倘文库

菜鸟完整配置服务器流程及权限设置

2010-11-28 08:27:19

openwrt pppoe服务器安装配置完整图文教程
openwrt pppoe服务器安装配置完整图文教程菜鸟完整配置服务器流程及权限设置云服务器注册和配置流程介绍腾讯云服务器注册和配置流程

菜鸟完整配置效劳器 流程及权限 权限设置 菜鸟完整配置效劳器 流程及权限设置来源:原创+援用 作者:我为人民效劳 时刻:2007-06-25 12:06 字体:[大 中 小] 收藏 我要投稿 自己是一菜鸟,尽管刚刚接触网络,但是有点沉溺。

最近由于网络环境赞同 自己搞台效劳器 效劳器,就选了 WIN2003 搭建效劳器 效劳器。

效劳器 效劳器 原感觉网上教程还有掉队者的教程多的是,感觉简明的格外!哎,谁了解教程 虽多,不是缺那个一定是缺那个,有几个貌似格外详细的(真实格外详细),居然就漏 拉那样一点点 (比如 PHP 的一个文件) 到头来依然配置的出错, , 不了解是作者。

依然其他缘由,反正我在这上边耽误了格外长时刻,对我们菜鸟们的生长形成了格外 坏的妨碍,呵呵,我们但是未来胡联网的太阳呀!(有点远,不行意义)结果到 改日整整 7 天了,才搞出点眉目,或许小弟过于愚笨,大伙儿表见笑偶。

再一定是自己写的尽管基本上团体的花言巧语,一定也会援用一些高手的东东, 请不要顽固的感觉有转贴或许是抄袭,由于曾经有了的好东西我们就得应用,咱 们的目的是更完善,也希冀斑竹给小的落个伍,小的敢有胆识收回来还不嘉奖下? 不胜感谢。

言归正传:自己感觉,效劳器 效劳器的配置要紧分两大块:1:底层环境的配置安 效劳器 装;2:组件安全、硬盘权限 权限的安排、效劳的处置等安全成绩处置。

权限 一、先来底层环境的装置吧: 留意事项: 1、大伙儿一定留意下 php 配置的时辰一定要将 php4ts.dll 文件复制到 windows 文件夹内,否则会浮现 seaver ..的缺点(自己耽误了好长时刻,真郁闷)下面 教程内没写这点,估计是漏了 对了,底层环境装置,小勤哥哥刚教的我,我就不再码字了我们直截了当看他说的吧 (异常周全,但大伙儿要留意我上边提到的留意事项啊,找到的唯独缺陷,叫我们 菜鸟不转都没理由): http://www.im286.com/viewthread.php?tid=878768&extra=page%3D2 援用一 下(先感谢小勤哥哥) 二、是安全设置 设置,这是最严重的: 设置 先分一下(1)、组件和效劳安全(2)、硬盘权限 权限(3)、IIS 权限 权限(4)、PHP、 权限 MYSQL、ZEND 的安全和权限 ASP 的防马 权限 (一)、组件和效劳安全:本地安全战略设置 设置 末尾菜单—>管理工具—>本地安全战略 A、本地战略——>审核战略 审核战略改换 成功 失败 审核登录情形 成功 失败 审核对象访咨询 失败 审核进程跟踪 无审核 审核名目效劳访咨询 失败 审核特权运用 失败 审核系统情形 成功 失败

