- 相關推薦
網站服務器的安全配置
首先講網絡安全的定義:
網絡安全是指網絡系統的硬件、軟件及其系統中的數據受到保護,不受偶然的或者惡意的原因而遭到破壞、更改、泄露,確保系統能連續可靠正常地運行,網絡服務不中斷。
網絡安全的種類很多,這里單講網站服務器的安全配置,有效防范服務器被入侵。
一 主機的安全配置
1.裝殺毒軟件、防火墻、這些都是必備的也是基本的,還有就是勤打官方的補丁。
2.推薦幾款安全工具,360安全衛士能掃描你系統的漏洞,然后下載補丁修補,間諜軟件,惡意插件,靠他查殺。
冰刃 系統分析特別強,分析系統正在運行的程序 ,開放的端口、內核模塊,系統啟動加載的軟件、開放的服務,等等功能十分強大 可以輔助管理員查找木馬。
3.做安全配置首先將:net.exe,cmd.exe,netstat.exe,regedit.exe,at.exe,attrib.exe, cacls.exe,這些文件都設置只允許administrators訪問。
還有將FTP.exe TFTP.exe
這樣命令黑客可以執行 下載黑客電腦的木馬 安裝到服務器 所以要改名把135、445、139、這些端口都要關閉
4.在“網絡連接”里,把不需要的協議和服務都刪掉,只安裝了基本的Internet協議 (TCP/IP)在高級tcp/ip設置里-- “NetBIOS”設置“禁用tcp/IP上的NetBIOS。
5.把不必要的服務都禁止掉,盡管這些不一定能被攻擊者利用得上,但是按照安全規則和標準上來說,多余的東西就沒必要開啟,減少一份隱患。
6.在屏幕保護,勾選上在恢復時使用密碼保護,萬一系統被黑客鏈接上 他不知道帳號密碼也是沒用的。
7.系統自帶的TCP/IP篩選只開發你需要的端口,比如你只開放WEB服務和FTP服務,那么你就用TCP/IP篩選把其他端口過濾掉,只開放80和21端口。這樣就減少許多比必要的麻煩黑客就不會利用其他端口入侵你了。
二 ,WEB服務器的安全配置
1.你的WEB服務哪些目錄允許解析哪些目錄不允許解析 。比如存放附件的目錄很容易讓黑客在前臺上傳木馬,黑客會利用得到管理員權限后,利用后臺的一些功能 把附件改名為.ASP或者其他。 如果Web服務器解析了這個目錄的話就會執行黑客的網頁木馬,所以放附件的目錄,或者沒有其他無執行腳本程序目錄,應該在Web服務器上設置這些目錄不能解析
2.就是你這套整站程序是什么整站系統的的,要常關注官方的補丁 勤打補,你用的那套WEB系統有什么漏洞,如果有漏洞請及時修補.
三,防止ASP木馬在服務器上運行
1、刪除FileSystemObject組件
2、刪除WScript.Shell組件
3、刪除Shell.Application組件
4、禁止調用Cmd.exe
關于如何刪除由于時間關系我就不詳細說了
還有就是FTP服務器,大家千萬不要用SERV-U
SERV-U一直以來有個大漏洞,攻擊者可以利用它,創建一個系統管理員的帳號,用終端3389登錄。
四,注入漏洞的防范
1、 ASP程序連接 SQL Server 的賬號不要使用sa,和任何屬于Sysadmin組的賬號,盡量避免應用服務有過高的權限,應使用一個db_owner權限的一般用戶來連接數據庫。
2、WEB應用服務器與DB服務器分別使用不同的機器來存放,并且之間最好通過防火墻來進行邏輯隔離,因為除了有程序在探測 sa 沒密碼的SQL Server,SQL Server 本身及大量的擴展存儲過程也有被溢出攻擊的危險
3、數據庫服務器盡量不要與公網進行連接,如果一定要直接提供公網的連接存儲,應考慮使用一個不是默認端口的端口來鏈接
4、SA一定要設成強悍的密碼,在默認安裝Sql時sa賬號沒有密碼,而一般管理員裝完后也忘了或怕麻煩而不更改密碼
5.DBO可以差異備份.列目錄.SQL用戶不允許訪問硬盤也要設置.刪除XP_CMDSHELL等SQL組件.為了防止EXEC命令執行.
6、不要使用IIS裝好后預設的默認路徑\Inetpub\WWWRoot路 徑.
7、隨時注意是否有新的補丁需要補上,目前SQL2000最新的補本包為SP4。
8、使用過濾和防注入函數來過濾掉一些特殊的字符 ,比如單引號'一定要過濾掉。
9、關閉IIS的錯誤提示 以防止攻擊者獲得ASP的錯誤提示.
