華為服務(wù)器怎么進(jìn)入安全模式

華為服務(wù)器進(jìn)入系統(tǒng)怎么退出安全模式,服務(wù)器進(jìn)入安全模式

創(chuàng)新互聯(lián)公司是一家成都做網(wǎng)站、網(wǎng)站制作，提供網(wǎng)頁(yè)設(shè)計(jì)，網(wǎng)站設(shè)計(jì)，網(wǎng)站制作，建網(wǎng)站，按需開發(fā)，網(wǎng)站開發(fā)公司，從2013年開始是互聯(lián)行業(yè)建設(shè)者，服務(wù)者。以提升客戶品牌價(jià)值為核心業(yè)務(wù)，全程參與項(xiàng)目的網(wǎng)站策劃設(shè)計(jì)制作，前端開發(fā)，后臺(tái)程序制作以及后期項(xiàng)目運(yùn)營(yíng)并提出專業(yè)建議和思路。

AI前線

于 2021-08-09 00:21:00 發(fā)布

501

收藏

文章標(biāo)簽： 華為服務(wù)器進(jìn)入系統(tǒng)怎么退出安全模式

服務(wù)器進(jìn)入安全模式 內(nèi)容精選

換一換

c8a5a5028d2cabfeeee0907ef5119e7e.png

遇到該問題，請(qǐng)參考以下步驟排查解決。以集群模式下實(shí)例為例說明。如果在，執(zhí)行2。如果不在，需要重新創(chuàng)建彈性云服務(wù)器實(shí)例，使之和文檔數(shù)據(jù)庫(kù)實(shí)例在同一個(gè)虛擬私有云下。如果有，檢查安全組的配置規(guī)則是否滿足要求，請(qǐng)參見設(shè)置安全組，然后執(zhí)行3。如果沒有，從彈性云服務(wù)器的實(shí)例詳情頁(yè)面，進(jìn)入虛擬私有云頁(yè)面，選擇“安全組”，添加安全組。DDS的默認(rèn)端口號(hào)為

Linux云服務(wù)器一般采用SSH連接方式，使用密鑰對(duì)進(jìn)行安全地?zé)o密碼訪問。但是SSH連接一般都是字符界面，有時(shí)我們需要使用圖形界面進(jìn)行一些復(fù)雜操作。本文以Ubuntu 18.04操作系統(tǒng)為例，介紹如何為云服務(wù)器安裝VNC Server，以及如何使用VNC Viewer連接云服務(wù)器。已創(chuàng)建一臺(tái)Ubuntu 18.04操作系統(tǒng)的云服務(wù)器，并且

服務(wù)器進(jìn)入安全模式 相關(guān)內(nèi)容

在分布式部署及分布式高可用部署場(chǎng)景下需要?jiǎng)?chuàng)建SFS Turbo提供文件共享功能。請(qǐng)參考表1在公有云平臺(tái)創(chuàng)建SFS Turbo。

可以將VMware備份恢復(fù)至云上其他的服務(wù)器中，實(shí)現(xiàn)云上容災(zāi)和業(yè)務(wù)快速部署。同步至云端的備份無法創(chuàng)建服務(wù)器。同步的備份只能用于恢復(fù)至其他的云服務(wù)器，可以恢復(fù)至系統(tǒng)盤和數(shù)據(jù)盤。執(zhí)行恢復(fù)操作前，請(qǐng)務(wù)必按照操作步驟完成安全組的配置，否則可能會(huì)導(dǎo)致恢復(fù)失敗。安全組是一個(gè)邏輯上的分組，為同一個(gè)虛擬私有云VPC內(nèi)具有相同安全保護(hù)需求并相互信任的彈性云

服務(wù)器進(jìn)入安全模式 更多內(nèi)容

云服務(wù)器（阿里云）的安全組設(shè)置

安全組 是一個(gè)ECS的重要安全設(shè)置，但對(duì)小白用戶來說卻很難理解其中晦澀難懂的專業(yè)術(shù)語(yǔ)。websoft9在此介紹個(gè)人的理解：

