时间:2014-01-29 来源:

WindowsServer2003虚拟主机的安全配置

本人上次工作于某家网络公司.负责服务器的维护工作.现失业.
经过一段时间的了解.自认为在构件Windows服务器平台上有所经验.
鉴于现在很多朋友都开始谋划属于自己的虚拟主机.并且呢.
网上相关文章都是很老的那种.所以自己冒昧准备写一系列. 
希望各位多多指点.有问题有错误多多斧正.谢谢.
开头很严肃吧.呵呵.那下面就轻松点.哎.才跟GF去吃午饭了.撑的我.哎.老打嗝.
这人跟机器就一样.快的确是挺好.但是要稳定.服务器的稳定就好比谈恋爱的稳定.
否则一天三顿吵.外加吃个消夜.那就甭想好点工作了.呵呵.要建立稳定的恋爱关系.
那首先.基础很重要.人品.性格.爱好.对不对?那我们就先说硬件吧.
当然推荐品牌的服务器.DELL.IBM.都挺好.如果你跟我一样穷.那自己装一台也成.
主板非IWLL.ASUS.INTEL的不要.CPU当然要HT P4的.512 DDR.装起来也凑合.
自己曾经用一PC做过一段时间的测试.如果硬件质量都过关.其实也非常强.
然后是重要的服务器操作系统.鉴于本人水平有限制.我们暂时不探讨REDHAT.
首推Windwos Server 2003.尤其是安全性和IIS.比W2K要强很多.执行效率高.稳定安全.
在正式进入主题之前.套用FIRE的话作为整个工程的开场白:
"请不要尝试去攻击任何一台主机.因为你永远都无法知道.
你的对面的管理员.到底是一个天才还是一个伪装成白痴的天才."
装系统估计人人都会装.那我不多说.免得人说我骗稿费.在安装之前.我们还是要谈下服务器的分区.
跟PC分区还是有一点不同的.我按我以前自己做的分区设置罗列一下.下面的内容比较重要.
系统分区定在C盘.个人认为8G足够了.10G也行.NTFS格式.因为在2003下.非NTFS不能安装IIS.
权限保持默认.因为我曾经修改过一次系统盘的默认权限.结果不知道为什么系统就给崩了.55555.
软件分区定在D盘.8G到10G.主要安装辅助软件.WINRAR.日志检测软件.网络检测软件.Commview这类等.
至于MSN哦.QQ哦什么的.其实不推荐安装.为什么.当然会有点小隐患.推荐使用NTFS格式.
权限请保留ADMIN组和SYSTEM组.一共两个.其他的一律DEL掉.尤其是什么EVERYONE.
为什么.因为安装到系统中SYSTEM当然是必须具备.然后管理员要操作.所以要ADMIN组.
E盘我们做为服务器软件的安装分区.大小自己定义.包括CGI.PHP.ZEND.MYSQL.MSSQL.IMAIL.SERV-U等.
文件格式为NTFS.权限保留ADMIN组.SYSTEM组.和"IWAN_你的计算机名"这个帐号.一共三个.其他的DEL掉.
说明一下.这个"IWAN_你的计算机名"帐号.主要是负责操作应用程序地址池和服务器软件.比如PHP脚本.
F盘就可以做对外服务的分区.比如IIS的WEB服务.FTP空间.IMAIL邮件帐号空间.
建议建立三个文件夹: WEB.FTP和IMAIL.然后分门别类的放置每个软件的每个帐号的目录.
并且不继承F盘的父权限.独立来定制这三个目录的操作权限.具体我们下面说.
推荐权限为保留如下三个组: ADMIN组和SYSTEM组以及"USER_你的计算机名"这个帐号组.
"USER_你的计算机名"这个帐号组.权限为GUESTS.是匿名访问WEB服务器的默认帐号.
如果需要有写操作权限的另外建立个帐号.具体可以参考FSO分配这类文章.
G盘为FTA32格式.放置系统安装文件.日常工具软件的安装程序.系统备份.策略等等.
注意.敏感内容请通过第三方软件加密.以免病毒感染或者被黑客捆绑后门和木马.
如果条件允许就做异地备份.光盘或者磁带机备份.建议装个GHOST 2003.对于重要内容可以做镜像文件.
