科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道最好的虚拟主机安全配置方法(二)

最好的虚拟主机安全配置方法(二)

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

注入漏洞、上传漏洞、弱口令漏洞等问题随处可见。跨站攻击,远程控制等等是再老套不过了的话题。有些虚拟主机管理员不知是为了方便还是不熟悉配置,干脆就将所有的网站都放在同一个目录中,然后将上级目录设置为站点根目录。

作者:论坛整理 来源:zdnet网络安全 2007年12月26日

关键字: 安全技术 系统安全 虚拟机安全

  • 评论
  • 分享微博
  • 分享邮件
 四、配置FTP

  Ftp是绝大部分虚拟主机提供商必备的一项服务。用户的站内文件大部分都是使用ftp进行上传的。目前使用的最多的ftp服务器非Serv-U莫属了。这里有几点需要说明一下。

  1、管理员密码必须更改

  如果入侵爱好者们肯定对Serv-U提权再熟悉莫过了。这些提权工具使用的就是Serv-U默认的管理员的帐号和密码运行的。因为Serv-U管理员是以超级管理员的身份运行的。如果没有更改管理员密码,这些工具使用起来就再好用不过了。如果更改了密码,那这些工具要想正常运行,那就没那么简单喽。得先破解管理员密码才行。

  2、更改安装目录权限

  Serv-U的默认安装目录都是everyone可以浏览甚至可以修改的。安装的时候如果选择将用户信息存储在ini文件中,则可以在ServUDaemon.ini得到用户的所有信息。如果Guests有修改权限,那么黑客就可以顺利建立具有超级权限的用户。这可不是一件好事。所以在安装好Serv-U之后,得修改相应的文件夹权限,可以取消Guests用户的相应权限。

  五、命令行相关操作处理

  1、禁止guests用户执行com.exe:

  我们可以通过以下命令取消guests执行com.exe的权限

  cacls C:\WINNT\system3\Cmd.exe /e /d guests。

  2、禁用Wscript.Shell组件:

  Wscript.Shell可以调用系统内核运行DOS基本命令。可以通过修改注册表,将此组件改名,来防止此类木马的危害。 HKEY_CLASSES_ROOT\Wscript.Shell\ 及HKEY_CLASSES_ROOT\Wscript.Shell.1\改名为其它的名字。将两项clsid的值也改一下 HKEY_CLASSES_ROOT\Wscript.Shell\CLSID\项目的值和HKEY_CLASSES_ROOT\ Wscript.Shell.1\CLSID\项目的值,也可以将其删除。

  3、禁用Shell.Application组件

  Shell.Application也可以调用系统内核运行DOS基本命令。可以通过修改注册表,将此组件改名,来防止此类木马的危害。 HKEY_CLASSES_ROOT\Shell.Application\ 及HKEY_CLASSES_ROOT\Shell.Application.1\ 改名为其它的名字。将HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值 HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值更改或删除。同时,禁止Guest用户使用 shell32.dll来防止调用此组件。使用命令:cacls C:\WINNT\system32\shell32.dll /e /d guests

  4、FileSystemObject组件

  FileSystemObject可以对文件进行常规操作可以通过修改注册表,将此组件改名,来防止此类木马的危害。对应注册表项为HKEY_CLASSES_ROOT\ scripting.FileSystemObject\。可以禁止guests用户使用或直接将其删除。考虑到很多的上传都会使用到这个组件,为了方便,这里不建议更改或删除。

  5、禁止telnet登陆

  在C:\WINNT\system32目录下有个login.cmd文件,将其用记事本打开,在文件末尾另取一行,加入exit保存。这样用户在登陆telnet时,便会立即自动退出。

  注:以上修改注册表操作均需要重新启动WEB服务后才会生效。

  六、端口设置

  端口窗体底端就是门,这个比喻非常形象。如果我们服务器的所有端口都开放的话,那就意味着黑客有好多门可以进行入侵。所以我个人觉得,关闭未使用的端口是一件重要的事情。在控制面板――网络与拨号连接――本地连接――属性――Internet协议(TCP/IP)属性,点击高级,进入高级TCP/IP设置,选择选项,在可选的设置中选择TCP/IP筛选,启用TCP/IP筛选。添加需要的端口,如21、80等,关闭其余的所有未使用的端口。

  七、关闭文件共享

  系统默认是启用了文件共享功能的。我们应给予取消。在控制面板――网络和拨号连接――本地连接――属性,在常规选项种,取消Microsoft 网络文件和打印共享。服务最少原则是保障安全的一项重要原则。非必要的服务应该给予关闭。系统服务可以在控制面板――管理工具――服务中进行设定。

  八、关闭非必要服务

  类似telnet服务、远程注册表操作等服务应给予禁用。同时尽可能安装最少的软件。这可以避免一些由软件漏洞带来的安全问题。有些网管在服务器上安装QQ,利用服务器挂QQ,这种做法是极度错误的。

  九、关注安全动态及时更新漏洞补丁

  更新漏洞补丁对于一个网络管理员来说是非常重要的。更新补丁,可以进一步保证系统的安全。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章