一些虛擬主機(jī)管理員不知道他們是否熟悉配置還是為了方便，都簡(jiǎn)單地將所有網(wǎng)站放在同一個(gè)目錄中，然后將較高的目錄設(shè)置為站點(diǎn)根目錄，那么安全虛擬主機(jī)配置技巧大家清楚嗎？下面就讓西部數(shù)碼技術(shù)頻道小編帶你一起來了解一下吧！

安全虛擬主機(jī)配置技巧
　　一、建立Windows用戶?

　　為每個(gè)網(wǎng)站單獨(dú)設(shè)置windows用戶帳號(hào)cert，刪除帳號(hào)的User組，將cert加入Guest用戶組。將用戶不能更改密碼，密碼永不過期兩個(gè)選項(xiàng)選上。?

　　二、設(shè)置文件夾權(quán)限?

　　1、設(shè)置非站點(diǎn)相關(guān)目錄權(quán)限?

　　Windows安裝好后，很多目錄和文件默認(rèn)是everyone可以瀏覽、查看、運(yùn)行甚至是可以修改?的。這給服務(wù)器安全帶來極大的隱患。這里就我個(gè)人的一些經(jīng)驗(yàn)提一些在入侵中較常用的目錄。?

　　C：\；D：\；……?
　　C:\perl?
　　C:\temp\?
　　C:\Mysql\?
　　c:\php\?
　　C:\autorun.inf?
　　C:\Documents?and?setting\?
　　C:\Documents?and?Settings\All?Users\「開始」菜單\程序\?
　　C:\Documents?and?Settings\All?Users\「開始」菜單\程序\啟動(dòng)?
　　C:\Documents?and?Settings\All?Users\Documents\?
　　C:\Documents?and?Settings\All?Users\Application?Data\Symantec\?
　　C:\Documents?and?Settings\All?Users\Application?Data\Symantec\pcAnywhere?
　　C:\WINNT\system32\config\?
　　C:\winnt\system32\inetsrv\data\?
　　C:\WINDOWS\system32\inetsrv\data\?
　　C:\Program?Files\?
　　C:\Program?Files\Serv-U\?
　　c:\Program?Files\KV2004\?
　　c:\Program?Files\Rising\RAV?
　　C:\Program?Files\RealServer\?
　　C:\Program?Files\Microsoft?SQL?server\?
　　C:\Program?Files\Java?Web?Start\　　?

　　?
　　以上這些目錄或文件的權(quán)限應(yīng)該作適當(dāng)?shù)南拗�。如取消Guests用戶的查看、修改和執(zhí)行等權(quán)限。由于篇幅關(guān)系，這里僅簡(jiǎn)單提及。?

　　2、設(shè)置站點(diǎn)相關(guān)目錄權(quán)限：?

　　A、設(shè)置站點(diǎn)根目錄權(quán)限：將剛剛建立的用戶cert給對(duì)應(yīng)站點(diǎn)文件夾，假設(shè)為D：\cert設(shè)置相應(yīng)的權(quán)限：Adiministrators組為完全控制；cert有讀取及運(yùn)行、列出文件夾目錄、讀取，取消其它所有權(quán)限。?

　　B、設(shè)置可更新文件權(quán)限：經(jīng)過第1步站點(diǎn)根目錄文件夾權(quán)限的設(shè)置后，Guest用戶已經(jīng)沒有修改站點(diǎn)文件夾中任何內(nèi)容的權(quán)限了。這顯然對(duì)于一個(gè)有更新的站點(diǎn)是不夠的。這時(shí)就需要對(duì)單獨(dú)的需更新的文件進(jìn)行權(quán)限設(shè)置。當(dāng)然這個(gè)可能對(duì)虛擬主機(jī)提供商來說有些不方便�？蛻舻恼军c(diǎn)的需更新的文件內(nèi)容之類的可能都不一樣。這時(shí)，可以規(guī)定某個(gè)文件夾可寫、可改。如有些虛擬主機(jī)提供商就規(guī)定，站點(diǎn)根目錄中uploads為web可上傳文件夾，data或者database為數(shù)據(jù)庫(kù)文件夾。這樣虛擬主機(jī)服務(wù)商就可以為客戶定制這兩個(gè)文件夾的權(quán)限。當(dāng)然也可以像有些做的比較好的虛擬主機(jī)提供商一樣，給客戶做一個(gè)程序，讓客戶自己設(shè)定。可能要做到這樣，服務(wù)商又得花不小的錢財(cái)和人力哦。

　　三、配置IIS?　　?

　　基本的配置應(yīng)該大家都會(huì)，這里就提幾個(gè)特殊之處或需要注意的地方。?

　　1、主目錄權(quán)限設(shè)置：這里可以設(shè)置讀取就行了。寫入、目錄瀏覽等都可以不要，最關(guān)鍵的就是目錄瀏覽了。除非特殊情況，否則應(yīng)該關(guān)閉，不然將會(huì)暴露很多重要的信息。這將為黑客入侵帶來方便。其余保留默認(rèn)就可以了。?

