以下是小编整理的win服务器安全设置教程,本文共9篇,希望能够帮助到大家。
篇1:win服务器安全设置教程
服务器安全设置
1.系统盘和站点放置盘必须设置为NTFS格式,方便设置权限.
2.系统盘和站点放置盘除administrators和system的用户权限全部去除.
3.启用windows自带防火墙,只保留有用的端口,比如远程和Web,Ftp(3389,80,21)等等,有邮件服务器的还要打开25和130端口.
4.安装好SQL后进入目录搜索xplog70然后将找到的三个文件改名或者删除.
5.更改sa密码为你都不知道的超长密码,在任何情况下都不要用sa这个帐户.
6.改名系统默认帐户名并新建一个Administrator帐户作为陷阱帐户,设置超长密码,并去掉所有用户组.(就是在用户组那里设置为空即可.让这个帐号不属于任何用户组)同样改名禁用掉Guest用户.
7.配置帐户锁定策略(在运行中输入gpedit.msc回车,打开组策略编辑器,选择计算机配置-Windows设置-安全设置-账户策略-账户锁定策略,将账户设为“三次登陆无效”,“锁定时间30分钟”,“复位锁定计数设为30分钟”,
win2003服务器安全设置教程
,
)
8.在安全设置里本地策略-安全选项将
网络访问:可匿名访问的共享;
网络访问:可匿名访问的命名管道;
网络访问:可远程访问的注册表路径;
网络访问:可远程访问的注册表路径和子路径;
以上四项清空.
9.
篇2:WinRouteDHCP服务器设置服务器教程
服务器
由于该软件在局域网中用的比较多,为了能方便地给局域网中的每一台计算机分配IP地址,WinRoute 4.1版本提供了DHCP(动态IP地址分配)功能,通过该功能用户可以自动配置局域网上的每台计算机上的网络相关参数,
它的具体设置方法如下:
首先从菜单栏中选择“SETTINGS”菜单项,并单击其下拉菜单中的“DHCP SERVER”命令,程序将会弹出一个对话框。在弹出的对话框中首先应该选中“DHCP SERVER ENABLED”,接着用鼠标选中“DEFAULT OPTION”(默认选项)后按住“EDIT”按钮,程序将打开一个标题为“CHANGE DEFAULT OPTIONS”(修改缺省选项)的对话框,该对话框共提供了四个复选项,如果选中“DNS SERVER”表示起用域名转换功能,同时用户可以在右边的“SPECIFY”文本栏中输入因特网服务商提供的DNS服务器地址,
另外用户还必须选中“LEASE TIME”这一项来指定IP地址的释放时间,一般改成12小时就足够了。对缺省选项设置修改后,单击“OK”按钮返回图7所示的界面,在该界面中请用户单击“ADVANCED”(高级)按钮,在弹出的窗口中选中第一个复选项,表示为客户机在启动时使用动态IP表,这样客户机重新启动的时候就不会占用几个IP地址,第二个复选项表示客户机将自动从远程服务器上获得动态的IP地址。
接着用户可以单击图中界面中的“NEW SCOPE”按钮,在弹出的对话框中设置一个DHCP服务器上的动态IP地址分配范围,用户可以在“FROM”文本栏中填入一个起始地址,在“TO”文本栏后填入结束地址,在“MASK”文本栏中输入掩码的IP地址,通常为255.255.255.0,设置后单击“OK”按钮就完成了DHCP有关的参数设置工作。
篇3:Windows Advance Serve安全设置服务器教程
网络安全应该是网络管理的一个重点,如何构建安全的企业网,是每个企业网管的重要工作,Windows 2000 Advance Serve是比较流行的服务器操作系统之一,但是要想安全的配置微软的这个操作系统,却不是一件容易的事,下面我就自己的工作经验,谈谈Windows 2000 Advance Serve网络的安全设置.
