如何提高服務(wù)器的安全性？

1、系統(tǒng)漏洞的修復(fù)

成都創(chuàng)新互聯(lián)公司專業(yè)為企業(yè)提供金水網(wǎng)站建設(shè)、金水做網(wǎng)站、金水網(wǎng)站設(shè)計(jì)、金水網(wǎng)站制作等企業(yè)網(wǎng)站建設(shè)、網(wǎng)頁(yè)設(shè)計(jì)與制作、金水企業(yè)網(wǎng)站模板建站服務(wù)，十余年金水做網(wǎng)站經(jīng)驗(yàn)，不只是建網(wǎng)站，更提供有價(jià)值的思路和整體網(wǎng)絡(luò)服務(wù)。

安裝好的御咐系統(tǒng)都會(huì)有系統(tǒng)漏洞需要進(jìn)行補(bǔ)丁，一些高危漏洞是需要我們及時(shí)補(bǔ)丁的, 否則黑客容易利用漏洞進(jìn)行服務(wù)器攻擊。

2、系亮缺統(tǒng)賬號(hào)優(yōu)化

我們服務(wù)器的密碼需要使用強(qiáng)口令，同時(shí)有一些來(lái)賓賬戶例如guest一定要禁用掉。

3、目錄權(quán)限優(yōu)化

對(duì)于不需要執(zhí)行與寫入權(quán)限的服務(wù)器我們要進(jìn)行權(quán)限修改，確保不把不該出現(xiàn)的的權(quán)限暴露給攻擊者讓攻擊者有機(jī)可趁。

例如我們的windows文件夾權(quán)限，我們給的就應(yīng)該盡可能的少，對(duì)于用戶配置信息文件夾，不要給予everyone權(quán)限。

4、數(shù)據(jù)庫(kù)優(yōu)化

針對(duì)數(shù)據(jù)密碼和數(shù)據(jù)庫(kù)端口訪問(wèn)都要進(jìn)行優(yōu)化，不要將數(shù)據(jù)庫(kù)暴露在公網(wǎng)訪問(wèn)環(huán)境。

5、系統(tǒng)服務(wù)優(yōu)化

去除一些不必要的系統(tǒng)服務(wù)，可以優(yōu)化我們系統(tǒng)性能，同時(shí)優(yōu)化系統(tǒng)服務(wù)可以提升系統(tǒng)安全性。

6、注冊(cè)表優(yōu)化

注冊(cè)表優(yōu)化可以提升網(wǎng)絡(luò)并發(fā)能力，去除不必要的端口，幫助抵御snmp攻擊，優(yōu)化網(wǎng)絡(luò)，是我們優(yōu)化服務(wù)器不可缺少的環(huán)節(jié)。