审核账户登录情形 审核账户管理成功 成功失败 失败B、本地战略——>用户权限 权限安排 权限 封锁系统:只好 Administrators 组、其它全部删除。

经过终端效劳赞同登陆:只参加 Administrators,Remote Desktop Users 组,其他全部删除 C、本地战略——>安全选项 交互式登陆:不显示上次的用户名 启用 网络访咨询:不赞同 SAM 帐户和共享的匿名枚举 启用 网络访咨询:不赞同为网络身份验证贮存凭证 启用 网络访咨询:可匿名访咨询的共享 全部删除 网络访咨询:可匿名访咨询的命 全部删除 网络访咨询:可远程访咨询的注册表途径 全部删除 网络访咨询:可远程访咨询的注册表途径和子途径 全部删除 帐户:重命名来宾帐户 重命名一个帐户 (能够 停掉他) 帐户:重命名系统辖理员帐户 重命名一个帐户 (再建 一个假的,无权限 权限的,搞个超级密码,嘿嘿) 权限 D、禁用不用要的效劳 末尾-运转-services.msc TCP/IPNetBIOS Helper 提供 TCP/IP 效劳上的 NetBIOS 和网络上客户端的 NetBIOS 称号解析的支援而运用户能够共享 文件、打印和登录到网络 Server 支援此计算机经过网络的文件、打印、和命名管道共享 Computer Browser 维护网络上计算机的最新列表以及提供那个列表 Task scheduler 赞同次第在指定时刻运转 Messenger 传输客户端和效劳器 效劳器之间的 NET SEND 和 警报器效劳旧事 效劳器 Distributed File System: 局域网管理共享文件,不需求可禁用(我是不 需求啊,呵呵禁了) Distributed linktracking client:用于局域网更新衔接信息,不需求可 禁用 (我是不需求啊,呵呵禁了) Error reporting service:制止发送错误报告 Microsoft Serch:提供快速的单词搜寻,不需求可禁用 (我是不需求啊, 呵呵禁了) NTLMSecuritysupportprovide:telnet 效劳和 Microsoft Serch 用的,不 需求可禁用 (我是不需求啊,呵呵禁了) PrintSpooler:假设没有打印机可禁用 Remote Registry:制止远程修正注册表 Remote Desktop Help Session Manager:制止远程协助 Workstation 封锁的话远程 NET 命令列不出用户组 以上是在 Windows Server 2003 系统下面默许启动的效劳中禁用的,默许 禁用的效劳如没特殊需求的话不要启动。

E:组件安全

卸载不安全阻件 ,要不万一中了马儿,就。

在 cmd 窗口运转以下命令:regsvr32/u d:\WINNT\System32\wshom.ocxren d:\WINNT\System32\wshom.ocxfu.ocxregsvr32/u d:\WINNT\system32\shell32.dllren d:\WINNT\system32\shell32.dll fu.dll即可将 WScript.Shell, Shell.application, WScript.Network 组件卸载,可有 效预防 asp 木马经过 wscript 或 shell.application 实行命令以及运用木马检查 一些系统敏感信息。

F、其他 1、Serv-u 安全成绩:Serv-U 安全配置 A、首先请坚持合用 Serv-U 的最新版本。

接着在装置 Serv-U 的时辰尽可能不要选 择默许的装置名目,比如俺将 Serv-U 装置在 D:\Pro_LeeBolin^_^\Serv-U#$2008$\...(由于如此复杂的名目名可预防 Hacker 的猜解) B、 接着将 Serv-U 取消 MDTM 命令的实行, 修正 Serv-U FTP Banner 并开启好 Serv-U 的 FTP 日志保管到非系统盘, 日志抉择记载好 Serv-U 命名用了那些命令与 DLL, 并为 Serv-U 设置 设置一个强健的本地管理密码(因提权多是由于 Serv-U 的默许管理 员:LocalAdministrator,默许密码:#l@$ak#.lk;0@P 所形成的,呵呵 $_$), 你还能够抉择将 Serv-U 的 FTP 账户信息保管到注册表, 不要存在 Serv-U 名目下 的 ini 文中,如此愈加安全。

C、我们再开启"计算机管理"新建一个用户 Serv-UAdmin,设置 设置好密码。

将用户退 设置 出 Users 组,不参加任何组。

并在用户的“终端效劳配置文件”选项里取消“允 许登录到终端效劳器 同时制止 Serv-UAdmin 用户的本地登陆。

效劳器。

进入操作面板 -> 效劳器 管理工具 -> 本地安全战略 -> 本地战略 -> 用户权益指使 -> 推托本地登陆。

(备注:那个用户我们将它来作为俺们 Serv-U 的效劳运转账号,嘿嘿)

D、末尾运转"Services.msc"翻开 win 的效劳管理器,找开 Serv-U Ftp Server 的 Serv-U 效劳;翻开“登陆”对话框。

往后默许的为“本地系统帐户”。

我们将 其修正为我们在 3 中新建的 Serv-UAdmin 用户,并输入密码。

E、下面的任务一定是设置 Serv-U 的运转与 FTP 名目的 ACLs 权限 设置 权限了: ①C:\Documents and Settings\Serv-UAdmin 名目参加 Serv-UAdmin 的权限 权限,允 权限 许读取与写入.. ②D:\Pro_LeeBolin^_^\Serv-U#$2008$\ Serv-U 的装置名目参加 Serv-UAdmin 的权限 权限,赞同读取与运转。