一、定制自己的Windows 2000 Advance Serve
1. 版本的选择:Win2000有各种语言的版本,对于我们来说,可以选择英文版或简体中文版,我强烈建议:在语言不成为障碍的情况下,请一定使用英文版。要知道,微软的产品是以Bug & Patch而著称的,中文版的Bug远远多于英文版,而补丁一般还会迟至少半个月(也就是说一般微软公布了漏洞后你的机子还会有半个月处于无保护状况)。
2. 组件的安装:Win2000在默认情况下进行典型安装,不过这种安装的系统是脆弱的,不够安全的,根据安全原则,最少的服务+最小的权限=最大的安全。请根据自己服务器的所需要求做出合理的配置。
3.根据用途对服务器进行单独管理:就是说如果你根据企业的各种需要作出有不同功能的服务器,原则上是一台服务服务器只提供单独的服务,如域控制器,文件服务器,备份服务器,WEB服务器,FTP服务器等等。
二、合理安装Windows 2000 Advance Serve
1.安装Windows 2000 Advance Serve,建议最少CREATE两个分区,一个系统分区,一个应用程序分区。
2.顺序的选择:Windows 2000 Advance Serve在安装中有几个顺序是一定要注意的:
首先,Windows 2000 Advance Serve在安装时有一个漏洞,在你输入Administrator密码后,系统就建立了ADMIN$的共享,但是并没有用你刚刚输入的密码来保护它,这种情况一直持续到你再次启动后,在此期间,任何人都可以通过ADMIN$进入你的机器;只要安装一完成,各种服务就会自动运行,而这时的服务器是满身漏洞,非常容易进入的,因此,在完全安装并配置好Win2000 Server之前,一定不要把主机接入网络,
其次,补丁的安装:补丁的安装应该在所有应用程序安装完之后,因为补丁程序往往要替换/修改某些系统文件,如果先安装补丁再安装应用程序有可能导致补丁不能起到应有的效果。
三、安全配置Win2000 Server
即使正确的安装了Win2000 SERVER,系统还是有很多的漏洞,还需要进一步进行细致地配置。
1.PORT:PORT是计算机和外部网络相连的逻辑接口,端口配置正确与否直接影响到主机的安全,一般来说,仅打开你需要使用的端口会比较安全,配置的方法是在网卡属性-TCP/IP-高级-选项-TCP/IP筛选中启用TCP/IP筛选。
2.IIS:IIS是微软的组件中漏洞最多的一个,所以IIS的配置是我们的重点:
首先,DELTREE C:\INETPUB ,在c盘以外creat Inetpub在IIS管理器中将主目录指向x:\Inetpub;
其次,那个IIS安装时默认的什么scripts等虚拟目录一概删除
第三,应用程序配置:在IIS管理器中删除必须之外的任何无用映射,必须指的是ASP, ASA和其他你确实需要用到的文件类型,例如你用到stml等(使用server side include),实际上90%的主机有了上面两个映射就够了,在IIS管理器中右击主机->属性->WWW服务 编辑->主目录 配置->应用程序映射,删除你不需要的映射。
最后,为了保险起见,你可以使用IIS的备份功能,将刚刚的设定全部备份下来,这样就可以随时恢复IIS的安全配置。
责编:豆豆技术应用
篇4:win 服务器安全配置教程linux网页制作
1、选择大量用户使用,官方有技术支持的程序;或者选择冷门的程序,越冷越好,
比如discuz或者dedecms都不错,虽然有各种各样的漏洞层出不穷,但是修补的也快,只要你及时打补丁,网站还是蛮安全的。当然,你也可以剑走偏锋,选择冷门的程序,没有多少人用的程序,当然研究其漏洞的人也少咯,比如安全天使开发的sablog就不错,小众化,而且本身也安全可靠,啥时候见他爆过漏洞呢?
2、有条件的自行对代码进行安全检测和二次开发。
有条件的电商们,一定要对这些开源的程序进行二次开发,二次开发不仅可以满足电子商务需求,还可以修补大量官方未发现的漏洞0day(如sql注入,跨站xss,session欺骗等漏洞),让你的网站更安全。
3、关闭服务器不必要的服务和进程。越少的服务,越少的攻击。
你啥时候见过freebsd出现过漏洞?相反的,功能强大的window那不是天天出漏洞么?功能越多,就需要在各方面都考虑安全因素,一个点没有考虑到,那就是毁灭性的打击,服务的配置可以按照以下所示进行配置:
web+数据库教程一机服务器:开启web服务;开启iis服务;开启sql/mysql教程服务;安装filezilla ftp服务器软件(不要用serv-u,满是漏洞,你懂的);防火墙通过80、21;1433或3306就不要开启了,连接数据库直接通过本地连接,不要给入侵者任何机会;
数据库单服务器:开启sql/mysql服务;安装filezilla ftp服务器软件(用来上传下载备份数据库);防火墙只通过21端口;
总之就是需要什么就开启什么,不需要的服务和软件一律关闭,端口一定要过滤好,
图示如下:
服务的开启与停用(控制面板---管理工具---服务):
端口的开启与过滤(控制面板---防火墙): 4、iis要配置好,目录权限也要配置好。iis删除不必要的映射,不要给目录执行权限,每个网站对应一个guest权限账户,切忌,不要偷懒所有网站都用同一个账户!!!
