不少用户会感觉虚拟主机不是一个非常重要的程序,所以不会对系统导致损害。但当今注入、上传或弱口令漏洞问题随处可见,虚拟主机也不例外,同样也是一个薄弱的环节,所以也需要对它的安全进行严加的配置。
以下以打造一个站点cert.ecjtu.jx.cn为例,跟大伙一同探讨虚拟主机配置问题。
1、打造Windows用户
为每一个网站单独设置windows用户帐号cert,删除帐号的User组,将cert加入Guest用户组。将用户不可以更改密码,密码永不过期两个选项选上。
2、设置文件夹权限
1、设置非站点有关目录权限
Windows安装好后,不少目录和文件默认是everyone可以浏览、查询、运行甚至是可以修改 的。这给服务器安全带来很大的隐患。这里就我的一些经验提一些在入侵中较常见的目录。
C:\; D:\;
C:\perl
C:\temp\
C:\Mysql\
c:\php\
C:\autorun.inf
C:\Documents and setting\
C:\Documents and Settings\All Users\「开始」菜单\程序\
C:\Documents and Settings\All Users\「开始」菜单\程序\启动
C:\Documents and Settings\All Users\Documents\
C:\Documents and Settings\All Users\Application Data\Symantec\
C:\Documents and Settings\All Users\Application Data\Symantec\pcAnywhere
C:\WINNT\system32\config\
C:\winnt\system32\inetsrv\data\
C:\WINDOWS\system32\inetsrv\data\
C:\Program Files\
C:\Program Files\Serv-U\
c:\Program Files\KV2004\
c:\Program Files\Rising\RAV
C:\Program Files\RealServer\
C:\Program Files\Microsoft SQL server\
C:\Program Files\Java Web Start\
以上这类目录或文件的权限应该作适合的限制。如取消Guests用户的查询、修改和实行等权限。因为篇幅关系,这里仅简单提及。
2、设置站点有关目录权限:
A、设置站点根目录权限:将刚刚打造的用户cert给对应站点文件夹,假设为D:\cert设置相应的权限:Adiministrators组为完全控制; cert有读取及运行、列出文件夹目录、读取,取消其它所有权限。
B、设置可更新文件权限:经过第1步站点根目录文件夹权限的设置后,Guest用户已经没修改站点文件夹中任何内容的权限了。这显然对于一个有更新的站点是不够的。这个时候就需要对单独的需更新的文件进行权限设置。当然这个可能对虚拟主机提供商来讲有的不便捷。顾客的站点的需更新的文件内容之类的可能都不同。这个时候,可以规定某个文件夹可写、可改。如有的虚拟主机提供商就规定,站点根目录中uploads为web可上传文件夹,data或者 database为数据库文件夹。如此虚拟主机服务商就能为顾客定制这两个文件夹的权限。当然也可以像有的做的最好的虚拟主机提供商一样,给顾客做一个程序,让顾客自己设定。可能要做到如此,服务商又得花不小的钱财和人力哦。
3、特殊之处或应该注意的地方
1、主目录权限设置:这里可以设置读取就好了。写入、目录浏览等都可以不要,最重要的就是目录浏览了。除非特殊状况,不然应该关闭,不然将会暴露不少要紧的信息。这将为黑客入侵带来便捷。其余保留默认就能了。
2、应用程序配置:在站点属性中,主目录这一项中还有一个配置选项,点击进入。在应用程序映射选项中可以看到,默认有很多应用程序映射。将需要的保留,无需的全部都删除。在入侵过程中,不少程序可能限制了asp,php等文件上传,但并不对cer,asa等文件进行限制,假如未将对应的应用程序映射删除,则可以将asp的后缀名改为cer或者asa后进行上传,木马将可以正常被分析。这也总是被管理员忽略。另外添加一个应用程序扩展名映射,可实行文件可以任意选择,后缀名为.mdb。这是为了预防后缀名为mdb的用户数据库被下载。
3、目录安全性设置:在站点属性中选择目录安全性,点击匿名访问和验证控制,选择允许匿名访问,点击编辑。如下图所示。删除默认用户,浏览选择对应于前面为cert网站设定的用户,并输入密码。可以选中允许IIS控制密码。如此设定的目的是为了预防一些像站长助手、海洋等木马的跨目录跨站点浏览,可以有效阻止这种的跨目录跨站入侵。
4、可写目录实行权限设置:关闭所有可写目录的实行权限。因为程序方面的漏洞,现在很时尚上传一些网页木马,绝大多数都是用web进行上传的。因为不可写的目录木马不可以进行上传,假如关闭了可写目录的实行权限,那样上传的木马将不可以正常运行。可以有效预防这种形式web入侵。