7、掃描垃圾文件

垃圾文件冗余可能會(huì)造成我們的服務(wù)器卡敬拆辯頓，硬盤空間不足，需要我們定期進(jìn)行清理。

為了保證服務(wù)器能夠安全高效的提供服務(wù)，應(yīng)該如何配置服務(wù)器的安全設(shè)置。

web服務(wù)器安全關(guān)鍵是要看你的web服務(wù)器提供服務(wù)的安全需求是什么，如果是普通的服務(wù)公眾的服務(wù)器可以參考一下內(nèi)容： 刪除默認(rèn)建立的站點(diǎn)的虛擬目錄，停止默認(rèn)web站點(diǎn)，刪除對(duì)應(yīng)的文件目錄c：inetpub，配置所有站點(diǎn)的公共設(shè)置，設(shè)置好相關(guān)的連接數(shù)限制，帶寬設(shè)置以及性能設(shè)置等其他仔好設(shè)置。配置應(yīng)用程序映射，刪除所有不必要的應(yīng)用程序擴(kuò)展，只保留asp，php，cgi，pl，aspx應(yīng)用程序擴(kuò)展。對(duì)于php和cgi，推薦使用isapi方式解析，用exe解析對(duì)安全和性能有所影響。用戶程序調(diào)試設(shè)置發(fā)送文本錯(cuò)誤信息給戶。對(duì)于數(shù)據(jù)庫(kù)，盡量采用mdb后綴，不需要更改為asp，可在IIS中設(shè)置一個(gè)mdb的擴(kuò)展映射，將這個(gè)映射使用一個(gè)無(wú)關(guān)的dll文件如C：WINNTsystem32inetsrvssinc.dll來(lái)防止數(shù)據(jù)庫(kù)被下載。設(shè)置IIS的日志保存目錄，調(diào)整日志記錄信息。設(shè)置為發(fā)送文本錯(cuò)誤信息。修改403錯(cuò)誤頁(yè)面，將其轉(zhuǎn)向到其他頁(yè)，可防止一些掃描器的探測(cè)。另外為隱藏系統(tǒng)信息，防止telnet到80端口所泄露的系統(tǒng)版本信息可修改IIS的banner信息，可以使用winhex手工修改或者使用相關(guān)軟件如banneredit修改。 對(duì)于用戶站點(diǎn)所在的目錄，在此說(shuō)明一下，用戶的FTP根目錄下對(duì)應(yīng)三個(gè)文件佳，wwwroot，database，logfiles，分別存放站點(diǎn)文件，數(shù)據(jù)庫(kù)備份和該站點(diǎn)的日志。如果一旦發(fā)生入侵事件可對(duì)該用戶站點(diǎn)所在目錄設(shè)置具體的權(quán)限，圖片所在的目錄只給予列目錄的權(quán)限，程序所在目錄如果不需要生成文件（如生成html的程序）不給予寫入權(quán)限。因?yàn)槭翘摂M主機(jī)平常對(duì)腳本安全沒(méi)辦法做到細(xì)致入微的地步，更多的只能在方法用戶從腳本提升權(quán)限： ASP的安全設(shè)置： 設(shè)置過(guò)權(quán)限和服務(wù)之后，防范asp木馬還需要做以下工作，在cmd窗口運(yùn)行以下命令： regsvr32/u C：\WINNT\System32\wshom.ocx del C：\WINNT\System32\wshom.ocx regsvr32/u C：\WINNT\system32\shell32.dll del C：\WINNT\system32\shell32.dll 即可將WScript.Shell， Shell.application， WScript.Network組件卸載，可有效防止asp木馬通過(guò)wscript或shell.application執(zhí)行命令以及使用木馬查看一些系統(tǒng)敏感信息。另法：可取消以上文件的users用戶的權(quán)限，重新啟動(dòng)IIS即可生效。但不推薦該方法。 另外，對(duì)于FSO由于用戶程序需要使用，服務(wù)器上可以不注銷掉該組件，這里只提一下FSO的防范，但并不需要在自動(dòng)開通空間的虛擬商服務(wù)器上使用，只適合于手工開通的站點(diǎn)。好戚謹(jǐn)可以針對(duì)需要FSO和不需要FSO的站點(diǎn)設(shè)置兩個(gè)組，對(duì)于需要FSO的用戶組給予c：winntsystem32scrrun.dll文件的執(zhí)行權(quán)限，不需要的不給權(quán)友基限。重新啟動(dòng)服務(wù)器即可生效。 對(duì)于這樣的設(shè)置結(jié)合上面的權(quán)限設(shè)置，你會(huì)發(fā)現(xiàn)海陽(yáng)木馬已經(jīng)在這里失去了作用！ PHP的安全設(shè)置： 默認(rèn)安裝的php需要有以下幾個(gè)注意的問(wèn)題： C：\winnt\php.ini只給予users讀權(quán)限即可。在php.ini里需要做如下設(shè)置： Safe_mode=on register_globals = Off allow_url_fopen = Off display_errors = Off magic_quotes_gpc = On [默認(rèn)是on，但需檢查一遍] open_basedir =web目錄 disable_functions =passthru，exec，shell_exec，system，phpinfo，get_cfg_var，popen，chmod 默認(rèn)設(shè)置com.allow_dcom = true修改為false[修改前要取消掉前面的；] MySQL安全設(shè)置： 如果服務(wù)器上啟用MySQL數(shù)據(jù)庫(kù)，MySQL數(shù)據(jù)庫(kù)需要注意

如何配置網(wǎng)絡(luò)服務(wù)器安全

配置網(wǎng)絡(luò)服務(wù)器安全一般需要做以下步驟：

1、安裝補(bǔ)丁程序任何操作系統(tǒng)都有漏洞，作為網(wǎng)絡(luò)系統(tǒng)管理員就有責(zé)任及時(shí)地將“補(bǔ)