配置图示如下:
iis删除映射&目前权限配置:
iis目录账户绑定设置: 做好以上这些基本安全设置后,如果企业网站是access数据库,记得做好防下载设置,另外就是把网站后台管理系统修改的复杂点,并且限制ip访问,同时把网站管理密码,以及跟服务器相关的所有账户密码都设置一个复杂的密码,并且定期更改,当然如果你怕忘记密码的话,可以用将账户密码写到纸上保存,切忌,不要保存在自己私人电脑上!好了,做了以上基本工作,再给服务器安装一个杀毒软件(360杀毒即可,单独安装杀毒不安装安全卫士),定期打系统补丁,服务器就安全多了,最起码一些小菜 们想入侵你的网站的话,就得下点功夫才行咯。
篇5:自动安装Win 操作系统服务器教程
自动安装
1.整个安装过程不需要你参与,像Windows 98全自动安装一样,
2.自动将Windows 2000的分区格式为NTFS。
3.自动将Windows 2000安装到当前活动分区C盘。
二、有关准备
1.要有一张Windows 2000启动安装光盘。
2.你的主板BIOS支持从光驱启动。
3.制作全自动安装控制文件winnt.sif。
4.一张空白软盘。
5.对当前活动分区C盘(可以是多C盘,不一定非要第一硬盘的第一分区,可以是第二分区,但该分区必须被激活)的重要数据做备份,因为安装时会自动格式化C盘,把Windows2000装在C盘。
三、winnt.sif制作过程:
1.用记事本打开winnt.sif,内容如下:
[Unattended]
UnattendMode=FullUnattended
emSkipEula=Yes
emPreinstall=Yes
TargetPath=WINNT
FileSystem=ConvertNTFS
Repartition=Yes
ExtendOemPartition=1
[Data]
UnattendedInstall=Yes
MSDosInitiated=No
AutoPartition=1
[GuiUnattended]
AdminPassword=YourPassword
EMSkipRegional=1
TimeZone=20
emSkipWelcome=1
[UserData]
FullName=“Information Technology - TSS”
rgName=“University of Houston”
ComputerName=TheTest
ProductID=序列号
[Display]
BitsPerPel=16
Xresolution=800
YResolution=600
Vrefresh=72
[Identification]
JoinWorkgroup = UH_IT
[Networking]
InstallDefaultComponents=Yes
2.在[UserDate]段,填入你自己Windows 2000的序列号,
3.把AdminPassword=YourPassword中的YourPassword改为你要采用的管理员密码。
4.把上述修改后的winnt.sif拷至一张空白的软盘中。
5.修改主板的启动顺序为:CDROM C A
6.将带有winnt.sif文件的软盘放入软驱,将可引导Windows 2000的光盘放入光驱,开机从光盘启动。
7.当带有“Windows 2000 Setup”的蓝色安装屏幕出现时,计算机会自动读一下软驱上的文件,装入winnt.sif进行全自动安装。
8.你可以到外面逛一圈,过40分钟后回来,发现你的系统Windows 2000已经装好了。
篇6:Win 检测系统安全清单服务器教程
安全
服务器应该安放在安装了监视器的隔离房间内,并且监视器要保留15天以上的摄像记录,Win 2000检测系统安全清单(1)服务器教程
。另外,机箱,键盘,电脑桌抽屉要上锁,以确保旁人即使进入房间也无法使用电脑,钥匙要放在另外的安全的地方。2.停掉Guest 帐号
在计算机管理的用户里面把guest帐号停用掉,任何时候都不允许guest帐号登陆系统。为了保险起见,最好给guest 加一个复杂的密码,你可以打开记事本,在里面输入一串包含特殊字符,数字,字母的长字符串,然后把它作为guest帐号的密码拷进去。
3.限制不必要的用户数量
