探讨虚拟主机配置问题

　　以下以建立一个站点www.gusuzf.com为例，跟大家独特探讨虚拟主机配置问题。

　　　　一、建立Windows用户

　　　　为每个网站单独设置windows用户帐号cert，删除帐号的User组，将cert加入Guest用户组。将用户不能更改密码，密码永不过时两个选A项选上。

　　　　二、设置文件夹权限

　　　　1、设置非站点相关目录权限

　　　　Windows安装好后，很多目录和文件默认是everyone可以浏览、查看、运行甚至是可以修改 的。这给服务器安全带来极大的隐患。这里就我个人的一些教训提一些在入侵中较常用的目录。

　　　　C：; D：; ……

　　　　C:perl

　　　　C:temp

　　　　C:Mysql

　　　　c:php

　　　　C:autorun.inf

　　　　C:Documents and setting

　　　　C:Documents and SettingsAll Users「开始」菜单程序

　　　　C:Documents and SettingsAll Users「开端」菜单程序启动

　　　　C:Documents and SettingsAll UsersDocuments

　　　　C:Documents and SettingsAll UsersApplication DataSymantec

　　　　C:Documents and SettingsAll UsersApplication DataSymantecpcAnywhere

　　　　C:WINNTsystem32config

　　　　C:winntsystem32inetsrvdata

　　　　C:WINDOWSsystem32inetsrvdata

　　　　C:Program Files

　　　　C:Program FilesServ-U

　　　　c:Program FilesKV2004

　　　　c:Program FilesRisingRAV

　　　　C:Program FilesRealServer

　　　　C:Program FilesMicrosoft SQL server

　　　　C:Program FilesJava Web Start

　　　

　　　 以上这些目录或文件的权限应该作恰当的限制。如取消Guests用户的查看、修改和执行等权限。因为篇幅关联，这里仅简略提及。

　　　　2、设置站点相关目录权限：

　　　　A、设置站点根目录权限：将刚树立的用户cert给对应站点文件夹，假设为D：cert设置相应的权限：Adiministrators组为完整把持; cert有读取及运行、列出文件夹目录、读取，撤消其它所有权限。

　　　　B、设置可更新文件权限：经由第1步站点根目录文件夹权限的设置后，Guest用户已经不修正站点文件夹中任何内容的权限了。这显然对一个有更新的站点是不够的。这时就须要对独自的需更新的文件进行权限设置。当然这个可能对虚拟主机提供商来说有些不方便。客户的站点的需更新的文件内容之类的可能都不一样。这时，可以划定某个文件夹可写、可改。如有些虚拟主机供给商就规定，站点根目录中uploads为web可上传文件夹，data或者 database为数据库文件夹。这样虚拟主机服务商就可认为客户定制这两个文件夹的权限。当然也可以像有些做的比拟好的虚构主机提供商一样，给客户做一个程序，让客户本人设定。可能要做到这样，服务商又得花不小的钱财跟人力哦。

　　　　基础的配置应该大家都会，这里就提多少个特殊之处或需要留神的处所。

　　　　1、主目录权限设置：这里能够设置读取就行了。写入、目录浏览等都可以不要，最要害的就是目录阅读了。除非特别情形，否则应当封闭，不然将会裸露良多主要的信息。这将为黑客入侵带来便利。其余保存默认就可以了。

　　　　2、应用程序配置：在站点属性中，主目录这一项中还有一个配置选项，点击进入。在利用程序映射选项中可以看到，默认有很多应用程序映射。将需要的保留，不需要的全体都删除。在入侵进程中，许多程序可能限度了asp，php等文件上传，但并错误cer，asa等文件进行制约，假如未将对应的运用程序映射删除，则可以将asp的后缀名改为cer或者asa落后行上传，木马将可以畸形被解析,姑苏租房。这也往往被治理员疏忽。另外增加一个应用程序扩大名映射，可履行文件可以任意抉择，后缀名为.mdb。这是为了避免后缀名为mdb的用户数据库被下载。

　　　　3、目录安全性设置：在站点属性当选择目录安全性，点击匿名访问和验证控制，选择许可匿名拜访，点击编纂。如下图所示。删除默认用户，浏览选择对应于前面为cert网站设定的用户，并输入密码。可以选中容许IIS控制密码。这样设定的目的是为了防止一些像站长助手、大陆等木马的跨目录跨站点浏览，可以有效禁止这类的跨目录跨站入侵。

　　　　4、可写目录执行权限设置：关闭所有可写目录的执行权限。由于程序方面的漏洞，目前异常风行上传一些网页木马，绝大部分都是用web进行上传的。因为不可写的目录木马不能进行上传，如果关闭了可写目录的执行权限，那么上传的木马将不能正常运行。可以有效防止这类情势web入侵。

　　　　5、处理运行错误：这里有两种方式，一是关闭错误回显。IIS属性??主目录??配置??应用程序调试??脚本错误消息，选择发送文本错误信息给客户。二是定制错误页面。在IIS属性??自定义毛病信息，在http错误信息中双击需要定制的错误页面，将弹犯错误映射属性设置框。新闻类型有默认值、URL和文件三种，可以依据情况自行定制。这样一方面可以暗藏一些错误信息，另外一方面也可以使错误显示更加友爱。

