Habilidades comunes de configuración de seguridad del servidor WEB

Eliminar el directorio virtual del sitio establecido predeterminado, detener el sitio web predeterminado, eliminar el directorio de archivos correspondiente c: inetpub, configurar los ajustes públicos de todos los sitios, establecer el límite de conexión relevante, ancho de banda Otras configuraciones tales como configuraciones y configuraciones de rendimiento. Configure la asignación de aplicaciones, elimine todas las extensiones de aplicación innecesarias y mantenga solo las extensiones de aplicación asp, php, cgi, pl, aspx. Para php y cgi, se recomienda utilizar isapi para analizar, y el análisis exe tiene un impacto en la seguridad y el rendimiento. La configuración de depuración del programa del usuario envía mensajes de error de texto al usuario. Para la base de datos, intente usar el sufijo mdb, no necesita cambiar a asp, puede establecer una asignación de extensión de mdb en IIS, use este mapa para usar un archivo dll no relacionado como C: WINNTsystem32inetsrvssinc.dll para evitar que se descargue la base de datos. Establezca el directorio de guardado de registro de IIS y ajuste la información del registro de registro. Establecer para enviar mensajes de error de texto. Modifique la página de error 403 y gírela a otra página para evitar la detección por parte de algunos escáneres. Además, para ocultar la información del sistema, la información de la versión del sistema filtrada de telnet al puerto 80 se puede modificar para modificar la información de banner de IIS. Puede usar winhex para modificar manualmente o usar software relacionado, como banneredit, para modificar.

Para el directorio donde se ubica el sitio del usuario, aquí hay una descripción de los tres archivos en el directorio raíz FTP del usuario, wwwroot, base de datos, archivos de registro, que almacenan los archivos del sitio, las copias de seguridad de la base de datos y los registros del sitio. Si se produce un evento de intrusión, se pueden establecer permisos específicos para el directorio donde se ubica el sitio del usuario. El directorio donde se encuentra la imagen solo otorga los permisos del directorio de la columna. Si el directorio donde se ubica el programa no necesita generar un archivo (como un programa que genera html), no se otorga ningún permiso de escritura. Debido a que es un host virtual, por lo general no tiene forma de hacer que la seguridad del script sea escasa, solo se puede usar más en el método del usuario para mejorar los permisos del script:

Configuración de seguridad de ASP:

Después del servicio, el caballo de madera anti-asp debe realizar el siguiente trabajo, ejecute el siguiente comando en la ventana cmd:

regsvr32 /u C: WINNTSystem32wshom.ocx

del C: WINNTSystem32wshom.ocx

regsvr32 /u C: WINNTsystem32shell32.dll

del C: WINNTsystem32shell32.dll

Desinstalar WScript.Shell, Shell.application, WScript.Network componentes, efectivamente prevenir asp trojan Ejecute los comandos a través de wscript o shell.application y use el troyano para ver información confidencial del sistema. Otro método: puede cancelar los permisos de los usuarios de los archivos anteriores, reinicie IIS para que tenga efecto. Sin embargo, este método no es recomendable.

Además, para FSO, debido a que el programa de usuario debe utilizarse, el servidor no puede desconectarse del componente. Aquí, solo se menciona la prevención de FSO, pero no es necesario que se use en el servidor del comerciante virtual que abre automáticamente el espacio. Sitio abierto manualmente. Puede configurar dos grupos para los sitios que necesitan FSO y no necesitan FSO. Para el grupo de usuarios que necesita FSO, dé permiso para ejecutar c: winntsystem32scrrun.dll. Reinicie el servidor para que tenga efecto.

Para una configuración de este tipo combinada con la configuración de permisos anterior, ¡encontrarás que el troyano Haiyang ha perdido su función aquí!

Configuración de seguridad de PHP:

La instalación predeterminada de php requiere la siguiente atención:

C: winntphp.ini solo otorga permiso de lectura a los usuarios. En php.ini debe realizar las siguientes configuraciones:

Safe_mode = on

register_globals = Off

allow_url_fopen = Off

display_errors = Off

magic_quotes_gpc = Encendido [por defecto está activado, pero échale un vistazo]

open_basedir = directorio web

disable_functions = passthru, exec, shell_exec, system, phpinfo, get_cfg_var, popen, chmod

La configuración predeterminada com.allow_dcom = true se cambia a falso [para cancelar la anterior antes de la modificación;]

Configuración de seguridad de MySQL:

Si la base de datos MySQL está habilitada en el servidor, la base de datos MySQL necesita Tenga en cuenta que la configuración de seguridad es:

Eliminar todos los usuarios predeterminados en mysql, solo mantenga la cuenta de root local y agregue una contraseña compleja al usuario root. Otorgue al usuario ordinario updatedeletealealcreatedreaup permiso y limítese a una base de datos específica, especialmente para evitar que el cliente ordinario tenga permiso para operar en la base de datos mysql. Verifique la tabla mysql.user, cancele los permisos shutdown_priv, relo

ad_priv, process_priv y File_priv del usuario innecesario. Estos permisos pueden filtrar más información del servidor, incluida otra información que no sea mysql. Puede configurar un usuario de inicio para mysql, que tiene permisos solo para el directorio mysql. Establezca los permisos de la base de datos de datos del directorio de instalación (este directorio almacena la información de datos de la base de datos mysql). Para el directorio de instalación de mysql, agregue lecturas, directorios de columnas y ejecute permisos a los usuarios.

Problemas de seguridad de Serv-u:

Intente usar la última versión del instalador, evite usar el directorio de instalación predeterminado, configure los permisos del directorio de serv-u y configure una contraseña de administrador compleja. Modifique la información de la pancarta de serv-u, establezca el rango del puerto del modo pasivo (4001—4003) para realizar la configuración de seguridad relevante en la configuración del servidor local: verifique la contraseña anónima, deshabilite la programación anti-timeout, intercepte el ataque de "rebote del FTP" y FXP, Los usuarios que se han conectado más de 3 veces en 30 segundos interceptan 10 minutos. Las configuraciones en el dominio son: Requerir contraseñas complejas, el directorio usa solo letras minúsculas, y la configuración Avanzada cancela la fecha en que se permite cambiar el archivo usando el comando MDTM.

Cambie el usuario de inicio de serv-u: cree un nuevo usuario en el sistema, establezca una contraseña compleja, no pertenece a ningún grupo. Otorgue al usuario el control total del directorio de instalación de servu. Para establecer un directorio raíz de FTP, debe darle al usuario el control total del directorio, ya que todos los usuarios ftp cargan, eliminan y modifican los archivos que son heredados por el usuario, de lo contrario, el archivo no puede ser manipulado. Además, debe otorgar al usuario el permiso de lectura del directorio superior sobre el directorio, de lo contrario aparecerá 530 No ha iniciado sesión, el directorio de inicio no existe. Por ejemplo, al realizar una prueba, el directorio raíz de ftp es d: soft, debe proporcionar d disco el permiso de lectura del usuario para cancelar de forma segura los permisos heredados de otras carpetas en el disco d. El uso general del inicio predeterminado del sistema no tiene estos problemas, porque el sistema generalmente tiene estos permisos.