去掉所有的duplicate user 帐户, 测试用帐户, 共享帐号,普通部门帐号等等。用户组策略设置相应权限,并且经常检查系统的帐户,删除已经不在使用的帐户。这些帐户很多时候都是 们入侵系统的突破口,系统的帐户越多, 们得到合法用户的权限可能性一般也就越大。国内的nt/2000主机,如果系统帐户超过10个,一般都能找出一两个弱口令帐户。我曾经发现一台主机197个帐户中竟然有180个帐号都是弱口令帐户。
4.创建2个管理员用帐号
虽然这点看上去和上面这点有些矛盾,但事实上是服从上面的规则的,
创建一个一般权限帐号用来收信以及处理一些日常事物,另一个拥有Administrators 权限的帐户只在需要的时候使用。可以让管理员使用 “ RunAS” 命令来执行一些需要特权才能作的一些工作,以方便管理。
5.把系统administrator帐号改名
大家都知道,windows 2000 的administrator帐号是不能被停用的,这意味着别人可以一遍又一边的尝试这个帐户的密码。把Administrator帐户改名可以有效的防止这一点。当然,请不要使用Admin之类的名字,改了等于没改,尽量把它伪装成普通用户,比如改成:guestone 。
6.创建一个陷阱帐号
什么是陷阱帐号? Look!>创建一个名为” Administrator”的本地帐户,把它的权限设置成最低,什么事也干不了的那种,并且加上一个超过10位的超级复杂密码。这样可以让那些 Scripts s忙上一段时间了,并且可以借此发现它们的入侵企图。或者在它的login scripts上面做点手脚。嘿嘿,够损!
7.把共享文件的权限从”everyone”组改成“授权用户”
“everyone” 在win2000中意味着任何有权进入你的网络的用户都能够获得这些共享资料。任何时候都不要把共享文件的用户设置成”everyone”组。包括打印共享,默认的属性就是”everyone”组的,一定不要忘了改。
篇7:Win 常用系统进程列表服务器教程
进程
Windows 2000/XP 的任务管理器是一个非常有用的工具,它能提供我们很多信息,比如现在系统中运行的程序(进程),但是面对那些文件可执行文件名我们可能有点茫然,不知道它们是做什么的,会不会有可疑进程(病毒,木马等),本文的目的就是提供一些常用的Windows 2000 中的进程名,并简单说明它们的用处。
在Windows 2000 中,系统包含以下缺省进程:
Csrss.exe
Explorer.exe
Internat.exe
Lsass.exe
Mstask.exe
Smss.exe
Spoolsv.exe
Svchost.exe
Services.exe
System
System Idle Process
Taskmgr.exe
Winlogon.exe
Winmgmt.exe
下面列出付嗟慕程和它们的简要说明
匠堂描
smss.exeSessionManager
csrss.exe 子系统肺衿鹘程
winlogon.exe管理用户登
services.exe昂很多系统服务
lsass.exe 管 IP 安全策略以及启动 ISAKMP/Oakley (IKE) 和 IP 安全驱动程序。
svchost.exe Windows 2000/XP 的文件保护系统
SPOOLSV.EXE 轿募加载到内存中以便迟后打印。)
explorer.exe资源管理
internat.exe托盘堑钠匆敉急)
mstask.exe允许程序在指定时间运行
regsvc.exe允许远程注册表操作(系统服务)->remoteregister
winmgmt.exe 提供系统管理信(系统服务)。
inetinfo.exemsftpsvc,w3svc,iisadmn
tlntsvr.exe tlnrsvr
tftpd.exe 实 TFTP Internet 标准。该标准不要求用户名和密码。
termsrv.exe termservice
dns.exe 应答对域孟低(DNS)名称的查询和更新请求。
tcpsvcs.exe 提供 PXE 可远程启动客户计算机上远程安装 Windows 2000 Professional 的能力,
ismserv.exe 允许 Windows Advanced Server 站点间发送和接收消息。
ups.exe 管理两拥郊扑慊的不间断电源(UPS)。
wins.exe巫⒉岷徒馕 NetBIOS 型名称的 TCP/IP 客户提供 NetBIOS 名称服务。
