Habilidades prácticas para la configuración de seguridad para servidores dedicados a la WEB

        Elimine el directorio virtual del sitio establecido predeterminado, detenga el sitio web predeterminado, elimine el directorio de archivos correspondiente c: inetpub, configure las configuraciones comunes de todos los sitios, establezca el límite de conexión relevante, las configuraciones de ancho de banda y rendimiento y otras configuraciones. Configure la asignación de aplicaciones, elimine todas las extensiones de aplicación innecesarias y mantenga solo las extensiones de aplicación asp, php, cgi, pl, aspx. Para php y cgi, se recomienda utilizar isapi para analizar, y el análisis exe tiene un impacto en la seguridad y el rendimiento. La configuración de depuración del programa del usuario envía mensajes de error de texto al usuario. Para la base de datos, intente usar el sufijo mdb, no necesita cambiar a asp, puede establecer una asignación de extensión de mdb en IIS, use este mapa para usar un archivo dll no relacionado como C: WINNTsystem32inetsrvssinc.dll para evitar que se descargue la base de datos. Establezca el directorio de guardado de registro de IIS y ajuste la información del registro de registro. Establecer para enviar mensajes de error de texto. Modifique la página de error 403 y gírela a otra página para evitar la detección por parte de algunos escáneres. Además, para ocultar la información del sistema, la información de la versión del sistema filtrada de telnet al puerto 80 se puede modificar para modificar la información de banner de IIS. Puede usar winhex para modificar manualmente o usar software relacionado, como banneredit, para modificar.
Para el directorio donde se encuentra el sitio del usuario, aquí hay una descripción del directorio raíz FTP del usuario correspondiente a tres archivos, wwwroot, base de datos, archivos de registro, respectivamente, archivos de sitio de almacenamiento, copias de seguridad de la base de datos y registros del sitio. Si se produce un evento de intrusión, se pueden establecer permisos específicos para el directorio donde se ubica el sitio del usuario. El directorio donde se encuentra la imagen solo otorga los permisos del directorio de la columna. Si el directorio donde se ubica el programa no necesita generar un archivo (como un programa que genera html), no se otorga ningún permiso de escritura. Debido a que el host virtual generalmente no tiene forma de hacer que la seguridad del script sea escasa, solo se puede usar más en el método del usuario para mejorar los permisos del script:
Configuración de seguridad de ASP:
Después de configurar permisos y servicios, evite asp Los troyanos también deben hacer lo siguiente: Ejecute el siguiente comando en la ventana de cmd:
regsvr32 /u C: WINNTSystem32wshom.ocx
del C: WINNTSystem32wshom.ocx
regsvr32 /u C: WINNTsystem32shell32.dll
del C : WINNTsystem32shell32.dll
Desinstale los componentes de WScript.Shell, Shell.application, WScript.Network, evite efectivamente que los troyanos asp ejecuten comandos a través de wscript o shell.application y utilicen troyanos para ver información confidencial del sistema. Otro método: puede cancelar los permisos de los usuarios de los archivos anteriores, reinicie IIS para que tenga efecto. Sin embargo, este método no es recomendable.
Además, para FSO, debido a que el programa de usuario debe utilizarse, el servidor no puede cerrar sesión en el componente. Aquí solo se menciona la prevención de FSO, pero no es necesario utilizarlo en el servidor del comerciante virtual que abre automáticamente el espacio. Solo es adecuado para la apertura manual. Sitio Puede configurar dos grupos para los sitios que necesitan FSO y no necesitan FSO. Para el grupo de usuarios que necesita FSO, dé permiso para ejecutar c: winntsystem32scrrun.dll. Reinicie el servidor para que tenga efecto.
¡Para una configuración de este tipo combinada con la configuración de permisos anterior, encontrará que el troyano Haiyang ha perdido su función aquí!
Configuración de seguridad de PHP:
La instalación predeterminada de php requiere la siguiente atención:
C: winntphp.ini solo da permiso de lectura a los usuarios. En php.ini debe realizar las siguientes configuraciones:
Safe_mode = on
register_globals = Off
allow_url_fopen = Off
display_errors = Off
magic_quotes_gpc = On [por defecto está activado, pero revíselo nuevamente]
open_basedir = directorio web
disable_functions = passthru, exec, shell_exec, system, phpinfo, get_cfg_var, popen, chmod
La configuración predeterminada com.allow_dcom = true se cambia a falso [para cancelar el anterior antes de modificar;]
configuración de seguridad de MySQL:

Si habilita la base de datos MySQL en el servidor, base de datos MySQL hay que prestar atención a la configuración de seguridad:
eliminar todo el mysql de usuario por defecto, dejando una cuenta que sólo local para El usuario root agrega una contraseña compleja. Otorgue al usuario ordinario updatedeletealealcreatedreaup permiso y limítese a una base de datos específica, especialmente para evitar que el cliente ordinario tenga permiso para operar en la base de datos mysql. Verifique la tabla mysql.user, cancele los permisos shutdown_priv, relo
ad_priv, process_priv y File_priv del usuario innecesario. Estos permisos pueden filtrar más información del servidor, incluida otra información que no sea mysql. Puede configurar un usuario de inicio para mysql, que tiene permisos solo para el directorio mysql. Establezca los permisos de la base de datos de datos del directorio de instalación (este directorio almacena la información de datos de la base de datos mysql). Para el directorio de instalación de mysql, agregue lecturas, directorios de columnas y ejecute permisos a los usuarios.
Problemas de seguridad de Serv-u:
El instalador intenta utilizar la última versión, evitando el directorio de instalación predeterminado, configurando los permisos del directorio serv-u y configurando una contraseña de administrador compleja. Modifique la información de la pancarta de serv-u, establezca el rango del puerto del modo pasivo (4001 y mdash; 4003) para realizar la configuración de seguridad relevante en la configuración del servidor local: incluida la verificación de contraseñas anónimas, la inhabilitación de la programación anti-timeout, la interceptación " Para los usuarios que se han conectado más de 3 veces en 30 segundos, interceptan 10 minutos. Las configuraciones en el dominio son: Requerir contraseñas complejas, el directorio usa solo letras minúsculas, y la configuración Avanzada cancela la fecha en que se permite cambiar el archivo usando el comando MDTM.
Cambiar el usuario de inicio de serv-u: cree un nuevo usuario en el sistema y establezca una contraseña compleja, que no pertenece a ningún grupo. Otorgue al usuario el control total del directorio de instalación de servu. Para establecer un directorio raíz de FTP, debe otorgarle al usuario el control total del directorio, ya que todos los usuarios de ftp que cargan, eliminan y cambian los archivos son heredados por el usuario, de lo contrario, el archivo no puede ser manipulado. Además, debe otorgar al usuario el permiso de lectura del directorio superior sobre el directorio, de lo contrario aparecerá 530 No ha iniciado sesión, el directorio de inicio no existe. Por ejemplo, al realizar una prueba, el directorio raíz de ftp es d: soft, debe proporcionar d disco el permiso de lectura del usuario para cancelar de forma segura los permisos heredados de otras carpetas en el disco d. En general, no existe un problema de este tipo cuando se usa el inicio predeterminado del sistema, ya que el sistema generalmente tiene estos permisos.