系統(tǒng)設(shè)置
成都創(chuàng)新互聯(lián)公司-專業(yè)網(wǎng)站定制、快速模板網(wǎng)站建設(shè)、高性價比炎陵網(wǎng)站開發(fā)、企業(yè)建站全套包干低至880元,成熟完善的模板庫,直接使用。一站式炎陵網(wǎng)站制作公司更省心,省錢,快速模板網(wǎng)站建設(shè)找我們,業(yè)務(wù)覆蓋炎陵地區(qū)。費用合理售后完善,十余年實體公司更值得信賴。
1、屏蔽不必要的端口。沒有特殊的需要,web服務(wù)器只需要開個21和80以及3389就足夠了。
2、及時更新補丁。而且要打全,否則很容易中木馬。
3、關(guān)閉危險組件和服務(wù)項。
IIS相關(guān)設(shè)置
1、盡量取消不必要的程序擴展,僅保留asp,php,cgi,pl,aspx應(yīng)用程序擴展就可以了。擴展越多意味著風(fēng)險系數(shù)越大,能關(guān)閉就盡量關(guān)閉。
2、數(shù)據(jù)庫要推薦使用mdb后綴,可以在IIS中設(shè)置mdb的擴展映射,把映射利用一個毫不相關(guān)的dll文件如來禁止被下載。如C:WINNTsystem32inetsrvssinc.dll。
3、設(shè)置好IIS的日志存放目錄,調(diào)整日志的記錄信息。設(shè)置成發(fā)送文本錯誤信息。修改403錯誤頁面,將其轉(zhuǎn)向到其他頁,這樣可以防止一些掃描器的探測。
代碼安全
1、少用不明網(wǎng)站的第三方代碼,特別是一些不知名的個人或者小團隊的公開代碼。像DISCUZ這么強大的代碼都一直被爆出漏洞,更別說其他的代碼了,原因很簡單,就是因為這些代碼是開放的,可以直接在源代碼里面找漏洞。
2、代碼放注入。只要有數(shù)據(jù)庫就會有注入,抵御與繞過抵御的方法有很多。總之這個是要靠程序員日積月累的代碼功底和安全意識的。
3、防止上傳漏洞。除了代碼的注入,文件的上傳也是個大安全漏洞。所以,可以減少上傳數(shù)量,提高嚴(yán)重強度,以及驗證的時候要固定后綴和類型。
web服務(wù)器安全關(guān)鍵是要看你的web服務(wù)器提供服務(wù)的安全需求是什么,如果是普通的服務(wù)公眾的服務(wù)器可以參考一下內(nèi)容: 刪除默認(rèn)建立的站點的虛擬目錄,停止默認(rèn)web站點,刪除對應(yīng)的文件目錄c:inetpub,配置所有站點的公共設(shè)置,設(shè)置好相關(guān)的連接數(shù)限制,帶寬設(shè)置以及性能設(shè)置等其他設(shè)置。配置應(yīng)用程序映射,刪除所有不必要的應(yīng)用程序擴展,只保留asp,php,cgi,pl,aspx應(yīng)用程序擴展。對于php和cgi,推薦使用isapi方式解析,用exe解析對安全和性能有所影響。用戶程序調(diào)試設(shè)置發(fā)送文本錯誤信息給戶。對于數(shù)據(jù)庫,盡量采用mdb后綴,不需要更改為asp,可在IIS中設(shè)置一個mdb的擴展映射,將這個映射使用一個無關(guān)的dll文件如C:WINNTsystem32inetsrvssinc.dll來防止數(shù)據(jù)庫被下載。設(shè)置IIS的日志保存目錄,調(diào)整日志記錄信息。設(shè)置為發(fā)送文本錯誤信息。修改403錯誤頁面,將其轉(zhuǎn)向到其他頁,可防止一些掃描器的探測。另外為隱藏系統(tǒng)信息,防止telnet到80端口所泄露的系統(tǒng)版本信息可修改IIS的banner信息,可以使用winhex手工修改或者使用相關(guān)軟件如banneredit修改。 對于用戶站點所在的目錄,在此說明一下,用戶的FTP根目錄下對應(yīng)三個文件佳,wwwroot,database,logfiles,分別存放站點文件,數(shù)據(jù)庫備份和該站點的日志。如果一旦發(fā)生入侵事件可對該用戶站點所在目錄設(shè)置具體的權(quán)限,圖片所在的目錄只給予列目錄的權(quán)限,程序所在目錄如果不需要生成文件(如生成html的程序)不給予寫入權(quán)限。因為是虛擬主機平常對腳本安全沒辦法做到細(xì)致入微的地步,更多的只能在方法用戶從腳本提升權(quán)限: ASP的安全設(shè)置: 設(shè)置過權(quán)限和服務(wù)之后,防范asp木馬還需要做以下工作,在cmd窗口運行以下命令: regsvr32/u C:\WINNT\System32\wshom.ocx del C:\WINNT\System32\wshom.ocx regsvr32/u C:\WINNT\system32\shell32.dll del C:\WINNT\system32\shell32.dll 即可將WScript.Shell, Shell.application, WScript.Network組件卸載,可有效防止asp木馬通過wscript或shell.application執(zhí)行命令以及使用木馬查看一些系統(tǒng)敏感信息。另法:可取消以上文件的users用戶的權(quán)限,重新啟動IIS即可生效。但不推薦該方法。 另外,對于FSO由于用戶程序需要使用,服務(wù)器上可以不注銷掉該組件,這里只提一下FSO的防范,但并不需要在自動開通空間的虛擬商服務(wù)器上使用,只適合于手工開通的站點??梢葬槍π枰狥SO和不需要FSO的站點設(shè)置兩個組,對于需要FSO的用戶組給予c:winntsystem32scrrun.dll文件的執(zhí)行權(quán)限,不需要的不給權(quán)限。重新啟動服務(wù)器即可生效。 對于這樣的設(shè)置結(jié)合上面的權(quán)限設(shè)置,你會發(fā)現(xiàn)海陽木馬已經(jīng)在這里失去了作用! PHP的安全設(shè)置: 默認(rèn)安裝的php需要有以下幾個注意的問題: C:\winnt\php.ini只給予users讀權(quán)限即可。在php.ini里需要做如下設(shè)置: Safe_mode=on register_globals = Off allow_url_fopen = Off display_errors = Off magic_quotes_gpc = On [默認(rèn)是on,但需檢查一遍] open_basedir =web目錄 disable_functions =passthru,exec,shell_exec,system,phpinfo,get_cfg_var,popen,chmod 默認(rèn)設(shè)置com.allow_dcom = true修改為false[修改前要取消掉前面的;] MySQL安全設(shè)置: 如果服務(wù)器上啟用MySQL數(shù)據(jù)庫,MySQL數(shù)據(jù)庫需要注意