llssrv.exe证书记录肺
ntfrs.exe 在多个肺衿骷湮护文件目录内容的文件同步。
RsSub.exe 控制用来远程储存示莸拿教濉
locator.exe 管 RPC 名称服务数据库。
lserver.exe 注册客户端许可证
dfssvc.exe管理分布于局域突蚬阌蛲的逻辑卷。
clipsrv.exe 支持“剪滩静榭雌鳌保以便可以从远程剪贴簿查阅剪贴页面。
msdtc.exe 并列事务J欠植加诹礁鲆陨系氖据库,消息队列,文件系统或其它事务保护护资源管理器。
faxsvc.exe帮帜发送和接收传真。
cisvc.exe 索曳务
dmadmin.exe 磁盘管理请求的系统管理肺瘛
mnmsrvc.exe 允许有权限的用皇褂 NetMeeting 远程访问 Windows 桌面。
netdde.exe提供短数据交换 (DDE) 的网络传输和安全特性。
smlogsvc.exe配置性能日志和颈ā
rsvp.exe我览抵柿糠务(QoS)的程序和控制应用程序提供网络信号和本地通信控制安装功功能。
RsEng.exe 械饔美创⒋娌怀S檬据的服务和管理工具。
RsFsa.exe 管理远程储存的文嫉牟僮鳌
grovel.exe擅枇惚阜荽娲(SIS)卷上的重复文件,并且将重复文件指向一个数据存储点,以节省磁盘空间(只对 NTFS 文件系统有用)。
SCardSvr.ex 对插入在计算恢悄芸ㄔ亩疗髦械闹悄芸进行管理和访问控制。
snmp.exe昂代理程序可以监视网络设备的活动并且向网络控制台工作站汇报。
snmptrap.exe接收由本地或远 SNMP 代理程序产生的陷阱(trap)消息,然后将消息传递到运行在这台计算机上 SNMP 管理程序。
UtilMan.exe 从一个窗口中启逗团渲酶ㄖ工具。
msiexec.exe依 .MSI 文件中包含的命令来安装、修复以及删除软件。
总结: 发现可疑进程的秘诀就是要多看任务管理器中的进程列表,看多了以后,一眼就可以发现可可疑进程,就象找一群熟悉人中的陌生人一样。
篇8:Win 2K中如何恢复你的个人设置服务器教程
恢复
Win 2K对不同的用户设置了不同的配置文件, 只要将配置文件恢复就可以找回原来的界面Win 2K 一般是把个人配置文件放在X:\Documents and Settings子目录下(X是Win 2K安装的逻辑盘符),里面有若干个文件夹,分别对应不同的Win 2K用户,Win 2K中如何恢复你的个人设置服务器教程
。如果你使用的用户名是Administrator,那么只需要恢复这个用户名下的个人配置就可以了。具体方法如下:
1、在系统桌面上用鼠标左键单击 开始--〉程序--〉管理工具--〉计算机管理,打开本地用户和祖,
2、再弹出窗口的右边选择Administrator这个用户名,用鼠标左键双击打开它的属性窗口,然后选择“配置文件“。
3、在“配置文件路径“框内添入你要恢复的配置文件所在的路径即X:\Document and Settings\Administrator),单击 确定 保存设置并关闭窗口。
4、最后打开配置文件所在的目录,将其中的NTUSER.dat文件改名为NTUSER.man,重启即可。
篇9:如何安全设置ApacheWeb服务器
Apache是世界使用排名第一的Web服务器软件。它可以运行在几乎所有广泛使用的计算机平台上,由于其跨平台和安全性被广泛使用,是最流行的Web服务器端软件之一。
HTTP拒绝服务攻击
攻击者通过某些手段使服务器拒绝对http应答,这使Apache对系统资源(cup时间与内存)需求巨增,最终造成系统变慢甚至完全瘫痪,Apache服务器最大的缺点是,它的普遍性使它成为众矢之的,Apache服务器无时无刻不受到DoS攻击威胁,主要有下边几种
1.数据包洪水攻击
一种中断服务器或本地网络的方法是数据包洪水攻击,它通常使用internet控制报文协议(ICMP,属于网络层协议)包或是udp包,在最简单的形式下,这些攻击都是使服务器或网络负载过重,这意味这攻击者的网络速度必须比目标主机网络速度要快,使用udp包的优势是不会有任何包返回到黑客的计算机(udp效率要比tcp高17倍),而使用ICMP包的优势是攻击者能让攻击更加富与变化,发送有缺陷的包会搞乱并锁住受害者的网络,目前流行的趋势是攻击者欺骗服务器,让其相信正在受来自自身的洪水攻击.
