实战服务器配置
[服务器硬件配置]CPU:Intel
Pentium4 CPU 3.00GHz
*2
内存:1GB
硬盘:80GB
[服务器操作系统]
Windows
Server
2003
Enterprise
Edition SP1
[提供服务]
web(IIS6.0)/ms-sql server 2000/ftp(serv-u 6.2)
[硬盘分区情况]
C:系统盘,大小为14.6GB D:
数据盘,大小为30GB E:备份盘,大小为29.8GB
安全点:
*帐户
-系统帐户:正常,没有多余或者存在隐患的组和用户.
-FTP帐户:没有改动
-数据库帐户:没有改动
*服务
-停止了Microsoft
Search服务,不再提供索引及单词搜索服务.
-停止了NT LM Security
Support
Provider服务,Microsoft
Search和TELNET依赖于此服务.
-停止了Print
Spooler服务,不再提供本地和远程打印机服务.
-停止了Shell
Hardware
Detection服务.
-停止了Task
Scheduler服务.
*权限
1.IIS默认网站根目录删除.
ASP.NET全局配置中,移除一个localhost数据库连接,帐号为SA,密码为SA.
2.Serv-U FTP登录消息修改:改为了"welcome to FTP..."
3.C:\Documents
and
Settings
删除了everyone及users组用户所有权限.
4.C:\Documents
and
Settings\All
Users
删除了everyone及users组用户所有权限.
5.C:\Documents
and
Settings\All
Users\Application
Data
删除了users组用户所有权限.
6.C:\Documents
and
Settings\All
Users\Application
Data\Microsoft删除了everyone组用户所有权限.
7.C:\Documents
and
Settings\All
Users\Documents删除了users组用户所有权限.
8.C:\WINDOWS\system32 删除users组用户访问权限.
11.删除%admin%目录下的at.exe,cacls.exe,net.exe的BATCH&INTERACTIVE&SERVICE用户的权限.删除cmd.exe的INTERACTIVE&SERVICE&telnet用户权限.(均只保留了administrator和system可以访问)
12.修改了所有站点的错误调试信息,不再显示详细出错信息,以防SQL注入.
=IIS建立多个网站或具有多个2级域名时需要注意:
需要给每个网站或者每个2级域名分别建立一个guests组的用户,用以匿名访问.另外,如果2级域名映射的是根目录的子目录,则除了考虑权限继承性外,还需要在权限设置中加上匿名访问的用户,即只给:administrator/IISUSER_computer/每个网站或2级域名单独建立的匿名用户/
的权限.
=============================================
期间,我的思路从帐户->服务>权限下手,而后又从IIS->SQL Server->Serv-U着手.可是由于初次真正配置一台服务器,考虑的范围很广,担心细节被疏漏,因此某些地方设置得有些过于BT,导致网站无法正常匿名访问,最后在请教了几位朋友后才算搞定.后来,又因为IIS_WPG组用户没有设定足够的权限,导致IIS不能正常工作.调试了很久,直到一小时前才排除故障,使网站正常
-_-
最后参考了一些文章,下面是摘录的极其重要的细节信息:
/*********************************************************
[b]winows2003的A级BT配置[/b]
-MS-SQL,删除危险的存储过程,用最低权限的public帐户连接.
-C盘只给administrators 和system权限,其他的权限不给,其他的盘也可以这样设置,这里给的system权限也不一定需要给,只是由于某些第三方应用程序是以服务形式启动的,需要加上这个用户,否则造成启动不了。
-Windows目录要加上给users的默认权限,否则ASP和ASPX等应用程序就无法运行.
-要支持ASPX,还需要给web根目录给上users用户的默认权限,才能使ASPX能执行.
-C:\Documents and Settings
C:\Documents and Settings\All Users
C:\Documents and Settings\All Users\Application Data
C:\Documents and Settings\All Users\Documents
只给administrator或者administrator和system权限.
-net.exe,cmd.exe,tftp.exe,netstat.exe,regedit.exe,at.exe,attrib.exe,cacls.exe,这些文件都设置只允许administrators访问
- 在"网络连接"里,把不需要的协议和服务都删掉,这里只安装了基本的Internet协议(TCP/IP),如果要控制带宽流量服务,则需要额外安装 Qos数据包计划程序。在高级tcp/ip设置里--"NetBIOS"设置"禁用tcp/IP上的NetBIOS(S)"。在高级选项里,使用 "Internet连接防火墙",这是windows 2003 自带的防火墙,可以屏蔽端口,这样已经基本达到了一个IPSec的功能.
