web服務(wù)器安全設(shè)置

Web服務(wù)器攻擊常利用Web服務(wù)器軟件和配置中的漏洞，web服務(wù)器安全也是我們現(xiàn)在很多人關(guān)注的一點(diǎn)，那么你知道web服務(wù)器安全設(shè)置嗎?下面是我整理的一些關(guān)于web服務(wù)器安全設(shè)置的相關(guān)資料，供你參考。

創(chuàng)新互聯(lián)公司主要從事成都網(wǎng)站建設(shè)、做網(wǎng)站、網(wǎng)頁設(shè)計(jì)、企業(yè)做網(wǎng)站、公司建網(wǎng)站等業(yè)務(wù)。立足成都服務(wù)畢節(jié),十年網(wǎng)站建設(shè)經(jīng)驗(yàn),價(jià)格優(yōu)惠、服務(wù)專業(yè),歡迎來電咨詢建站服務(wù):18980820575

web服務(wù)器安全設(shè)置一、IIS的相關(guān)設(shè)置

刪除默認(rèn)建立的站點(diǎn)的虛擬目錄，停止默認(rèn)web站點(diǎn)，刪除對(duì)應(yīng)的文件目錄c:inetpub，配置所有站點(diǎn)的公共設(shè)置，設(shè)置好相關(guān)的連接數(shù)限制， 帶寬設(shè)置以及性能設(shè)置等其他設(shè)置。配置應(yīng)用程序映射，刪除所有不必要的應(yīng)用程序擴(kuò)展，只保留asp，php，cgi，pl，aspx應(yīng)用程序擴(kuò)展。對(duì)于php和cgi，推薦使用坦肆isapi方式解析，用exe解析對(duì)安全和性能有所影響。用戶程序調(diào)試設(shè)置發(fā)送文本錯(cuò)誤信息給客戶。

對(duì)于數(shù)據(jù)庫，盡量采用mdb后綴，讓盯轎不需要更改為asp，可在IIS中設(shè)置一個(gè)mdb的擴(kuò)展映射，將這個(gè)映射使用一個(gè)無關(guān)的dll文件如C:WINNTsystem32inetsrvssinc.dll來防止數(shù)據(jù)庫被下載。設(shè)置IIS的日志保存目錄，調(diào)整日志記錄信息。設(shè)置為發(fā)送文本錯(cuò)誤信息。修改403錯(cuò)誤頁面，將其轉(zhuǎn)向到其他頁，可則襪防止一些掃描器的探測。另外為隱藏系統(tǒng)信息，防止telnet到80端口所泄露的系統(tǒng)版本信息可修改IIS的banner信息，可以使用winhex手工修改或者使用相關(guān)軟件如banneredit修改。

對(duì)于用戶站點(diǎn)所在的目錄，在此說明一下，用戶的FTP根目錄下對(duì)應(yīng)三個(gè)文件佳，wwwroot，database，logfiles，分別存放站點(diǎn)文件，數(shù)據(jù)庫備份和該站點(diǎn)的日志。如果一旦發(fā)生入侵事件可對(duì)該用戶站點(diǎn)所在目錄設(shè)置具體的權(quán)限，圖片所在的目錄只給予列目錄的權(quán)限，程序所在目錄如果不需要生成文件(如生成html的程序)不給予寫入權(quán)限。因?yàn)槭翘摂M主機(jī)平常對(duì)腳本安全沒辦法做到細(xì)致入微的地步。

方法

用戶從腳本提升權(quán)限：

web服務(wù)器安全設(shè)置二、ASP的安全設(shè)置

設(shè)置過權(quán)限和服務(wù)之后，防范asp木馬還需要做以下工作，在cmd窗口運(yùn)行以下命令：

regsvr32/u C:\WINNT\System32\wshom.ocx

del C:\WINNT\System32\wshom.ocx

regsvr32/u C:\WINNT\system32\shell32.dll

del C:\WINNT\system32\shell32.dll

即可將WScript.Shell, Shell.application, WScript.Network組件卸載，可有效防止asp木馬通過wscript或shell.application執(zhí)行命令以及使用木馬查看一些系統(tǒng)敏感信息。另法：可取消以上文件的users用戶的權(quán)限，重新啟動(dòng)IIS即可生效。但不推薦該方法。