(假设抉择了账户保管在 ini 文件的话,那个地点就需求 权限 添加修正与删除权限 权限,因增删 FTP 账户时需求删改权才成,否则不能增删 FTP 权限 账户哟^_^) ③假设 Serv-U 账户抉择存在注册表的话。

运转 regedt32.exe,翻开注册表编辑 器。

找到[HKEY_LOCAL_MACHINE\ SOFTWARE\Cat Soft]分支。

在下面点右键,选 择权限 权限,接着点初级,取消赞同父项的承袭权限 权限传布到该对象和全部子对象,删 权限 权限 除除 admins 外的全部的账号。

仅添加 Serv-UAdmin 账号到该子键的权限 权限列表, 权限 并赋予完整操作权限 (假设抉择了账户信息保管在 ini 文件中的话可略过此步。

权限。

) 权限 ④如今就来设置 WEB 名目的 ACLs 了,比如我的虚拟主机总名目为 设置 E:\Leebolin$(%\wwwroot;那样我们将此 WEB 名目参加 Serv-UAdmin 账号的权限 权限 即可,如此 FTP 就能够访咨询我们的 WEB 名目停止上传下载了,呵.(由于 Serv-U 并没有以 system 运转, 因此那个地点只存留 admins 与 serv-uadmin 的权限 OK 了。

权限就 ) 权限 ⑥假设是 asp/php/html 脚本的话,WEB 名目只需求 admins & serv-uadmin & IUSR_XX 即可(那个地点的 IUSR_XX 是指站点的匿名单用户账号... F、 到目前为止, 我们的 Serv-U 曾经简明的做到了防提权, 防溢出了。

为啥呢? 由于能常远程溢出 overflow 的话, 基本上经过得一 shell 而停止进一步的 hacking, 而我们如今的 Serv-U 不是以 system 运转,因此即使实行了 overflow 指命,也 并不能失掉啥...防提权就不用我讲解了:由于我们的 Serv-Uadmin 没有任何 系统级的 ACLs 访咨询权限 权限.. 权限G、修正 3389 远程衔接端口 修正注册表. 末尾--运转--regedit 依次展开 HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/ TERMINAL SERVER/WDS/RDPWD/TDS/TCP 左边键值中 PortNumber 改为你想用的端口号.留意运用十进制(例 10000 ) HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/TERMINAL SERVER/ WINSTATIONS/RDP-TCP/ 左边键值中 PortNumber 改为你想用的端口号.留意运用十进制(例 10000 )

留意:别忘了在 WINDOWS2003 自带的防火墙给+上修正后端口号 修正终了.从头启动效劳器 设置 效劳器.设置 效劳器 设置失效. 2、制止 C$、D$一类的缺省共享 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\par ameters AutoShareServer、REG_DWORD、0x0 3、制止 ADMIN$缺省共享 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\par ameters AutoShareWks、REG_DWORD、0x0 4、限制 IPC$缺省共享 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa restrictanonymous REG_DWORD 0 缺省 1 匿名用户无法罗列本机用户列表 2 匿名用户无法衔接本机 IPC$共享 阐明:不建议运用 2,否则能够会形成你的一些效劳无法启动,如 SQL Server 5、在 Terminal Service Configration(远程效劳配置)-权限 权限-初级中配置安 权限 全审核,平常来说只需记载登录、注销情形就能够了。

6、废弃 NetBios 与 TCP/IP 协议的绑定 操作面版——网络——绑定——NetBios 接口——禁用 2000:操作面版——网 络和拨号衔接——本地网络——属性——TCP/IP——属性——初级 ——WINS——禁用 TCP/IP 上的 NETBIOS 7、在网络衔接的协议里启用 TCP/IP 抉择,仅开放必要的端口(如 80) 8、经过改换注册表 Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous = 1 来制止 139 空衔接 9、修正数据包的生活时刻(TTL)值 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters DefaultTTL REG_DWORD 0-0xff(0-255 十进制,默许值 128) 10、预防 SYN 洪水攻击 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters SynAttackProtect REG_DWORD 0x2(默许值为 0x0) 11、制止照应 ICMP 路由通告报文 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

