admin 管理员组文章数量: 1184232
2023年12月17日发(作者:spring security 原理)
网站效劳器的平安配置
网站效劳器的平安配置
首先讲网络平安的定义: 网络平安是指网络系统的硬件、软件及其系统中的数据受到保护,不受偶尔的或者恶意的原因此遭到破坏、更改、泄露,确保系统能连续可靠正常地运行,网络效劳不中断。
网络平安的种类很多,这里单讲网站效劳器的平安配置,有效防范效劳器被入侵。
一 主机的平安配置 1.装杀毒软件、防火墙、这些都是必备的也是根本的,还有就是勤打官方的补丁。 2.推荐几款平安工具,360平安卫士能扫描你系统的破绽,然后下载补丁修补,间谍软件,恶意插件,靠他查杀。 冰刃 系统分析特别强,分析系统正在运行的程序 ,开放的端口、内核模块,系统启动加载的软件、开放的效劳,等等功能非常强大 可以辅助管理员查找木马。 3.做平安配置首先将:.exe,,,,,, ,这些文件都设置只允许administrators访问。 还有将 这样命令黑客可以执行 下载黑客电脑的木马 安装到效劳器 所以要改名把135、445、139、这些端口都要关闭 4.在“网络连接”里,把不需要的协议和效劳都删掉,只安装了根本的Inter协议 (TCP/IP)在高级tcp/ip设置里-- “NetBIOS”设置“禁用tcp/IP上的NetBIOS。 5.把不必要的效劳都制止掉,尽管这些不一定能被攻击者利用得上,但是按照平安规那么和标准上来说,多余的东西就没必要开启,减少一份隐患。
6.在屏幕保护,勾选上在恢复时使用密码保护,万一系统被黑客链接上 他不知道帐号密码也是没用的。 7.系统自带的'TCP/IP挑选只开发你需要的端口,比方你只开放WEB效劳和FTP效劳,那么你
就用TCP/IP挑选把其他端口过滤掉,只开放80和21端口。这样就减少许多比必要的费事黑客就不会利用其他端口入侵你了。
二 ,WEB效劳器的平安配置 1.你的WEB效劳哪些目录允许解析哪些目录不允许解析 。比方存放附件的目录很容易让黑客在前台上传木马,黑客会利用得到管理员权限后,利用后台的一些功能 把附件改名为.ASP或者其他。 假设Web效劳器解析了这个目录的话就会执行黑客的网页木马,所以放附件的目录,或者没有其他无执行脚本程序目录,应该在Web效劳器上设置这些目录不能解析 2.就是你这套整站程序是什么整站系统的的,要常关注官方的补丁 勤打补,你用的那套WEB系统有什么破绽,假设有破绽请及时修补.
三,防止ASP木马在效劳器上运行 1、删除FileSystemObject组件
2、删除组件 3、删除ation组件 4、制止调用 关于如何删除由于时间关系我就不详细说了
还有就是FTP效劳器,大家千万不要用SERV-U SERV-U一直以来有个大破绽,攻击者可以利用它,创立一个系统管理员的帐号,用终端3389。
四,注入破绽的防范 1、 ASP程序连接 SQL Server 的账号不要使用sa,和任何属于Sysadmin组的账号,尽量防止应用效劳有过高的权限,应使用一个dbowner权限的一般用户来连接数据库。 2、WEB应用效劳器与DB效劳器分别使用不同的机器来存放,并且之间最好通过防火墙来进展逻辑隔离,因为除了有程序在探测 sa 没密码的SQL Server,SQL Server 本身及大量的扩展存储过程也有被溢出攻击的危险 3、数据库效劳器尽量不要与公网进展连接,假设一定要直接提供公网的连接存储,应考虑使用一个不是默认端口的端口来链接 4、SA一定要设成强悍的密码,在默认安装Sql时sa账号没
有密码,而一般管理员装完后也忘了或怕费事而不更改密码 可以差异备份.列目录.SQL用户不允许访问硬盘也要设置.删除XPCMDSHELL等SQL组件.为了防止EXEC命令执行. 6、不要使用IIS装好后预设的默认途径IpubRoot路 径. 7、随时注意是否有新的补丁需要补上,目前SQL2000最新的补本包为SP4。 8、使用过滤和防注入函数来过滤掉一些特殊的字符 ,比方单引号'一定要过滤掉。 9、关闭IIS的错误提示 以防止攻击者获得ASP的错误提示.
