web服务器安全设置(web安全和服务器安全的价值)
大家好,今天就和小鸥一起来看看这个问题吧 。web安全和服务器安全的价值,web服务器安全设置很多人还不知道,现在让我们一起来看看吧!
web服务器安全设置, IIS相关设置
删除默认建立的站点的虚拟目录,停止默认网站,删除对应的文件目录c:inetpub,配置所有站点的公共设置,设置相关的连接限制、带宽设置、性能设置等设置。配置应用映射,删除所有不必要的应用扩展,只保留asp、php、cgi、pl、aspx应用扩展。对于php和cgi,解析推荐isapi,而exe会影响安全性和性能。用户调试设置向客户发送文本错误消息。
对于数据库,尽量使用mdb后缀,而不是asp。您可以在IIS中设置mdb的扩展映射,并使用不相关的dll文件(如C:WINNTsystem32inetsrvssinc.dll)来防止数据库被下载。设置IIS的日志保存目录,调整日志信息。设置发送文本错误信息。修改403错误页面并将其转到其他页面会阻止某些扫描仪检测。另外,为了隐藏系统信息,防止系统版本信息从telnet泄露到80端口,可以修改IIS的banner信息,可以用winhex手动修改,也可以用banneredit等相关软件修改。
对于用户站点所在的目录,这里有一个解释。对应用户的FTP根目录有三个文件,wwwroot、database和logfiles,分别存储站点的站点文件、数据库备份和日志。一旦发生入侵事件,可以对用户站点所在的目录设置特定的权限。图片所在的目录只给目录列表权限,程序所在的目录如果不需要生成文件(比如生成html的程序)就不给写权限。因为虚拟主机通常不可能对脚本安全性一丝不苟。
方法
要从用户脚本提升权限:
二、web服务器安全设置, ASP安全设置
设置好权限和服务后,要防止asp木马,需要做到以下几点。在cmd窗口中运行以下命令:
regsvr 32/u c : \ WINNT \ System32 \ wshom . ocx
德尔c : \ WINNT \ System32 \ wshom . ocx
regsvr 32/u c : \ WINNT \ system32 \ shell32 . dll
del c : \ WINNT \ system32 \ shell 32 . dll
可以卸载wscript.shell、shell.application和wscript.network组件,可以有效防止asp木马通过wscript或shell.application执行命令,以及利用木马查看一些敏感的系统信息。另一种方法:可以取消上述文件的用户权限,重启IIS即可生效。但不推荐这种方法。
此外,对于FSO,因为用户程序需要使用它,所以不需要注销服务器上的组件。这里只提一下FSO的注意事项,在自动打开空间的虚商服务器上不需要使用。它只适用于手动打开的站点。你可以为需要和不需要FSO的站点设置两个组。需要FSO的用户组被授予执行c:winntsystem32scrrun.dll文件的权限,但是不需要FSO的用户组没有被授予权限。重新启动服务器以使其生效。
对于这样的设置结合上面的权限设置,你会发现海洋木马在这里已经失去作用了!