5、处置运行错误:这里有两种办法,一是关闭错误回显。IIS属性――主目录――配置――应用程序调试――脚本错误消息,选择发送文本错误信息给顾客。二是定制错误页面。在IIS属性――自概念错误信息,在http错误信息中双击需要定制的错误页面,将弹出错误映射属性设置框。消息种类有默认值、URL和文件三种,可以参考状况自行定制。如此一方面可以隐藏一些错误信息,另外一方面也可以使错误显示愈加友好。
4、配置FTP
Ftp是绝大多数虚拟主机提供商应具备的一项服务。用户的站内文件大多数都是用ftp进行上传的。现在用的最多的ftp服务器非Serv-U莫属了。这里有几个方面需要说明一下。
1、管理员密码需要更改
假如入侵喜好者们一定对Serv-U提权再熟知莫过了。这类提权工具用的就是Serv-U默认的管理员的帐号和密码运行的。由于Serv-U管理员是以超级管理员的身份运行的。假如没更改管理员密码,这类工具用起来就再好使不过了。假如更改了密码,那这类工具要想正常运行,那就没那样简单喽。得先破解管理员密码才行。
2、更改安装目录权限
Serv-U的默认安装目录都是everyone可以浏览甚至可以修改的。安装的时候假如选择将用户信息存储在ini文件中,则可以在ServUDaemon.ini得到用户的所有信息。假如Guests有修改权限,那样黑客就能顺利打造具备超级权限的用户。这可不是一件好事。所以在安装好Serv-U之后,得修改相应的文件夹权限,可以取消Guests用户的相应权限。
5、命令行有关操作处置
1、禁止guests用户实行com.exe:
大家可以通过以下命令取消guests实行com.exe的权限
cacls C:\WINNT\system3\Cmd.exe /e /d guests。
2、禁用Wscript.Shell组件:
Wscript.Shell可以调用系统内核运行DOS基本命令。可以通过修改注册表,将此组件改名,来预防此类木马的害处。 HKEY_CLASSES_ROOT\Wscript.Shell\ 及HKEY_CLASSES_ROOT\Wscript.Shell.1\改名为其它的名字。将两项clsid的值也改一下 HKEY_CLASSES_ROOT\Wscript.Shell\CLSID\项目的值和HKEY_CLASSES_ROOT\ Wscript.Shell.1\CLSID\项目的值,也可以将它删除。
3、禁用Shell.Application组件
Shell.Application也可以调用系统内核运行DOS基本命令。可以通过修改注册表,将此组件改名,来预防此类木马的害处。 HKEY_CLASSES_ROOT\Shell.Application\ 及HKEY_CLASSES_ROOT\Shell.Application.1\ 改名为其它的名字。将HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值 HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值更改或删除。同时,禁止Guest用户用 shell32.dll来预防调用此组件。用命令:cacls C:\WINNT\system32\shell32.dll /e /d guests
4、FileSystemObject组件
FileSystemObject可以对文件进行常规操作可以通过修改注册表,将此组件改名,来预防此类木马的害处。对应注册表项为HKEY_CLASSES_ROOT\ scripting.FileSystemObject\。可以禁止guests用户用或直接将它删除。考虑到不少的上传都会用到这个组件,为了便捷,这里不主张更改或删除。
5、禁止telnet登陆
在C:\WINNT\system32目录下有个login.cmd文件,将它用记事本打开,在文件末尾另取一行,加入exit保存。如此用户在登陆telnet时,便会立即自动退出。
注:以上修改注册表操作均需要重新启动WEB服务后才会生效。
6、端口设置
端口窗体底端就是门,这个比喻很形象。假如大家服务器的所有端口都开放的话,那就意味着黑客有好多门可以进行入侵。所以我感觉,关闭未用的端口是一件要紧的事情。在控制面板――互联网与拨号连接――当地连接――属性――Internet协议属性,点击高级,进入高级TCP/IP设置,选择选项,在可选的设置中选择TCP/IP筛选,启用TCP/IP筛选。添加需要的端口,如21、80等,关闭其余的所有未用的端口。
7、关闭文件共享
系统默认是启用了文件共享功能的。大家应给予取消。在控制面板――互联网和拨号连接――当地连接――属性,在常规选项种,取消Microsoft 互联网文件和打印共享。服务最少原则是保障安全的一项要紧原则。非必要的服务应该给予关闭。系统服务可以在控制面板――管理工具――服务中进行设定。
8、关闭非必要服务
类似telnet服务、远程注册表操作等服务应给予禁用。同时尽量安装最少的软件。这可以防止一些由软件漏洞带来的安全问题。有的网管在服务器上安装QQ,借助服务器挂QQ,这种做法是极度错误的。
9、关注安全动态准时更新漏洞补丁
更新漏洞补丁对于一个互联网管理员来讲是尤为重要的。更新补丁,可以进一步保证系统的安全。
虚拟主机同样也是一个独立的系统,同样会遭遇病毒攻击、木马侵袭,为了系统的安全性,大家就要愈加注意虚拟主机系统的安全配置,做好先前的防范工作,不至于将来措手不及。