丁”打上，安裝最新的升襪襲級(jí)包。

2、安裝和設(shè)置防火墻現(xiàn)在有許多基于硬件或軟件的防火墻，如華為、

神州數(shù)碼、聯(lián)想、瑞星等廠商的產(chǎn)品。對(duì)于企業(yè)內(nèi)部網(wǎng)來(lái)說(shuō)，安裝防火墻是非常必要的。防火墻對(duì)于非法訪問(wèn)具有很好的預(yù)防作用，但是并不是安裝了防火墻之后就

萬(wàn)事大吉了，而是需要進(jìn)行適當(dāng)?shù)脑O(shè)置才能起作用。如果對(duì)防火墻的設(shè)置不了解，需要請(qǐng)技術(shù)支持人員協(xié)助設(shè)置。

3、安裝網(wǎng)絡(luò)殺毒軟件現(xiàn)在網(wǎng)絡(luò)上

的病毒非常猖獗，這就需要在網(wǎng)絡(luò)服務(wù)器上安裝網(wǎng)絡(luò)版的殺毒軟件來(lái)控制病毒的傳播，目前，大多數(shù)反病毒廠商(如瑞星、冠群金辰、趨勢(shì)、賽門鐵克、熊貓等)都

已經(jīng)推出了網(wǎng)絡(luò)版的殺毒軟件。同時(shí)，在網(wǎng)絡(luò)版的殺毒告指兄軟件使用中，必須要定期或及時(shí)升級(jí)殺毒軟件。

4、賬號(hào)和密碼保護(hù)賬號(hào)和密碼保護(hù)可以說(shuō)是系統(tǒng)的第一道防線，目前網(wǎng)上

的大部分對(duì)系統(tǒng)的攻擊都是從截獲或猜測(cè)密碼開始的。一旦黑客進(jìn)入了系統(tǒng)，那么前面的防衛(wèi)措施幾乎就沒(méi)有作用，所以對(duì)服務(wù)器系統(tǒng)管理員的賬號(hào)和密碼進(jìn)行管理

是保證系統(tǒng)安全非常重要的措施。

5、監(jiān)測(cè)系統(tǒng)日志通過(guò)運(yùn)行系統(tǒng)日志程序，系統(tǒng)會(huì)記錄下所有用戶使用系統(tǒng)的逗褲情形，包括最近登錄時(shí)間、使用的賬號(hào)、進(jìn)行的活動(dòng)

等。日志程序會(huì)定期生成報(bào)表，通過(guò)對(duì)報(bào)表進(jìn)行分析，你可以知道是否有異?，F(xiàn)象。

6、關(guān)閉不需要的服務(wù)和端口服務(wù)器操作系統(tǒng)在安裝的時(shí)候，會(huì)啟動(dòng)一些不

需要的服務(wù)，這樣會(huì)占用系統(tǒng)的資源，而且也增加了系統(tǒng)的安全隱患。對(duì)于假期期間完全不用的服務(wù)器，可以完全關(guān)閉;對(duì)于假期期間要使用的服務(wù)器，應(yīng)關(guān)閉不需

要的服務(wù)，如Telnet等。另外，還要關(guān)掉沒(méi)有必要開的TCP端口。

7、定期對(duì)服務(wù)器進(jìn)行備份為防止不能預(yù)料的系統(tǒng)故障或用戶不小心的非法操作，必須對(duì)

系統(tǒng)進(jìn)行安全備份。除了對(duì)全系統(tǒng)進(jìn)行每月一次的備份外，還應(yīng)對(duì)修改過(guò)的數(shù)據(jù)進(jìn)行每周一次的備份。

8、如果服務(wù)器與客戶端傳輸?shù)臄?shù)據(jù)都比較敏感，例如涉及到金錢交易的網(wǎng)站，那很有必要安裝一個(gè)SSL證書，去易維信-EVTrust 申請(qǐng)一個(gè)SSL證書，使網(wǎng)站實(shí)現(xiàn)"https"加密傳輸。