阿里云官方解釋 ：安全組是一種虛擬防火墻，用于設(shè)置單臺(tái)或多臺(tái)云服務(wù)器的網(wǎng)絡(luò)訪問控制，它是重要的網(wǎng)絡(luò)安全隔離手段，用于在云端劃分安全域。每個(gè)實(shí)例至少屬于一個(gè)安全組，在創(chuàng)建的時(shí)候就需要指定。

注解：簡(jiǎn)單理解：服務(wù)器什么端口（服務(wù)）可以被訪問，什么端口可以被封鎖

例子：服務(wù)器80端口是用來提供http服務(wù)，如果服務(wù)器部署了網(wǎng)站，而沒有開放80端口，這個(gè)網(wǎng)站肯定訪問不了，http: //ip 是打不開的。

這是很常見的問題，用戶第一感覺就是購(gòu)買的服務(wù)器有問題或購(gòu)買的鏡像用不了。

遠(yuǎn)程連接（SSH）Linux 實(shí)例和遠(yuǎn)程桌面連接 Windows 實(shí)例可能會(huì)失敗。

遠(yuǎn)程 ping 該安全組下的 ECS 實(shí)例的公網(wǎng) IP 和內(nèi)網(wǎng) IP 可能會(huì)失敗。

HTTP 訪問該安全組下的 ECS 實(shí)例暴漏的 Web 服務(wù)可能會(huì)失敗。

該安全組下 ECS 實(shí)例可能無法通過內(nèi)網(wǎng)訪問同地域（或者同 VPC）下的其他安全組下的 ECS 實(shí)例。

該安全組下 ECS 實(shí)例可能無法通過內(nèi)網(wǎng)訪問同地域下（或者同 VPC）的其他云服務(wù)。

該安全組下 ECS 實(shí)例可能無法訪問 Internet 服務(wù)。

當(dāng)用戶購(gòu)買一個(gè)新的服務(wù)器的時(shí)候，阿里云會(huì)提醒選擇安全組，對(duì)于一部分入門用戶來說，第一感覺就是選擇一個(gè)等級(jí)比較高的安全組，這樣更為保險(xiǎn)。實(shí)際上，等級(jí)越高，開放的端口越少。甚至連80端口、21端口都被封鎖了，導(dǎo)致服務(wù)器ping不通、http打不開。這樣最常見的訪問都無法進(jìn)行，用戶第一感覺就是購(gòu)買的服務(wù)器有問題或購(gòu)買的鏡像用不了。

在Websoft9客服工作中統(tǒng)計(jì)發(fā)現(xiàn)，96%的用戶瀏覽器http://公網(wǎng)IP 打不開首頁(yè)，都是因?yàn)榘踩M的設(shè)置關(guān)閉了80端口所導(dǎo)致。

第一，找到對(duì)應(yīng)的實(shí)例，通過安全組配置選項(xiàng)進(jìn)入設(shè)置。

第二，點(diǎn)擊“配置規(guī)則”，進(jìn)入安全組規(guī)則設(shè)置。

Windows 服務(wù)器安全設(shè)置的方法教程

阿江的Windows 2000服務(wù)器安全設(shè)置教程

前言

其實(shí)，在服務(wù)器的安全設(shè)置方面，我雖然有一些經(jīng)驗(yàn)，但是還談不上有研究，所以我寫這篇文章的時(shí)候心里很不踏實(shí)，總害怕說錯(cuò)了會(huì)誤了別人的事。

本文更側(cè)重于防止ASP漏洞攻擊，所以服務(wù)器防黑等方面的講解可能略嫌少了點(diǎn)。

基本的服務(wù)器安全設(shè)置

安裝補(bǔ)丁

安裝好操作系統(tǒng)之后，最好能在托管之前就完成補(bǔ)丁的安裝，配置好網(wǎng)絡(luò)后，如果是2000則確定安裝上了SP4，如果是2003，則最好安裝上SP1，然后點(diǎn)擊開始→Windows Update，安裝所有的關(guān)鍵更新。

安裝殺毒軟件

雖然殺毒軟件有時(shí)候不能解決問題，但是殺毒軟件避免了很多問題。我一直在用諾頓2004，據(jù)說2005可以殺木馬，不過我沒試過。還有人用瑞星，瑞星是確定可以殺木馬的。更多的人說卡巴司機(jī)好，不過我沒用過。

