web服务器安全设置

Web服务器攻击常利用Web服务器软件和配置中的漏洞，web服务器安全也是我们现在很多人关注的一点，那么你知道web服务器安全设置吗?下面是我整理的一些关于web服务器安全设置的相关资料，供你参考。

web服务器安全设置一、IIS的相关设置

删除默认建立的站点的虚拟目录，停止默认web站点，删除对应的文件目录c:inetpub，配置所有站点的公共设置，设置好相关的连接数限制， 带宽设置以及性能设置等其他设置。配置应用程序映射，删除所有不必要的应用程序扩展，只保留asp，php，cgi，pl，aspx应用程序扩展。对于php和cgi，推荐使用isapi方式解析，用exe解析对安全和性能有所影响。用户程序调试设置发送文本错误信息给客户。

对于数据库，尽量采用mdb后缀，不需要更改为asp，可在IIS中设置一个mdb的扩展映射，将这个映射使用一个无关的dll文件如C:WINNTsystem32inetsrvssinc.dll来防止数据库被下载。设置IIS的日志保存目录，调整日志记录信息。设置为发送文本错误信息。修改403错误页面，将其转向到其他页，可防止一些扫描器的探测。另外为隐藏系统信息，防止telnet到80端口所泄露的系统版本信息可修改IIS的banner信息，可以使用winhex手工修改或者使用相关软件如banneredit修改。

对于用户站点所在的目录，在此说明一下，用户的FTP根目录下对应三个文件佳，wwwroot，database，logfiles，分别存放站点文件，数据库备份和该站点的日志。如果一旦发生入侵事件可对该用户站点所在目录设置具体的权限，图片所在的目录只给予列目录的权限，程序所在目录如果不需要生成文件(如生成html的程序)不给予写入权限。因为是虚拟主机平常对脚本安全没办法做到细致入微的地步。

方法

用户从脚本提升权限：

web服务器安全设置二、ASP的安全设置

设置过权限和服务之后，防范asp木马还需要做以下工作，在cmd窗口运行以下命令：

regsvr32/u C:\WINNT\System32\wshom.ocx

del C:\WINNT\System32\wshom.ocx

regsvr32/u C:\WINNT\system32\shell32.dll

del C:\WINNT\system32\shell32.dll

即可将WScript.Shell, Shell.application, WScript.Network组件卸载，可有效防止asp木马通过wscript或shell.application执行命令以及使用木马查看一些系统敏感信息。另法：可取消以上文件的users用户的权限，重新启动IIS即可生效。但不推荐该方法。

另外，对于FSO由于用户程序需要使用，服务器上可以不注销掉该组件，这里只提一下FSO的防范，但并不需要在自动开通空间的虚拟商服务器上使用，只适合于手工开通的站点。可以针对需要FSO和不需要FSO的站点设置两个组，对于需要FSO的用户组给予c:winntsystem32scrrun.dll文件的执行权限，不需要的不给权限。重新启动服务器即可生效。

对于这样的设置结合上面的权限设置，你会发现海阳木马已经在这里失去了作用!

web服务器安全设置三、PHP的安全设置

默认安装的php需要有以下几个注意的问题：

C:\winnt\php.ini只给予users读权限即可。在php.ini里需要做如下设置：

Safe_mode=on

register_globals = Off

allow_url_fopen = Off

display_errors = Off

magic_quotes_gpc = On [默认是on，但需检查一遍]

open_basedir =web目录

disable_functions =passthru,exec,shell_exec,system,phpinfo,get_cfg_var,popen,chmod

