“主目錄”標簽
在本地路徑中可以設置主目錄的路徑名和訪問許可權。
3、“文檔”標簽
默認文檔是指訪問一個網站時想要打開的默認網頁,這個網頁通常是該網站的主頁。如果沒有啟用默認文檔或網站的主頁文件名不在默認文檔列表中,則訪問這個網站時需要在地址中指明文件名。
默認文檔列表中最初只有4個文件名:Default.htm、Default.asp、index.htm和Default.aspx。我用 “添加”按鈕加入了一個index.asp,並用“上移”按鈕把它移到了頂部。這主要是因為我的網站的主頁名為“index.asp”,所以應該把它加入 列表,至於是否位於列表頂部倒是無關緊要的。
經過以上配置,一個Web網站就可以使用了。把製作好的網頁復制到網站的主目錄中,網站主頁的文件名應該包含在默認文檔中。打開瀏覽器,在地址欄中輸入“http://本機IP地址”,就可以打開網站的主頁。其它頁面可以用網頁中的超鏈接打開。
虛擬目錄
虛擬目錄可以使一個網站不必把所有內容都放置在主目錄內。虛擬目錄從用戶的角度來看仍在主目錄之內,但實際位置可以在計算機的其它位置,而且虛擬目錄的名字也可以與真實目錄不同。如:
圖中用戶看到的一個位於主目錄下的文件夾“pic”,它的真實位置在伺服器的“D:myimage”處,而主目錄位於“C:mywww” 處。假設該網站的域名是“www.abc.com”,則用戶訪問“http://www.abc.com/pic/文件1”時,訪問的實際位置是伺服器的 “D:myimage文件1”,所以虛擬目錄的真實名字和位置對用戶是不可知的。
創建虛擬目錄的方法 :
打開 Internet 信息服務窗口,在想要創建虛擬目錄的 Web 站點上 單擊右鍵,選擇“新建”→“虛擬目錄”。彈出虛擬目錄創建向導:
別名是映射後的名字,即客戶訪問時的名字;
路徑:伺服器上的真實路徑名,即虛擬目錄的實際位置;
訪問許可權:指客戶對該目錄的訪問許可權。
單擊“下一步”按鈕,彈出完成對話框,虛擬目錄就建立成功了。把相關文件復制到虛擬目錄中,用戶就可以按照虛擬的樹形結構訪問到指定文件了。
通常虛擬目錄的訪問許可權、默認文檔等都繼承自主目錄,如果需要修改,可在“Internet 信息服務管理器”中的虛擬目錄上單擊右鍵,選擇“屬性”,就可以修改虛擬目錄的參數設置了。
補充:伺服器介紹
伺服器,也稱伺服器,是提供計算服務的設備。由於伺服器需要響應服務請求,並進行處理,因此一般來說伺服器應具備承擔服務並且保障服務的能力。
伺服器的構成包括處理器、硬碟、內存、系統匯流排等,和通用的計算機架構類似,但是由於需要提供高可靠的服務,因此在處理能力、穩定性、可靠性、安全性、可擴展性、可管理性等方面要求較高。
在網路環境下,根據伺服器提供的服務類型不同,分為文件伺服器,資料庫伺服器,應用程序伺服器,WEB伺服器等。
相關閱讀:伺服器常見問題有哪些
1.系統藍屏、頻繁死機、重啟、反映速度遲鈍
伺服器的與我們平常電腦不論是硬體結構還是運行系統,都是極其類似的。因此,就如同我們的電腦一樣,一樣可能會感染病毒,同樣會因為系統漏洞、軟體沖突、硬體故障導致死機、藍屏、重啟等故障,同樣會因為垃圾緩存信息過多而導致反應遲鈍。
2.遠程桌面連接超出最大連接數
由於伺服器默認為允許連接數為2個,如果登陸後忘記注銷,而是直接關閉遠程桌面的話,伺服器識別此次登陸還是留在伺服器端的。出現這種情況,最常見的就是重啟伺服器,但是,如果是高峰期,重啟伺服器帶來的損失是顯而易見的。那麼此時,就可以利用mstsc/console指令進行強行登陸了。打開“運行”框,鍵入“mstsc/v:xxx.xxx.xxx.xxx(伺服器IP)/console”,即可強行登陸到遠程桌面了。