　　　　四、配置FTP

　　　　Ftp是绝大部门虚拟主机提供商必备的一项服务。用户的站内文件大局部都是使用ftp进行上传的。目前使用的最多的ftp服务器非Serv-U莫属了。这里有几点需要阐明一下。

　　　　1、管理员密码必需更改

　　　　如果入侵喜好者们确定对Serv-U提权再熟习莫过了。这些提权工具使用的就是Serv-U默认的管理员的帐号和密码运行的。由于Serv-U管理员是以超级管理员的身份运行的。如果没有更改管理员密码，这些工具使用起来就再好用不外了。如果更改了密码，那这些工具要想正常运行，那就没那么简单喽。得先破解管理员密码才行。

　　　　2、更改安装目录权限

　　　　Serv-U的默认安装目录都是everyone可以浏览甚至可以修改的。装置的时候如果选择将用户信息存储在ini文件中，则可以在ServUDaemon.ini得到用户的所有信息。如果Guests有修改权限，那么黑客就可以顺利建破存在超级权限的用户。这可不是一件好事。所以在安装好Serv-U之后，得修改相应的文件夹权限，可以取消Guests用户的相应权限。五、命令行相干操作处置

　　　　1、禁止guests用户执行com.exe：

　　　　我们可以通过以下命令取消guests执行com.exe的权限

　　　　cacls C:WINNTsystem3Cmd.exe /e /d guests。

　　　　2、禁用Wscript.Shell组件：

　　　　Wscript.Shell可以调用体系内核运行DOS根本命令。可以通过修改注册表，将此组件改名，来预防此类木马的迫害。 HKEY_CLASSES_ROOTWscript.Shell 及HKEY_CLASSES_ROOTWscript.Shell.1改名为其它的名字。将两项clsid的值也改一下 HKEY_CLASSES_ROOTWscript.ShellCLSID项目标值和HKEY_CLASSES_ROOT Wscript.Shell.1CLSID名目的值，也可以将其删除。

　　　　3、禁用Shell.Application组件

　　　　Shell.Application也可以调用系统内核运行DOS基本命令。可以通过修改注册表，将此组件改名，来防止此类木马的伤害。 HKEY_CLASSES_ROOTShell.Application 及HKEY_CLASSES_ROOTShell.Application.1 改名为其它的名字。将HKEY_CLASSES_ROOTShell.ApplicationCLSID项目的值 HKEY_CLASSES_ROOTShell.ApplicationCLSID项目的值更改或删除。同时，制止Guest用户使用 shell32.dll来防止调用此组件。使用命令：cacls C:WINNTsystem32shell32.dll /e /d guests

　　　　4、FileSystemObject组件

　　　　FileSystemObject可以对文件进行常规操作可以通过修改注册表，将此组件改名，来防止此类木马的危害。对应注册表项为HKEY_CLASSES_ROOT scripting.FileSystemObject。可以禁止guests用户使用或直接将其删除。斟酌到很多的上传都会使用到这个组件，为了方便，这里不倡议更改或删除。

　　　　5、禁止telnet登陆

　　　　在C:WINNTsystem32目录下有个login.cmd文件，将其用记事本翻开，在文件末尾另取一行，参加exit保留。这样用户在登陆telnet时，便会即时主动退出。

　　　　注：以上修改注册表操作均需要从新启动WEB服务后才会生效。

　　　　六、端口设置

　　　　端口窗体底端就是门，这个比方十分形象。如果咱们服务器的所有端口都开放的话，那就象征着黑客有好多门可以进行入侵。所以我个人感到，关闭未应用的端口是一件重要的事件。在节制面板??网络与拨号连接??本地衔接??属性??Internet协定(TCP/IP)属性，点击高级，进入高等TCP/IP设置，取舍选项，在可选的设置中挑选TCP/IP筛选，启用TCP/IP筛选。增添需要的端口，如21、80等，关闭其余的所有未使用的端口。

　　　　七、关闭文件共享

　　　　系统默认是启用了文件共享功效的。我们应给予取消。在控制面板??网络和拨号连接??本地连接??属性，在惯例选项种，取消Microsoft 网络文件和打印共享。服务起码原则是保障平安的一项重要准则。非必要的服务应该给予关闭。系统服务可以在掌握面板??管理工具??服务中进行设定。

　　　　八、关闭非必要服务

　　　　相似telnet服务、远程注册表操作等服务应给予禁用。同时尽可能安装起码的软件。这可以防止一些由软件破绽带来的保险问题。有些网管在服务器上安装QQ，应用服务器挂QQ，这种做法是极度过错的。

　　　　九、关注安全动态及时更新漏洞补丁

　　　　更新漏洞补丁对于一个网络管理员来说是无比重要的。更新补丁，可以进一步保障系统的安全