服务器安全维护VIP免费

服务器安全维护一IIS优化1、禁止多余的Web服务扩展IIS6.0支持多种服务扩展，有些管理员偷懒或者不求甚解，担心Web运行中出现解析错误，索性在建站时开启了所有的Web服务扩展。殊不知，这其中的有些扩展比如“所有未知CGI扩展”、“在服务器端的包含文件”等是Web运行中根本用不到的，况且还占用IIS资源影响性能拖垮Web，甚至某些扩展存在漏洞容易被攻击者利用。因此，科学的原则是，用到什么扩展就启用什么扩展。如果企业站点是静态页面，那什么扩展都不要开启。不过现在的企业站点都是交互的动态页面比如asp、php、jsp等。如果是asp页面，那只需开启“ActiveServerPages”即可。对于php、jsp等动态页面IIS6.0默认是不支持的需要进行安装相应组件实现对这些扩展的支持。不过，此时用不到的扩展完全可以禁用。禁止Web服务扩展的操作非常简单，打开“IIS管理器”，在左窗格中点击“Web服务扩展”，在右侧选择相应的扩展，然后点击“禁用”即可。(图1)2、删除不必要的IIS扩展名映射IIS默认支持.asp、.cdx等8种扩展名的映射，这其中除了.asp之外其他的扩展几乎用不到。这些用不着的扩展会加重web服务器的负担，而且带来一定的安全隐患。比如.asa，.cer等扩展名，就可以被攻击者利用来获得webshell。因为一般的asp系统都会限制asp文件的上传，但如果没有限制.asa或者.cer等扩展名，攻击者就可以更改文件后缀突破上传限制，运行.asa或者.cer的文件获得webshell。(图2)删除IIS扩展名的操作是：打开IIS管理器，右键单击“默认Web站点”选择“属性”，点击“主目录”选项卡，然后点击“配置”打开应用程序窗口，最后根据自己的需要选择不必要的应用程序映射比如.shtml,.shtm,.stm等，然后点击“删除”即可。(图3)服务器安全维护（二）磁盘权限设置很简单，大体来说就几步：第一，先创建一个用户组，以后任何的站点的用户都建在这个組里，然后配置这个组在各个分区没有权限或完全拒绝（直接在根磁盘配置就能够了，不要替换任何子目录的权限）。然后再配置各个IIS用户在各自的文档夹里的权限。第二，改名或卸载不安全组件第三，把system32下面的一些常用网络命令配置成只有systemadministrators能够访问其他用户全部删除，如net.exetftp.exeat.exe....网上应该有很多相关介绍了第四，使用一般用户启动mssql或mysql数据库假如出现asp数据库连不上的问题，应该是c:\windows\tempc:\WINDOWS\IISTemporaryCompressedFiles文档夹没有给虚拟用户组权限，给他可读可写。这样配置出来，不支持asp.net，要支持的话c:\WINDOWS\Microsoft.NET\Framework\v1.1.4322这个目录也要给虚拟用户组可运行权限，web文档夹要加上iis_wpg可读可写，但开启asp.net会带来新的安全问题，假如无需的话不建议开启。ASP的安全设置：设置过权限和服务之后，防范asp木马还需要做以下工作，在cmd窗口运行以下命令：regsvr32/uC:\WINNT\System32\wshom.ocxdelC:\WINNT\System32\wshom.ocxregsvr32/uC:\WINNT\system32\shell32.dlldelC:\WINNT\system32\shell32.dll即可将WScript.Shell,Shell.application,WScript.Network组件卸载，可有效防止asp木马通过wscript或shell.application执行命令以及使用木马查看一些系统敏感信息。另法：可取消以上文件的users用户的权限，重新启动IIS即可生效。但不推荐该方法。另外，对于FSO由于用户程序需要使用，服务器上可以不注销掉该组件，这里只提一下FSO的防范，但并不需要在自动开通空间的虚拟商服务器上使用，只适合于手工开通的站点。可以针对需要FSO和不需要FSO的站点设置两个组，对于需要FSO的用户组给予c:winntsystem32scrrun.dll文件的执行权限，不需要的不给权限。重新启动服务器即可生效。对于这样的设置结合上面的权限设置，海阳木马已经在这里失去了作用.服务器安全维护（三）MySQL安全设置：如果服务器上启用MySQL数据库，MySQL数据库需要注意的安全设置为：删除mysql中的所有默认用户，只保留本地root帐户，为root用户加上一个复杂的密码。赋予普通用户updatedeletealertcreatedrop权限的时候，并限定到特定的数据库，尤其要避免普通客户拥有对mysql数据库操作的权限。检查m...