求教架設web服務器如何做安全防護

第一步：選擇系統(tǒng)平臺

淮南網(wǎng)站建設公司創(chuàng)新互聯(lián),淮南網(wǎng)站設計制作，有大型網(wǎng)站制作公司豐富經(jīng)驗。已為淮南近千家提供企業(yè)網(wǎng)站建設服務。企業(yè)網(wǎng)站搭建\外貿(mào)營銷網(wǎng)站建設要多少錢，請找那個售后服務好的淮南做網(wǎng)站的公司定做！

1. 這里推薦 Windows Server 2003/32位，原因：該版操作系統(tǒng)成熟可靠，可用軟件豐富，能支持超大內(nèi)存；

2. 安裝操作系統(tǒng)時，請不要安裝網(wǎng)上下載的Ghost版或精簡版，不能安裝有病毒的系統(tǒng)，否則可能前功盡棄。

第二步：部署所需環(huán)境

1. 安裝操作系統(tǒng)后，順便安裝好IIS和FTP，方便建立WEB和FTP用。（如果沒有安裝IIS，可以下載IIS組件自行安裝）；

2. 如果需要ASP環(huán)境，請開啟ASP運行條件；

3. 如果需要SQL Server數(shù)據(jù)庫，請安裝對應軟件，建議SQL Server 2005，根據(jù)自己的系統(tǒng)要求進行選擇。

4. 如果需要.Net環(huán)境，請下載對應的.Net安裝包版本安裝。

5. 安裝其他軟件，如入侵防護系統(tǒng)，殺毒軟件等。

第三步：配置所需安全

1. 所需環(huán)境部署后，需要設置系統(tǒng)安全，包括磁盤權限和數(shù)據(jù)庫，以及其他組件，這里2. 設置磁盤權限，包括系統(tǒng)盤和其他磁盤；

3. 變更系統(tǒng)賬戶，如將 Administrator 重命名，盡可能設置復雜密碼。

第四步：配置管理工具

1. 安裝主機管理系統(tǒng)，建議安裝免費，方便開設站點，并可方便備份和恢復的主機管理系統(tǒng)；

2. 用主機系統(tǒng)開設站點，綁定域名，部署網(wǎng)頁文件，測試能否正常訪問；

3. 安裝其他主機管理軟件，比如一些被控端，但注意做好權限設置工作。

第五步：部署運營監(jiān)控

1. 部署遠程監(jiān)控系統(tǒng)，如：代維系統(tǒng)，方便統(tǒng)一監(jiān)控服務器狀況，如IO、CPU、內(nèi)存、帶寬等使用情況，及時預警；

2. 查殺網(wǎng)頁木馬，找出原來存在的網(wǎng)頁木馬文件，可以用：云查殺系統(tǒng)或入侵防護系統(tǒng)掃描，發(fā)現(xiàn)木馬文件妥善處理；

3. 入侵防護系統(tǒng)可以實時監(jiān)控網(wǎng)頁木馬、畸形文件、遠程登錄、用戶提權、防注入、進程限制、防篡改限制、非法內(nèi)容生成控制等，推薦；