到这里基本上比较合理的分配了空间.并且也考虑以后的拓展性.我们可以准备进入下面的环节了.
下面我们来说安装.哎哎.你.坐好.虽然我出去了一下.出去的一小下而已嘛.
你也要注意纪律.什么?说我只知道陪MM不写教程.你知道个啥.两手都要硬.明白不?
安装的情况.这个.一般情况下分两种.不排除有变态的第N种可能.
对了.有一期科幻世界上有一篇叫第九种可能的文章.挺不错的.哦哦.打住打住.
首先是升级.WINDOWS 2003好象不支持WINDOWS 2000 PRO上的升级.
个人推荐还是别整什么升级的好.直接重新安装.免去了很多D版出现的妖异问题.
扫盲: 妖异问题就是一些搞半天搞不好不知道怎么搞不好最后不知道怎么自己搞好或者是别人随便一搞就搞好的问题.
直接安装.如果你的系统是好的.我是说.可以进入系统并且可以使用CD-ROM的情况.
你可以选择直接在现有的系统上安装.然后选择重新安装.输入SN序列号.直接NEXT就可以了.
注意在安装的时候.如果你做对外的服务器就选择系统盘为NTFS格式.分区方案见上面的.
如果你是自己用.做本地调试或者是测试的.那就随便你怎么弄吧.只要你觉得舒服.
OK.下面来说一下纯DOS里面的安装.虽然是很OLD的内容.
在DOS里面要使用一个名为 Smartdrv.exe 的命令.
意思是增补磁盘高速缓存.什么意思?我不想跟 IQ < 70 的人探讨技术问题.
这个命令可以在 Windows 98 的安装目录里找到.直接执行就可以了.不需要增加参数.
执行结果以后是什么样?没什么样.你多执行几次就会看到效果了.知道不?
然后执行 FORMAT C: /S/Q 切记.
如果你想保证你的 WINDOWS 2003 以后能拥有 DOS 启动进入 MS-DOS 环境的话.
请一定按照我上面说的做.只要在安装 WINDOWS 20003 之前把系统 FORMAT 以后.
以后安装完 WINDOWS 2003 以后.可以通过如下方法进入 纯DOS 环境而不需要其他引导光盘.
启动计算机.按 F8 键.进入 WINDOW 2003 SERVER 的操作系统高级选择菜单.
选择 带命令的安全模式 然后选择 MICROSOFT WINDWOS 即可.
另外一个命令.说实话我也不知道是做什么用的.名为 Lock.exe 的命令.
看样子似乎是锁定.一般的用法是执行完 Smartdrv.exe 以后执行一个 Lock.exe C: 假设你要装到C盘.
Lock.exe命令 - 解释:
执行该程序可有效地锁住你的光驱.
使光驱上的EJECT键暂时失效.直至用UNLOCK.EXE或RESET.EXE程序解锁.
重新启动计算机也可使EJECT键再次生效.
LOCK.EXE的应用格式为:
LOCK [device]
其中device即CD-ROM的盘号.默认为第一光驱.
总结一下流程.HOHO.
1. 修改 CMOS 为 CD-ROM 引导.不会?那一边凉快去.
2. 放入 Windows 98 引导光盘.进入Dos模式.进入 Windows 98 安装目录.执行 Smartdrv.exe 和 Lock.exe C:
3. 弹出光盘.更换一张 Windows 2003 Server 的安装光盘.进入 I386 目录.执行 Winnt.exe
好了.开始安装了.随便说一句.在安装的时候请不要设置Administrator的密码.就为 Null 空着.
为什么.你不听我话算了.以后出现问题了别找我.也不要怪我没说.
下面就进入最关键的环节了.大家振作精神.
如果你硬盘空间足够的话.并且现在时间也比较充足.那我推荐下面的步骤.
1. 重新启动系统.按F8.进入命令提示的模式.选择 MICROSOFT WINDWOS.
2. 进入 DOS 以后.启动 GHOST.做个 WINDOWS 2003 C盘的 GHO 文件.放到 FAT32 分区上.
关于第一点.请认真参看上面关于在 WINDOWS 2003 上进入纯 DOS 的内容.
如果你没有按我前面说的做.那就使用 CD-ROM 引导.然后修改 CMOS 启动.进入 DOS 环境.
