《2022年新服务器配置方法 2.pdf》由会员分享,可在线阅读,更多相关《2022年新服务器配置方法 2.pdf(5页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、服务器配置 (以后发现再补充 ) 一、 Windows 配置方面1、禁用 IPC$(Reg 已经实现)HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa中的 restrictanonymous 子键,将其值改为1 即可禁用 IPC 连接。2、清空远程可访问的注册表路径(组策略gpedit.msc)打开组策略编辑器,依次展开“ 计算机配置 Windows 设置 安全设置 本地策略 安全选项 ” ,在右侧窗口中找到“ 网络访问:可远程访问的注册表路径” ,然后在打开的窗口中,将可远程访问的注册表路径和子路径内容全部设置为空即可3、修改管理员帐号和
2、创建陷阱帐号打开 “ 本地安全设置 ” 对话框,依次展开“ 本地策略 ”“安全选项 ” ,在右边窗格中有一个“ 账户:重命名系统管理员账户” 的策略,双击打开它,给 Administrator 重新设置一个平淡的用户名,当然,请不要使用Admin 之类的名字,改了等于没改,尽量把它伪装成普通用户,比如改成: guestone 。然后新建一个名称为Administrator 的陷阱帐号 “ 受限制用户 ” ,把它的权限设置成最低,什么事也干不了的那种,并且加上一个超过10 位的超级复杂密码。这样可以让那些Scripts s 忙上一段时间了,并且可以借此发现它们的入侵企图。或者在它的login s
3、cripts 上面做点手脚。4、关闭自动播放功能自动播放功能不仅对光驱起作用,而且对其它驱动器也起作用,这样很容易被黑客利用来执行黑客程序。打开组策略编辑器,依次展开“ 计算机配置 管理模板 系统 ” ,在右侧窗口中找到“ 关闭自动播放 ” 选项并双击,在打开的对话框中选择“ 已启用 ” ,然后在 “ 关闭自动播放 ” 后面的下拉菜单中选择“ 所有驱动器 ” ,按“ 确定 ” 即可生效。5、防御 FTP 服务器被匿名探测信息(Windows 安全配置 .reg)下的 DWORD 值TunOffAnonymousBlock为 1,即可防御FTP 服务器被匿名探测信息。6、关闭如下端口(端口关闭工
4、具.bat)TCP 端口 135,137, 139,445,593,3306,1025,2745,6129,23,1433 UDP 端口 135,137,139,445,593,3306 7、小流量 DDOS 攻击解决办法(Windows 安全配置 .reg)Windows Registry Editor Version 5.00 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - -
5、- - - - - 第 1 页,共 5 页 - - - - - - - - - SynAttackProtect=dword:00000002 TcpMaxHalfOpen=dword:000001f4 TcpMaxHalfOpenRetried=dword:00000190 8、删除共享(分两步实现)1、新建删除共享 .bat 内容:echo off net share C$ /del net share D$ /del net share E$ /del net share F$ /del net share admin$ /del 2、把该文件添加到开始菜单 -启动 里面9、要卸载 II
6、S,因为我们用的apache 10、删除所有磁盘和program files 目录的其它用户权限,只留下administrators 和 system 11、禁止启动服务器共享(已实现)禁止系统自动启动服务器共享HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameters 新建 DWORD值 值名为AutoShareServer 数据值为 0 12、打开 C:Windows 搜索net.exe;cmd.exe;tftp.exe;netstat.exe;regedit.exe;at.exe;attrib.exe;c
7、acls.exe; regsvr32.exe;xcopy.exe;wscript.exe;cscript.exe;ftp.exe;telnet.exe;arp.exe;edlin.exe; ping.exe;route.exe;finger.exe;posix.exe;rsh.exe;atsvc.exe;qbasic.exe;runonce.exe;syskey.exe 修改权限,删除所有的用户只保存Administrators 和 SYSTEM为所有权限二、 Apache安全配置方面1、php.ini 禁用函数修改 PHP.ini 文件disable_functions = phpinfo,
8、system,exec,shell_exec,passthru,proc_open,proc_close,proc_get_status,checkdnsrr,getmxrr,getservbyname,getservbyport,syslog,popen,show_source,highlight_file,dl,socket_listen,socket_create,socket_bind,socket_accept,socket_connect,stream_socket_server,stream_socket_accept,stream_socket_client,ftp_conne
9、ct,ftp_login,ftp_pasv,ftp_get,sys_getloadavg,disk_total_space,disk_free_space,posix_ctermid,posix_get_last_error,posix_getcwd,posix_getegid,posix_geteuid,posix_getgid,posix_getgrgid,posix_getgrnam,posix_getgroups,posix_getlogin,posix_getpgid,posix_getpgrp,posix_getpid,posix_getppid,posix_getpwnam,po
10、six_getpwuid,posix_getrlimit,posix_getsid,posix_getuid,posix_isatty,posix_kill,posix_mkfifo,posix_setegid,posix_seteuid,posix_setgid,posix_setpgid,posix_setsid,posix_setuid,posix_strerror,posix_times,posix_ttyname,posix_uname 2、创建 apache小用户 (配合文件夹权限目录,很好很安全 )名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - -
11、- - - - - - - - 名师精心整理 - - - - - - - 第 2 页,共 5 页 - - - - - - - - - 用户名: apache 密码:123apache 1、创建一个新的账户apache 在计算机管理里的本地用户和组里面创建一个帐户,例如:apache ,密码设置为123apache,加入 guests组(如果出现问题,可以赋予user 权限)2、打开 开始 -管理工具 -本地安全策略,在用户权限分配中选择“ 作为服务登陆 ” ,添加 apache用户3、计算机管理里面选择服务,找到APMServ-Apache ,先停止服务,右击-属性,选择登陆,把单选框从本地系
12、统帐户切换到此帐户,然后查找选择 apache ,输入密码apacheuser ,然后点确定4、赋予 apache安装目录(比如: D:APMServ5.2.6 )以及 web 目录(比如 E: wwwroot )apache帐号的【可读】 权限,去除各磁盘根目录除administror 与 system 以外的所有权限, 赋予 apache安装目录所在的磁盘根目录apache帐户的可读取列目录权限5、避免通过网页上传文件(这样可以避免网页上传文件-一般情况下这步不要做) D:APMServ5.2.6tmpuploadtemp 目录不能有写入权限,只给个读取的权限就可以了6、复制字体文件,便于
13、【文字转图片调用】把 C:WINDOWSFontssimhei.ttf 复制到D:APMServ5.2.6tmpuploadtemp 7、D:APMServ5.2.6 要有完全控制权限11、D:APMServ5.2.6MySQL5.1data 目录要有完全控制权限(数据库目录, 最好能独立到apache目录外边来 ) 12、php.ini 中指定的 PHP 临时上传目录和session保存目录,并给予目录apache完 全控制权限,例如: upload_tmp_dir = D:/wwwroot/Tmp/uploadtmp/ (为了避免通过网页上传文件,可以去除写入权限,一般来说还是开起来的)s
14、ession.save_path = D:/wwwroot/Tmp/sessiontmp/ (该步骤是必须的)13、给予 D:/php 目录读取与运行的权限14、给予 zend 安装目录读取与运行的权限15、所有的输入法都要删除掉,只留下一个智能 ABC 或 搜狗(避免输入法漏洞入侵)名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 3 页,共 5 页 - - - - - - - - - 16、MYSQL 1、去除root 用户的【文件】权限2、新建小用户数据库账号: mysql_we
15、b_user 数据库密码: AcpkX!chw0Nzak 17、删除 apache 目录下的 phpinfo.php 和 phpadmin 文件夹二、 FTP Serv-U 相关配置1、设置管理员密码a!hJNee#Hz&AL&w 3、Serv-U 目录权限(总的来说,就是没有写入权限)a、读取b、运行c、列出文件夹三、禁用函数列表PHP disable_functions = phpinfo,system,exec,shell_exec,passthru,proc_open,proc_close,proc_get_status,checkdnsrr,getmxrr,getservbyname
16、,getservbyport,syslog,popen,show_source,highlight_file,dl,socket_listen,socket_create,socket_bind,socket_accept,socket_connect,stream_socket_server,stream_socket_accept,stream_socket_client,ftp_connect,ftp_login,ftp_pasv,ftp_get,sys_getloadavg,disk_total_space,disk_free_space,posix_ctermid,posix_get
17、_last_error,posix_getcwd,posix_getegid,posix_geteuid,posix_getgid,posix_getgrgid,posix_getgrnam,posix_getgroups,posix_getlogin,posix_getpgid,posix_getpgrp,posix_getpid,posix_getppid,posix_getpwnam,posix_getpwuid,posix_getrlimit,posix_getsid,posix_getuid,posix_isatty,posix_kill,posix_mkfifo,posix_set
18、egid,posix_seteuid,posix_setgid,posix_setpgid,posix_setsid,posix_setuid,posix_strerror,posix_times,posix_ttyname,posix_uname 四、 dede操作2、special 文件夹,如果不需要专题也可以删掉3、删除install 目录4、如果不需要会员模块,删除member 目录删除 dede目录中如下文件删除文件include/dialog/login.php 强大的无需后台登陆文件include/dialog/select_soft.php 强大的无需后台上传新建文件inclu
19、de/dialog/select_images.php 强大的无需后台上传新建文件名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 4 页,共 5 页 - - - - - - - - - include/dialog/select_media.php 强大的无需后台上传新建文件include/dialog/select_templets.php 强大的无需后台上传新建文件plus/infosearch.php 删除 存在漏洞的文件company/search.php 删除 存在漏洞的文件名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 5 页,共 5 页 - - - - - - - - -