隨著Linux的普及�����。不論是安全性與PHP執(zhí)行速度方面都高于Windows����。
習(xí)慣了Windows的我用不來Linux�����,難道就不能做安全了嗎����?答案是否定的����,首先我想說:
我認(rèn)為目前Linux的家庭用戶比較少,在用戶量方面Linux是敵不過Windows的�����,因?yàn)榇蟛糠钟螒?���,?yīng)用軟件等都是基于win平臺VB,VC,C#等開發(fā)的,而且目前電腦初學(xué)者學(xué)習(xí)的教材方面大部分都是關(guān)于Windows的�����,至少這幾年,十幾年內(nèi)微軟應(yīng)該還是win霸主�����。在Linux挖掘出一個(gè)漏洞�����,能通過利用此漏洞廣為傳播病毒的計(jì)算機(jī)感染數(shù)量很少����,所以Linux的漏洞價(jià)值不是很高。而且玩Linux的高手我認(rèn)為大部分是技術(shù)型的����,不屑于去追求那些蠅頭小利以及炫耀什么,樂于開源以及分享自己最新的研究成果�����,這個(gè)原因也造就了如今Linux的安全性����。
Windows只要安全細(xì)節(jié)做得好����,入侵成功的幾率是很低的����。好了����,廢話不多說了,下面進(jìn)入正文�����,談?wù)勎覍?a href="http://europeautoinsurance.com/key/webfuwuqi/" target="_blank">web服務(wù)器安全防護(hù)的經(jīng)驗(yàn)和方案����。
這個(gè)安全防護(hù)方案正是我博客網(wǎng)站www.9170.org采用的防護(hù)方案,還有更高的防護(hù)方案以后再說(我提供一種思路�����,比如:一個(gè)外網(wǎng)IP開放VPN和NAT端口轉(zhuǎn)發(fā)����,然后路由器里面的一臺計(jì)算機(jī)連接VPN,把80端口轉(zhuǎn)發(fā)到內(nèi)網(wǎng)�����,內(nèi)網(wǎng)又有一個(gè)MySQL內(nèi)網(wǎng)服務(wù)器)
方案如下:
系統(tǒng)平臺:
Win2003sp2企業(yè)版,打上所有微軟發(fā)布的安全更新�����。
主要硬件:Intel雙核CPU,512M內(nèi)存
優(yōu)化設(shè)置:
關(guān)閉默認(rèn)共享$admin,$c等,代碼如下:
net share c$ /delete
net share admin$ /delete
echo? .. delshare.reg .......
echo Windows Registry Editor Version 5.00> c:\delshare.reg
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]>> c:\delshare.reg
echo "AutoShareWks"=dword:00000000>> c:\delshare.reg
echo "AutoShareServer"=dword:00000000>> c:\delshare.reg
echo? .. delshare.reg .....
regedit /s c:\delshare.reg
echo? .. delshare.reg ....
del c:\delshare.reg
新建文本文檔另存為.bat文件運(yùn)行.
盡量不安裝任何應(yīng)用軟件(如:迅雷�����,QQ等)安裝好殺毒軟件以及防火墻�����。
安裝winrar����,關(guān)閉多余系統(tǒng)服務(wù)項(xiàng)(如自帶的防火墻,計(jì)劃任務(wù)�����,打印機(jī)等����。注意:請根據(jù)服務(wù)器實(shí)際情況來關(guān)閉�����,如果不懂系統(tǒng)后臺服務(wù)不建議去修改?����?梢詤⒖?font color="#333333">http://baike.baidu.com/view/685551.htm)
開機(jī)自啟的注冊表鍵值除輸入法外一般都可以刪除�����。
系統(tǒng)安全設(shè)置
磁盤都使用NTFS格式����,如果是FAT32,請轉(zhuǎn)換����。命令格式如:convert c:/fs:ntfs(命令默認(rèn)是C盤,如果是別的分區(qū)�����,請修改盤符)對根目錄的權(quán)限值保留administrator����、system完全權(quán)限�����,
Web根目錄只保留administrator�����、system����、以及用來啟動(dòng)該web的IIS用戶完全訪問權(quán)限����。
CMD.EXE,NET.EXE,NET1.EXE,以及回收站目錄只保留administrator和system的完全權(quán)限,
刪除安裝IIS后生成的intepub目錄�����。目錄安全權(quán)限設(shè)置完畢
PHP安全設(shè)置
由于此文說的是安全����,跳過PHP安裝步驟。編輯PHP配置文件�����,用文本編輯器打開php.ini。做如下修改:
safe_mode = On
disable_functions = passthru, exec, shell_exec, system, fopen, mkdir, rmdir, chmod, unlink, dir, fopen, fread, fclose, fwrite, file_exists, closedir, is_dir, readdir, opendir, fileperms, copy, unlink, delfile, popen, COM
PHP使用network service這個(gè)用戶組啟動(dòng)的����,所以在PHP的安裝目錄我們需要給他權(quán)限����,
至此PHP的安全設(shè)置已經(jīng)完畢。
MySQL安全設(shè)置
安裝好MySQL和phpmyadmin后使用root賬戶登錄����,修改root為強(qiáng)密碼,最好是數(shù)字+大寫+小寫����,如果記得住特殊符號也行。然后點(diǎn)權(quán)限�����,添加新用戶新建一個(gè)用戶����,創(chuàng)建與用戶同名的數(shù)據(jù)庫并授予所有權(quán)限�����,不給予特殊權(quán)限����。網(wǎng)站連接MySQL的用戶就使用這個(gè)新建的�����,千萬不要用root����!
IIS安全設(shè)置
對每個(gè)掛在IIS里面的網(wǎng)站設(shè)置一下權(quán)限,如MDB數(shù)據(jù)庫路徑在IIS里設(shè)置不能讀取����,寫入等,無執(zhí)行權(quán)限
上傳目錄無執(zhí)行可讀取����。
關(guān)閉未知的擴(kuò)展等,最好在每個(gè)網(wǎng)站都用一個(gè)獨(dú)立用戶啟動(dòng)�����,可以命名為IIS_***,對應(yīng)每一個(gè)網(wǎng)站根目錄的權(quán)限�����,IIS允許匿名訪問����,這樣可以防止別的網(wǎng)站跨目錄訪問
防護(hù)CC和DDOS攻擊
攻擊的原理就不說了����,搜索引擎搜索一下就知道了,一般的CC攻擊都是WEB動(dòng)態(tài)頁面發(fā)起的�����,而且會(huì)在短時(shí)間新建很多TCP端口連接�����,根據(jù)這個(gè)特征����,我們可以安裝一個(gè)DDOS防火墻,設(shè)置規(guī)則,我使用的是冰盾�����,是我設(shè)置的防護(hù)CC攻擊規(guī)則
在端口過濾里面可以設(shè)置流量
這樣設(shè)置完以后就能防止DDOS以及CC攻擊�����。
而且能防止掃描軟件掃描WEB頁面和暴力破解后臺登陸(因?yàn)樽隽诉B接數(shù)過多屏蔽����,一般的掃描和破解都是多線程開放很多端口同時(shí)進(jìn)行,工具掃描的連接數(shù)過多就自動(dòng)屏蔽了����,增大安全性能)
關(guān)鍵詞標(biāo)簽:Windows,服務(wù)器
火絨安全軟件開啟懸浮窗的方法-怎么限制和設(shè)置軟件網(wǎng)速
火絨安全軟件怎么攔截廣告-火絨設(shè)置廣告攔截的方法
網(wǎng)絡(luò)安全管理軟件-PCHunter使用教程