4. 如果數(shù)據(jù)重要，建議安裝安全套裝，提高安全系數(shù)。

第六步：注意事項

1. 不建議開啟服務器上軟件的自動升級功能，比如殺毒軟件/輸入法等，因為很可能破壞系統(tǒng)的安全體系；

2. 不要在服務器安裝不必要的軟件，比如QQ，以及有些殺毒軟件，特別消耗資源；

3. 不要輕易在服務器上打開未知軟件和客戶網(wǎng)站，否則可能造成中毒；

4. 其他影響服務器安全的事項。

如何保障Web服務器安全

不但企業(yè)的門戶網(wǎng)站被篡改、資料被竊取，而且還成為了病毒與木馬的傳播者。有些Web管理員采取了一些措施，雖然可以保證門戶網(wǎng)站的主頁不被篡改，但是卻很難避免自己的網(wǎng)站被當作肉雞，來傳播病毒、惡意插件、木馬等等。筆者認為，這很大一部分原因是管理員在Web安全防護上太被動。他們只是被動的防御。為了徹底提高Web服務器的安全，筆者認為，Web安全要主動出擊。具體的來說，需要做到如下幾點。 一、在代碼編寫時就要進行漏洞測試 現(xiàn)在的企業(yè)網(wǎng)站做的越來越復雜、功能越來越強。不過這些都不是憑空而來的，是通過代碼堆積起來的。如果這個代碼只供企業(yè)內(nèi)部使用，那么不會帶來多大的安全隱患。但是如果放在互聯(lián)網(wǎng)上使用的話，則這些為實現(xiàn)特定功能的代碼就有可能成為攻擊者的目標。筆者舉一個簡單的例子。在網(wǎng)頁中可以嵌入SQL代碼。而攻擊者就可以利用這些SQL代碼來發(fā)動攻擊，來獲取管理員的密碼等等破壞性的動作。有時候訪問某些網(wǎng)站還需要有某些特定的控件。用戶在安裝這些控件時，其實就有可能在安裝一個木馬(這可能訪問者與被訪問者都沒有意識到)。 為此在為網(wǎng)站某個特定功能編寫代碼時，就要主動出擊。從編碼的設計到編寫、到測試，都需要認識到是否存在著安全的漏洞。筆者在日常過程中，在這方面對于員工提出了很高的要求。各個員工必須對自己所開發(fā)的功能負責。至少現(xiàn)在已知的病毒、木馬不能夠在你所開發(fā)的插件中有機可乘。通過這層層把關，就可以提高代碼編寫的安全性。 二、對Web服務器進行持續(xù)的監(jiān)控 冰凍三尺、非一日之寒。這就好像人生病一樣，都有一個過程。病毒、木馬等等在攻擊Web服務器時，也需要一個過程。或者說，在攻擊取得成功之前，他們會有一些試探性的動作。如對于一個采取了一定安全措施的Web服務器，從攻擊開始到取得成果，至少要有半天的時間。如果Web管理員對服務器進行了全天候的監(jiān)控。在發(fā)現(xiàn)有異常行為時，及早的采取措施，將病毒與木馬阻擋在門戶之外。這種主動出擊的方式，就可以大大的提高Web服務器的安全性。 筆者現(xiàn)在維護的Web服務器有好幾十個。現(xiàn)在專門有一個小組，來全天候的監(jiān)控服務器的訪問。平均每分鐘都可以監(jiān)測到一些試探性的攻擊行為。其中99%以上的攻擊行為，由于服務器已經(jīng)采取了對應的安全措施，都無功而返。不過每天仍然會遇到一些攻擊行為。這些攻擊行為可能是針對新的漏洞，或者采取了新的攻擊方式。在服務器上原先沒有采取對應的安全措施。如果沒有及時的發(fā)現(xiàn)這種行為，那么他們就很有可能最終實現(xiàn)他們的非法目的。相反，現(xiàn)在及早的發(fā)現(xiàn)了他們的攻擊手段，那么我們就可以在他們采取進一步行動之前，就在服務器上關掉這扇門，補上這個漏洞。 筆者在這里也建議，企業(yè)用戶在選擇互聯(lián)網(wǎng)Web服務器提供商的時候，除了考慮性能等因素之外，還要評估服務提供商能否提供全天候的監(jiān)控機制。在Web安全上主動出擊，及時發(fā)現(xiàn)攻擊者的攻擊行為。