-在 2003系统里,不推荐用TCP/IP筛选里的端口过滤功能,譬如在使用FTP服务器的时候,如果仅仅只开放21端口,由于FTP协议的特殊性,在进行 FTP传输的时候,由于FTP 特有的Port模式和Passive模式,在进行数据传输的时候,需要动态的打开高端口,所以在使用TCP/IP过滤的情况下,经常会出现连接上后无法列出目录和数据传输的问题。所以在2003系统上增加的windows连接防火墙能很好的解决这个问题,所以都不推荐使用网卡的TCP/IP过滤功能.
SERV-U FTP 服务器的设置:
选中"Block "FTP_bounce"attack and FXP"。什么是FXP呢?通常,当使用FTP协议进行文件传输时,客户端首先向FTP服务器发出一个"PORT"命令,该命令中包含此用户的IP地址和将被用来进行数据传输的端口号,服务器收到后,利用命令所提供的用户地址信息建立与用户的连接。大多数情况下,上述过程不会出现任何问题,但当客户端是一名恶意用户时,可能会通过在PORT命令中加入特定的地址信息,使FTP服务器与其它非客户端的机器建立连接。虽然这名恶意用户可能本身无权直接访问某一特定机器,但是如果FTP服务器有权访问该机器的话,那么恶意用户就可以通过FTP服务器作为中介,仍然能够最终实现与目标服务器的连接。这就是FXP,也称跨服务器攻击。选中后就可以防止发生此种情况。
另外在"Block anti time-out schemes"也可以选中。其次,在"Advanced"选项卡中,检查 "Enable security"是否被选中,如果没有,选择它们。
IIS的安全:
-删掉c:/inetpub目录,删除iis不必要的映射.
-每一个web站点使用单独的IIS用户,权限为guest.
-在这个站点相对应的web目录文件,默认的只给IIS用户的读取和写入权限
[img=406,443]http://www.anqn.com/img/2005-7-18-315134.jpg[/img]在"应用程序配置"里,我们给必要的几种脚本执行权限:ASP.ASPX,PHP,
ASP, ASPX默认都提供映射支持了的,对于PHP,需要新添加响应的映射脚本,然后在web服务扩展将ASP,ASPX都设置为允许,对于php以及CGI的支持,需要新建web服务扩展,在扩展名(X):下输入 php ,再在要求的文件(E):里添加地址 C:/php/sapi/php4isapi.dll ,并勾选设置状态为允许(S)。然后点击确定,这样IIS就支持PHP了。支持CGI同样也是如此。
-修改默认的错误调试信息
-IIS6.0由于运行机制的不同,出现了应用程序池的概念。一般建议10个左右的站点共用一个应用程序池,应用程序池对于一般站点可以采用默认设置,可以在每天凌晨的时候回收一下工作进程
[img=462,428]http://www.anqn.com/img/2005-7-18-315151.jpg[/img]
-新建立一个站,采用默认向导,在设置中注意以下几个地方:
在应用程序设置里:执行权限为默认的纯脚本
在上传目录中,执行权限改为无.防止上传漏洞进一步利用得以执行asp马之类.
为了管理的方便,在安装 IIS 6 时创建了 IIS_WPG 组(也称为 IIS 工作进程组,IIS Worker Process Group),而且它的成员包括 Local System(本地系统)、Local Service(本地服务)、Network Service(网络服务)和 IWAM 帐户。IIS_WPG 的成员具有适当的 NTFS 权限和必要的用户权限,可以充当 IIS 6 中工作进程的进程标识。以下位置具有指派给 IIS_WPG 的权限:
%windir%\help\iishelp\common – 读取
%windir%\IIS Temporary Compressed Files – 列出、读取、写入
%windir%\system32\inetsrv\ASP Compiled Template – 读取
*********************************************************/
同时简单测试了下脚本的安全性,以我的能力来说没有什么问题.基本上采用的都是aspx加html页面.
可是当我用X-scan 3.3扫描服务器的时候,却发现了让我心痛的现象,3个安全漏洞,6个安全提示.其中有2个甚至是03年的补丁没打,貌似还感染了蠕虫
-_-
十分郁闷.
一会还得上去完整打下系统补丁,还有全盘杀毒,另外再微调下权限就交工! 学习了。。。。 不錯的文章~學習了~ 哇......
好好的东西.学习了. 沒弄過這個 学习一 下!! 学习了。。。。。。。 晕倒,没有积分了:L: 谢谢,研究一下, i不过一点都不懂 不明白是些什么 受益了,
学习了! 对于新人来说。有些地方不够详细啊
不过感谢楼主 谢谢,研究一下 好好的东西.学习了. thanks 3ks//////// 学习le 很长,慢慢看,慢慢研究
页:
[1]