- 相關(guān)推薦
網(wǎng)站服務(wù)器的安全配置
首先講網(wǎng)絡(luò)安全的定義:
網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù),不受偶然的或者惡意的原因而遭到破壞、更改、泄露,確保系統(tǒng)能連續(xù)可靠正常地運(yùn)行,網(wǎng)絡(luò)服務(wù)不中斷。
網(wǎng)絡(luò)安全的種類很多,這里單講網(wǎng)站服務(wù)器的安全配置,有效防范服務(wù)器被入侵。
一 主機(jī)的安全配置
1.裝殺毒軟件、防火墻、這些都是必備的也是基本的,還有就是勤打官方的補(bǔ)丁。
2.推薦幾款安全工具,360安全衛(wèi)士能掃描你系統(tǒng)的漏洞,然后下載補(bǔ)丁修補(bǔ),間諜軟件,惡意插件,靠他查殺。
冰刃 系統(tǒng)分析特別強(qiáng),分析系統(tǒng)正在運(yùn)行的程序 ,開放的端口、內(nèi)核模塊,系統(tǒng)啟動加載的軟件、開放的服務(wù),等等功能十分強(qiáng)大 可以輔助管理員查找木馬。
3.做安全配置首先將:net.exe,cmd.exe,netstat.exe,regedit.exe,at.exe,attrib.exe, cacls.exe,這些文件都設(shè)置只允許administrators訪問。
還有將FTP.exe TFTP.exe
這樣命令黑客可以執(zhí)行 下載黑客電腦的木馬 安裝到服務(wù)器 所以要改名把135、445、139、這些端口都要關(guān)閉
4.在“網(wǎng)絡(luò)連接”里,把不需要的協(xié)議和服務(wù)都刪掉,只安裝了基本的Internet協(xié)議 (TCP/IP)在高級tcp/ip設(shè)置里-- “NetBIOS”設(shè)置“禁用tcp/IP上的NetBIOS。
5.把不必要的服務(wù)都禁止掉,盡管這些不一定能被攻擊者利用得上,但是按照安全規(guī)則和標(biāo)準(zhǔn)上來說,多余的東西就沒必要開啟,減少一份隱患。
6.在屏幕保護(hù),勾選上在恢復(fù)時使用密碼保護(hù),萬一系統(tǒng)被黑客鏈接上 他不知道帳號密碼也是沒用的。
7.系統(tǒng)自帶的TCP/IP篩選只開發(fā)你需要的端口,比如你只開放WEB服務(wù)和FTP服務(wù),那么你就用TCP/IP篩選把其他端口過濾掉,只開放80和21端口。這樣就減少許多比必要的麻煩黑客就不會利用其他端口入侵你了。
二 ,WEB服務(wù)器的安全配置
1.你的WEB服務(wù)哪些目錄允許解析哪些目錄不允許解析 。比如存放附件的目錄很容易讓黑客在前臺上傳木馬,黑客會利用得到管理員權(quán)限后,利用后臺的一些功能 把附件改名為.ASP或者其他。 如果Web服務(wù)器解析了這個目錄的話就會執(zhí)行黑客的網(wǎng)頁木馬,所以放附件的目錄,或者沒有其他無執(zhí)行腳本程序目錄,應(yīng)該在Web服務(wù)器上設(shè)置這些目錄不能解析
2.就是你這套整站程序是什么整站系統(tǒng)的的,要常關(guān)注官方的補(bǔ)丁 勤打補(bǔ),你用的那套WEB系統(tǒng)有什么漏洞,如果有漏洞請及時修補(bǔ).