\Interfaces\interface PerformRouterDiscovery REG_DWORD 0x0(默许值为 0x2) 12、预防 ICMP 重定向报文的攻击 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters EnableICMPRedirects REG_DWORD 0x0(默许值为 0x1) 13、不支援 IGMP 协议 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters IGMPLevel REG_DWORD 0x0(默许值为 0x2) 14、设置 arp 缓存老化时刻设置 设置 设置 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services:\Tcpip\Parameter s ArpCacheLife REG_DWORD 0-0xFFFFFFFF(秒数,默许值为 120 秒) ArpCacheMinReferencedLife REG_DWORD 0-0xFFFFFFFF(秒数,默许值为 600) 15、制止死网关监测技术 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services:\Tcpip\Parameter s EnableDeadGWDetect REG_DWORD 0x0(默许值为 ox1) 16、不支援路由功用 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services:\Tcpip\Parameter s IPEnableRouter REG_DWORD 0x0(默许值为 0x0) (二)、硬盘权限 权限: 权限 权限阐明:权限 权限是具有承袭性、累加性、优先性、交织性的。

权限 权限 承袭性是说下级的名目在没有经过从头设置 设置之前, 是拥有上一级名目权限设 权限设 设置 权限 置的。

那个地点还有一种状况要阐明一下,在分区内复制名目或文件的时辰,复制过 去的名目和文件将拥有它如今所处位子的上一级名目权限设置 但在分区内移动 权限设置 权限设置。

名目或文件的时辰,移动过去的名目和文件将拥有它原先的权限设置 权限设置 权限设置。

累加是说如一个组 GROUP1 中有两个用户 USER1、USER2,他们同时对某文件 或名目的访咨询权限 权限分手为“读取”和“写入”,那样组 GROUP1 对该文件或名目 权限 的访咨询权限 权限就为 USER1 和 USER2 的访咨询权限 权限之和,实践上是取其最大的那个,即 权限 权限 “读取”+“写入”=“写入”。

又如一个用户 USER1 同属于组 GROUP1 和 GROUP2, 而 GROUP1 对某一文件或名目的访咨询权限 权限为“只读”型的, GROUP2 对这一文件 而 权限 或文件夹的访咨询权限 权限为“完整操作”型的, 则用户 USER1 对该文件或文件夹的访 权限 咨询权限 权限为两个组权限 权限累加所得,即:“只读”+“完整操作”=“完整操作”。

权限 权限 优先性,权限 权限的这一特性又包括两种子特性,其一是文件的访咨询权限 权限优先目 权限 权限 录的权限 权限,也一定是说文件权限 权限能够越过名目的权限 权限,不顾上一级文件夹的设置 设置。

权限 权限 权限 设置

另一特性一定是“推托”权限 权限优先其它权限 也一定是说“推托”权限 权限, 权限能够越过其它 权限 权限 权限 全部其它权限 权限,一旦抉择了“推托”权限 权限,则其它权限 权限也就不能取任何作用,相 权限 权限 权限 当于没有设置 设置。

设置 交织性是指当同一文件夹在为某一用户设置 设置了共享权限 权限的同时又为用户设 设置 权限 设 权限, 权限不分歧时, 它的取舍准绳是取两个权限 权限的 置了该文件夹的访咨询权限 且所设权限 权限 权限 权限 交集,也即最严厉、最小的那种权限 权限。

如名目 A 为用户 USER1 设置 设置的共享权限 权限为 权限 权限 “只读”,同时名目 A 为用户 USER1 设置 设置的访咨询权限 权限为“完整操作”,那用户 权限 USER1 的最终来访咨询权限 权限为“只读”。

权限 1、文件类型阐明(留意文件的权限 权限优先级别比文件夹的权限 权限高): CGI 文件 权限 权限 (.exe、.dll、.cmd、.pl) 脚本文件 (.asp) 包括文件(.inc、.shtm、.shtml) 静态内容(.txt、.gif、.jpg、.htm、.html) 建议的 NTFS 权限 : Everyone(实行) Administrators(完整操作) System(完整操作) 2、 系统盘及全部磁盘只给 Administrators 组和 SYSTEM 的完整操作权限 权限 系统盘\Documents and Settings 名目只给 Administrators 组和 SYSTEM 的完 全操作权限 权限 系统盘\Documents and Settings\All Users 名目只给 Administrators 组和 SYSTEM 的完整操作权限 权限 系统盘\Windows\System32\cacls.exe、 cmd.exe、 net.exe、 net1.exe、 ftp.exe、 tftp.exe、 telnet.exe 、 netstat.exe、 regedit.exe、 at.exe、 attrib.exe、 format.com、del 文件只给 Administrators 组和 SYSTEM 的完整 操作权限 权限 另将\System32\cmd.exe、format.com、ftp.exe 转变到其他名目 或更名 Documents and Settings 下全部些名目都设置 设置只给 adinistrators 权限 权限。

