Configuración básica de permisos del host virtual Win2000

  

Acerca de los artículos de intrusión de scripts, Internet ya está inundado. Aunque hay muchos originales, también hay muchos plagios. Muchas personas http://whois.webhosting.info consultan todos los nombres de dominio de una IP y luego encuentran una vulnerabilidad de script en el servidor para piratas informáticos. Vulnerabilidades no publicadas, no lo sé, así que, por favor, no lo use para golpearme. Ok, no hablo mucho de tonterías. Aquí me gustaría decir que creo que el método de configuración de permisos de host virtual win2000 más seguro es solo la configuración de permisos.

Un software y entorno de host virtual

1.Serv-U5.0.11 (no parece seguro, pero no necesariamente)

2.Mysql database

3.Mssql database

4.PcAnyWhere control remoto

5. Software antivirus, generalmente uso Norton 8.0

6.php5

7 .ActivePerl5.8

El software anterior, además de la base de datos Mssql, debe ir al sitio web oficial para descargar la versión recomendada para instalar. La siguiente es la configuración de la instalación, comenzando desde la instalación del sistema. Supongamos que el sistema está instalado con Windows 2000 Advanced Server Edition. El sistema está dividido en unidad c, unidad d y unidad e, todo en formato ntfs.
II. Configuración del puerto del sistema

Host virtual, que generalmente utiliza PcanyWhere y servicios de terminal para el control, servicios de terminal para cambiar el puerto, como modificado a 8735 puerto. Configure el filtrado TCP /IP en función de los servicios que desea abrir. ¿Por qué no usar una política de seguridad local? En lo personal, se considera que la detección de TCP /IP es estricta, ya que se rechaza a menos que se permita explícitamente, y se permite la política de seguridad local a menos que se deniegue explícitamente. Si no lo entiendo bien, por favor avise. La configuración del filtro TCP /IP es la siguiente:

El puerto TCP solo permite 21, 80, 5631, 8735, 10001, 10002, 10003, 10004, 10005; el protocolo IP solo permite 6; el puerto UDP no he realizado pruebas detalladas No me atrevo a hablar de ello, y lo probaré más tarde. El 10001-10005 en el puerto TCP /IP es el puerto utilizado para configurar el modo PASV del Serv-U. Por supuesto, se pueden usar otros.

En las propiedades de conexión local, desinstale todos los demás protocolos, dejando solo el Protocolo de Internet (TCP /IP). Por cierto, cambie la cuenta de administrador a un nombre complejo y configúrela en la política de seguridad local. Inicie sesión en la cuenta y realice la configuración adecuada para el bloqueo de la cuenta. Luego reinicie su computadora y esta configuración de paso se completa.

III. Configuración de permisos del sistema

Ahora instale el software, todo el software está instalado en la unidad d, y la unidad e se usa para la copia de seguridad de datos. Primero instale Serv-U en d: \\ Serv-U, y Hanhua por cierto, jeje. Luego instale a la unidad d a su vez. Empieza a configurar permisos ahora. En primer lugar, no diga, c disco, d disco y e disco de seguridad dentro de Eliminar todos, agregue el administrador y el sistema renombrados, déjelos controlar completamente. Avanzado restablece los permisos de todos los objetos secundarios y permite la propagación de permisos heredables. De esta manera, todos los archivos en el sistema, todos los directorios son controlados por el administrador y el sistema renombrados, y los permisos del directorio superior se heredan automáticamente. Los permisos correspondientes se establecen para cada directorio a continuación.

Al ejecutar asp, debe usar el archivo en el directorio C: \\ Archivos de programa \\ Archivos comunes para establecer una conexión de base de datos. Aquí, establezca los permisos C: \\ Archivos de programa \\ Archivos comunes, únase a todos, permisos para leer, liste directorios de carpetas, lea y ejecute. También puedes usar las etiquetas avanzadas para configuraciones más rigurosas, pero no lo he hecho antes y no me atrevo a decir tonterías.

Para ejecutar php, debe establecer los permisos de c: \\ winnt \\ php.ini para que todos puedan tener permiso de lectura. Si el directorio de sesión de php está configurado en c: \\ winnt \\ temp, este directorio debería permitir que todos lean y escriban. Para mejorar el rendimiento, php está configurado para usar el análisis de isapi, el directorio d: \\ php permite a todos leer, listar directorios de carpetas, leer y ejecutar permisos. En cuanto a la configuración de php.ini, no lo diré aquí. Primero, no entiendo muy bien. Segundo, solo hablo sobre la configuración de permisos del sistema.

Ejecute cgi, configure d: \\ perl para que todos lean, listen el directorio de la carpeta, lean y ejecuten los permisos. Por cierto, cgi está configurado para usar la forma isapi de analizar la seguridad y el rendimiento.

Ahora hablemos de la configuración del gran Serv-U. Esta cosa es realmente poderosa, pero la seguridad no es tan buena, necesitamos transformarla. El primero es el ataque de desbordamiento, 5.0.11 parece no tener tal defecto. El segundo es modificar el archivo de configuración ini, no hay permiso para modificar aquí, omítalo. Que yo sepa, la única forma de hacerlo es usar la cuenta y la contraseña administrativas predeterminadas para agregar una cuenta con permiso de ejecución de escritura para ejecutar el troyano. Después de modificar la contraseña de la cuenta predeterminada, esto se puede modificar editando directamente ServUDaemon.exe y ServUAdmin.exe utilizando un editor como editplus. Si eres demasiado perezoso para los problemas, es fácil escribir un programa en cualquier idioma. He escrito algo así antes, así que puedo configurarlo yo mismo. Básicamente no hay problema con Serv-U ahora.

En cuanto a la base de datos, los permisos no se han establecido, heredar directamente el directorio raíz del disco d. En cuanto a cómo configurar la contraseña de la cuenta en el interior, soy demasiado perezoso para decir.

El último punto es establecer el directorio c: \\ winnt \\ system32 y algunas de las cosas debajo de él. Muchos programas necesitan la biblioteca de enlace dinámico aquí, y hay demasiados archivos aquí. No lo he descubierto. Le daré el directorio c: \\ winnt \\ system32 a todos, enumerar el directorio de la carpeta, leerlo y ejecutarlo. . De hecho, no es seguro hacerlo, pero no se asuste, aún no hemos terminado. Bajo este directorio, también necesitamos hacer configuraciones separadas para varios programas especiales. El primero es cacls.exe, hey, configuremos esto y digamos algo más. Este material se usa para establecer permisos, de modo que no herede los permisos del directorio principal, y permite que rechace el acceso a nadie, porque generalmente no usamos esta cosa de aves. Los otros programas que se configurarán son los siguientes: net.exe, cmd.exe, ftp.exe, tftp.exe, telnet.exe. Estos programas están configurados para permitir que solo el administrador renombrado pueda acceder.

Ahora piense tanto, esto está escrito en el tiempo libre de trabajo de hoy, y luego agregue más tarde.

Suplemento: prohíba que el grupo que no es administrador acceda al directorio winnt y luego el archivo desde el que se va a llamar. Dale una ruta de lectura.

Copyright © Conocimiento de Windows All Rights Reserved