另外，對(duì)于FSO由于用戶程序需要使用，服務(wù)器上可以不注銷掉該組件，這里只提一下FSO的防范，但并不需要在自動(dòng)開通空間的虛擬商服務(wù)器上使用，只適合于手工開通的站點(diǎn)?？梢葬槍?duì)需要FSO和不需要FSO的站點(diǎn)設(shè)置兩個(gè)組，對(duì)于需要FSO的用戶組給予c:winntsystem32scrrun.dll文件的執(zhí)行權(quán)限，不需要的不給權(quán)限。重新啟動(dòng)服務(wù)器即可生效。

對(duì)于這樣的設(shè)置結(jié)合上面的權(quán)限設(shè)置，你會(huì)發(fā)現(xiàn)海陽木馬已經(jīng)在這里失去了作用!

web服務(wù)器安全設(shè)置三、PHP的安全設(shè)置

默認(rèn)安裝的php需要有以下幾個(gè)注意的問題：

C:\winnt\php.ini只給予users讀權(quán)限即可。在php.ini里需要做如下設(shè)置：

Safe_mode=on

register_globals = Off

allow_url_fopen = Off

display_errors = Off

magic_quotes_gpc = On [默認(rèn)是on，但需檢查一遍]

open_basedir =web目錄

disable_functions =passthru,exec,shell_exec,system,phpinfo,get_cfg_var,popen,chmod

默認(rèn)設(shè)置com.allow_dcom = true修改為false[修改前要取消掉前面的;]

web服務(wù)器安全設(shè)置四、MySQL安全設(shè)置

如果服務(wù)器上啟用MySQL數(shù)據(jù)庫，MySQL數(shù)據(jù)庫需要注意的安全設(shè)置為：

刪除mysql中的所有默認(rèn)用戶，只保留本地root帳戶，為root用戶加上一個(gè)復(fù)雜的密碼。賦予普通用戶updatedeletealertcreatedrop權(quán)限的時(shí)候，并限定到特定的數(shù)據(jù)庫，尤其要避免普通客戶擁有對(duì)mysql數(shù)據(jù)庫操作的權(quán)限。檢查mysql.user表，取消不必要用戶的shutdown_priv,reload_priv,process_priv和File_priv權(quán)限，這些權(quán)限可能泄漏更多的服務(wù)器信息包括非mysql的 其它 信息出去?？梢詾閙ysql設(shè)置一個(gè)啟動(dòng)用戶，該用戶只對(duì)mysql目錄有權(quán)限。設(shè)置安裝目錄的data數(shù)據(jù)庫的權(quán)限(此目錄存放了mysql數(shù)據(jù)庫的數(shù)據(jù)信息)。對(duì)于mysql安裝目錄給users加上讀取、列目錄和執(zhí)行權(quán)限。

Serv-u安全問題：

安裝程序盡量采用最新版本，避免采用默認(rèn)安裝目錄，設(shè)置好serv-u目錄所在的權(quán)限，設(shè)置一個(gè)復(fù)雜的管理員密碼。修改serv-u的banner信息，設(shè)置被動(dòng)模式端口范圍(4001—4003)在本地服務(wù)器中設(shè)置中做好相關(guān)安全設(shè)置：包括檢查匿名密碼，禁用反超時(shí)調(diào)度，攔截“FTP bounce”攻擊和FXP，對(duì)于在30秒內(nèi)連接超過3次的用戶攔截10分鐘。域中的設(shè)置為：要求復(fù)雜密碼，目錄只使用小寫字母，高級(jí)中設(shè)置取消允許使用MDTM命令更改文件的日期。