做好GHO文件以后.就不怕以后万一崩溃以后重新安装的麻烦.
当然.你也可以把 "小白" 更新 Windows Update 以后做GHO.
本人推荐把干净的系统通过 更新 Windows Update 以后.什么都不做.然后直接GHOST做GHO.不过前提是你比较了解系统.
下面继续.GOGO.
把NIC卡.也就是网卡啦.禁用.然后设置好IP和DNS.GATEWAY.不要启用.切记.
为什么?因为如果你SERVER.那当然你一旦设置好NIC信息就可以上网了.但是在安装的时候没有设置 ADMINISTRATORS 的密码.
所以连入网络就会不安全.别说一会儿没事.我们不能保证无聊的人在窥视你的网络.呵呵.万一遇到个瞎猫也不好嘛.
现在服务器暂时无法连通任何网络.
这样可以防止裸机被冲击波或者HACKER扫描.
可以说是安全的.推荐这个时候操作人员不要离开工作台.呵呵.
下面高举注册表和组策略大法.开始我们的核心之旅途.
在开始之前.我想说的是.我们必须深入了解这台服务器的用途.
每种用途针对不同的设置和部署策略.只有最合适的也才可能是最安全的.
按我下面的例子继续展开.GO.
我选了一个比较典型的例子.比如一台服务器.准备作为WEB+FTP+MAIL服务.
分细致一点列在下面:
1. WEB当然是使用 IIS 6.0 支持 ASP.PHP.CGI 脚本.
2. FTP使用 SERV-U 5.0 中文版
3. MAIL使用 IMAIL 8.02 中文版
4. 数据库使用 MYSQL 数据库.当然是 5.0 版本的.PHP 也用 5.0.
5. 其他的.比如ZEND.JMAIL一律使用官方最新版本.
上面这类软件推荐在官方网站下载.或者是去 www.SKYCN.NET 下载.
按照上面的列表.我们可以得到最后的结果.开放端口如下:
80 => WEB
21 => FTP
25 => MAIL
110 => MAIL
3389 => 终端服务
8383 => MAIL WEB
我们可以按照上面的.以后做个可靠的IP和PORT策略.
即除了上面的TCP PORT.一律给予BLOCK.
当然了.推荐也将ICMP ECHO给予关闭.
如果你需要远程管理.推荐使用 PCANYWHERE 或者 WIN的终端服务 或者 WINVNC.
该例子我们选用了 WINDOWS 2003 的终端服务.所以上面开放了 3389 端口.
随便说一下.网上有很多人很多教材推荐要通过注册表修改终端服务的端口.
这里我想说的是.根本不需要.完全是杞人忧天.自己耽误工夫.
对于现在的 SP4 的 W2K 或者是 WINDOWS 2003.
终端服务已经非常完善和安全.如果一个管理员通过合理和正确的配置.
完全可以让服务器.我是说.裸机.暴露在网上承受每天10W次的扫描和尝试攻击.
除脚本漏洞以外.几乎是没有什么安全
点击次数:5464
作者:
web前端行业资讯
Web new NewsList
Postgres10开发者新特性 ,,2017年12月28日阿里巴巴、狗尾草、苏大联合论文:基于对抗学习的众包标注用于中文命名实体识别 ,,2017年12月28日柯洁的2017:20岁,与AI斗与人类斗,其乐无穷 ,,2017年12月28日如果机器人拥有痛觉,这个世界会有哪些不一样? ,,2017年12月28日苹果经典电脑Lisa源代码修复完成将于2018年开源 ,,2017年12月28日腾讯浏览指数发布年终榜单2017年人们都关注哪些AI话题? ,,2017年12月28日除了发现开普勒90,NASA还靠AI做了什么? ,,2017年12月28日柯洁宣布:明年4月,将再次与围棋AI交锋 ,,2017年12月28日百度无人车美国首秀CES将发布Apollo2.0 ,,2017年12月28日这四种技术发展趋势将在2018年改变世界 ,,2017年12月28日2017:谷歌DeepMind团队的年度回顾 ,,2017年12月28日封杀这个公式,AI智商将为零 ,,2017年12月28日微软AI高管:要让所有人、所有机构都用上人工智能 ,,2017年12月28日为什么Linux桌面年一直未到来 ,,2017年12月28日AppleLisa操作系统将开源 ,,2017年12月28日2018年9大技术趋势预测 ,,2017年12月28日谷歌研究院发布NIMA:能评价图像有多美,还能让图像变得更美 ,,2017年12月28日苹果为2019年iPhone开发大容量电池新技术 ,,2017年12月28日谷歌发布Tacotron2:能更简单地训练AI学习演讲 ,,2017年12月21日TensorFlow漏洞爆发背后:关于AI安全我们的傻与天真 ,,2017年12月21日Android端Edge浏览器新版发布:常规性能优化和BUG修复 ,,2017年12月21日三星开发出全球最小的DRAM芯片技术领先优势扩大 ,,2017年12月21日腾讯绝艺AI下一步将学习AlphaGozero自对弈训练 ,,2017年12月21日Facebook社交VR应用Spaces扩大覆盖面:入驻HTCVive ,,2017年12月21日设计图曝光:三星双屏折叠手机原来是这样的 ,,2017年12月21日微信支付和支付宝已成为世界移动支付的"老师" ,,2017年12月21日新专利表明FaceID未来有望装备在iPad、MacBook和iMac等设备 ,,2017年12月21日首批九个建议加入EE4J的项目 ,,2017年12月21日这就是SurfacePhone?微软可折叠手机概念图曝光 ,,2017年12月21日继“Angel”开源后,腾讯又开放TDinsight机器学习平台 ,,2017年12月21日SquareLinearLayout(高等于宽的自适应LinearLayout)【互联网】2014年12月11日Android自定义无下划线ClickableSapn超链接文本样式 【移动开发】2015年06月11日【呆子谈管理】:用顺其自然的方式去做管理 【数据库】2015年01月19日FileZilla-WindowsXP经典软件系列【综合】2015年05月29日设计模式之ObserverPattern 【编程语言】2015年05月25日C++——2828:素数判断【综合】2015年05月25日《程序员的修炼——从优秀到卓越》读书笔记(三)——人员管理和人生经验 【编程语言】2015年01月29日HDU4405Aeroplanechess(概率dp) 【编程语言】2015年03月19日dubbo总结(5)——使用maven构建可执行jar包【架构设计】2015年07月31日1020.TreeTraversals 【移动开发】2015年03月03日【Android】解决HanziToPinyin类在HTCOne等手机上转换拼音失败BUG【移动开发】2015年03月24日【AC自动机+状压dp】hdu4534郑厂长系列故事——新闻净化【编程语言】2015年03月10日GCC5将像LLVM一样模块化 ,,2016年07月24日《Java实战开发经典》第五章5.5 【系统运维】2015年08月26日ESEToolkit:使用Windows的内部高性能数据库构建应用程序 ,,2016年06月23日《数据结构》学习--Hash(2)--SeparateChaining 【编程语言】2015年05月27日《TCPIP详解卷2:实现》笔记--ARP:地址解析协议【移动开发】2014年11月06日Linux编程——Makefile使用 【移动开发】2015年08月24日poj1905(二分查找) 【综合】2015年01月29日万众期待KinectforWindows终于发布了 ,,2016年07月24日1028.ListSorting(25) 【移动开发】2015年06月11日Javasocket多线程 【编程语言】2015年03月24日突破QQ限制每次只能传一个文件的的方法2014年01月29日python程序运行报错IOError:decoderzipnotavailable2014年12月04日hdu1151AirRaid(最小路径覆盖)【移动开发】2015年07月30日dba_indexes视图的性能分析2014年01月29日可以对SSI说,我叫SI!【综合】2014年11月24日JSP实例程序:统计当前在线人数2014年01月28日通过javascript获取iframe里的值示例代码2014年01月29日剑指offer数组中只出现一次的数字【移动开发】2015年05月05日
我们保证
We guarantee
> psd效果文件手工切图,保证图片效果最好体积最小利于传输
> 100%手写的HTML(DIV+CSS)编码,绝对符合W3C标准
> 代码精简、css沉余量小、搜索引擎扫描迅速,网页打开快捷
> 应用Css Sprite能够减少HTTP请求数,提高网页性能
> 跨浏览器兼容(IE6、7、8、9,Firefox火狐,Chrome谷歌)