在这里说一下我以为比较安全的win2000虚拟主机的权限设置方法,仅仅是说下权限设置。
一.虚拟主机需要的软件及环境
1.Serv-U5.0.11(似乎不安全,但是也未必)
2.Mysql数据库
3.Mssql数据库
4.PcAnyWhere远程控制
5.杀毒软件,我一般使用诺顿8.0
6.php5
7.ActivePerl5.8
以上各种软件,除Mssql数据库以为,其他的都应去官方网站下载推荐版本安装。下面开始就是安装设置了,从系统安装完开始。假设系统安装的windows2000高级服务器版,系统分为c盘,d盘和e盘,全部是ntfs格式。
二.系统端口设置
虚拟主机,一般同时使用PcanyWhere和终端服务进行控制,终端服务要更改端口,比如修改成8735端口。根据要开放的服务,去设置TCP/IP筛选。为什么不使用本地安全策略了?个人认为TCP/IP筛选比较严格,因为这里是除非明确允许否则拒绝,而本地安全策略是除非明确拒绝否则允许。如果我理解不当,还请指教。TCP/IP筛选设置如下:
TCP端口只允许21,80,5631,8735,10001,10002,10003,10004,10005;IP协议只允许6;UDP端口我没有做过详细测试,不敢乱说,以后测试了再补上。TCP/IP端口里面的10001-10005是设置Serv-U的PASV模式使用的端口,当然也可以使用别的。
本地连接属性里面,卸载所有的其他协议,只留下Internet协议(TCP/IP),顺便把administrator帐号改个复杂点的名字,并且在本地安全策略里面设置不显示上次登陆帐号,对帐号锁定做出合适的设置。然后重新启动计算机,这步设置已经完成。
现在开始安装软件,所有的软件都安装在d盘,e盘作数据备份使用。先安装Serv-U到d:Serv-U,并且汉化顺便破解,嘿嘿。然后依次安装到d盘。现在开始设置权限。首先二话不说,c盘,d盘和e盘的安全里面把Everyone删除,添加改名后的administrator和system,让他们完全控制。
高级里面重置所有子对象的权限并允许传播可继承权限。这样系统所有的.文件,目录全部是由改名后的administrator和system控制了,并且自动继承上级目录的权限,下面开始为每个目录设置对应的权限。
运行asp,建立数据库连接需要使用C:Program FilesCommon Files目录下面的文件。在这里,设置C:Program FilesCommon Files权限,加入everyone,权限为读取,列出文件夹目录,读取及运行。还可以使用高级标签进行更加严格的设置,但是我没有做过,不敢胡说。
运行php,需要设置c:winntphp.ini的权限,让everyone有读取权限即可。如果php的session目录设置为c:winnttemp目录,此目录应该让everyone有读取写入权限。为提高性能,php设置为使用isapi解析,d:php目录让everyone有读取,列出文件夹目录,读取及运行权限。至于php.ini的设置,这里我就不说了。第一我不很懂,第二我只讲系统权限设置。
运行cgi,设置d:perl让everyone有读取,列出文件夹目录,读取及运行权限。顺便说下,cgi设置为使用isapi方式解析有利于安全和性能。
现在说下让人头大的Serv-U的设置了。这东西功能确实强大,但是安全性不怎么好,需要我们来改造。最首先的是溢出攻击,5.0.11好象已经没有这个缺陷了。其次是修改ini配置文件,这里已经没有权限修改了,略过不提。据我所知现在唯一的办法就是使用默认的管理帐号和密码添加有写入执行权限的帐号来执行木马了。
把默认帐号密码修改掉就完了,这个东西直接使用editplus之类的编辑器打开ServUDaemon.exe和ServUAdmin.exe修改就可以了。如果懒得麻烦,随便什么语言写个程序都很容易作到。我以前写过一个这样的东西,方便自己设置。现在Serv-U基本上没有什么问题了。
至于数据库,权限已经不用设置了,直接继承d盘根目录就可以。至于里面的帐号密码该怎么设置,我也懒得说了。
现在最后一点,就是设置c:winntsystem32目录和他下面的一些东西了。很多程序运行需要这里的动态连接库,而且这里文件太多,我也没有弄明白所有的,把目录c:winntsystem32给everyone赋予读取,列出文件夹目录,读取及运行即可。
其实,这样做是不安全的,但是别慌,我们还没有完。在这个目录下面,我们还需要对几个特别程序进行单独的设置。首先就是cacls.exe,嘿嘿,先把这个设置了在说别的。这东东是设置权限用的,让它不继承父目录权限,并且让它拒绝任何人访问,因为我们一般不使用这个鸟东西。其他的要设置的程序列表如下:net.exe,cmd.exe,ftp.exe,tftp.exe,telnet.exe,这几个程序设置成只允许改名后的administrator访问。
现在就想起这么多,这是今天上班空闲时间零零碎碎写的,以后再补充吧。
补充:禁止 非管理员组访问winnt目录 再把需要调用的文件 从winnt弄出来 重新 赋予它读取路径。
那我们来盘点一下Windows虚拟主机常见的一些功能,本文以bluehost香港Windows虚拟主机为例。优势一:配置强大的控制面板。
与独立服务器不同,虚拟主机一般都会提供相应的控制面板,这样能够很轻松的管理内容,比如网站网页管理,查看统计,创建邮件账户等等,以及一键安装博客,安装购物车等功能模块。
优势二:超强的架构。