(要 设置 一个一个名目检查,包括下面的全部子名目。

) 删除 c:\inetpub 名目 (三)、IIS 权限 权限: IIS 的配置是我们的重点, 如今大伙儿跟着我一齐来: 首先, C 盘那个啥 Inetpub 把 目 S 录完全删掉,在 D 盘建一个 Inetpub(假设你不担心用默许名目名也能够改 一个名字, 但是自己要记得) IIS 管理器中将主名目指向 D:\Inetpub; 在 其次, 那个 IIS 装置时默许的啥 scripts 等虚拟名目一概删除, 假设你需求啥权限 权限 的名目能够自己慢慢建,需求啥权限 权限开啥。

(特殊留意写权限 权限和实行次第的 权限 权限 权限,没有万万的必要千万不要给)第三,运用次第配置:在 IIS 管理器中删除 权限 务必之外的任何无用映射, 务必指的是 ASP,ASA 和其他你真实需求用到的文件类 型,例如你用到 stml 等(运用 server side include),实践上 90%的主机有了 下面两个映射就够了, 其他的映射几乎每个都有一个凄惨的故事: htw, htr, idq, ida……想了解这些故事?去查平常的破绽列表吧。

在 IIS 管理器中右击主机->

属性->WWW 效劳 编辑->主名目配置->运用次第映射, 接着就末尾一个个删吧 (里 面没有全选的,嘿嘿)。

接着在刚刚那个窗口的运用次第调试书签内将脚本错误 旧事改为发送文本 (除非你想 ASP 出错的时辰用户了解你的次第/网络/数据库结 构)错误文本写啥?随意你爱慕,自己看着办。

点击确定参加时别忘了让虚拟 站点承袭你设定的属性。

装置新的 Service Pack 后,IIS 的运用次第映射应重 新设置 设置。

(阐明:装置新的 Service Pack 后,某些运用次第映射又会浮现,导 设置 致浮现安全破绽。

这是我们较易无视的一点。

) 要为每个独立的要保卫的集体(比如一个网站或许一个虚拟名目)创立一个系统 用户,让那个站点在系统中具有独一的能够设置权限 设置权限 设置权限的身份。

在 IIS 的 【站点属性或许虚拟名目属性→名目安全性→匿名访咨询和验证操作→编 辑→匿名访咨询→编辑】填写刚刚创立的那个用户名。

设置全部的分区制止那个用户访咨询, (我的经验是建个组专门放这些帐户,其他 设置 的就不多说了) 而刚才那个站点的主名目对应的那个文件夹设置 设置赞同那个用户访 设置 咨询(要去掉承袭父权限 权限,同时要加上超管组和 SYSTEM 组)。

权限 删除默许树立的站点的虚拟名目,中止默许 web 站点,删除对应的文件名目 c:inetpub,配置全部站点的公共设置 设置 设置,设置 设置以 设置 设置好相关的衔接数限制,带宽设置 设置 及功能设置 设置等其他设置 设置。

关于数据库,尽可能采取 mdb 后缀,不需求改换为 asp, 设置 设置 可在 IIS 中设置 设置一个 mdb 的扩张映射,将那个映射运用一个有关的 dll 文件如 设置 C:WINNTsystem32inetsrvssinc.dll 来预防数据库被下载。

设置 IIS 的日志保管 设置 名目,调整日志记载信息。

为隐蔽系统信息,预防 telnet 到 80 端口所泄露的系 统版本信息可修正 IIS 的 banner 信息. 关于用户站点所在的名目,在此阐明一下,用户的 FTP 根名目下对应三个文 件佳,wwwroot,database,logfiles,分手存放站点文件,数据库备份和该站 点的日志。

假设一旦发作入侵情形可对该用户站点所在名目设置 设置详细的权限 权限,图 设置 权限 片所在的名目只赋予列名目的权限 权限,次第所在名目假设不需求生成文件(如生成 权限 html 的次第)不赋予写入权限 权限。