不要指望殺毒軟件殺掉所有的木馬，因?yàn)锳SP木馬的特征是可以通過一定手段來避開殺毒軟件的查殺。

設(shè)置端口保護(hù)和防火墻、刪除默認(rèn)共享

都是服務(wù)器防黑的措施，即使你的服務(wù)器上沒有IIS，這些安全措施都最好做上。這是阿江的盲區(qū)，大概知道屏蔽端口用本地安全策略，不過這方面的東西網(wǎng)上攻略很多，大家可以擻出來看看，晚些時(shí)候我或者會(huì)復(fù)制一些到我的網(wǎng)站上。

權(quán)限設(shè)置

阿江感覺這是防止ASP漏洞攻擊的關(guān)鍵所在，優(yōu)秀的權(quán)限設(shè)置可以將危害減少在一個(gè)IIS站點(diǎn)甚至一個(gè)虛擬目錄里。我這里講一下原理和設(shè)置思路，聰明的朋友應(yīng)該看完這個(gè)就能解決問題了。

權(quán)限設(shè)置的原理

WINDOWS用戶，在WINNT系統(tǒng)中大多數(shù)時(shí)候把權(quán)限按用戶（組）來劃分。在【開始→程序→管理工具→計(jì)算機(jī)管理→本地用戶和組】管理系統(tǒng)用戶和用戶組。

NTFS權(quán)限設(shè)置，請(qǐng)記住分區(qū)的時(shí)候把所有的硬盤都分為NTFS分區(qū)，然后我們可以確定每個(gè)分區(qū)對(duì)每個(gè)用戶開放的權(quán)限?！疚募▕A）上右鍵→屬性→安全】在這里管理NTFS文件（夾）權(quán)限。

IIS匿名用戶，每個(gè)IIS站點(diǎn)或者虛擬目錄，都可以設(shè)置一個(gè)匿名訪問用戶（現(xiàn)在暫且把它叫“IIS匿名用戶），當(dāng)用戶訪問你的網(wǎng)站的.ASP文件的時(shí)候，這個(gè).ASP文件所具有的權(quán)限，就是這個(gè)“IIS匿名用戶所具有的權(quán)限。

權(quán)限設(shè)置的思路

要為每個(gè)獨(dú)立的要保護(hù)的個(gè)體（比如一個(gè)網(wǎng)站或者一個(gè)虛擬目錄）創(chuàng)建一個(gè)系統(tǒng)用戶，讓這個(gè)站點(diǎn)在系統(tǒng)中具有惟一的可以設(shè)置權(quán)限的身份。

在IIS的【站點(diǎn)屬性或者虛擬目錄屬性→目錄安全性→匿名訪問和驗(yàn)證控制→編輯→匿名訪問→編輯】填寫剛剛創(chuàng)建的那個(gè)用戶名。

設(shè)置所有的分區(qū)禁止這個(gè)用戶訪問，而剛才這個(gè)站點(diǎn)的主目錄對(duì)應(yīng)的那個(gè)文件夾設(shè)置允許這個(gè)用戶訪問（要去掉繼承父權(quán)限，并且要加上超管組和SYSTEM組）。

這樣設(shè)置了之后，這個(gè)站點(diǎn)里的ASP程序就只有當(dāng)前這個(gè)文件夾的權(quán)限了，從探針上看，所有的硬盤都是紅叉叉。

我的設(shè)置方法

我是先創(chuàng)建一個(gè)用戶組，以后所有的站點(diǎn)的用戶都建在這個(gè)組里，然后設(shè)置這個(gè)組在各個(gè)分區(qū)沒病權(quán)限。然后再設(shè)置各個(gè)IIS用戶在各在的文件夾里的權(quán)限。

因?yàn)楸容^多，所以我很不想寫，其實(shí)知道了上面的原理，大多數(shù)人都應(yīng)該懂了，除非不知道怎么添加系統(tǒng)用戶和組，不知道怎么設(shè)置文件夾權(quán)限，不知道IIS站點(diǎn)屬性在那里。真的有那樣的人，你也不要著急，要沉住氣慢慢來，具體的方法其實(shí)自己也能摸索出來的，我就是這樣。當(dāng)然，如果我有空，我會(huì)寫我的具體設(shè)置方法，很傲能還會(huì)配上圖片。