關(guān)閉ping掃描,雖然沒什么卵用
先切換到root
echo 1 /proc/sys/net/ipv4/icmp_echo_ignore_all
1代表關(guān)閉
0代表開啟
用iptables
iptables -I INPUT -p icmp -j DROP
簡單介紹下基本的 dedecms _aq/' target='_blank'安全設(shè)置
一、創(chuàng)建普通用戶,禁止root登錄,只允許普通用戶使用su命令切換到root
這樣做的好處是雙重密碼保護,黑客就算知道了普通用戶的密碼,如果沒有root密碼,對服務(wù)器上攻擊也比較有限
以下是具體做法(需要在root下)
添加普通用戶
useradd xxx
設(shè)置密碼
passwd xxx
這樣就創(chuàng)建好了一個普通用戶
禁止root登錄
vi /etc/ssh/sshd_config
PermitRootLogin no
Systemctl restart sshd
這樣就完成了第一步,之后root就無法登錄服務(wù)器只能通過普通用戶su切換
二、修改ssh的默認(rèn)端口22,因為ssh的端口是22,我們?nèi)绻薷牧嗽摱丝?,他們就需要花費一點時間來掃描,稍微增加了點難度
以下將端口改為51866可以根據(jù)需要自己更改,最好選擇10000-65535內(nèi)的端口
step1 修改/etc/ssh/sshd_config
vi /etc/ssh/sshd_config
#Port 22 //這行去掉#號
Port 51866 //下面添加這一行
為什么不先刪除22,以防其他端口沒配置成功,而又把22的刪除了,無法再次進入服務(wù)器
step2 修改SELinux
安裝semanage
$ yum provides semanage
$ yum -y install policycoreutils-python
使用以下命令查看當(dāng)前SElinux 允許的ssh端口:
semanage port -l | grep ssh
添加51866端口到 SELinux
semanage port -a -t ssh_port_t -p tcp 51866
注:操作不成功,可以參考:
失敗了話應(yīng)該是selinux沒有打開
然后確認(rèn)一下是否添加進去
semanage port -l | grep ssh
如果成功會輸出
ssh_port_t tcp 51866, 22
step3 重啟ssh
systemctl restart sshd.service
查看下ssh是否監(jiān)聽51866端口
netstat -tuln
Step4 防火墻開放51866端口
firewall-cmd --permanent --zone=public --add-port=51866/tcp
firewall-cmd --reload
然后測試試試,能不能通過51866登錄,若能登錄進來,說明成功,接著刪除22端口
vi /etc/ssh/sshd_config
刪除22端口 wq
systemctl restart sshd.service
同時防火墻也關(guān)閉22端口
firewall-cmd --permanent --zone=public --remove-port=22/tcp
注意如果是使用阿里的服務(wù)器需要到阿里里面的安全組添加新的入站規(guī)則(應(yīng)該是因為阿里的服務(wù)器是用的內(nèi)網(wǎng),需要做端口映射)
三、使用一些類似DenyHosts預(yù)防SSH暴力破解的軟件(不詳細(xì)介紹)
其實就是一個python腳本,查看非法的登錄,次數(shù)超過設(shè)置的次數(shù)自動將ip加入黑名單。
四、使用云鎖(不詳細(xì)介紹)
參考自
總的來說做好了前兩步能夠減少至少百分之五十的入侵,在做好第三步之后,基本可以杜絕百分之八十以上的入侵。當(dāng)然最重要的還是自己要有安全意識,要多學(xué)習(xí)一些安全知識和linux的知識。
第三第四其中都有稍微提到一點,感興趣可以看看
1、禁止危險的服務(wù)
2、去掉C盤危險的權(quán)限
3、刪除危險的組件
4、安裝安全防護軟件
說起來就這幾樣,不過具體實施起來就比較復(fù)雜了,建議是找專業(yè)的安全廠商處理比較好,我以前用的護衛(wèi)神.入侵防護系統(tǒng),還送一次人工安全加固,效果很不錯,價格還很便宜。
名稱欄目:服務(wù)器怎么做安全設(shè)置模塊 服務(wù)器怎么做安全防護
標(biāo)題URL:http://jinyejixie.com/article2/doppjic.html
成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供標(biāo)簽優(yōu)化、軟件開發(fā)、品牌網(wǎng)站設(shè)計、面包屑導(dǎo)航、搜索引擎優(yōu)化、虛擬主機
聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請盡快告知,我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場,如需處理請聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時需注明來源: 創(chuàng)新互聯(lián)