預設安裝的php需要有以下幾個注意的問題:
C:winnt只給予users讀許可權即可。在裡需要做如下設定:
Safe_mode=on
register_globals = Off
allow_url_fopen = Off
display_errors = Off
magic_quotes_gpc = On [預設是on,但需檢查一遍]
open_basedir =web目錄
disable_functions =passthru,exec,shell_exec,system,phpinfo,get_cfg_var,popen,chmod
預設設定w_dcom = true修改為false[修改前要取消掉前面的;]
設定過許可權和服務之後,防範asp木馬還需要做以下工作,在cmd視窗執行以下命令:
regsvr32/u C:WINNTSystem32
del C:WINNTSystem32
regsvr32/u C:WINNTsystem32
del C:WINNTsystem32
即可將l, ication, 元件解除安裝,可有效防止asp木馬通過wscript或ication執行命令以及使用木馬檢視一些系統敏感資訊。另法:可取消以上檔案的users使用者的許可權,重新啟動IIS即可生效。但不推薦該方法。
另外,對於FSO由於使用者程式需要使用,伺服器上可以不登出掉該元件,這裡只提一下FSO的防範,但並不需要在自動開通空間的虛擬商伺服器上使用,只適合於手工開通的站點。可以針對需要FSO和不需要FSO的站點設定兩個組,對於需要FSO的使用者組給予c:檔案的執行許可權,不需要的不給許可權。重新啟動伺服器即可生效。
對於這樣的設定結合上面的許可權設定,你會發現海陽木馬已經在這裡失去了作用!
如果伺服器上啟用MySQL資料庫,MySQL資料庫需要注意的安全設定為:
刪除mysql中的所有預設使用者,只保留本地root帳戶,為root使用者加上一個複雜的密碼。賦予普通用戶updatedeletealertcreatedrop許可權的時候,並限定到特定的資料庫,尤其要避免普通客戶擁有對mysql資料庫操作的許可權。檢查表,取消不必要使用者的shutdown_priv,reload_priv,process_priv和File_priv許可權,這些許可權可能洩漏更多的伺服器資訊包括非mysql的其它資訊出去。可以為mysql設定一個啟動使用者,該使用者只對mysql目錄有許可權。設定安裝目錄的data資料庫的許可權(此目錄存放了mysql資料庫的資料資訊)。對於mysql安裝目錄給users加上讀取、列目錄和執行許可權。
Serv-u安全問題:
安裝程式儘量採用最新版本,避免採用預設安裝目錄,設定好serv-u目錄所在的許可權,設定一個複雜的管理員密碼。修改serv-u的banner資訊,設定被動模式埠範圍(4001—4003)在本地伺服器中設定中做好相關安全設定:包括檢查匿名密碼,禁用反超時排程,攔截“FTP bounce”攻擊和FXP,對於在30秒內連線超過3次的使用者攔截10分鐘。域中的設定為:要求複雜密碼,目錄只使用小寫字母,高階中設定取消允許使用MDTM命令更改檔案的日期。
更改serv-u的啟動使用者:在系統中新建一個使用者,設定一個複雜點的密碼,不屬於任何組。將servu的安裝目錄給予該使用者完全控制權限。建立一個FTP根目錄,需要給予這個使用者該目錄完全控制權限,因為所有的ftp使用者上傳,刪除,更改檔案都是繼承了該使用者的許可權,否則無法操作檔案。另外需要給該目錄以上的上級目錄給該使用者的讀取許可權,否則會在連線的時候出現530 Not logged in, home directory does not exist。比如在測試的時候ftp根目錄為d:soft,必須給d盤該使用者的讀取許可權,為了安全取消d盤其他資料夾的繼承許可權。而一般的使用預設的system啟動就沒有這些問題,因為system一般都擁有這些許可權的。
蒙田範文網