注入漏洞、上傳漏洞、弱口令漏洞等問題隨處可見。跨站攻擊,遠程控制等等是再老套不過了的話題。有些虛擬主機管理員不知是為了方便還是不熟悉配置,干脆就將所有的網站都放在同一個目錄中,然后將上級目錄設置為站點根目錄。有些呢,則將所有的站點的目錄都設置為可執行、可寫入、可修改。有些則為了方便,在服務器上掛起了QQ,也裝上了BT。更有甚者,竟然把Internet來賓帳號加入到Administrators組中!汗……!普通的用戶將自己的密碼設置為生日之類的6位純數字,這種情況還可以原諒,畢竟他們大部分都不是專門搞網絡研究的,中國國民的安全意識提高還需要一段時間嘛,但如果是網絡管理員也這樣,那就怎么也有點讓人想不通了。網絡安全問題日益突出,最近不又有人聲稱“萬網:我進來玩過兩次了!”。這么有名氣的網絡服務商,也難免一逃啊!網站注入漏洞是最近還頻頻在報刊雜志上曝光的高校入侵……一句話,目前很大部分的網站安全狀況讓人擔憂!
這里就我個人過去的經歷和大家一同來探討有關安全虛擬主機配置的問題。以下以建立一個站點cert.ecjtu.jx.cn為例,跟大家共同探討虛擬主機配置問題。
一、建立Windows用戶
為每個網站單獨設置windows用戶帳號cert,刪除帳號的User組,將cert加入Guest用戶組。將用戶不能更改密碼,密碼永不過期兩個選項選上。
二、設置文件夾權限
1、設置非站點相關目錄權限
Windows安裝好后,很多目錄和文件默認是everyone可以瀏覽、查看、運行甚至是可以修改 的。這給服務器安全帶來極大的隱患。這里就我個人的一些經驗提一些在入侵中較常用的目錄。
|
以上這些目錄或文件的權限應該作適當的限制。如取消Guests用戶的查看、修改和執行等權限。由于篇幅關系,這里僅簡單提及。
2、設置站點相關目錄權限:
A、設置站點根目錄權限:將剛剛建立的用戶cert給對應站點文件夾,假設為D:\cert設置相應的權限:Adiministrators組為完全控制;cert有讀取及運行、列出文件夾目錄、讀取,取消其它所有權限。
B、設置可更新文件權限:經過第1步站點根目錄文件夾權限的設置后,Guest用戶已經沒有修改站點文件夾中任何內容的權限了。這顯然對于一個有更新的站點是不夠的。這時就需要對單獨的需更新的文件進行權限設置。當然這個可能對虛擬主機提供商來說有些不方便。客戶的站點的需更新的文件內容之類的可能都不一樣。這時,可以規定某個文件夾可寫、可改。如有些虛擬主機提供商就規定,站點根目錄中uploads為web可上傳文件夾,data或者database為數據庫文件夾。這樣虛擬主機服務商就可以為客戶定制這兩個文件夾的權限。當然也可以像有些做的比較好的虛擬主機提供商一樣,給客戶做一個程序,讓客戶自己設定。可能要做到這樣,服務商又得花不小的錢財和人力哦。
三、配置IIS
基本的配置應該大家都會,這里就提幾個特殊之處或需要注意的地方。
1、主目錄權限設置:這里可以設置讀壬能安裝最少的軟件。這可以避免一些由軟件漏洞帶來的安全問題。有些網管在服務器上安裝QQ,利用服務器掛QQ,這種做法是極度錯誤的。
九、關注安全動態及時更新漏洞補丁
更新漏洞補丁對于一個網絡管理員來說是非常重要的。更新補丁,可以進一步保證系統的安全。