2.磁盘攻击
这是一种很不道德的攻击,它不仅影响计算机的通信,还破坏其硬件,伪造的用户请求利用写命令攻击目标计算机硬盘,让其超过极限,并强制关闭,结局很悲惨.
3.路由不可达
通常DoS攻击,集中在路由器上,攻击者首先获得控制权并操纵目标机器,当攻击者能更改路由表条目时候,会导致整个网络无法通信,这种攻击很阴险,隐蔽,因为网络管理员需要排除的网络不通原因很多,其中一些原因需要详细分辨.
4.分布式拒绝服务攻击
这也是最具有威胁的DDoS攻击,名称很容易理解,简单说就是群欧,很多客户机同时单条服务器,你会发现你将伤痕累累,Apache服务器特别容易受到攻击,无论是DDos还是隐藏来源的攻击,因为Apache无处不在,特别是为Apache特意打造的病毒(特选SSL蠕虫),潜伏在许多主机上,攻击者通过病毒可以操纵大量被感染的机器,对特定目标发动一次浩大的DDoS攻击,通过将蠕虫散播到大量主机,大规模的点对点攻击得以进行,除非你不提供服务,要不然几乎无法阻止这样的攻击,这种攻击通常会定位到大型的网站上.
5.缓冲区溢出
这种攻击很普遍,攻击者利用CGI程序编写一些缺陷程序偏离正常的流程,程序使用静态的内存分配,攻击者就可以发送一个超长的请求使缓冲区溢出,比如,一些perl编写的处理用户请求的网关脚本,一但缓冲区溢出,攻击者就可以执行恶意指令.
6.非法获取root权限
如果Apache以root权限运行,系统上一些程序的逻辑缺陷或缓冲区溢出漏洞,会让攻击者很容易在本地系统获取linux服务器上的管理者权限,在一些远程情况下,攻击者会利用一些以root身份执行的有缺陷的系统守护进程来取得root权限,或利用有缺陷的服务进程漏洞来取得普通用户权限,以远程登陆,进而控制整个系统.
这边这些都是服务将会遇到的攻击手段,下边来说,如何打造安全的Apache服务器,如果你能遵守下边这些建议,那么你将得到一台相对安全的apache服务器.
一:勤打补丁
你必须要相信这个是最有用的手段,缓冲区溢出等漏洞都必须使用这种手段来防御,勤快点相信对你没有坏处,在http:www.apache.org上最新的changelog中都写有:bug fix,security bug fix的字样,做为负责任的管理员要经常关注相关漏洞,及时升级系统添加补丁.使用最新安全版本对加强apache至关重要.
二:隐藏和伪装Apache的版本
打乱攻击者的步骤,给攻击者带来麻烦,相信是管理员愿意看到的.软件的漏洞信息和版本是相关的,在攻击者收集你服务软件信息时候给与迷惑是个不错的选择,何况版本号,对攻击者来说相当与GPS定位一样重要,默认情况,系统会把apache版本模块都显示出来(http返回头),如果列举目录的话,会显示域名信息(文件列表正文),去除Apache版本号的方法是修改配置文件,找到关键字,修改为下边:
ServerSignature off
ServerTokens prod 通过分析web服务器类型,大致可以推测操作系统类型,win使用iis,linux普遍apache,默认的Apache配置里没有任何信息保护机制,并且允许目录浏览,通过目录浏览,通常可以得到类似“apache/1.37 Server at apache.linuxforum.net Port 80”或“apache/2.0.49(unix)PHP/4.3.8”的信息,通过修改配置文件中的ServerTokens参数,可以将Apache的相关信息隐藏起来,如果不行的话,可能是提示信息被编译在程序里了,要隐藏需要修改apache的源代码,然后重新编译程序,以替换内容:
编辑ap_release.h文件,修改
“#define AP_SERVER_BASEPRODUCT”“Apache”“”
为
“#define AP_SERVER_BASEPRODUCT”“Microsoft-IIS/5.0”“
编辑os/unix/os.h文件,修改
”#define PLATFORM“”Unix“”“
为
”#define PLATFORM“'Win32”
修改完成后,重新编译,安装apache,在修改配置文件为上边做过的,再次启动apache后,用工具扫描,发现提示信息中已经显示为windows操作系统了顺便说下,现在这个论坛,就有点不太讲究,这是论坛错误的返回信息,看了有点汗地感觉,Apache/2.2.8(Ubuntu)DAV/2 SVN/1.4.6 mod_ssl/2.2.8 OpenSSL/0.9.8g Server at forum.ubuntu.org.cn Port 80这个等于告诉恶意用户很多有用信息,虽然说不算开了门,但等于被告诉了门在那里,还是相当危险的.