五,防范DDOS分布式回绝效劳攻击 黑客还会利用DDOS分布式回绝效劳攻击,发送半链接数据包把你效劳器攻击直到无法访问。SYN攻击是最常见又最容易被利用的一种攻击手法。 记得2000年YAHOO就遭受到这样的攻击。SYN攻击防范技术,归纳起来,主要有两大类,一类是通过防火墙、路由器等过滤网关防护,另一类是通过加固TCP/IP协议栈防范.但必须清楚的是 ,SYN攻击不能完全被阻止,我们所做的是尽可能的减轻SYN攻击的危害,除非将TCP协
议重新设计。 1、过滤网关防护 这里,过滤网关主要指明防火墙,当然路由器也能成为过滤网关。防火墙部署在不同网络之间,防范外来非法攻击和防止保密信息外泄,它处于客户端和效劳器之间,利用它来防护SYN攻击能起到很好的效果。过滤网关防护主要包括超时设置,SYN网关和 SYN代理三种。 2、加固tcp/ip协议栈 防范SYN攻击的另一项主要技术是调整tcp/ip协议,修改tcp协议实现。主要方法有SynAttackProtect保护机制、SYN cookies技术、增加最大半连接和缩短超时时间等。 tcp/ip协议栈的调整可能会引起某些功能的受限,管理员应该在进展充分理解和测试的 前提下进展此项工作。为防范SYN攻击,win2000系统的tcp/ip协议内嵌了SynAttackProtect机制, Winxx系统也采用此机制。
SynAttackProtect机制是通过关闭某些socket选项,增加额外的连接指示和减少超时时间,使系统能处理更多的SYN连接,以到达防范SYN攻击的目的。默认情况下,Win2000操作系统并不支持
SynAttackProtect保护机制,需要在表以下位置增加SynAttackProtect键值:HKLMSYSTEMCurrentControlSetServicesTcpipParameters 3.增加最大连接数 六,防范ARP欺骗,其实如今方法比较多了下面只谈一种手工的防御方法 1.计算机IP地址与MAC绑定 在CMD方式下,键入以下命令: ARP-s IP地址MAC地址 例: ARP-s
192.168.1.100 XX-XX-XX-XX-XX 这样,就将静态IP地址192.168.1.100与网卡地址为XX-XX-XX-XX-XX的计算机绑定在一起了,即使别人盗 用您的IP地址 192.168.1.100,也无法通过代理效劳器上网。 2.交换机端口与MAC绑定 进入交换机,输入管理口令进入全局配置形式,键入命令: (config) #mac—address—table static<MAC地址>vlan<VLAN号>interface<模块 号/端口号表>该命令可分配一个静态的MAC地址给某些端口,即使重自交换饥,这个 地址也仍然会存在。从此。该端口只允许这个MAC地址对应的设备连接在该端口上送行 通信。用户通过表等方式更改MAC地址后,交换机回绝为其通信。
下ARP绑定 #arp -a > /etc/ethers #vi ethers 改成形式ip mac #vi /etc/rc.d/ 加上一行 arp -f 保存 执行arp -f
补充: 6.组件和权限 攻击者如今拥有一个系统的帐号.你完全不用害怕他会改动你的IIS组件内设置.你可以把INTER信息效劳设置一个密码.然后把系统*.msc复制到你指定的一个文件夹.再设置加密.
然后只允许你的帐号使用.接着隐藏起来.那么攻击者改不了你任何组件.也不能查看和增加删除.删除. 删除.
设置好权限.所有目录全部要设置好权限.如不需要.除WEB目录外.其他所有目录.制止IIS组用户访问.只允许Administrators组进展访问和修改.还一个变态权限的设置.前面我已经说了MSC文件的访问权限.你可以设置Admin,Admin1,Admin2……,admin只赋予修改权限,admin1只赋予读取和运行权限,admin2只赋予列出文件夹和目录权限,admin3只赋予写入权限,admin4只赋予读取权限.然后每个帐户根据需要分配配额.这样的话.就算有VBS脚本.删除了,对方也提不起权.假设是没运行权限的用户不小心启动了攻击者的木马.那么也没权限运行和修改.Windows提供了屏幕保护功能.建议大家还可以安装一个第三方提供的屏幕保护锁.那样你的系统又可以多一重平安保障.建议大家千万不要使用Pcanywhere等软件.除非你权限设置通过自己的测试了.Pcanywhere有一个文件系统,假设权限没分配好,用户可以通过PCANYWHERE的文件系统,在启动项写木马.然后等待你登陆.大家没这需要.建议就用默认的3389就好了.端口就算改了别人也可以扫出来.还不如就用默认的.攻击者在获得你系统权限并登陆到3389以后.你的第二道平安锁(第三方系统锁)把他死死的锁在外面了.这样别人就进不了你系统了.记住.千万不能乱开权限.不然后果不堪设想.假设是独立效劳器.没必要使用WEB时,请把多余的IIS等效劳关闭.以免引起不必要的损失.用优化大师制止远程表的访问那些.还有IPC空连接.
版权声明:本文标题:网站服务器的安全配置 内容由网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:http://www.roclinux.cn/p/1702785512a430819.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。
发表评论