权限为了应对日益增多的 cgi 破绽扫描器,还有一个小技巧能够参考,在 IIS 中将 HTTP404 Object Not Found 出错页面经过 URL 重定向到一个定制 HTM 文件,可 以让目前绝大少数 CGI 破绽扫描器失灵。

事实上缘由格外简明,大少数 CGI 扫描器在 编篡时为了便利,基本上经过检查前往页面的 HTTP 代码来推断破绽能否存在的, 例如,有名的 IDQ 破绽平常基本上经过取 1.idq 来检验,假设前往 HTTP200,就认 为是有那个破绽, 反之假设前往 HTTP404 就感觉没有, 假设你经过 URL 将 HTTP404 出错信息重定向到 HTTP404.htm 文件, 那样全部的扫描不管存不存在破绽都会返 回 HTTP200,90%的 CGI 扫描器会感觉你啥破绽都有,结果反而粉饰了你真正 的破绽,让入侵者茫然无处下手,只是从团体角度来说,我依然感觉扎扎实实做 好安全设置 设置比如此的小技巧严重的多。

设置 为了保险起见,你能够运用 IIS 的备份功用,将刚刚的设定全部备份上去,如此 就能够随时恢复 IIS 的安全配置。

还有,假设你怕 IIS 负荷过高招致效劳器 效劳器满负 效劳器 荷死机,也能够在功能中翻开 CPU 限制,例如将 IIS 的最大 CPU 运用率限制在 70%。

IIS Web 效劳器 权限设置 效劳器的权限设置有两个中央,一个是 NTFS 文件系统本身的权限设置 权限设置 权限设置 权限设置, 另一个是 IIS 下网站->站点->属性->主名目(或站点下名目->属性->名目)面 板上。

这两个中央是严密相关的。

IIS 下网站->站点->属性->主名目(或站点下名目->属性->名目)面板上有: 脚本资源访咨询 读取 写入 扫瞄 记载访咨询 索引资源 6 个选项。

6 个选项中, 这 “记载访咨询”和“索引资源”跟安全性关系不大, 平常都设置 但是假设前面四个权限 设置。

权限都没有设置 设置的话, 这两个权限 权限也没有必要设 设置 权限 设置 权限 设 置。

(又是废话呵呵) 其它在这 6 个选项下面的实行权限 权限下拉列表中还有: 权限 无 纯脚本 纯脚本和可实行次第 3 个选项。

IIS 面板中的“写入”权限 权限实践上是对 HTTP PUT 指令的处置,关于平常网站, 权限 平常状况下那个权限 权限是不翻开的。

权限 IIS 面板中的“脚本资源访咨询”不是指能够实行脚本的权限 而是指能够访咨询 权限, 权限 源代码的权限 权限,假设同时又翻开“写入”权限 权限的话,那样就异常风险了。

权限 权限 实行权限 权限中“纯脚本和可实行次第”权限 权限能够实行恣意次第,包括 exe 可执 权限 权限 行次第,假设名目同时有“写入”权限 权限的话, 那样就格外复杂被人上传并实行木马 权限 次第了。

关于 ASP.NET 次第的名目,格外多人爱慕在文件系统中设置 Web 共享,实践 设置成 设置 上这是没有必要的。

只需求在 IIS 中保证该名目为一个运用次第即可。

假设所 在名目在 IIS 中不是一个运用次第名目, 只需求在其属性->名目面板中应 用次第设置 设置部分点创立就能够了。

Web 共享会给其更多权限 权限,能够会形成不安全 设置 权限 要素。

经验总结:也一定是说平常不要翻开-主名目-(写入),(脚本资源访咨询) 这两项以 及不要选上(纯脚本和可实行次第),选(纯脚本)就能够了.需求 asp.net 的运用 次第的假设运用次第名目不止运用次第一个次第的能够在运用次第文件夹上(属 性)-名目-点创立就能够了.不要在文件夹上选 web 共享. 平常的一些 asp.php 等次第都有一个上传名目.比如论坛.他们承袭了下面的属 性能够运转脚本的.我们应该将这些名目从头设置 设置一下级性.将(纯脚本)改成 设置 (无).