在他們采取進一步攻擊措施之前，就他們消除在萌芽狀態(tài)。 三、設置蜜罐，將攻擊者引向錯誤的方向 在軍隊中，有時候會給軍人一些偽裝，讓敵人分不清真?zhèn)?。其實在跟病毒、木馬打交道時，本身就是一場無硝煙的戰(zhàn)爭。為此對于Web服務器采取一些偽裝，也能夠將攻擊者引向錯誤的方向。等到供給者發(fā)現(xiàn)自己的目標錯誤時，管理員已經(jīng)鎖定了攻擊者，從而可以及早的采取相應的措施。筆者有時候將這種主動出擊的行為叫做蜜罐效應。簡單的說，就是設置兩個服務器。其中一個是真正的服務器，另外一個是蜜罐?，F(xiàn)在需要做的是，如何將真正的服務器偽裝起來，而將蜜罐推向公眾。讓攻擊者認為蜜罐服務器才是真正的服務器。要做到這一點的話，可能需要從如下幾個方面出發(fā)。 一是有真有假，難以區(qū)分。如果要瞞過攻擊者的眼睛，那么蜜罐服務器就不能夠做的太假。筆者在做蜜罐服務器的時候，80%以上的內(nèi)容都是跟真的服務器相同的。只有一些比較機密的信息沒有防治在蜜罐服務器上。而且蜜罐服務器所采取的安全措施跟真的服務器事完全相同的。這不但可以提高蜜罐服務器的真實性，而且也可以用來評估真實服務器的安全性。一舉兩得。 二是需要有意無意的將攻擊者引向蜜罐服務器。攻擊者在判斷一個Web服務器是否值得攻擊時，會進行評估。如評估這個網(wǎng)站的流量是否比較高。如果網(wǎng)站的流量不高，那么即使被攻破了，也沒有多大的實用價值。攻擊者如果沒有有利可圖的話，不會花這么大的精力在這個網(wǎng)站服務器上面。如果要將攻擊者引向這個蜜罐服務器的話，那么就需要提高這個蜜罐服務器的訪問量。其實要做到這一點也非常的容易?，F(xiàn)在有很多用來交互流量的團隊。只要花一點比較小的投資就可以做到這一點。 三是可以故意開一些后門讓攻擊者來鉆。作為Web服務器的管理者，不僅關心自己的服務器是否安全，還要知道自己的服務器有沒有被人家盯上?；蛘哒f，有沒有被攻擊的價值。此時管理者就需要知道，自己的服務器一天被攻擊了多少次。如果攻擊的頻率比較高，管理者就高興、又憂慮。高興的是自己的服務器價值還蠻大的，被這么多人惦記著。憂慮的是自己的服務器成為了眾人攻擊的目標。就應該抽取更多的力量來關注服務器的安全。 四、專人對Web服務器的安全性進行測試 俗話說，靠人不如靠自己。在Web服務器的攻防戰(zhàn)上，這一個原則也適用。筆者建議，如果企業(yè)對于Web服務的安全比較高，如網(wǎng)站服務器上有電子商務交易平臺，此時最好設置一個專業(yè)的團隊。他們充當攻擊者的角色，對服務器進行安全性的測試。這個專業(yè)團隊主要執(zhí)行如下幾個任務。 一是測試Web管理團隊對攻擊行為的反應速度。如可以采用一些現(xiàn)在比較流行的攻擊手段，對自己的Web服務器發(fā)動攻擊。當然這個時間是隨機的。預先Web管理團隊并不知道?，F(xiàn)在要評估的是，Web管理團隊在多少時間之內(nèi)能夠發(fā)現(xiàn)這種攻擊的行為。這也是考驗管理團隊全天候跟蹤的能力。一般來說，這個時間越短越好。應該將這個時間控制在可控的范圍之內(nèi)。即使攻擊最后沒有成功，Web管理團隊也應該及早的發(fā)現(xiàn)攻擊的行為。畢竟有沒有發(fā)現(xiàn)、與最終有沒有取得成功，是兩個不同的概念。 二是要測試服務器的漏洞是否有補上。畢竟大部分的攻擊行為，都是針對服務器現(xiàn)有的漏洞所產(chǎn)生的?，F(xiàn)在這個專業(yè)團隊要做的就是，這些已發(fā)現(xiàn)的漏洞是否都已經(jīng)打上了安全補丁或者采取了對應的安全措施。有時候我們都沒有發(fā)現(xiàn)的漏洞是無能為力，但是對于這些已經(jīng)存在的漏洞不能夠放過。否則的話，也太便宜那些攻擊者了。

