自己是高校的一名网管,管理着多台服务器。下面我就结合自己的经验和教训总结一下服务器安全设置的一些技巧和方法,和大家共同提高。
一、操作系统的安装
首先,也是最基本的,尽量安装高版本的成熟的操作系统,并时刻保持系统补丁的更新。做一名网管,勤快最重要。这里推荐Windows 2003 Server SP2 V2版本。分区一定要是NTFS,而不是FAT32!
系统安装过程中一定要本着最小服务原则,无用的服务一概不选择,达到系统的最小安装,在安装应用服务管理器(IIS6.0)的过程中,只安装最基本必要的功能,那些不必要的危险服务千万不要安装,例如:FrontPage 2000服务器扩展,Internet服务管理器(HTML),FTP服务,文档,索引服务等等。
二、网站目录权限的设置
网站一定不要放在默认WEB根目录内(C:\inetpub\wwwroot),而要在其它盘建新文件夹,比如D:\www,D盘所在的分区中,要把除System和Administrators之外的用户组全删掉,添加Everyone帐号,只保留读取权限。如果网站的某个目录需要进行写操作,则写权限的设置只能对该目录设置,而不要对其父层目录设置,保证“最小原则”。
对于网站的目录还有个执行权限的设置,这个得在IIS里设置。一般网站都有专门上传文件的目录,这里设置的原则“可写不可执行,可执行不可写”,具体就是对于放置代码(脚本)的文件夹可以设置只读权限,保留默认的脚本执行权限;对于上传文件的目录,只保留读写权限,而去掉执行权限,这样就使一些ASP木马即使上传成功也无法运行。
图一
图二
三、数据库相关设置
如果是文件型数据库(如Access,dBase等),最好把数据库文件夹放置于WEB目录之外,使得黑客无法非法获得。如果不放在WEB目录之外,则要注意做好防下载工作。现在一般的网站源码中的数据库都做了此项工作,打开其数据库可以看见里面有个notdownload表,就一个二进制数据字段,就是它在起作用,具体原理网上一搜一大堆。另外,以前一般大家都说最好把后缀改为ASP或ASA之类,其实不用改,MDB也没问题,只需要在IIS管理器中右击主机->属性->WWW服务 编辑->主目录配置->应用程序映射中把.MDB的映射改为和ASP一样即可。
如果是服务型数据库(如SQLServer,Oracle),安全就更讲究了。这里要说的就一点,对每个数据库都要设置专门的用户名和密码,并要设置好对数据库中的表、视图、存储过程等对象的权限,操作可能复杂一点,这里不再赘述。
四、WEB服务器的设置
在IIS管理器中右击主机->属性->WWW服务 编辑->主目录配置->应用程序映射,只保留asp和asa,其余全部删除。
五、ASP的安全
在IIS系统上,大部分木马都是ASP写的,因此,ASP组件的安全是非常重要的。
ASP木马实际上大部分通过调用Shell.Application、WScript.Shell、WScript.Network、FSO、Adodb.Stream组件来实现其功能,除了FSO之外,其他的大多可以直接禁用。
WScript.Shell组件使用这个命令删除:regsvr32 WSHom.ocx /u
WScript.Network组件使用这个命令删除:regsvr32 wshom.ocx /u
Shell.Application可以使用禁止Guest用户使用shell32.dll来防止调用此组件。使用命令:cacls C:\WINNT\system32\shell32.dll /e /d guests
禁止guests用户执行cmd.exe的命令是: cacls C:\WINNT\system32\Cmd.exe /e /d guests
六、备份的重要
做一名网管一定要勤奋,要把“数据就是一切”作为信条^_^。我是吃过亏的人,从此每日备份数据以及重要文件,天长日久,刻录的光盘都N张了。不过到现在,我还没找到特别好用的备份软件,Windows自带的备份效果不是太好。SQLServer的每日自动备份倒是不错,但只能备份它自己的数据库。