改名或卸載不安全組件

不安全組件不驚人

我的在阿江探針1.9里加入了不安全組件檢測(cè)功能（其實(shí)這是參考7i24的代碼寫的，只是把界面改的友好了一點(diǎn)，檢測(cè)方法和他是基本一樣的），這個(gè)功能讓很多站長(zhǎng)吃驚不小，因?yàn)樗l(fā)現(xiàn)他的服務(wù)器支持很多不安全組件。

其實(shí)，只要做好了上面的權(quán)限設(shè)置，那么FSO、XML、strem都不再是不安全組件了，因?yàn)樗麄兌紱]有跨出自己的文件夾或者站點(diǎn)的權(quán)限。那個(gè)歡樂時(shí)光更不用怕，有殺毒軟件在還怕什么時(shí)光啊。

最危險(xiǎn)的組件是WSH和Shell，因?yàn)樗梢赃\(yùn)行你硬盤里的EXE等程序，比如它可以運(yùn)行提升程序來提升SERV-U權(quán)限甚至用SERVU來運(yùn)行更高權(quán)限的系統(tǒng)程序。

卸載最不安全的組件

最簡(jiǎn)單的辦法是直接卸載后刪除相應(yīng)的程序文件。將下面的代碼保存為一個(gè).BAT文件，

regsvr32/u C:WINNTSystem32wshom.ocx

del C:WINNTSystem32wshom.ocx

regsvr32/u C:WINNTsystem32shell32.dll

del C:WINNTsystem32shell32.dll

然后運(yùn)行一下，WScript.Shell, Shell.application, WScript.Network就會(huì)被卸載了?？赡軙?huì)提示無法刪除文件，不用管它，重啟一下服務(wù)器，你會(huì)發(fā)現(xiàn)這三個(gè)都提示“×安全了。

改名不安全組件

需要注意的是組件的名稱和Clsid都要改，并且要改徹底了。下面以Shell.application為例來介紹方法。

打開注冊(cè)表編輯器【開始→運(yùn)行→regedit回車】，然后【編輯→查找→填寫Shell.application→查找下一個(gè)】，用這個(gè)方法能找到兩個(gè)注冊(cè)表項(xiàng)：“{13709620-C279-11CE-A49E-444553540000}和“Shell.application。為了確保萬(wàn)無一失，把這兩個(gè)注冊(cè)表項(xiàng)導(dǎo)出來，保存為 .reg 文件。

比如我們想做這樣的更改

13709620-C279-11CE-A49E-444553540000 改名為 13709620-C279-11CE-A49E-444553540001

Shell.application 改名為 Shell.application_ajiang

那么，就把剛才導(dǎo)出的.reg文件里的內(nèi)容按上面的對(duì)應(yīng)關(guān)系替換掉，然后把修改好的.reg文件導(dǎo)入到注冊(cè)表中（雙擊即可），導(dǎo)入了改名后的注冊(cè)表項(xiàng)之后，別忘記了刪除原有的`那兩個(gè)項(xiàng)目。這里需要注意一點(diǎn)，Clsid中只能是十個(gè)數(shù)字和ABCDEF六個(gè)字母。

下面是我修改后的代碼（兩個(gè)文件我合到一起了）：

Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOTCLSID{13709620-C279-11CE-A49E-444553540001}]

@="Shell Automation Service"

[HKEY_CLASSES_ROOTCLSID{13709620-C279-11CE-A49E-444553540001}InProcServer32]

@="C:WINNTsystem32shell32.dll"

"ThreadingModel"="Apartment"

[HKEY_CLASSES_ROOTCLSID{13709620-C279-11CE-A49E-444553540001}ProgID]

@="Shell.Application_ajiang.1"

[HKEY_CLASSES_ROOTCLSID{13709620-C279-11CE-A49E-444553540001}TypeLib]

@="{50a7e9b0-70ef-11d1-b75a-00a0c90564fe}"

[HKEY_CLASSES_ROOTCLSID{13709620-C279-11CE-A49E-444553540001}Version]

@="1.1"

[HKEY_CLASSES_ROOTCLSID{13709620-C279-11CE-A49E-444553540001}VersionIndependentProgID]

@="Shell.Application_ajiang"

[HKEY_CLASSES_ROOTShell.Application_ajiang]