三:建立安全的目录结构apache服务器包括四个目录结构
ServerRoot #保存配置文件,二进制文件与其他服务器配置文件
DocumentRoot #保存web站点内容,包括HTML文件和图片等
ScripAlias #保存CGI脚本
Customlog #保存日志
Errorlog #保存错误日志
建议的目录结构为,以上四种目录相互独立并且不存在父子逻辑关系
注:
ServerRoot目录只能为root用户访问
DocumentRoot目录应该能够被管理web站点内容的用户访问和使用apache服务器的apache用户与组访问
ScripAlias目录应该只能被CGI开发人员和apache用户访问
Customlog和Errorlog只能被root访问
下边是一个安全目录结构的事例:
+-------/etc/
|
| +----/http (ServerRoot)
| +----/logs (Customlog和Errorlog)
|
+-------var/www
|
| +---/cgi-bin(ScripAlias)
| +---/html(DocumentRoot)
这样的目录结构是比较安全的,因为目录之间独立,某个目录权限错误不会影响到其他目录
四:为apache使用专门的用户与组
按照最小特权的原则,需要给apache分配一个合适的权限,让其能够完成web服务.
注:最小特权原则是系统安全中最基本的原则之一,限制使用者对系统及数据进行存取所需要的最小权限,保证用户可以完成任务,同时也确保被窃取或异常操作所造成的损失.
必须保证apache使用一个专门的用户与组,不要使用系统预定的帐户,比如nobody用户与nogroup组,因为只有root用户可以运行apache,DocumentRoot应该能够被管理web站点内容的用户访问和使用apache服务器的apache用户与组访问,例如,希望“test”用户在web站点发布内容,并且可以以httpd身份运行apache服务器,可以这样设定:
groupadd webteam
usermod -G webteam test
chown -R httpd.webteam /www/html
chmod -R 2570 /www/htdocs
只有root能访问日志,推荐这样的权限
chown -R root.root /etc/logs
chown -R 700 /etc/logs
五:web目录的访问策略
对于可以访问的web目录,要使用相对保守的途径进行访问,不要让用户查看任何目录索引列表
禁止使用目录索引:
apache在接到用户对一个目录的访问时,会查找DirectoryIndex指令指定的目录索引文件,默认为index.html,如果该文件不存在,那么apache会创建动态列表为用户显示该目录的内容,这样就会暴露web站点结构,因此需要修改配置文件禁止显示动态目录索引,修改httpd.conf
Options -Indexes FollowSymLinks
Options指令通知apache禁止使用目录索引,FollowSymLinks表示不允许使用符号连接.
禁止默认访问:
要的安全策略必须要禁止默认访问的存在,只对指定的目录开放权限,如果允许访问/var/www/html目录,使用如下设定
Order deny,allow
Allow from all
禁止用户重载:
为了禁止用户对目录配置文件(htaccess)进行重载(修改),可以这样设定
AllowOverride None
六:apache服务器访问控制
apache的access.conf文件负责设置文件的访问权限,可以实现互联网域名和ip地址的访问控制,如允许192.168.1.1到192.168.1.254的主机访问,可以这样设定
order deny,allow
deny from all
allow from pair 192.168.1.0/255.255.255.0
七:apache服务器的密码保护
.htaccess文件是apache上的一个设置文件,它是一个文本文件,.htaccess文件提供了针对目录改变配置的方法既通过在一个特定的文档目录中放置一个包含一个或多个指令的文件(.htaccess文件),以作用于此目录和子目录.
.htaccess的功能包括设置网页密码,设置发生错误时出现的文件,改变首业的文件名(如,index.html),禁止读取文件名,重新导向文件,加上MIME类别,禁止目录下的文件等.
注:.htaccess是一个完整的文件名,不是***.htaccess或其他格式,在/abc目录下放置一个.htaccess文件,那么/abc与它的子目录都会被这个文件影响,但/index.html不会被影响.