默认设置com.allow_dcom = true修改为false[修改前要取消掉前面的]

web服务器安全设置四、MySQL安全设置

如果服务器上启用MySQL数据库，MySQL数据库需要注意的安全设置为：

删除mysql中的所有默认用户，只保留本地root帐户，为root用户加上一个复杂的密码。赋予普通用户updatedeletealertcreatedrop权限的时候，并限定到特定的数据库，尤其要避免普通客户拥有对mysql数据库操作的权限。检查mysql.user表，取消不必要用户的shutdown_priv,reload_priv,process_priv和File_priv权限，这些权限可能泄漏更多的服务器信息包括非mysql的 其它 信息出去。可以为mysql设置一个启动用户，该用户只对mysql目录有权限。设置安装目录的data数据库的权限(此目录存放了mysql数据库的数据信息)。对于mysql安装目录给users加上读取、列目录和执行权限。

Serv-u安全问题：

安装程序尽量采用最新版本，避免采用默认安装目录，设置好serv-u目录所在的权限，设置一个复杂的管理员密码。修改serv-u的banner信息，设置被动模式端口范围(4001—4003)在本地服务器中设置中做好相关安全设置：包括检查匿名密码，禁用反超时调度，拦截“FTP bounce”攻击和FXP，对于在30秒内连接超过3次的用户拦截10分钟。域中的设置为：要求复杂密码，目录只使用小写字母，高级中设置取消允许使用MDTM命令更改文件的日期。

更改serv-u的启动用户：在系统中新建一个用户，设置一个复杂点的密码，不属于任何组。将servu的安装目录给予该用户完全控制权限。建立一个FTP根目录，需要给予这个用户该目录完全控制权限，因为所有的ftp用户上传，删除，更改文件都是继承了该用户的权限，否则无法操 作文 件。另外需要给该目录以上的上级目录给该用户的读取权限，否则会在连接的时候出现530 Not logged in, home directory does not exist。比如在测试的时候ftp根目录为d:soft，必须给d盘该用户的读取权限，为了安全取消d盘其他文件夹的继承权限。而一般的使用默认的system启动就没有这些问题，因为system一般都拥有这些权限的。

web服务器安全设置五、数据库服务器的安全设置

对于专用的MSSQL数据库服务器，按照上文所讲的设置TCP/IP筛选和IP策略，对外只开放1433和5631端口。对于MSSQL首先需要为sa设置一个强壮的密码，使用混合身份验证,加强数据库日志的记录,审核数据库登陆事件的”成功和失败”.删除一些不需要的和危险的OLE自动存储过程(会造成 企业管理 器中部分功能不能使用),这些过程包括如下:

Sp_OAcreate Sp_OADestroy Sp_OAGetErrorInfo Sp_OAGetProperty

Sp_OAMethod Sp_OASetProperty Sp_OAStop

去掉不需要的注册表访问过程,包括有:

Xp_regaddmultistring Xp_regdeletekey Xp_regdeletevalue

Xp_regenumvalues Xp_regread Xp_regremovemultistring

Xp_regwrite

去掉其他系统存储过程，如果认为还有威胁，当然要小心drop这些过程，可以在测试机器上测试，保证正常的系统能完成工作，这些过程包括：

xp_cmdshell xp_dirtree xp_dropwebtask sp_addsrvrolemember

xp_makewebtask xp_runwebtask xp_subdirs sp_addlogin

sp_addextendedproc

在实例属性中选择TCP/IP协议的属性。选择隐藏 SQL Server 实例可防止对1434端口的探测,可修改默认使用的1433端口。除去数据库的guest账户把未经认可的使用者据之在外。 例外情况是master和 tempdb 数据库,因为对他们guest帐户是必需的。另外注意设置好各个数据库用户的权限，对于这些用户只给予所在数据库的一些权限。在程序中不要用sa用户去连接任何数据库。网络上有建议大家使用协议加密的，千万不要这么做，否则你只能重装MSSQL了。

如果Web服务器的权限没有设置好，那么网站就会出现漏洞并且很可能会出现被不怀好意的人黑掉的情况。我们不应该把这归咎于 IIS 的不安全。如果对站点的每个目录都配以正确的权限，出现漏洞被人黑掉的机会还是很小的（Web 应用程序本身有问题和通过其它方式入侵黑掉服务器的除外）。下面是我在配置过程中总结的一些经验，希望对大家有所帮助。

