当前位置:主页 > 建站知识 > 服务器运维 > 服务器运维

Web服务器的安全设置

正月二十四2020-06-15服务器运维人已围观

简介一、攻击 1、旁注 在对网站的攻击中我们经常会听到一个名词旁注,那么旁注到底是什么意思呢?顾名思义,旁注就是说我们要攻击一个网站或者一台服务器,在正面交锋中,我们无法

一、攻击
1、旁注
在对网站的攻击中我们经常会听到一个名词“旁注”,那么“旁注”到底是什么意思呢?顾名思义,“旁注”就是说我们要攻击一个网站或者一台服务器,在正面交锋中,我们无法将其拿下,那么我们就从旁边突破,然后再转到目标网站上将其拿下。举个形象点的例子来说,比如我们要进入一间房子,发现从正门进不去,可是我们非常想进去,那要怎么办呢?这时有些人肯定会说翻窗户,是的,这里的翻窗户实际上就是旁注的意思,我想这样说大家应该都理解了吧!
2、上传漏洞
上传漏洞也是入侵网站的一种常用方式,其实际意思就是说网站代码存在漏洞,我们可以通过直接上传或者通过修改上传数据包的方式来将我们的ASP木马上传到服务器上,从而得到webshell。至于如何操作的不是本文的重点,这里我就不多说了。
 
服务器安全防护
二、思考
不管你是使用何种方法得到别人的webshell,但只要你得到了,那么接下来面对的最大问题就是获取服务器的系统权限了,当然关于如何提权,也不是我今天要讲的内容,我们需要思考的是,如何防止别人提权及怎样通过BT的安全设置来阻止那些所谓的“黑客”!
三、分析
网站被入侵一般情况下都是网站代码出现了问题,如果说我们根本不会代码,但又想保障网站的安全,这确实有些困难的,但还是有些办法的,下面我将从几个方面来给大家说说一台虚拟主机应该如何配置从而使它变得更安全。
四、实战
1、整体权限的把握
想要设置权限,那么就先要保证你的磁盘文件系统为NTFS,这里我强烈建议那些想架设网站和已经是ISP的人员这么做,因为这能够大大的提高服务器的安全性,附上FAT/FAT32转NTFS的命令Can-vert盘符/fs:ntfs/x,整体的权限就是这祥的,同时我们还要把每个磁盘的权限都设置为只有adminisLrators和svstem完全控制,其他的任何组,任何用户,都不给权限。
2、默认站点的删除
为什么要删除,相信大家都明白吧,原因就是你知道默认站点的路径,黑客也同样知道,所以没必要给黑客留下机会,请大家毫不犹豫的删除吧。
3、建立整体目录
这样可以方便我们日后的管理,比如说,我会把需要架设的网站全部放置在某个分区的Web文件夹内,以后自己看见了,就知道这个文件夹是自己专门用来放网站的,它里面全部都是服务器上的网站。
4、单一的站点单一的用户
这又是什么意思呢?且听我慢慢道来。所谓单一的站点单一的用户,这个方法是针对那些做虚拟主机的服务商而言的,试想一下,如果所有站点都是使用的同一个用户(IUSR机器名),那么黑客拿下一个站点的权限,岂不是整个虚拟主机上的站点都被得到了?
具体的设置方法如下:
(1)首先建立一个guests组的用户,比如说站点为aaa,那我们就建立一个aaa的用户,密码也为aaa(这是为了方便自己日后管理,免得站点多了,把密码给忘记了),将这个用户从users组删除并且加入到guests组,相关命令如下:
(2)将上面建立的用户分别应用到IIS与根目录上,权限的分配这个步骤是对于站点目录而言的。接下来要对IIS进行设置,右键点击aaa站点,选择属性  目录安全性身份验证和访问控制编辑,将aaa用户和密码填写进去。
至此,单一站点单一用户设置完成。特别需要注意一下,这里我只说明了aaa站点跟aaa用户的设置,如果有bbb站点,那么你就应该建立一个bbb用户,然后按照上面步骤进行操作即可。
5、防止上传漏洞的IIS设置
我们知道一个好的站点,肯定是需要上传功能的,也正是由于这个原因而导致了很多网站被入侵,那么对于上传文件夹我们应该如何处理呢?下面我们假设aaa站点内存在一个专门用来存放用户上传文件的文件夹“uploadfiles”,然后我们对其进行设置,在IIS中找到这个文件夹右键点击“属性——目录——执行权限”,将原来的“纯脚本”改为“无”。为什么要这样设置呢?因为我们知道用户上传的文件要么是一些exe文件,要么是一些图片或者是一些rar文件,而这些文件是绝对不会存在需要IIS解释的脚本的,也就是说这些文件根本不需要解释,就可以被我们直接浏览,这样设置后即使黑客上传了ASP木马,他也浏览不了。
6、删除IIS中不必要的关联
在IIS中,不管你是什么站点,ASP的也好,或者PHP的也好,实际上都是需要一个解释器对相应的ASP脚本语言、PHP脚本语言进行解释,而用户通过IE浏览到的页而,其实都是IIS解释之后的结果,因此我们只耍将用到的脚本语言留下就可以了,其它多余的都可以删除。具体操作如下:右键点击要设置的站点,选择“属性——主目录——配置——映射——应用程序扩展”,将里面不需要的全部删除。这样操作后,就可以有效的防止黑客上传一些后缀为basa.cer的木马来得到webshell了。
7、防止数据库被下载
我们知道网站最核心的东西就是它的数据库了,许多黑客对于这个数据库不知道下了多少心思,因为黑客们知道,只要能把网站的数据库下载下来,目的就差不多完成一大半了,那么我们如何来防止数据库被下载呢?下丽我教给大家一个终极办法,从上一个步骤的说明大家可以知道,用户通过IE浏览网页都是IIS解释之后的结果,那么我们可以添加一个无用的关联,使这个关联来解释我们的mdb文件,这样的话,黑客就无法来下载我们站点的数据库了,即使下载下来了也不用怕,因为那数据库已经是个乱七八糟的数据库了,为什么这么说呢,我们举个例子,假如有一篇英文文章,结果你找来一个德语翻译来翻译,最后的东西你能看明白吗?肯定不能。按照上面的步骤我们来到“应用程序扩展”页,点击“添加”按钮,为mdb后缀创建一个新的关联,然后在“可执行文件”中随便找一个.dll的文件就可以了。但是要记住,千万不要选择asp.dll文件。
至此对整个服务器的设置就完成了,最后送大家一句话“没有绝对安全的服务器,只有不断安全的服务器”,所以说并不是按照我的步骤设置完成了,你的服务器就没有任何问题了。送大家一个公式“最小的权限,最少的服务=最大的安全”。 

很赞哦! ()

站点信息

  • 建站时间:2019-02-24
  • 网站程序:织梦CMS7.5
  • 主题模板
  • 文章统计:43 篇
  • 源码统计:2 篇
  • 微信号:扫描二维码