服務(wù)器安全設(shè)置？如何設(shè)置服務(wù)器安全？

用NT（2000）建立的WEB站點(diǎn)在所有的網(wǎng)站中占了很大一部分比例，主要因?yàn)槠湟子眯耘c易管理性，使該公司不必再投入大量的金錢在服務(wù)器的管理上，這一點(diǎn)優(yōu)于nix系統(tǒng)，不必請(qǐng)很專業(yè)的管理員，不必支付一份可以節(jié)省的高薪，呵呵，當(dāng)然nix的管理員也不會(huì)失業(yè)，因?yàn)槠溟_放源碼和windows系統(tǒng)無(wú)與倫比的速度，使得現(xiàn)在幾乎所有的大型服務(wù)器全部采用nix系統(tǒng)。但對(duì)于中小型企業(yè)來(lái)說(shuō)windows已經(jīng)足夠，但NT的安全問(wèn)題也一直比較突出，使得一些每個(gè)基于NT的網(wǎng)站都有一種如履薄冰的感覺，在此我給出一份安全解決方案，算是為中國(guó)的網(wǎng)絡(luò)安全事業(yè)做出一份貢獻(xiàn)吧 （說(shuō)明：本方案主要是針對(duì)建立Web站點(diǎn)的NT、2000服務(wù)器安全，對(duì)于局域網(wǎng)內(nèi)的服務(wù)器并不合適。）

安全配置NT/2000 SERVER

即使正確的安裝了WIN2000 SERVER，系統(tǒng)還是有很多的漏洞，還需要進(jìn)一步進(jìn)行細(xì)致地配置。

1．端口：

端口是計(jì)算機(jī)和外部網(wǎng)絡(luò)相連的邏輯接口，也是計(jì)算機(jī)的第一道屏障，端口配置正確與否直接影響到主機(jī)的安全，一般來(lái)說(shuō)，僅打開你需要使用的端口會(huì)比較安全，配置的方法是在網(wǎng)卡屬性-TCP/IP-高級(jí)-選項(xiàng)-TCP/IP篩選中啟用TCP/IP篩選，不過(guò)對(duì)于win2000的端口過(guò)濾來(lái)說(shuō)，有一個(gè)不好的特性：只能規(guī)定開哪些端口，不能規(guī)定關(guān)閉哪些端口，這樣對(duì)于需要開大量端口的用戶就比較痛苦。

2．IIS：

IIS是微軟的組件中漏洞最多的一個(gè)，平均兩三個(gè)月就要出一個(gè)漏洞，而微軟的IIS默認(rèn)安裝又實(shí)在不敢恭維，所以IIS的配置是我們的重點(diǎn)，現(xiàn)在大家跟著我一起來(lái)：首先，把C盤那個(gè)什么Inetpub目錄徹底刪掉亮鎮(zhèn)，在D盤建一個(gè)Inetpub（要是你不放心用默認(rèn)目錄名也可基殲以改一個(gè)名字，但是自己要記得）在IIS管理器中將主目錄指向D:\Inetpub；其次，那個(gè)IIS安裝時(shí)默認(rèn)的什么scripts等虛敬鋒粗?jǐn)M目錄一概刪除，如果你需要什么權(quán)限的目錄可以自己慢慢建，需要什么權(quán)限開什么。（特別注意寫權(quán)限和執(zhí)行程序的權(quán)限，沒(méi)有絕對(duì)的必要千萬(wàn)不要給）第三，應(yīng)用程序配置：在IIS管理器中刪除必須之外的任何無(wú)用映射，必須指的是ASP,ASA和其他你確實(shí)需要用到的文件類型，例如你用到stml等（使用server side include），實(shí)際上90%的主機(jī)有了上面兩個(gè)映射就夠了，其余的映射幾乎每個(gè)都有一個(gè)凄慘的故事：htw, htr, idq, ida……想知道這些故事？去查以前的漏洞列表吧。在IIS管理器中右擊主機(jī)-屬性-WWW服務(wù) 編輯-主目錄配置-應(yīng)用程序映射，然后就開始一個(gè)個(gè)刪吧（里面沒(méi)有全選的，嘿嘿）。接著在剛剛那個(gè)窗口的應(yīng)用程序調(diào)試書簽內(nèi)將腳本錯(cuò)誤消息改為發(fā)送文本（除非你想ASP出錯(cuò)的時(shí)候用戶知道你的程序/網(wǎng)絡(luò)/數(shù)據(jù)庫(kù)結(jié)構(gòu)）錯(cuò)誤文本寫什么？隨便你喜歡，自己看著辦。點(diǎn)擊確定退出時(shí)別忘了讓虛擬站點(diǎn)繼承你設(shè)定的屬性。安裝新的Service Pack后，IIS的應(yīng)用程序映射應(yīng)重新設(shè)置。（說(shuō)明：安裝新的Service Pack后，某些應(yīng)用程序映射又會(huì)出現(xiàn)，導(dǎo)致出現(xiàn)安全漏洞。這是管理員較易忽視的一點(diǎn)。）