.htaccess的建立和使用比较复杂点,如果感兴趣的朋友可以回帖发问,这里就不具体写出来了,这种保护要比某些程序实现的保护安全,那种方法可以通过被猜测方法获取密码,用.htaccess很难被解除,但文本方式的验证会比较慢,对少量用户没影响,但对大量用户就必须使用带数据模块的验证了,这需要编译源代码时候开启模块,默认是不开启的.
八:让apache运行在“监牢”中
“监牢”的意思是指通过chroot机制来更改某个软件运行时所能看到的根目录,简单说,就是被限制在指定目录中,保证软件只能对该目录与子目录文件有所动作,从而保证整个服务器的安全,即使被破坏或侵入,损伤也不大.
以前,unix/linux上的daemon都是以root权限启动的,当时,这是一件理所当然的事情,像apache这样的服务器软件,需要绑定到80端口上来监听请求,而root是唯一有这种权限的用户,随着攻击手段和强度的增加,这样会使服务器受到相当大的威胁,一但被利用缓冲区溢出漏洞,就可以控制整个系统.现在的服务器设计通常以root启动,然后进程放弃root权限,改为某个低级的帐号运行.这种方式显然会降低对系统的危害,但攻击者还是会寻找漏洞提升权限,即使无法获得root权限,也可以删除文件,涂改主页等.
为了进一步提高系统安全性,linux内核引入chroot机制,chroot是内核中的一个系统调用,软件可以通过调用函数库的chroot函数,来更改某个进程所能见到的跟目录,比如,apache软件安装在/usr/local/httpd目录,以root启动apache,这个root权限的父进程会派生数个以nobody权限运行的子进程,父进程监听80端口,然后交给某个子进程处理,这时候子进程所处的目录续承父进程,即/usr/local/httpd目录,但是一但目录权限设定错误,被攻击的apache子进程可以访问/usr/local,/usr,/tmp甚至整个文件系统,因为apache进程所处的跟目录仍然是整个文件系统的跟目录,如果可以用chroot将apache限制在/usr/local/httpd/下,那么apache所存取的文件都被限制在/usr/local/httpd下,创建chroot监牢的作用就是将进程权限限制在文件目录树下,保证安全.
如果自己手动apache的监牢,将是很烦琐和复杂的工作,需要牵扯到库文件,这里可以使用jail包来简化监牢的实现jail的官方网站为:有兴趣可以逛逛这里也不写出具体的创建过程稍微麻烦.
九:apache服务器防范Dos
apache服务经常会碰到Dos攻击,防范的主要手段是通过软件,apahce Dos Evasive Maneuvers Module来实现的,它是一款mod_access的代替软件,可以对抗DoS攻击,该软件可以快速拒绝来自相同地址对同一URL的重复请求,通过查询内部一张各子进程的哈希表来实现,可以到网址:online/.securityfocus.com/tools/上下载软件
十:减少CGI和SSI风险
CGI脚本的漏洞已经成为WEB服务器的首要安全隐患,通常是程序编写CGI脚本产生了许多漏洞,控制CGI的漏洞除了在编写时候注意对输入数据的合法检查,对系统调用的谨慎使用等因素外,首先使用CGI程序所有者的ID来运行这些程序,即使被漏洞危害也仅限于该ID能访问的文件,不会对整个系统带来致命的危害,因此需要谨慎使用CGI程序.
1.3版的apache集成了suEXEC程序,可以为apache提供CGI程序的控制支持,可以把suEXEC看做一个包装器,在Apache接到CGI程序的调用请求后,把这个请求交给suEXEC来负责完成具体调用,并从suEXEC返回结果,suEXEC可以解决一些安全问题,但会影响速度,如果是对安全性要求很高时候,建议使用suEXEC,此外还有一个软件CGIWrap,它的安全性要高与suEXEC.
减少SSI脚本风险,如果用exec等SSI命令运行外部程序,也会存在类似CGI脚本风险,除了内部调试程序时,应使用:
option命令禁止其使用:
Option IncludesNOEXEC
十一:使用ssl加固Apache
使用具有SSL功能的服务器,可以提高网站敏感页的安全性能,SSL工作与TCP/IP协议和HTTP协议之间,SSL可以加密互联网上传递的数据流,提供身份验证,在线购物而不必担心别人窃取信用卡信息,在基于电子商务和基于web邮件的地方非常重要.SSL的应用相对还是比较麻烦的,有需要的话,可以发贴或查看资料.
文档为doc格式
