Web服務器的安全設置與應用 WEB服務器的設置 一、這次講的是IIS的一些設置,由於小弟中用過win2k的服務器版,其它的我就不會了,同時我管理服務器也只有兩個月的時候,在此之前,從來沒有接觸過is之類的,連在本機調試也沒有。這次由於很多的朋友問iis的設置問題,我就將這兩個月來我所積累的經驗寫出來,希望大家不要見笑。有不足的地方能夠指出一下。好了,費話不多了,下面我們就開始吧! 二、首先我們打開審核策略 開啟安全審核是win2000最基本的入侵檢測方法。當有人嘗試對你的系統進行某些方式(如嘗試用戶密碼,改變帳戶策略,未經許可的文件訪問等等)入侵的時候,都會被安全審核記錄下來。很多的管理員在系統被入侵了幾個月都不知道,直到系統遭到破壞。下面的這些審核是必須開啟的,其他的可以根據需要增加: 策略 設置 依次為 成功,失敗 失敗 成攻,失敗 失敗 失敗 成攻,失敗 失敗 失敗 功攻,失敗 關閉不必要的端口 關閉端口意味著減少功能,在安全和功能上面需要你作一點決策。如果服務器安裝在防火牆的後面,冒的險就會少些,但是,永遠不要認為你可以高枕無憂了。用端口掃描器掃描系統所開放的端口,確定開放了哪些服務是黑客入侵你的系統的第一步。\system32\drivers\etc\services 文件中有知名端口和服務的對照表可供參考。具體方法為: 網上鄰居>屬性>本地連接>屬性>internet 協議(tcp/ip)>屬性>高級>選項>tcp/ip篩選>屬性 打開 tcp/ip篩選,添加需要的tcp,udp,協議即可。 接著再關畢默認共亨,很多啦,像ipc等都是默認共亨的啊,你可以在計算機管理裡面的共亨列表裡可以查看啊,點右鍵關畢共亨,或者你可以在cmd下打 net share 查看共亨列表..這個東西比較麻煩啦,因為每次重啟,這些共亨都自動又打開的啊..現在有一些批處理文件,但好像不能完全解決默認共亨的問題..需要在啟動項裡增加這個批處理文件,只要系統一運行,自動運行這個批處理文件,達到刪除這個共亨的效果.. 接著我們來建立web站點吧,管理工具--Internet 服務管理器--新建一個web站點就可以了,或者就用默認的web站點。好了,建好了一個站點,我們接下來就要為這個站點捆邦一個域名了,通常大家都是會自己的國際頂級域名解析到自己的服務器上,你只要在域名服務商那裡將域名解析到這台服務器的ip上就可以 了,我們打開己建好的web站點的屬性,嘿嘿,那個主機頭就填你的頂級域名就OK了,你有幾個就填幾個。很簡單的啊。接下來配置合適的腳本映射。在主目錄的執行許可的配置裡面。 首先我們來刪除一些沒有什麼用的並可能導致服務器被攻擊的腳本映射! 1 *.htr這是一個比較厲害的文件,刪掉好了。否則,任何人都可以通過你的web來進行非法操作,甚至格式化掉你的硬盤。 2 *.hta 刪掉吧。 3 *.idc 所以刪掉他。 4 *.printer這個是打印機文件。去掉他好了 5 *.htw , *.ida *.idq這些都是索引文件,可以去掉了。 其實只要將有用的保留,比如asp,asa,php,cgi,給保留著,其它全部刪除就行啦!!!:) 可執行的文件你可以自由配置啦啊,如果不讓支持asp就將asp的腳本映射刪除就行了,想讓支持cgi,php(己安裝了解釋器),就配置這些文件的執行程序就可以了。。比如要執行php,你的php安裝在c:\php,那你就在主目錄的配置裡的應用程序配置,添加可執行文件c:\php\php.exe,擴展名為.php就可以了,那麼這個站點就可以運行php了,如果你想讓他運行php3,重復上面的工作,只是將擴展名改成.php3就行了。呵。cgi也一樣啊 添加cgi可執行文件,擴展名用.cgi就行了。 下面我們要做的就是將默認的站點(您可以選擇停止,不讓運行)的默認的一些虛擬目錄刪除,像iisadmin 這些,要不然可能就死得很慘喲!!呵呵很簡單啊。。同樣你建立一個虛擬目錄也很簡單啊,點擊web站點的右鍵,新建一個虛擬目錄,比如要建一個虛幻神化的江湖,就新建一個jxqy的虛擬目錄名,接著就指向你程序所在的位置就可以使用*****.com/jxqy來訪問你的虛幻神化了。 還有,如果你建的這個web站點是送朋友的或者賣給客戶的,你想做他的網站作一些限制??(別太心狠啊,作太多的限制喲),打開web站點的屬於,有一個鏈接,看到沒?一個是無限,一個是限制的,我們選擇下面的 限制,要限制多少人呢?得了,150人吧,那就填150鏈接,鏈接超時?一般150就夠啦啊!!下面我們來對網站的性能作一些限制吧。那就在web站點的屬性這裡的性能這裡設置吧,呵呵。你希望這個網站每天的點擊量多少啊??想多少??自己選擇了,下面選擇啟動寬帶限制啊。。一般20kb/s就可以了。。。最大cpu占用資源?? 2%就可以了。呵呵,我還要為服務器上的服務站著想呢:) 在web站點的屬性看到那個文檔沒?那個就是設置站點的默認首頁的,你的站想使用什麼文件作首頁就在這裡調吧。