五,防范DDOS分布式拒絕服務攻擊
黑客還會利用DDOS分布式拒絕服務攻擊,發送半鏈接數據包把你服務器攻擊直到無法訪問。SYN攻擊是最常見又最容易被利用的一種攻擊手法。 記得2000年YAHOO就遭受到這樣的攻擊。SYN攻擊防范技術,歸納起來,主要有兩大類,一類是通過防火墻、路由器等過濾網關防護,另一類是通過加固TCP/IP協議棧防范.但必須清楚的是 ,SYN攻擊不能完全被阻止,我們所做的是盡可能的減輕SYN攻擊的危害,除非將TCP協 議重新設計。
1、過濾網關防護
這里,過濾網關主要指明防火墻,當然路由器也能成為過濾網關。防火墻部署在不同網絡之間,防范外來非法攻擊和防止保密信息外泄,它處于客戶端和服務器之間,利用它來防護SYN攻擊能起到很好的效果。過濾網關防護主要包括超時設置,SYN網關和 SYN代理三種。
2、加固tcp/ip協議棧
防范SYN攻擊的另一項主要技術是調整tcp/ip協議,修改tcp協議實現。主要方法有SynAttackProtect保護機制、SYN cookies技術、增加最大半連接和縮短超時時間等。 tcp/ip協議棧的調整可能會引起某些功能的受限,管理員應該在進行充分了解和測試的 前提下進行此項工作。為防范SYN攻擊,win2000系統的tcp/ip協議內嵌了SynAttackProtect機制, Win2003系統也采用此機制。SynAttackProtect機制是通過關閉某些socket選項,增加額外的連接指示和減少超時時間,使系統能處理更多的SYN連接,以達到防范SYN攻擊的目的。默認情況下,Win2000操作系統并不支持 SynAttackProtect保護機制,需要在注冊表以下位置增加SynAttackProtect鍵值:HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
3.增加最大連接數
六,防范ARP欺騙,其實現在方法比較多了下面只談一種手工的防御方法
1.計算機IP地址與MAC綁定
在CMD方式下,鍵入以下命令:
ARP-s IP地址MAC地址
例: ARP-s 192.168.1.100 XX-XX-XX-XX-XX 這樣,就將靜態IP地址192.168.1.100與網卡地址為XX-XX-XX-XX-XX的計算機綁定在一起了,即使別人盜 用您的IP地址 192.168.1.100,也無法通過代理服務器上網。
2.交換機端口與MAC綁定
登錄進入交換機,輸入管理口令進入全局配置模式,鍵入命令:
(config) #mac—address—table static<MAC地址>vlan<VLAN號>interface<模塊 號/端口號表>該命令可分配一個靜態的MAC地址給某些端口,即使重自交換饑,這個 地址也仍然會存在。從此。該端口只允許這個MAC地址對應的設備連接在該端口上送行 通信。用戶通過注冊表等方式更改MAC地址后,交換機拒絕為其通信。
3.Linux下ARP綁定
#arp -a > /etc/ethers
#vi ethers
改成形式ip mac
#vi /etc/rc.d/rc.local
加上一行
arp -f
保存
執行arp -f
補充:
6.組件和權限
攻擊者現在擁有一個系統的帳號.你完全不用害怕他會改動你的IIS組件內設置.你可以把INTER信息服務設置一個密碼.然后把系統*.msc復制到你指定的一個文件夾.再設置加密.然后只允許你的帳號使用.接著隱藏起來.那么攻擊者改不了你任何組件.也不能查看和增加刪除.Wscript.shell刪除. Net.exe刪除. Cmd.exe設置好權限.所有目錄全部要設置好權限.如不需要.除WEB目錄外.其他所有目錄.禁止IIS組用戶訪問.只允許Administrators組進行訪問和修改.還一個變態權限的設置.前面我已經說了MSC文件的訪問權限.你可以設置Admin,Admin1,Admin2……,admin只賦予修改權限,admin1只賦予讀取和運行權限,admin2只賦予列出文件夾和目錄權限,admin3只賦予寫入權限,admin4只賦予讀取權限.然后每個帳戶根據需要分配配額.這樣的話.就算有VBS腳本.刪除了NET.EXE,對方也提不起權.如果是沒運行權限的用戶不小心啟動了攻擊者的木馬.那么也沒權限運行和修改.Windows提供了屏幕保護功能.建議大家還可以安裝一個第三方提供的屏幕保護鎖.那樣你的系統又可以多一重安全保障.建議大家千萬不要使用Pcanywhere等軟件.除非你權限設置通過自己的測試了.Pcanywhere有一個文件系統,如果權限沒分配好,用戶可以通過PCANYWHERE的文件系統,在啟動項寫木馬.然后等待你登陸.大家沒這需要.建議就用默認的3389就好了.端口就算改了別人也可以掃出來.還不如就用默認的.攻擊者在獲得你系統權限并登陸到3389以后.你的第二道安全鎖(第三方系統鎖)把他死死的鎖在外面了.這樣別人就進不了你系統了.記住.千萬不能亂開權限.不然后果不堪設想.如果是獨立服務器.沒必要使用WEB時,請把多余的IIS等服務關閉.以免引起不必要的損失.用優化大師禁止遠程注冊表的訪問那些.還有IPC空連接.
【網站服務器的安全配置】相關文章:
某網站社區捐款倡議書(購買服務器)08-15
設備服務器的網絡安全08-12
淺談web服務器的安全保護08-12
服務器安全維護合同08-16
Apache服務器的安全性及實現辦法08-12
用IIS建立高安全性Web服務器08-05
網站安全自查報告02-01
CPLD器件的在系統動態配置08-06