@="Shell Automation Service"

[HKEY_CLASSES_ROOTShell.Application_ajiangCLSID]

@="{13709620-C279-11CE-A49E-444553540001}"

[HKEY_CLASSES_ROOTShell.Application_ajiangCurVer]

@="Shell.Application_ajiang.1"

你可以把這個(gè)保存為一個(gè).reg文件運(yùn)行試一下，但是可別就此了事，因?yàn)槿f(wàn)一黑客也看了我的這篇文章，他會(huì)試驗(yàn)我改出來的這個(gè)名字的。

防止列出用戶組和系統(tǒng)進(jìn)程

我在阿江ASP探針1.9中結(jié)合7i24的方法利用getobject("WINNT")獲得了系統(tǒng)用戶和系統(tǒng)進(jìn)程的列表，這個(gè)列表可能會(huì)被黑客利用，我們應(yīng)當(dāng)隱藏起來，方法是：

【開始→程序→管理工具→服務(wù)】，找到Workstation，停止它，禁用它。

防止Serv-U權(quán)限提升

其實(shí)，注銷了Shell組件之后，侵入者運(yùn)行提升工具的可能性就很小了，但是prel等別的腳本語(yǔ)言也有shell能力，為防萬(wàn)一，還是設(shè)置一下為好。

用Ultraedit打開ServUDaemon.exe查找Ascii：LocalAdministrator，和#l@$ak#.lk;0@P，修改成等長(zhǎng)度的其它字符就可以了，ServUAdmin.exe也一樣處理。

另外注意設(shè)置Serv-U所在的文件夾的權(quán)限，不要讓IIS匿名用戶有讀取的權(quán)限，否則人家下走你修改過的文件，照樣可以分析出你的管理員名和密碼。

利用ASP漏洞攻擊的常見方法及防范

一般情況下，黑客總是瞄準(zhǔn)論壇等程序，因?yàn)檫@些程序都有上傳功能，他們很容易的就可以上傳ASP木馬，即使設(shè)置了權(quán)限，木馬也可以控制當(dāng)前站點(diǎn)的所有文件了。另外，有了木馬就然后用木馬上傳提升工具來獲得更高的權(quán)限，我們關(guān)閉shell組件的目的很大程度上就是為了防止攻擊者運(yùn)行提升工具。

如果論壇管理員關(guān)閉了上傳功能，則黑客會(huì)想辦法獲得超管密碼，比如，如果你用動(dòng)網(wǎng)論壇并且數(shù)據(jù)庫(kù)忘記了改名，人家就可以直接下載你的數(shù)據(jù)庫(kù)了，然后距離找到論壇管理員密碼就不遠(yuǎn)了。

作為管理員，我們首先要檢查我們的ASP程序，做好必要的設(shè)置，防止網(wǎng)站被黑客進(jìn)入。另外就是防止攻擊者使用一個(gè)被黑的網(wǎng)站來控制整個(gè)服務(wù)器，因?yàn)槿绻愕姆?wù)器上還為朋友開了站點(diǎn)，你可能無法確定你的朋友會(huì)把他上傳的論壇做好安全設(shè)置。這就用到了前面所說的那一大堆東西，做了那些權(quán)限設(shè)置和防提升之后，黑客就算是進(jìn)入了一個(gè)站點(diǎn)，也無法破壞這個(gè)網(wǎng)站以外的東西。

企業(yè)云工作臺(tái)服務(wù)器端口設(shè)置

1、進(jìn)入安全組在云平臺(tái)找到服務(wù)器，單擊安全組。

2、設(shè)置開啟端口在規(guī)則中添加入站規(guī)則，添加端口信息。

3、檢驗(yàn)是否開啟輸入服務(wù)器地址以及開啟端口，單擊掃描檢測(cè)結(jié)果。企業(yè)云是專門應(yīng)用在商業(yè)領(lǐng)域的商業(yè)云系統(tǒng)，專門設(shè)計(jì)CRM(CustomerRelationshipManagement)客戶關(guān)系管理軟件、HR(HumanResource)人力資源管理軟件、Database數(shù)據(jù)庫(kù)軟件等企業(yè)內(nèi)部系統(tǒng)給商業(yè)公司使用的云系統(tǒng)。