IIS 下网站->站点->属性->主目录（或站点下目录->属性->目录）面板上有：

脚本资源访问读取写入浏览记录访问索引资源6 个选项。这 6 个选项中，“记录访问”和“索引资源”跟安全性关系不大，一般都设置。但是如果前面四个权限都没有设置的话，这两个权限也没有必要设置。在设置权限时，记住这个规则即可，后面的例子中不再特别说明这两个权限的设置。

另外在这 6 个选项下面的执行权限下拉列表中还有：无纯脚本纯脚本和可执行程序3 个选项。

而网站目录如果在 NTFS 分区（推荐用这种）的话，还需要对 NTFS 分区上的这个目录设置相应权限，许多地方都介绍设置 everyone 的权限，实际上这是不好的，其实只要设置好 Internet 来宾帐号（IUSR_xxxxxxx）或 IIS_WPG 组的帐号权限就可以了。如果是设置 ASP、PHP 程序的目录权限，那么设置 Internet 来宾帐号的权限，而对于 ASP.NET 程序，则需要设置 IIS_WPG 组的帐号权限。在后面提到 NTFS 权限设置时会明确指出，没有明确指出的都是指设置 IIS 属性面板上的权限。

例1 —— ASP、PHP、ASP.NET 程序所在目录的权限设置： 如果这些程序是要执行的，那么需要设置“读取”权限，并且设置执行权限为“纯脚本”。不要设置“写入”和“脚本资源访问”，更不要设置执行权限为“纯脚本和可执行程序”。NTFS 权限中不要给 IIS_WPG 用户组和 Internet 来宾帐号设置写和修改权限。如果有一些特殊的配置文件（而且配置文件本身也是 ASP、PHP 程序），则需要给这些特定的文件配置 NTFS 权限中的 Internet 来宾帐号（ASP.NET 程序是 IIS_WPG 组）的写权限，而不要配置 IIS 属性面板中的“写入”权限。

IIS 面板中的“写入”权限实际上是对 HTTP PUT 指令的处理，对于普通网站，一般情况下这个权限是不打开的。

IIS 面板中的“脚本资源访问”不是指可以执行脚本的权限，而是指可以访问源代码的权限，如果同时又打开“写入”权限的话，那么就非常危险了。

执行权限中“纯脚本和可执行程序”权限可以执行任意程序，包括 exe 可执行程序，如果目录同时有“写入”权限的话，那么就很容易被人上传并执行木马程序了。

对于ASP.NET 程序的目录，许多人喜欢在文件系统中设置成 Web 共享，实际上这是没有必要的。只需要在 IIS 中保证该目录为一个应用程序即可。如果所在目录在 IIS 中不是一个应用程序目录，只需要在其属性->目录面板中应用程序设置部分点创建就可以了。Web 共享会给其更多权限，可能会造成不安全因素。

总结: 也就是说一般不要打开-主目录-(写入),(脚本资源访问) 这两项以及不要选上(纯脚本和可执行程序),选(纯脚本)就可以了.需要asp.net的应用程序的如果应用程序目录不止应用程序一个程序的可以在应用程序文件夹上(属性)-目录-点创建就可以了.不要在文件夹上选web共享.