呵呵。還有web站點屬性裡面的那個目錄安全性,用到的地方可大著呢,呵呵。首先,在這裡設置大家匿名訪問你的網站。。。管理工具--Internet 服務管理器--打開你所需設置的web站點的屬性--目錄安全性-- 匿名訪問和驗證控制--編輯--匿名訪問打上勾--編輯--選擇你的用來作匿名訪問的帳號--確定--好了可以訪了!!呵呵,,想不讓某些愛搞蛋的家伙不能來訪問你的網站???那就將他們的IP限制住就行喽,也就在目錄安全性這裡。不要說你這也不會啊。。 三:我們來講講ftp的設置吧。。這個就很簡單啦啊,在Internet信息服務裡點右鍵,新建ftp站點,按下一步,填寫這個ftp站點的說明。填寫ip地址,就寫你的服務器的IP吧,端口??隨便你想一個啊,最好人家不好猜到的,這樣的話就算是知道用戶名和密碼,一時也不好上FTP喲,呵呵。再下一步就是這個FTP鏈上的時候,指向你服務器上的哪一個目錄啊,這個你自己設吧,你建立的哪個目錄是用來放網站的就指向哪個目錄,好了,一個FTP建成了。。接下來你就因該去管理工具裡面的計算機管理,新建一個用戶了,是用作鏈接剛才新建的這個FTP的帳號。帳號建好了,那就去要開剛才新建的FTP的屬性,同樣有鏈接的選項,呵呵,同時使用這個FTP的人?三四個就可以了。下面我們看看安全帳號這裡,將匿名進行FTP的這個勾去掉,要不然別人就匿名上這個FTP了,呵呵,我最喜歡這樣上人家的服務器拷貝資料了,呵呵。再添加一個操作員,也就是你剛才新建的帳號啊。還有旁邊還有一個消息的功能,就用來鏈接FTP,服務器的提示信息,就是在這裡填的,還有目錄安全性?你不想讓某個IP段或某個IP不准使用這個FTP?來這裡限制吧。呵。好了,一些設置基本上也只有這麼一些,下面我們來講講給用戶配置空間的大小吧。。
四:磁盤分區配額 磁盤配額的啟用 大家都知道,我們有時需要限制某些客戶的能夠使用的磁盤容量,這點,我們也可以做到,並不需要其它的什麼軟件,WIN2K本身有這個功能。但必須要求你格式化硬盤的時候,是采用ntfs 5.0進行分區的。在NTFS 5.0的分區中,打開“屬性”對話框之後,如果當前的用戶是系統管理員或是系統管理員組的一個成員,那就會看到“屬性”對話框中有“配額”這一項,如果你不是采用NTFS 5.0分區的,那你就沒有這項功能。 在默認的情況下,碰盤配額是被禁用的,如果要啟用碰盤配額,只需選擇“啟用配額管理”復選框,單擊“確定”或“應用”按扭就可以啟用磁盤配額了。碰盤配額是由windowns 2000 中的碰盤配額程序管理和控制的,當啟用磁盤配額時,磁盤配額程序就被啟動。 磁盤配額的分配和設置 碰盤配額是基於用戶和文件所有者的一種磁盤分配機制。利用磁盤配額機制,系統管理員可以設置每個用戶使用NTFS5.0分區磁盤空間的上限.打開配額項,有兩個選項: 1:不限制磁盤使用:對新用戶不限制碰盤使用,任何新用戶可以充分使用磁盤空間,直至達到最大的磁盤容量。 2將磁盤空間限制為:選擇了這個選項之後,可以設置“配額限制(puota limit)”的大小和:配額警告等級(quota warning level)”的大小。“配額限制”指定在當前分區中新用戶最大可以使用的磁盤空間,比如我將警告等級設為200MB,警告等級為198MB,如果己使用了達到198M的東西,那系統上就會警告了,如果達到200M了,那該用戶就無法再上傳東西了。 在“配額”對話框中還有以下設置 1:拒絕將磁盤空間給超過配額限制的用戶:選擇了這個選項之後,當用戶使用的磁盤空間達到了配額限制之後,用戶就不能再往該分區新加什麼數據了。如果不選擇此選項,則用戶使用的磁盤空間超出配額限制,系統可能只是記錄下這個事件。 2:用戶超出磁盤配額時記錄事件:選擇了該選項之後,當用戶使用的磁盤空間超出磁盤配額時,系統會在系統日志中記錄這件事。 3:用戶超出警告等級時記錄事件:選擇了該選項之後,當用戶使用的磁盤空間超出警告等級時,系統會在系統日志中記錄這件事。 還有服務器的安全,只要有補丁就打,多看看LOG我想沒什麼問題了。別忘了,微軟是補丁大王。 好了,就寫這麼多了,累死我了。這些我都是在WIN2K服務器上,使用的是WIN2K自帶的FTP,以前聽很多人說IIS自帶的沒有限制空間大小等這些功能。。現在明白了沒有?? 作為虛擬主機提供商應將filesystemobject進和dll文件發安裝!!在命令提示符這裡或運行這裡運行Regsvr32 /u scrrun.dll進行反安裝!!或者修改注冊表!!只要自己知道才可以使用fos, 查找注冊表中 HKEY_CLASSES_ROOT\Scripting.FileSystemObject 鍵值,將其更改成為你想要的字 符串,比如更改成為HKEY_CLASSES_ROOT\Scripting.FileSystemObject2,這樣,在ASP就必須這樣引 用這個對象了: Set fso = CreateObject(