Internet 来宾帐号或 IIS_WPG 组帐号的权限 权限可读可写.那样 Access 所在名目 权限 (或许该文件)的“读取”、“写入”权限 权限都去掉就能够预防被人下载或窜改了 权限 你的网站下能够还有纯图片名目、纯 html 模版名目、纯客户端 js 文件名目或 者样式表名目等, 这些名目只需求设置 设置“读取”权限 权限即可, 实行权限 权限设成“无” 设置 权限 权限 即可。

其它权限 权限一概不需求设置 设置。

权限 设置 (四)、PHP、MYSQL、ZEND 的安全和权限 ASP 的防马 权限 1、PHP 的安全设置 设置: 设置默许装置的 php 需求有以下几个留意的成绩:C:\winnt\php.ini 只赋予 users 读权限 权限即可。

权限 2、MySQL 安全设置 设置: 设置假设效劳器 效劳器上启用 MySQL 数据库,MySQL 数据库需求留意的安全设置 设置为: 效劳器 设置删除 mysql 中的全部默许用户,只保管本地 root 帐户,为 root 用户加上一个复 杂的密码。

赋予平常用户 updatedeletealertcreatedrop 权限 权限的时辰,并限制到 特定的数据库,格外要幸免平常客户拥有对 mysql 数据库操作的权限 权限。

检验 权限 mysql.user 表,取消不用要用户的 shutdown_priv,reload_priv,process_priv 和 File_priv 权限 权限,这些权限 权限能够走漏更多的效劳器 效劳器信 权限 效劳器 息包括非 mysql 的其它信息出去。

能够为 mysql 设置 设置一个启动用户, 该用户只对 mysql 名目有权限 设置 权限。

设置 权限(此名目存放了 mysql 数 权限 设置装置名目的 data 数据库的权限 权限 据库的数据信息)。

关于 mysql 装置名目给 users 加上读取、 列名目和实行权限 权限。

权限 3、关于公用的 MSSQL 数据库效劳器 效劳器,依照上文所讲的设置 TCP/IP 抉择和 IP 策 效劳器 设置 略,对外只开放 1433 和 5631 端口。

关于 MSSQL 首先需求为 sa 设置 设置一个强健的 密码, 运用混合身份验证,增加数据库日志的记载,审核数据库登陆情形的”成功 和失败”.删除一些不需求的和风险的 OLE 自动贮存进程(会形成企业管理器中 部分功用不能运用),这些进程包括如下:Sp_OACreate Sp_OADestroy Sp_OAGetErrorInfo Sp_OAGetPropertySp_OAMethod Sp_OASetProperty Sp_OAStop去掉不需求的注册表访咨询进程,包括有:

Xp_regaddmultistring Xp_regdeletekey Xp_regdeletevalueXp_regenumvalues Xp_regread Xp_regremovemultistringXp_regwrite去掉其他系统贮存进程,假设感觉还有胁迫,固然要小心 Drop 这些进程,能够 在测试机械上测试,保证正常的系统能完成任务,这些进程包括:xp_cmdshell xp_dirtree xp_dropwebtask sp_addsrvrolememberxp_makewebtask xp_runwebtask xp_subdirs sp_addloginsp_addextendedproc在实例属性中抉择 TCP/IP 协议的属性。

抉择隐蔽 SQL Server 实例可预防对 1434 端口的探测,可修正默许运用的 1433 端口。

除去数据库的 guest 账户把未 经认可的运用者据之在外。

例外状况是 master 和 tempdb 数据库,由于对他们 guest 帐户是必需的。

其它留意设置 设置好各个数据库用户的权限 权限,关于这些用户只 设置 权限 赋予所在数据库的一些权限 权限。

在次第中不要用 sa 用户去衔接任何数据库。

网络 权限 上有建议大伙儿运用协议加密的,千万不要那样做,否则你只能重装 MSSQL 了。

4、ASP 防马 没有啥其他的办法,你赞同人上传就得有马,要紧是把硬盘权限 权限作好,SHELL 权限 组件卸掉,叫他们近来看吧,看够了就好了,哈哈最终来说的 是杀毒 软件和 WIN2003 的防火墙要开(罢了,地球人都了解),在此 提供一个 MCAFEE 8.5 企业版(能晋级的,纯确实)供大伙儿下载,自己效劳器 效劳器方 效劳器 便,哈哈,电信的,软件是好友给的,我不了解哪边能到如此的(自己 BAIDU 过,大多不能晋级),只能自己提供下了地址: http://www.20-21.cn/down/mcafee.rar(MCAFEE 自己觉得依然格外好用,但是规 则要搞好,能够 BAIDU 一下,那个格外多的!