更改serv-u的啟動(dòng)用戶：在系統(tǒng)中新建一個(gè)用戶，設(shè)置一個(gè)復(fù)雜點(diǎn)的密碼，不屬于任何組。將servu的安裝目錄給予該用戶完全控制權(quán)限。建立一個(gè)FTP根目錄，需要給予這個(gè)用戶該目錄完全控制權(quán)限，因?yàn)樗械膄tp用戶上傳，刪除，更改文件都是繼承了該用戶的權(quán)限，否則無法操 作文 件。另外需要給該目錄以上的上級(jí)目錄給該用戶的讀取權(quán)限，否則會(huì)在連接的時(shí)候出現(xiàn)530 Not logged in, home directory does not exist。比如在測試的時(shí)候ftp根目錄為d:soft，必須給d盤該用戶的讀取權(quán)限，為了安全取消d盤其他文件夾的繼承權(quán)限。而一般的使用默認(rèn)的system啟動(dòng)就沒有這些問題，因?yàn)閟ystem一般都擁有這些權(quán)限的。

web服務(wù)器安全設(shè)置五、數(shù)據(jù)庫服務(wù)器的安全設(shè)置

對(duì)于專用的MSSQL數(shù)據(jù)庫服務(wù)器，按照上文所講的設(shè)置TCP/IP篩選和IP策略，對(duì)外只開放1433和5631端口。對(duì)于MSSQL首先需要為sa設(shè)置一個(gè)強(qiáng)壯的密碼，使用混合身份驗(yàn)證,加強(qiáng)數(shù)據(jù)庫日志的記錄,審核數(shù)據(jù)庫登陸事件的”成功和失敗”.刪除一些不需要的和危險(xiǎn)的OLE自動(dòng)存儲(chǔ)過程(會(huì)造成 企業(yè)管理 器中部分功能不能使用),這些過程包括如下:

Sp_OAcreate Sp_OADestroy Sp_OAGetErrorInfo Sp_OAGetProperty

Sp_OAMethod Sp_OASetProperty Sp_OAStop

去掉不需要的注冊表訪問過程,包括有:

Xp_regaddmultistring Xp_regdeletekey Xp_regdeletevalue

Xp_regenumvalues Xp_regread Xp_regremovemultistring

Xp_regwrite

去掉其他系統(tǒng)存儲(chǔ)過程，如果認(rèn)為還有威脅，當(dāng)然要小心drop這些過程，可以在測試機(jī)器上測試，保證正常的系統(tǒng)能完成工作，這些過程包括：

xp_cmdshell xp_dirtree xp_dropwebtask sp_addsrvrolemember

xp_makewebtask xp_runwebtask xp_subdirs sp_addlogin

sp_addextendedproc

在實(shí)例屬性中選擇TCP/IP協(xié)議的屬性。選擇隱藏 SQL Server 實(shí)例可防止對(duì)1434端口的探測,可修改默認(rèn)使用的1433端口。除去數(shù)據(jù)庫的guest賬戶把未經(jīng)認(rèn)可的使用者據(jù)之在外。 例外情況是master和 tempdb 數(shù)據(jù)庫,因?yàn)閷?duì)他們guest帳戶是必需的。另外注意設(shè)置好各個(gè)數(shù)據(jù)庫用戶的權(quán)限，對(duì)于這些用戶只給予所在數(shù)據(jù)庫的一些權(quán)限。在程序中不要用sa用戶去連接任何數(shù)據(jù)庫。網(wǎng)絡(luò)上有建議大家使用協(xié)議加密的，千萬不要這么做，否則你只能重裝MSSQL了。

安全最重要！MySQL配置主從復(fù)制，主主復(fù)制

為了保障數(shù)據(jù)的安全與穩(wěn)定性，我們常用數(shù)據(jù)庫的主從復(fù)制與主主復(fù)制來實(shí)現(xiàn)。主從復(fù)制為從機(jī)實(shí)時(shí)拷貝一份主機(jī)的數(shù)據(jù)，當(dāng)主機(jī)有數(shù)據(jù)變化時(shí)，從機(jī)的數(shù)據(jù)會(huì)跟著變，當(dāng)從機(jī)數(shù)據(jù)有變化時(shí)，主機(jī)數(shù)據(jù)不變；同樣地，主主復(fù)制就是，多個(gè)主機(jī)之間，只要有一個(gè)主機(jī)的數(shù)據(jù)變化了，其它主機(jī)數(shù)據(jù)也會(huì)跟著變化。

添加以下內(nèi)容

如果你是使用我之前那種方式啟動(dòng)的MySQL，那么你只需要去你相關(guān)聯(lián)的宿主機(jī)的配置文件夾里面去建立一個(gè) my點(diǎn)吸煙 f 然后寫入上面的類容就好了。