三,防止ASP木馬在服務(wù)器上運(yùn)行
1、刪除FileSystemObject組件
2、刪除WScript.Shell組件
3、刪除Shell.Application組件
4、禁止調(diào)用Cmd.exe
關(guān)于如何刪除由于時間關(guān)系我就不詳細(xì)說了
還有就是FTP服務(wù)器,大家千萬不要用SERV-U
SERV-U一直以來有個大漏洞,攻擊者可以利用它,創(chuàng)建一個系統(tǒng)管理員的帳號,用終端3389登錄。
四,注入漏洞的防范
1、 ASP程序連接 SQL Server 的賬號不要使用sa,和任何屬于Sysadmin組的賬號,盡量避免應(yīng)用服務(wù)有過高的權(quán)限,應(yīng)使用一個db_owner權(quán)限的一般用戶來連接數(shù)據(jù)庫。
2、WEB應(yīng)用服務(wù)器與DB服務(wù)器分別使用不同的機(jī)器來存放,并且之間最好通過防火墻來進(jìn)行邏輯隔離,因?yàn)槌擞谐绦蛟谔綔y sa 沒密碼的SQL Server,SQL Server 本身及大量的擴(kuò)展存儲過程也有被溢出攻擊的危險
3、數(shù)據(jù)庫服務(wù)器盡量不要與公網(wǎng)進(jìn)行連接,如果一定要直接提供公網(wǎng)的連接存儲,應(yīng)考慮使用一個不是默認(rèn)端口的端口來鏈接
4、SA一定要設(shè)成強(qiáng)悍的密碼,在默認(rèn)安裝Sql時sa賬號沒有密碼,而一般管理員裝完后也忘了或怕麻煩而不更改密碼
5.DBO可以差異備份.列目錄.SQL用戶不允許訪問硬盤也要設(shè)置.刪除XP_CMDSHELL等SQL組件.為了防止EXEC命令執(zhí)行.
6、不要使用IIS裝好后預(yù)設(shè)的默認(rèn)路徑\Inetpub\WWWRoot路 徑.
7、隨時注意是否有新的補(bǔ)丁需要補(bǔ)上,目前SQL2000最新的補(bǔ)本包為SP4。
8、使用過濾和防注入函數(shù)來過濾掉一些特殊的字符 ,比如單引號'一定要過濾掉。
9、關(guān)閉IIS的錯誤提示 以防止攻擊者獲得ASP的錯誤提示.
五,防范DDOS分布式拒絕服務(wù)攻擊
黑客還會利用DDOS分布式拒絕服務(wù)攻擊,發(fā)送半鏈接數(shù)據(jù)包把你服務(wù)器攻擊直到無法訪問。SYN攻擊是最常見又最容易被利用的一種攻擊手法。 記得2000年YAHOO就遭受到這樣的攻擊。SYN攻擊防范技術(shù),歸納起來,主要有兩大類,一類是通過防火墻、路由器等過濾網(wǎng)關(guān)防護(hù),另一類是通過加固TCP/IP協(xié)議棧防范.但必須清楚的是 ,SYN攻擊不能完全被阻止,我們所做的是盡可能的減輕SYN攻擊的危害,除非將TCP協(xié) 議重新設(shè)計。
1、過濾網(wǎng)關(guān)防護(hù)
這里,過濾網(wǎng)關(guān)主要指明防火墻,當(dāng)然路由器也能成為過濾網(wǎng)關(guān)。防火墻部署在不同網(wǎng)絡(luò)之間,防范外來非法攻擊和防止保密信息外泄,它處于客戶端和服務(wù)器之間,利用它來防護(hù)SYN攻擊能起到很好的效果。過濾網(wǎng)關(guān)防護(hù)主要包括超時設(shè)置,SYN網(wǎng)關(guān)和 SYN代理三種。
2、加固tcp/ip協(xié)議棧
防范SYN攻擊的另一項(xiàng)主要技術(shù)是調(diào)整tcp/ip協(xié)議,修改tcp協(xié)議實(shí)現(xiàn)。主要方法有SynAttackProtect保護(hù)機(jī)制、SYN cookies技術(shù)、增加最大半連接和縮短超時時間等。 tcp/ip協(xié)議棧的調(diào)整可能會引起某些功能的受限,管理員應(yīng)該在進(jìn)行充分了解和測試的 前提下進(jìn)行此項(xiàng)工作。為防范SYN攻擊,win2000系統(tǒng)的tcp/ip協(xié)議內(nèi)嵌了SynAttackProtect機(jī)制, Win2003系統(tǒng)也采用此機(jī)制。SynAttackProtect機(jī)制是通過關(guān)閉某些socket選項(xiàng),增加額外的連接指示和減少超時時間,使系統(tǒng)能處理更多的SYN連接,以達(dá)到防范SYN攻擊的目的。默認(rèn)情況下,Win2000操作系統(tǒng)并不支持 SynAttackProtect保護(hù)機(jī)制,需要在注冊表以下位置增加SynAttackProtect鍵值:HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