　　2、應(yīng)用程序配置：在站點(diǎn)屬性中，主目錄這一項(xiàng)中還有一個(gè)配置選項(xiàng)，點(diǎn)擊進(jìn)入。在應(yīng)用程序映射選項(xiàng)中可以看到，默認(rèn)有許多應(yīng)用程序映射。將需要的保留，不需要的全部都刪除。在入侵過程中，很多程序可能限制了asp，php等文件上傳，但并不對(duì)cer，asa等文件進(jìn)行限制，如果未將對(duì)應(yīng)的應(yīng)用程序映射刪除，則可以將asp的后綴名改為cer或者asa后進(jìn)行上傳，木馬將可以正常被解析。這也往往被管理員忽視。另外添加一個(gè)應(yīng)用程序擴(kuò)展名映射，可執(zhí)行文件可以任意選擇，后綴名為.mdb。這是為了防止后綴名為mdb的用戶數(shù)據(jù)庫(kù)被下載。?

　　3、目錄安全性設(shè)置：在站點(diǎn)屬性中選擇目錄安全性，點(diǎn)擊匿名訪問和驗(yàn)證控制，選擇允許匿名訪問，點(diǎn)擊編輯。如下圖所示。刪除默認(rèn)用戶，瀏覽選擇對(duì)應(yīng)于前面為cert網(wǎng)站設(shè)定的用戶，并輸入密碼�？梢赃x中允許IIS控制密碼。這樣設(shè)定的目的是為了防止一些像站長(zhǎng)助手、海洋等木馬的跨目錄跨站點(diǎn)瀏覽，可以有效阻止這類的跨目錄跨站入侵。?

　　4、可寫目錄執(zhí)行權(quán)限設(shè)置：關(guān)閉所有可寫目錄的執(zhí)行權(quán)限。由于程序方面的漏洞，目前非常流行上傳一些網(wǎng)頁木馬，絕大部分都是用web進(jìn)行上傳的。由于不可寫的目錄木馬不能進(jìn)行上傳，如果關(guān)閉了可寫目錄的執(zhí)行權(quán)限，那么上傳的木馬將不能正常運(yùn)行。可以有效防止這類形式web入侵。?

　　5、處理運(yùn)行錯(cuò)誤：這里有兩種方法，一是關(guān)閉錯(cuò)誤回顯。IIS屬性――主目錄――配置――應(yīng)用程序調(diào)試――腳本錯(cuò)誤消息，選擇發(fā)送文本錯(cuò)誤信息給客戶。二是定制錯(cuò)誤頁面。在IIS屬性――自定義錯(cuò)誤信息，在http錯(cuò)誤信息中雙擊需要定制的錯(cuò)誤頁面，將彈出錯(cuò)誤映射屬性設(shè)置框。消息類型有默認(rèn)值、URL和文件三種，可以根據(jù)情況自行定制。這樣一方面可以隱藏一些錯(cuò)誤信息，另外一方面也可以使錯(cuò)誤顯示更加友好。?

　　四、配置FTP?

　　Ftp是絕大部分虛擬主機(jī)提供商必備的一項(xiàng)服務(wù)。用戶的站內(nèi)文件大部分都是使用ftp進(jìn)行上傳的。目前使用的最多的ftp服務(wù)器非Serv-U莫屬了。這里有幾點(diǎn)需要說明一下。?
　　
　　1、管理員密碼必須更改?

　　如果入侵愛好者們肯定對(duì)Serv-U提權(quán)再熟悉莫過了。這些提權(quán)工具使用的就是Serv-U默認(rèn)的管理員的帳號(hào)和密碼運(yùn)行的。因?yàn)镾erv-U管理員是以超級(jí)管理員的身份運(yùn)行的。如果沒有更改管理員密碼，這些工具使用起來就再好用不過了。如果更改了密碼，那這些工具要想正常運(yùn)行，那就沒那么簡(jiǎn)單嘍。得先破解管理員密碼才行。?

　　2、更改安裝目錄權(quán)限?

　　Serv-U的默認(rèn)安裝目錄都是everyone可以瀏覽甚至可以修改的。安裝的時(shí)候如果選擇將用戶信息存儲(chǔ)在ini文件中，則可以在ServUDaemon.ini得到用戶的所有信息。如果Guests有修改權(quán)限，那么黑客就可以順利建立具有超級(jí)權(quán)限的用戶。這可不是一件好事。所以在安裝好Serv-U之后，得修改相應(yīng)的文件夾權(quán)限，可以取消Guests用戶的相應(yīng)權(quán)限。?

　　五、命令行相關(guān)操作處理?

　　1、禁止guests用戶執(zhí)行com.exe：?

　　我們可以通過以下命令取消guests執(zhí)行com.exe的權(quán)限
????cacls?C:\WINNT\system3\Cmd.exe?/e?/d?guests。?

　　2、禁用Wscript.Shell組件：?

