服务器安全维护.docx

《服务器安全维护.docx》由会员分享，可在线阅读，更多相关《服务器安全维护.docx（7页珍藏版）》请在第一文库网上搜索。

1、服务器安全维护1、禁止多余的Web服务扩展假如企业站点是静态页面，那什么扩展都不要开启。只是现在的企业站点都是交互的动态页面比如asp、php、jsp等。假如是asp页面,那只需开启“ActiveServerPagesw即可。关于Php、jsp等动态页面IIS6.0默认是不支持的需要进行安装相应组件实现对这些扩展的支持。只是，如今用不到的扩展完全能够禁用。禁止Web服务扩展的操作非常简单，打开“IIS管理器”，在左窗格中点击“Web服务扩展”，在右侧选择相应的扩展，然后点击“禁用”即可。Itr.t信息！势（IIS）莒理笈15文件9事作查看9QD阳助如Q-由囱旨图易图:H/IntrntXJR务-

2、MUr-StRVER体地计筑机）:J应用程序他J网玷一Jf胴务扩晨I也g*1任务/所有未知CGIKJK/所有未知ISAH犷晨MActmStrvtrP*JW务旷展.6Crr,FA.JJr17止止许止止止禁禁允禁M案3BS询串（图D2、删除不必要的IIS扩展名映射刍I站长助手63-127.-IicrosoftInternetExp1.-111文件9编辑(K)查看(V)收藏(A)工具复)帮助Qf)。同B，回团.：I搜索收藏夹GI.y昌-H0转到捱接地址栏：利用qsa扩展的WebShNTI转到FSO文件操作模块本地磁盘本地磁盘本地磁盘本地磁盘本地磁盘(A(C国(F)DocumentsandSettin

3、gsDCMMAXDoS6PXEIJSystemVo1umeInformation1.txtFPSEsearchCMProgramDCMWINDOWSDFi1esInetpubCMRECYC1ERDCMwmpubIDXC:Progra1C:Docwne1站点根目录本程序目录，八一m=上完毕2.txt文本文档文本文档53K54K2008-6-2113:56:452008-6-2113:57:36editeditWindows2008-4-de1copymovede1copymoveMrroEXEC.BAT批处理OK1-?一X猊EE1艮安资翅K一厂厂I-I-厂回利缈.仙典56二地址)I音1http：

4、/Ioca1hosU1wJasaI(图2)删除IIS扩展名的操作是：打开HS管理器，右键单击“默认Web站点”选择“属性”，点击“主目录”选项卡，然后点击“配置”打开应用程序窗口，最后根据自己的需要选择不必要的应用程序映射比如.shtm1,.shtm,.stm等，然后点击“删除”即可。（二）磁盘权限设置很简单，大体来说就几步：第一，先创建一个用户组，以后任何的站点的用户都建在这个里，然后配置这个组在各个分区没有权限或者完全拒绝（直接在根磁盘配置就能够了，不要替换任何子目录的权限）。然后再配置各个HS用户在各自的文档夹里的权限。第二，改名或者卸载不安全组件第三，把SyStem32下面的一些常用网

5、络命令配置成只有systemadministrators能够访问其他用户全部删除,如net.exetftp.exeat.exe.网上应该有很多有关介绍了第四，使用通常用户启动mssq1或者mysq1数据库假如出现asp数据库连不上的问题，应该是c:windowstempc:WINDOWSIISTemporaryCompressedFi1es文档夹没有给虚拟用户组权限，给他可读可写。这样配置出来，不支持,要支持的话c:WINDOWSMicrosoft.NETFrameworkv1.1.4322这个目录也要给虚拟用户组可运行权限，web文档夹要加上iis_wpg可读可写，但开启会带来新的安全问题，

6、假如无需的话不建议开点。ASP的安全设置：设置过权限与服务之后，防范asp木马还需要做下列工作，在Cmd窗口运行下列命令：regsvr32uC:WINNTSystem32wshom.ocxde1C:WINNTSystem32wshom.ocxregsvr32uC:WINNTsystem32she1132.d11de1C:WINNTsystem32she1132.d11即可将WSCriPt.She11,She11,app1ication,WSCriPt.Network组件卸载，可有效防止asp木马通过WSCriPt或者she11.app1ication执行命令与使用木马查看一些系统敏感信息。另法

7、：可取消以上文件的USerS用户的权限，重新启动I1S即可生效。但不推荐该方法。另外，关于FSO由于用户程序需要使用，服务器上能够不注销掉该组件，这里只提一下FSO的防范，但并不需要在自动开通空间的虚拟商服务器上使用，只适合于手工开通的站点。能够针对需要FSO与不需要FSO的站点设置两个组，关于需要FSO的用户组给予c:WinntSyStem32SC1TUn.d11文件的执行权限，不需要的不给权限。重新启动服务器即可生效。关于这样的设置结合上面的权限设置，海阳木马已经在这里失去了作用.服务器安全保护（三）MySQ1安全设置：假如服务器上启用MySQ1数据库，MySQ1数据库需要注意的安全设置为