比如：我的啟動(dòng)命令如塌山下（不應(yīng)該換行的，這里為了方便查看，我給它分行了）

那么我只需要在 /docker/mysql_master/conf 這個(gè)目錄下創(chuàng)建 my點(diǎn)吸煙 f 文件就好了。

這個(gè)命令是需要在容器里面執(zhí)行的

docker重啟mysql會(huì)關(guān)閉容器，我們需要重啟容器。

確保在主服務(wù)器上 skip_networking 選項(xiàng)處于 OFF 關(guān)閉狀態(tài), 這是默認(rèn)值。 如果是啟用的，則從站無法與主站通信，并且復(fù)制失敗。

我的命令如下

在從服務(wù)器配置連接到主服務(wù)器的相關(guān)信息 （在容器里面的mysql執(zhí)行）

上面代碼的xxxxx你需要換成你的IP，docker 查看容器 IP 的命令如下：

啟動(dòng)的那個(gè)從服務(wù)器的線程

測試的話，你可以在主服務(wù)器里面，創(chuàng)建一個(gè)數(shù)據(jù)庫，發(fā)現(xiàn)從服務(wù)器里面也有了，就成功了。

如果你還想要一個(gè)從服務(wù)器，那么你只需要按照上面配置從服務(wù)器再配置一個(gè)就行了，新建的從服務(wù)器，會(huì)自動(dòng)保存主服務(wù)器之前的數(shù)據(jù)。（測試結(jié)果） 如果你上面的主從復(fù)制搞定了，那么這個(gè)主主復(fù)制團(tuán)逗中就很簡單了。我們把上面的從服務(wù)器也改成主服務(wù)器

1）、修改上面的從服務(wù)器的my點(diǎn)吸煙 f文件，和主服務(wù)器的一樣（注意這個(gè)server-id不能一樣）然后重啟服務(wù)器 2）、在從服務(wù)器里面創(chuàng)建一個(gè)復(fù)制用戶創(chuàng)建命令一樣（這里修改一下用戶名可以改為 repl2） 3）、在之前的主服務(wù)器里面運(yùn)行下面指掘這個(gè)代碼

上面主要是教你怎么搭建一個(gè)MySQL集群，但是這里面還有很多其它的問題。也是我在學(xué)習(xí)過程中思考的問題，可能有的小伙伴上來看到文章長篇大論的看不下去，只想去實(shí)現(xiàn)這樣一直集群功能，所以我就把問題寫在下面了。

1）、MySQL的replication和pxc MySQL的集群方案有replication和pxc兩種，上面是基于replication實(shí)現(xiàn)的。

replication: 異步復(fù)制，速度快，無法保證數(shù)據(jù)的一致性。 pxc: 同步復(fù)制，速度慢，多個(gè)集群之間是事務(wù)提交的數(shù)據(jù)一致性強(qiáng)。

2）、MySQL的replication數(shù)據(jù)同步的原理 我們在配置的時(shí)候開啟了它的二進(jìn)制日志，每次操作數(shù)據(jù)庫的時(shí)候都會(huì)更新到這個(gè)日志里面去。主從通過同步這個(gè)日志來保證數(shù)據(jù)的一致性。

3）、可否不同步全部的數(shù)據(jù) 可以配置，同步哪些數(shù)據(jù)庫，甚至是哪些表。

4）、怎么關(guān)閉和開始同步

5）、我就我的理解畫出了，主從、主從從、主主、復(fù)制的圖。

往期推薦：

利用Docker僅花1分鐘時(shí)間安裝好MySQL服務(wù)

Linux下MySQL 5.7的離線與在線安裝（圖文）

Linux下安裝MySQL8.0（收藏！）

MYSQL安裝中的“申請(qǐng)安全設(shè)置”問題

分類: 電寬御腦/網(wǎng)絡(luò) 反病毒

問題描述:

配置MYSQL，慎巧巖到最后界面時(shí)，按EXECUTE。只成功地完成前三項(xiàng)，到APPLY SECURITY SETTING（申請(qǐng)安全設(shè)置） 項(xiàng)時(shí)就提示說錯(cuò)誤了。說不能連接到MYSQL服務(wù)器。寬衫。

解析:

須要聯(lián)網(wǎng),實(shí)際上這項(xiàng)不完成還是可以用,安裝時(shí)跳過就可以了