PHP的web服务器安全设置,安全设置
默认的php安装需要考虑以下事项:
C:\winnt\php.ini只能给用户读权限。需要在php.ini中进行以下设置:
安全模式=开
寄存器_全局=关
allow_url_fopen=Off
显示错误=关闭
magic _ quotes _ GPC=On[默认为On,但请再次检查]
Open_basedir=web目录
disable_functions=passthru,exec,shell_exec,system,phpinfo,get_cfg_var,popen,chmod
将默认的com.allow_dcom=true设置为false[修改前取消之前的;]
web服务器安全设置, MySQL安全设置
如果服务器上启用了MySQL数据库,则MySQL数据库的安全设置为:
删除mysql中的所有默认用户,只保留本地root账号,并为root用户添加复杂的密码。在赋予普通用户updatedeletealertcreatedrop的权限时,应该限定在特定的数据库,特别是防止普通用户拥有操作mysql数据库的权限。检查mysql.user表,取消不必要用户的shutdown _ priv、reload _ priv、process _ priv和File_priv权限,可能会泄露更多的服务器信息包括mysql以外的其他信息。可以为mysql设置。
Serv-u安全问题:
安装程序尽量采用最新版本,避免采用默认安装目录,设置好serv-u目录所在的权限,设置一个复杂的管理员密码。修改serv-u的banner信息,设置被动模式端口范围(4001—4003)在本地服务器中设置中做好相关安全设置:包括检查匿名密码,禁用反超时调度,拦截“FTP bounce”攻击和FXP,对于在30秒内连接超过3次的用户拦截10分钟。域中的设置为:要求复杂密码,目录只使用小写字母,高级中设置取消允许使用MDTM命令更改文件的日期。
更改serv-u的启动用户:在系统中新建一个用户,设置一个复杂点的密码,不属于任何组。将servu的安装目录给予该用户完全控制权限。建立一个FTP根目录,需要给予这个用户该目录完全控制权限,因为所有的ftp用户上传,删除,更改文件都是继承了该用户的权限,否则无法操作文件。另外需要给该目录以上的上级目录给该用户的读取权限,否则会在连接的时候出现530 Not logged in, home directory does not exist。比如在测试的时候ftp根目录为d:soft,必须给d盘该用户的读取权限,为了安全取消d盘其他文件夹的继承权限。而一般的使用默认的system启动就没有这些问题,因为system一般都拥有这些权限的。
web服务器安全设置五、数据库服务器的安全设置
对于专用的MSSQL数据库服务器,按照上文所讲的设置TCP/IP筛选和IP策略,对外只开放1433和5631端口。对于MSSQL首先需要为sa设置一个强壮的密码,使用混合身份验证,加强数据库日志的记录,审核数据库登陆事件的”成功和失败”.删除一些不需要的和危险的OLE自动存储过程(会造成企业管理器中部分功能不能使用),这些过程包括如下:
Sp_OAcreate Sp_OADestroy Sp_OAGetErrorInfo Sp_OAGetProperty
Sp_OAMethod Sp_OASetProperty Sp_OAStop
去掉不需要的注册表访问过程,包括有:
Xp_regaddmultistring Xp_regdeletekey Xp_regdeletevalue
Xp_regenumvalues Xp_regread Xp_regremovemultistring
Xp_regwrite
去掉其他系统存储过程,如果认为还有威胁,当然要小心drop这些过程,可以在测试机器上测试,保证正常的系统能完成工作,这些过程包括:
xp_cmdshell xp_dirtree xp_dropwebtask sp_addsrvrolemember
xp_makewebtask xp_runwebtask xp_subdirs sp_addlogin
sp_addextendedproc
在实例属性中选择TCP/IP协议的属性。选择隐藏 SQL Server 实例可防止对1434端口的探测,可修改默认使用的1433端口。除去数据库的guest账户把未经认可的使用者据之在外。 例外情况是master和 tempdb 数据库,因为对他们guest帐户是必需的。另外注意设置好各个数据库用户的权限,对于这些用户只给予所在数据库的一些权限。在程序中不要用sa用户去连接任何数据库。网络上有建议大家使用协议加密的,千万不要这么做,否则你只能重装MSSQL了。
看过文章“web服务器安全设置”的人还看了:
1.如何提升服务器安全等级
2.如何防护网络服务器安全
3.如何维护网络服务器安全
4.服务器如何防攻击
5.Windows服务器的基础安全加固方法
6.入侵服务器的基础知识
7.服务器怎么防攻击
8.怎么利用服务器的DHCP维护局域网安全
9.怎么设置网件PR2000为公共热点安全模式
10.服务器物理安全
这篇文章到此就结束,希望能帮助到大家。
扫描二维码推送至手机访问。
版权声明:文章内容摘自网络,如果无意之中侵犯了您的版权,请联系本站,本站将在3个工作日内删除。谢谢!