3.無法刪除的文件該怎麼清理
遇到這種情況,可能是該文件還在運行中,可以重啟刪之,或者運行CMD,輸入arrtib-a-s-h-r想要刪除的文件夾名,最後輸入del想要刪除的文件夾名即可刪除,運行該命令後無法恢復,請慎用。
4.系統埠隱患
對於伺服器來說,首要保障穩定性和安全性。因此,我們僅需保證伺服器最基本的功能即可,就像音效卡都是默認禁止的。我們並不需要太多的功能,也不需要太多的埠支持。像一些不必要,而且風險較高的埠大可封掉。而一些必要的,又有風險的埠,比如:3389、80等埠,我們可以通過修改注冊表的方法將其設置不特殊的秘密埠,這樣伺服器埠的安全隱患就不復存在了。
3. 如何配置web asp
給你詳細講一下:
1,配置資料庫:安裝sql2005,打開企業管理器,把下載的資料庫附加到本地資料庫伺服器,修改密碼為sa
2,修改配置文件WEB.CONFIG,把你上面的節點:
<appSettings>
<add key="ConnectionString" value="Server=.\sqlexpress;DataBase=db_Blog;uid=sa;pwd=sa"/>
</appSettings>
修改為
<appSettings>
<add key="ConnectionString" value="Server=你的sql伺服器名字;DataBase=附加上去的資料庫名字;uid=sa;pwd=sa"/>
</appSettings>
-----uid=sa;pwd=sa前面為用戶名,後面為密碼
4. web伺服器怎麼設置
1 打開控制面板,使用它的添加/刪除程序功能,選擇「添加/刪除WINDOWS組件」
2選取INTERNET信息服務(IIS)並單擊詳細信息按鈕,選擇需要安裝訴IIS子組件,然後單擊確定按鈕開始安裝。安裝成功之後,只要啟動WINDWOS,IIS就會自動啟動。
3打開控制面板中的管理工具,雙擊INTERNET服務管理器圖標,屏幕顯示INTERNET信息服務窗口,按一下計算機名稱旁的加號,選擇默認WEB站點,單南滑鼠右鍵選取屬性。
4設置IP地址。在默認WEB站點屬性窗口中,單南WEB站點選項卡,按一下「IP地址」下拉列表框,選擇WEB伺服器要連接的IP地址。如果設置為「全部未分配」,則表示WEB伺服器會連接本地計算機的所有IP地址
5設置主目錄。單擊主目錄標簽,可以更改本地路徑,也可以更改此目錄開放的許可權。本地路徑指的是當輸入地址為本計算機IP地址時,此地址的實際路徑「C:\INTEPUB\WWWROOT」。只要將網頁放在這個目錄中,別人就可以輸入本機IP地址來瀏覽了
6設置默認文檔。單擊文檔選項卡,可以看到站點默認的主頁名稱為DEFAULT.htm,default.asp等。默認文檔的用途是當輸放的網址為計算機的IP地址時,瀏覽器會自動讀取與默認當檔相同名稱的文件。默認文檔可以更改。
5. 網上下的ASP源碼,新手不知道如何配置WEB.CONFIG這個文件
這個web.config文件告訴你配置資料庫,也許你資料庫都沒安裝吧,還有404頁面,首頁之類的,你先放在開發工具裡面調試下,當然不排除有些代碼是壞的,沒處理好可以再找額另外修改
6. asp web伺服器是什麼配置的
在windows伺服器中一般使用 IIS配置的建站環境。