8、：删除mysq1中的所有默认用户，只保留本地root帐户，为root用户加上一个复杂的密码。给予普通用户UPdatedeIeteaIertCreatedroP权限的时候，并限定到特定的数据库，特别要避免普通客户拥有对mysq1数据库操作的权限。检查mysq1.user表,取消不必要用户的ShUtdOwn_priv,re1oad_priv,process_priv与Fi1e_priv权限，这些权限可能泄漏更多的服务器信息包含非mysq1的其它信息出去。能够为mysq1设置一个启动用户，该用户只对mysq1目录有权限。设置安装目录的data数据库的权限（此目录存放了mysq1数据库的数据信息）。关

9、于mysq1安装目录给USerS加上读取、列目录与执行权限。Serv-U安全问题：安装程序尽量使用最新版本，避免使用默认安装目录，设置好SerV-U目录所在的权限，设置一个复杂的管理员密码。修改SerV-U的banner信息，设置被动模式端口范围（40014003）在本地服务器中设置中做好有关安全设置：包含检查匿名密码，禁用反超时调度，拦截“FTPbounce攻击与FXP,关于在30秒内连接超过3次的用户拦截10分钟。域中的设置为：要求复杂密码，目录只使用小写字母，高级中设置取消同意使用MDTM命令更换文件的日期。更换SerV-u的启动用户：在系统中新建一个用户，设置一个复杂点的密码，不属于任

10、何组。将SerVU的安装目录给予该用户完全操纵权限。建立一个FTP根目录，需要给予这个用户该目录完全操纵权限，由于所有的ftp用户上传，删除，更换文件都是继承了该用户的权限，否则无法操作文件。另外需要给该目录以上的上级目录给该用户的读取权限，否则会在连接的时候出现530NotIOggedin,homedirectorydoesnotexist0比如在测试的时候ftp根目录为d:SOft,务必给d盘该用户的读取权限，为了安全取消d盘其他文件夹的继承权限。而通常的使用默认的SySte1n启动就没有这些问题，由于SyStem通常都拥有这些权限的。MSSQ1数据库服务器的安全设置关于专用的MSSQ1数

11、据库服务器,对外只开放1433与5631端口。关于MSSQ1首先需要为sa设置一个强壮的密码，使用混合身份验证,加强数据库日志的记录,审核数据库登陆事件的成功与失败”.删除一些不需要的与危险的O1E自动存储过程（会造成企业管理器中部分功能不能使用），这些过程包含如下：Sp_OACreateSp_OADestroySp_OAGetErrorInfoSp_OAGetPropertySpOAMethodSpOASetPropertySpOAStop去掉不需要的注册表访问过程,包含有:Xp_regaddmuItistringXp_regde1etekeyXp_regde1eteva1ueXpregen

12、umva1uesXpregreadXpregremovemuItistringXp_regwrite去掉其他系统存储过程，假如认为还有威胁，当然要小心DroP这些过程，能够在测试机器上测试，保证正常的系统能完成工作，这些过程包含：XPCmdshe11xpdirtreexpdropwebtaskspaddsrvroIememberXPjT1akewebtaSkxp_runwebtaskxp_subdirssp_add1oginsp_addextendedproc在实例属性中选择TCP/IP协议的属性。选择隐藏SQ1Server实例可防止对1434端口的探测,可修改默认使用的1433端口。除去数据

13、库的guest账户把未经认可的使用者据之在外。例外情况是master与tempdb数据库，由于对他们guest帐户是必需的。另外注意设置好各个数据库用户的权限，关于这些用户只给予所在数据库的一些权限。在程序中不要用Sa用户去连接任何数据库。网络上有建议大家使用协议加密的，千万不要这么做，否则你只能重装MSSQ1了。服务器安全保护（四）入侵检测工作作为服务器的日常管理,入侵检测是一项非常重要的工作，在平常的检测过程中，要紧包含日常的服务器安全例行检查与遭到入侵时的入侵检查，也就是分为在入侵进行时的安全检查与在入侵前后的安全检查。日常的安全检测口常安全检测要紧针对系统的安全性，工作要紧按照下列步骤

14、进行:1 .查看服务器状态：打开进程管理器，查看服务器性能，观察CPU与内存使用状况。查看是否有CPU与内存占用过高等特殊情况。2 .检查当前进程情况切换“任务管理器”到进程，查找有无可疑的应用程序或者后台进程在运行。用进程管理器查看进程时里面会有一项taskmgr,这个是进程管理器自身的进程。假如正在运行windows更新会有一项wuauc1t.exe进程。通常的后门假如有进程的话，通常会取一个与系统进程类似的名称，如SVChOSt.exe,如今要认真辨别通常迷惑手段是变字母。为数字0,变字母1为数字13 .检查系统帐号打开计算机管理，展开本地用户与组选项，查看组选项，查看administr

15、ators组是否添加有新帐号，检查是否有克隆帐号。4 .查看当前端口开放情况使用netstat-an,查看当前的端口连接情况，特别是注意与外部连接着的端口情况，看是否有未经同意的端口与外界在通信。如有，立即关闭该端口并记录下该端口对应的程序并记录，将该程序转移到其他目录下存放以便后来分析。5.检查系统服务运行SerViCeS.msc,检查处于已启动状态的服务，查看是否有新加的未知服务并确定服务的用途。关于不清晰的服务打开该服务的属性，查看该服务所对应的可执行文件是什么，假如确定该文件是系统内的正常使用的文件，可粗略放过。查看是否有其他正常开放服务依存在该服务上，假如有，能够粗略的放过。假如无法确定该执行文件是否是系统内正常文件同时没有其他正