3.增加最大連接數(shù)
六,防范ARP欺騙,其實(shí)現(xiàn)在方法比較多了下面只談一種手工的防御方法
1.計算機(jī)IP地址與MAC綁定
在CMD方式下,鍵入以下命令:
ARP-s IP地址MAC地址
例: ARP-s 192.168.1.100 XX-XX-XX-XX-XX 這樣,就將靜態(tài)IP地址192.168.1.100與網(wǎng)卡地址為XX-XX-XX-XX-XX的計算機(jī)綁定在一起了,即使別人盜 用您的IP地址 192.168.1.100,也無法通過代理服務(wù)器上網(wǎng)。
2.交換機(jī)端口與MAC綁定
登錄進(jìn)入交換機(jī),輸入管理口令進(jìn)入全局配置模式,鍵入命令:
(config) #mac—address—table static<MAC地址>vlan<VLAN號>interface<模塊 號/端口號表>該命令可分配一個靜態(tài)的MAC地址給某些端口,即使重自交換饑,這個 地址也仍然會存在。從此。該端口只允許這個MAC地址對應(yīng)的設(shè)備連接在該端口上送行 通信。用戶通過注冊表等方式更改MAC地址后,交換機(jī)拒絕為其通信。
3.Linux下ARP綁定
#arp -a > /etc/ethers
#vi ethers
改成形式ip mac
#vi /etc/rc.d/rc.local
加上一行
arp -f
保存
執(zhí)行arp -f
補(bǔ)充:
6.組件和權(quán)限
攻擊者現(xiàn)在擁有一個系統(tǒng)的帳號.你完全不用害怕他會改動你的IIS組件內(nèi)設(shè)置.你可以把INTER信息服務(wù)設(shè)置一個密碼.然后把系統(tǒng)*.msc復(fù)制到你指定的一個文件夾.再設(shè)置加密.然后只允許你的帳號使用.接著隱藏起來.那么攻擊者改不了你任何組件.也不能查看和增加刪除.Wscript.shell刪除. Net.exe刪除. Cmd.exe設(shè)置好權(quán)限.所有目錄全部要設(shè)置好權(quán)限.如不需要.除WEB目錄外.其他所有目錄.禁止IIS組用戶訪問.只允許Administrators組進(jìn)行訪問和修改.還一個變態(tài)權(quán)限的設(shè)置.前面我已經(jīng)說了MSC文件的訪問權(quán)限.你可以設(shè)置Admin,Admin1,Admin2……,admin只賦予修改權(quán)限,admin1只賦予讀取和運(yùn)行權(quán)限,admin2只賦予列出文件夾和目錄權(quán)限,admin3只賦予寫入權(quán)限,admin4只賦予讀取權(quán)限.然后每個帳戶根據(jù)需要分配配額.這樣的話.就算有VBS腳本.刪除了NET.EXE,對方也提不起權(quán).如果是沒運(yùn)行權(quán)限的用戶不小心啟動了攻擊者的木馬.那么也沒權(quán)限運(yùn)行和修改.Windows提供了屏幕保護(hù)功能.建議大家還可以安裝一個第三方提供的屏幕保護(hù)鎖.那樣你的系統(tǒng)又可以多一重安全保障.建議大家千萬不要使用Pcanywhere等軟件.除非你權(quán)限設(shè)置通過自己的測試了.Pcanywhere有一個文件系統(tǒng),如果權(quán)限沒分配好,用戶可以通過PCANYWHERE的文件系統(tǒng),在啟動項(xiàng)寫木馬.然后等待你登陸.大家沒這需要.建議就用默認(rèn)的3389就好了.端口就算改了別人也可以掃出來.還不如就用默認(rèn)的.攻擊者在獲得你系統(tǒng)權(quán)限并登陸到3389以后.你的第二道安全鎖(第三方系統(tǒng)鎖)把他死死的鎖在外面了.這樣別人就進(jìn)不了你系統(tǒng)了.記住.千萬不能亂開權(quán)限.不然后果不堪設(shè)想.如果是獨(dú)立服務(wù)器.沒必要使用WEB時,請把多余的IIS等服務(wù)關(guān)閉.以免引起不必要的損失.用優(yōu)化大師禁止遠(yuǎn)程注冊表的訪問那些.還有IPC空連接.
【網(wǎng)站服務(wù)器的安全配置】相關(guān)文章:
某網(wǎng)站社區(qū)捐款倡議書(購買服務(wù)器)08-15
設(shè)備服務(wù)器的網(wǎng)絡(luò)安全08-12
服務(wù)器安全維護(hù)合同08-16
Apache服務(wù)器的安全性及實(shí)現(xiàn)辦法08-12
打造安全WINDOWS2003服務(wù)器的終極手段08-12
用IIS建立高安全性Web服務(wù)器08-05
網(wǎng)站安全自查報告02-01