Windows虚拟主机所在机房都是一流的数据中心,处理器都双四核处理器,且所有的配置是可以扩展的。
优势三:客户支持。
Windows虚拟主机在线时间长,提供 IP Blocking服务。
优势四:配置高。
双E5530 2.40GHz至强四核超线程处理器
24GB内存
250GB RAID 1 (镜像) OS驱动
1 TB RAID 1 (镜像) 客户数据缓存驱动器
电池支持,所有驱动均有RAID控制器
冗余电源, 高压交流电和火灾监测系统
优势五:安全性高。
可以针对一些病毒进行清除与检测,能够进行密码保护,加密FTP访问,提供IP屏蔽服务,可以自定义错误页面,有防盗链保护功能。
优势六:邮件服务完善。
可以支持无限的邮件账户,支持POP3和SMTP收发,很多企业创建邮件时完全不用担心,且都是非常容易操作的网页邮局。
优势七:其他功能。
支持Blackberry, iPhone, Android和PDA,免费DNS管理,域名转发,路径转发,隐藏转发等等。
以上说的都是Windows虚拟主机本身的一些功能,如果再配合不同的带宽则不同的优势又有所不同。比如Windows美国虚拟主机,它们的带宽大,流量充足,做外贸非常合适,如果是Windows香港虚拟主机,那么对于国内的个人建站或中小企业建站,免备案服务非常受欢迎,而且ping值访问速度非常快,尤其是以广东地区更为明显。
什么是虚拟主机
我的网站做好了,该放到什么地方去呢?显然应该放在运行于互联网上的服务器里。可是,现在提供免费主页空间的服务商很难申请到,而自己架设一台Web服务器代价也不算小,所以对于个人以及SOHO用户而言,多个用户共同租用一台服务器——即购买虚拟主机就成了比较现实的选择。
■ 什么是虚拟主机
所谓虚拟主机,就是把一台运行在互联网上的服务器划分成多个“虚拟”的服务器,每一个虚拟主机都具有独立的域名和完整的Internet服务器(支持WWW、FTP、E-mail等)功能。一台服务器上的不同虚拟主机是各自独立的,并由用户自行管理。但一台服务器主机只能够支持一定数量的虚拟主机,当超过这个数量时,用户将会感到性能急剧下降。
■ 虚拟主机的硬件条件
试用:虚拟主机服务提供商一般会在用户购买其服务之前提供几天的试用时间,你完全可以在这几天的时间里了解虚拟主机的性能,给自己的网页和电子邮件挑选到一个合适的“大家庭”。
速度:使用电信骨干线路的、配置有约100个用户的虚拟主机,其网速肯定要比那些采用ADSL等低速线路连接的独立主机要快得多。
稳定性:当然,除了速度,我们还要注意网络环境的稳定性和安全性,比如服务商是否采用了思科、3Com的路由器连接到网络,是否购买了网关防火墙,是否有专人全天24小时监视来自网络的各种攻击……只有具备了上述条件的主机服务商才是我们选择的目标。
有些虚拟主机服务商随便找条低带宽的线路,再东拼西凑一些设备,找两个懂得调试Windows 2000的技术人员,然后就仓促上马提供服务。就算其价格再便宜,我们也不推荐使用。
服务稳定性源于服务商的基础设施。配置较高档的服务器,配有冗余设备、RAID卡等;有保证电源输入稳定的UPS、应急发电机;有保持恒温、恒湿的设备等等。当然,这些硬件设施,有时我们是不可能亲眼看到的。所以,购买之前通过多种途径(比如服务商的网站)多了解服务商的情况非常重要!毕竟,知己知彼,才能找到适合的主机!
■ 你需要多大的空间
虚拟主机服务器提供硬盘空间的类型分为独立Web空间、数据库空间、独立邮局空间等。虚拟主机空间的大小主要依据发布信息的多少。如果你的网站包含有10到150个左右的页面,每页算上相关图片,有100多KB,那你租用60MB的空间就差不多了。如果页面在几百页以上,并且需要有数据库支持,那你需要的相应空间应该在100MB到200MB之间。实际所需空间不足时可以再补差价向服务商申请增加空间大小;若一开始购买空间很大,可总也用不上那么多,退也退不掉,无疑是浪费金钱。
■ 虚拟主机的软件条件
虚拟主机的服务器一般采用Windows 2000(NT)和UNIX(linux)两种服务器操作系统,两者各有所长。数据库空间也分为两类:Windows 2000平台的 IIS 5.0/Access数据库空间和Linux平台的MySQL/PHP数据库空间。不过笔者个人还是比较倾向于选择Unix(linux),但是对于经常调用各种数据库且需要进行ASP网页设计的公司用户而言,则只能采用Windows 2000平台,UNIX系统支持的是PHP。
■ 地点和价格
服务器存放的地点也是选购时一定要仔细考虑的。如果网站的信息宣传范围在国外,那租用在美国的虚拟服务器是最佳选择,因为美国的网络带宽最大;如果宣传的范围主要在国内,那就租用放在国内电信节点的服务器为最好。对于价格,大家都是很敏感的。一些电信旗下的服务商价格会比较高,不过现在随着诸多虚拟主机服务商的崛起,虚拟主机的价格现在已经低了很多。
■ 售后服务
如“无法创建电子邮箱”、“主页无法访问”等等常见的售后问题,大概是不少拥有虚拟主机的朋友经常遇到的。有的服务商将销售放在首位,售后服务不是很完善,如只在首页做了邮箱设置方法、FTP设置方法以及技术问题的“伊妹儿”链接就完事了。而标榜的服务热线是服务商本地的电话,若外地朋友遇到问题打长途还得自己买单。具有本地售后服务支持、全国免费800售后电话支持的公司,无疑让我们在选购之前就放心了不少。购买之前可以装成客户询问一些问题、留意一下服务商的售后服务质量及态度,售后服务出色的虚拟主机在以后使用时会轻松很多。
欢迎分享,转载请注明来源:夏雨云
评论列表(0条)