　　Wscript.Shell可以調(diào)用系統(tǒng)內(nèi)核運(yùn)行DOS基本命令。可以通過修改注冊(cè)表，將此組件改名，來防止此類木馬的危害。HKEY_CLASSES_ROOT\Wscript.Shell\?及HKEY_CLASSES_ROOT\Wscript.Shell.1\改名為其它的名字。將兩項(xiàng)clsid的值也改一下HKEY_CLASSES_ROOT\Wscript.Shell\CLSID\項(xiàng)目的值和HKEY_CLASSES_ROOT\Wscript.Shell.1\CLSID\項(xiàng)目的值，也可以將其刪除。?

　　3、禁用Shell.Application組件?

　　Shell.Application也可以調(diào)用系統(tǒng)內(nèi)核運(yùn)行DOS基本命令�？梢酝ㄟ^修改注冊(cè)表，將此組件改名，來防止此類木馬的危害。HKEY_CLASSES_ROOT\Shell.Application\?及HKEY_CLASSES_ROOT\Shell.Application.1\?改名為其它的名字。將HKEY_CLASSES_ROOT\Shell.Application\CLSID\項(xiàng)目的值HKEY_CLASSES_ROOT\Shell.Application\CLSID\項(xiàng)目的值更改或刪除。同時(shí)，禁止Guest用戶使用shell32.dll來防止調(diào)用此組件。使用命令：cacls?C:\WINNT\system32\shell32.dll?/e?/d?guests?

　　4、FileSystemObject組件?

　　FileSystemObject可以對(duì)文件進(jìn)行常規(guī)操作可以通過修改注冊(cè)表，將此組件改名，來防止此類木馬的危害。對(duì)應(yīng)注冊(cè)表項(xiàng)為HKEY_CLASSES_ROOT\scripting.FileSystemObject\�？梢越�止guests用戶使用或直接將其刪除�？紤]到很多的上傳都會(huì)使用到這個(gè)組件，為了方便，這里不建議更改或刪除。?

　　5、禁止telnet登陸?
　　?
　　在C:\WINNT\system32目錄下有個(gè)login.cmd文件，將其用記事本打開，在文件末尾另取一行，加入exit保存。這樣用戶在登陸telnet時(shí)，便會(huì)立即自動(dòng)退出。?

　　注：以上修改注冊(cè)表操作均需要重新啟動(dòng)WEB服務(wù)后才會(huì)生效。?

　　六、端口設(shè)置?
　　?
　　端口窗體底端就是門，這個(gè)比喻非常形象。如果我們服務(wù)器的所有端口都開放的話，那就意味著黑客有好多門可以進(jìn)行入侵。所以我個(gè)人覺得，關(guān)閉未使用的端口是一件重要的事情。在控制面板――網(wǎng)絡(luò)與撥號(hào)連接――本地連接――屬性――Internet協(xié)議（TCP/IP）屬性，點(diǎn)擊高級(jí)，進(jìn)入高級(jí)TCP/IP設(shè)置，選擇選項(xiàng)，在可選的設(shè)置中選擇TCP/IP篩選，啟用TCP/IP篩選。添加需要的端口，如21、80等，關(guān)閉其余的所有未使用的端口。?

　　七、關(guān)閉文件共享?

　　系統(tǒng)默認(rèn)是啟用了文件共享功能的。我們應(yīng)給予取消。在控制面板――網(wǎng)絡(luò)和撥號(hào)連接――本地連接――屬性，在常規(guī)選項(xiàng)種，取消Microsoft?網(wǎng)絡(luò)文件和打印共享。服務(wù)最少原則是保障安全的一項(xiàng)重要原則。非必要的服務(wù)應(yīng)該給予關(guān)閉。系統(tǒng)服務(wù)可以在控制面板――管理工具――服務(wù)中進(jìn)行設(shè)定。?

　　八、關(guān)閉非必要服務(wù)?

　　類似telnet服務(wù)、遠(yuǎn)程注冊(cè)表操作等服務(wù)應(yīng)給予禁用。同時(shí)盡可能安裝最少的軟件。這可以避免一些由軟件漏洞帶來的安全問題。有些網(wǎng)管在服務(wù)器上安裝QQ，利用服務(wù)器掛QQ，這種做法是極度錯(cuò)誤的。?

　　九、關(guān)注安全動(dòng)態(tài)及時(shí)更新漏洞補(bǔ)丁?

　　更新漏洞補(bǔ)丁對(duì)于一個(gè)網(wǎng)絡(luò)管理員來說是非常重要的。更新補(bǔ)丁，可以進(jìn)一步保證系統(tǒng)的安全。

　　以上都是西部數(shù)碼技術(shù)頻道小編為大家搜集的關(guān)于安全虛擬主機(jī)配置技巧，希望對(duì)大家的學(xué)習(xí)有一定的幫助！

?

標(biāo)簽： ftp服務(wù)器 Mysql 安全 服務(wù)器 服務(wù)器安全 服務(wù)商 腳本 漏洞 權(quán)限 數(shù)據(jù)庫(kù) 網(wǎng)絡(luò) 西部數(shù)碼 虛擬主機(jī) 虛擬主機(jī)服務(wù) 虛擬主機(jī)配置 虛擬主機(jī)提供商

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請(qǐng)聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點(diǎn)！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請(qǐng)與原作者聯(lián)系。