CentOs web服務器安全防范經(jīng)驗總結

1.禁用ROOT權限登錄。(重要)

2.安全組收縮不使用的端口，建議除443/80以及ssh登錄等必要端口外全部關閉。

3.防火墻收縮不使用的端口，建議除443/80以及ssh登錄端口外全部關閉。

4.更改ssh默認端口22

5.除登錄USER，禁止其他用戶su到root進程，并且ssh開啟秘鑰及密碼雙層驗證登錄。(重要)

6.限制除登錄USER外的其他用戶登錄。

7.安裝DenyHosts，防止ddos攻擊。

8.禁止系統(tǒng)響應任何從外部/內(nèi)部來的ping請求。

9.保持每天自動檢測更新。

10.禁止除root之外的用戶進程安裝軟件及服務，如有需要則root安裝，chown給到用戶。

11.定時給服務器做快照。

12.更改下列文件權限：

13.限制普通用戶使用特殊命令，比如wget，curl等命令更改使用權限，一般的挖礦程序主要使用這幾種命令操作。

1.nginx進程運行在最小權限的子用戶中，禁止使用root用戶啟動nginx。(重要)

2.配置nginx.conf，防范常見漏洞：

1.禁止root權限啟動apache服務！禁止root權限啟動apache服務！禁止root權限啟動apache服務！重要的事情說三遍！因為這個問題被搞了兩次。

2.改掉默認端口。

3.清空webapps下除自己服務外的其他文件，刪除用戶管理文件，防止給木馬留下后門。

4.限制apache啟動進程su到root進程以及ssh登錄，限制啟動進程訪問除/home/xx自身目錄外的其他文件。

5.限制apache啟動進程操作刪除以及編輯文件，一般a+x即可。

1.關閉外網(wǎng)連接，與java/php服務使用內(nèi)網(wǎng)連接。

2.在滿足java/php服務的基礎上，新建最小權限USER給到服務使用，禁止USER權限訪問其他項目的庫。

3.root密碼不要與普通USER相同。

4.建議使用云庫，云庫具備實時備份，動態(tài)擴容，數(shù)據(jù)回退等功能，減少操作風險。

1.關閉外網(wǎng)連接，只允許內(nèi)網(wǎng)交互，基本這個做了之后就已經(jīng)穩(wěn)了。

2.禁止root權限啟動，運行在普通用戶進程里。

3.更改默認端口。

4.添加登錄密碼。

以上是自己做的防范手段，不成熟見解，有一些方案待驗證，不定時更新，歡迎大佬補充！

如何防范服務器被攻擊？

一，首先服務器一定要把administrator禁用，設置一個陷阱賬號:"Administrator"把它權限降至最低,然后給一套非常復雜的密碼，重新建立

一個新賬號，設置上新密碼，權限為administraor

然后刪除最不安全的組件：

建立一個BAT文件,寫入

regsvr32/u C:\WINDOWS\System32\wshom.ocx

del C:\WINDOWS\System32\wshom.ocx

regsvr32\u C:\WINDOWS\system32\shell32.dll

del C:\WINDOWS\system32\shell32.dll

二，IIS的安全：

1、不使用默認的Web站點，如果使用也要將 將IIS目錄與系統(tǒng)磁盤分開。

2、刪除IIS默認創(chuàng)建的Inetpub目錄(在安裝系統(tǒng)的盤上)。

3、刪除系統(tǒng)盤下的虛擬目錄，如:_vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、MSADC。

4、刪除不必要的IIS擴展名映射。

右鍵單擊“默認Web站點→屬性→主目錄→配置”，打開應用程序窗口，去掉不必要的應用程序映射。主要為.shtml, .shtm, .stm

5、更改IIS日志的路徑

右鍵單擊“默認Web站點→屬性-網(wǎng)站-在啟用日志記錄下點擊屬性

6、如果使用的是2000可以使用iislockdown來保護IIS，在2003運行的IE6.0的版本不需要。

八、其它

1、 系統(tǒng)升級、打操作系統(tǒng)補丁，尤其是IIS 6.0補丁、SQL SP3a補丁，甚至IE 6.0補丁也要打。同時及時跟蹤最新漏洞補丁;

2、停掉Guest 帳號、并給guest 加一個異常復雜的密碼，把Administrator改名或偽裝!

3、隱藏重要文件/目錄

可以修改注冊表實現(xiàn)完全隱藏:“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ Current-Version\Explorer\Advanced\Folder\Hi

-dden\SHOWALL”，鼠標右擊 “CheckedValue”，選擇修改，把數(shù)值由1改為0

4、啟動系統(tǒng)自帶的Internet連接防火墻，在設置服務選項中勾選Web服務器。

5、防止SYN洪水攻擊

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

新建DWORD值，名為SynAttackProtect，值為2

EnablePMTUDiscovery 值為0

NoNameReleaseOnDemand 值為1

EnableDeadGWDetect 值為0

KeepAliveTime 值為300,000

PerformRouterDiscovery 值為0

EnableICMPRedirects 值為0

6. 禁止響應ICMP路由通告報文

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\interface

新建DWORD值，名為PerformRouterDiscovery 值為0

7. 防止ICMP重定向報文的攻擊

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

將EnableICMPRedirects 值設為0

8. 不支持IGMP協(xié)議

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

新建DWORD值，名為IGMPLevel 值為0

9、禁用DCOM:

運行中輸入 Dcomcnfg.exe。 回車， 單擊“控制臺根節(jié)點”下的“組件服務”。 打開“計算機”子文件夾。

對于本地計算機，請以右鍵單擊“我的電腦”，然后選擇“屬性”。選擇“默認屬性”選項卡。

清除“在這臺計算機上啟用分布式 COM”復選框。

10.禁用服務里的

Workstation 這服務開啟的話可以利用這個服務，可以獲取服務器所有帳號.

11阻止IUSR用戶提升權限

三，這一步是比較關鍵的（禁用CMD運行）

運行-gpedit.msc-管理模板-系統(tǒng)

-阻止訪問命令提示符

-設置

-已啟用(E)

-也停用命令提示符腳本處理嗎?

(是)

四，防止SQL注入

打開SQL Server，在master庫用查詢分析器執(zhí)行以下語句:

exec sp_dropextendedproc 'xp_cmdshell

使用了以上幾個方法后，能有效保障你的服務器不會隨便被人黑或清玩家數(shù)據(jù)，當然我技術有限，有的高手還有更多方法入侵你的服務器，這

需要大家加倍努力去學習防黑技術，也希望高手們對我的評論給予指點，修正出更好的解決方案，對玩家的數(shù)據(jù)做出更有力的保障~~~