例2 —— 上传目录的权限设置： 用户的网站上可能会设置一个或几个目录允许上传文件，上传的方式一般是通过 ASP、PHP、ASP.NET 等程序来完成。这时需要注意，一定要将上传目录的执行权限设为“无”，这样即使上传了 ASP、PHP 等脚本程序或者 exe 程序，也不会在用户浏览器里就触发执行。

同样，如果不需要用户用 PUT 指令上传，那么不要打开该上传目录的“写入”权限。而应该设置 NTFS 权限中的 Internet 来宾帐号（ASP.NET 程序的上传目录是 IIS_WPG 组）的写权限。

如果下载时，是通过程序读取文件内容然后再转发给用户的话，那么连“读取”权限也不要设置。这样可以保证用户上传的文件只能被程序中已授权的用户所下载。而不是知道文件存放目录的用户所下载。“浏览”权限也不要打开，除非你就是希望用户可以浏览你的上传目录，并可以选择自己想要下载的东西。

总结: 一般的一些asp.php等程序都有一个上传目录.比如论坛.他们继承了上面的属性可以运行脚本的.我们应该将这些目录从新设置一下属性.将(纯脚本)改成(无).

例3 —— Access 数据库所在目录的权限设置： 许多IIS 用户常常采用将 Access 数据库改名（改为 asp 或者 aspx 后缀等）或者放在发布目录之外的方法来避免浏览者下载它们的 Access 数据库。而实际上，这是不必要的。其实只需要将 Access 所在目录（或者该文件）的“读取”、“写入”权限都去掉就可以防止被人下载或篡改了。你不必担心这样你的程序会无法读取和写入你的 Access 数据库。你的程序需要的是 NTFS 上 Internet 来宾帐号或 IIS_WPG 组帐号的权限，你只要将这些用户的权限设置为可读可写就完全可以保证你的程序能够正确运行了。

总结: Internet 来宾帐号或 IIS_WPG 组帐号的权限可读可写.那么Access所在目录（或者该文件）的“读取”、“写入”权限都去掉就可以防止被人下载或篡改了

例4 —— 其它目录的权限设置： 你的网站下可能还有纯图片目录、纯 html 模版目录、纯客户端 js 文件目录或者样式表目录等，这些目录只需要设置“读取”权限即可，执行权限设成“无”即可。其它权限一概不需要设置。

上面的几个例子已经包含了大部分情况下的权限设置，只要掌握了设置的基本原理，也就很容易地完成能其它情况下的权限设置。

Windows 2003的Web服务器配置方法介绍

Windows 2003的'Web服务器配置方法

日，笔者将学校服务器的操作系统升级为Windows Server 2003，在Web服务器的配置过程中发现了许多与Windows 2000 Server的不同之处。为了同行少走弯路，现将配置中应注意的问题简单总结如下:

Windows Server 2003 中Internet 信息服务(IIS) 升级为IIS 6.0，其安全性更高。默认情况下，Windows Server 2003没有安装IIS 6.0，要通过控制面板来安装。具体做法为:

1. 进入“控制面板”。

2. 双击“添加或删除程序”。

3. 单击“添加/删除 Windows 组件”。

4. 在“组件”列表框中，双击“应用程序服务器”。

5. 双击“Internet 信息服务(IIS)”。

6. 从中选择“万维网服务”及“文件传输协议(FTP)服务”。

7. 双击“万维网服务”，从中选择“Active Server Pages” 及“万维网服务”等。

安装好IIS后，接着设置Web服务器，具体做法为:

1. 在“开始”菜单中选择“管理工具→Internet信息服务(IIS)管理器”。

2. 在“Internet 信息服务(IIS)管理器”中双击“本地计算机”。

3. 右击“网站”，在dan出菜单中选择“新建→网站”，打开“网站创建向导”。

4. 依次填写“网站描述”、“IP 地址”、“端口号”、“路径”和“网站访问权限”等。最后，为了便于访问还应设置默认文档(Index.asp、Index.htm)。

上述设置和Windows 2000 Server网站设置基本相同，但此时Web服务还仅适用于静态内容，即静态页面能正常浏览，常用Active Server Pages(ASP)功能没有被启用。所以还应在“Internet 信息服务(IIS)管理器”的“ Web 服务扩展”中选择允许“Active Server Pages”。

另外，还应注意如果Web服务主目录所在分区是NTFS格式，而ASP网页有写入操作时(如用到新闻后台管理功能的)，要注意设置写入及修改权限。

---