《2022年服务器安全设置(七).docx》由会员分享,可在线阅读,更多相关《2022年服务器安全设置(七).docx(3页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、2022年服务器安全设置(七)说明:对于WWW服务,可以拒绝一些对站点有攻击嫌疑的地址;尤其对于FTP服务,假如只是自己公司上传文件,就可以只允许本公司的IP访问改FTP服务,这样,平安性大为提高。18.禁止对FTP服务的匿名访问说明:假如允许对FTP服务做匿名访问,该匿名帐户就有可能被利用来获得更多的信息,以致对系统造成危害。19.建议运用W3C扩充日志文件格式,每天记录客户IP地址,用户名,服务器端口,方法,URI字根,HTTP状态,用户代理,而且每天均要审查日志。(最好不要运用缺省的书目,建议更换一个记日志的路径,同时设置日志的访问权限,只允许管理员和system为Full Contro
2、l)说明:作为一个重要措施,既可以发觉攻击的迹象,实行预防措施,也可以作为受攻击的一个证据。20.慎重设置WEB站点书目的访问权限,一般状况下,不要赐予书目以写入和允许书目阅读权限。只赐予.ASP文件书目以脚本的权限,而不要给与执行权限。说明:书目访问权限必需慎重设置,否则会被黑客利用。21.ASP编程平安:平安不仅是网管的事,编程人员也必需在某些平安细微环节上留意,养成良好的平安习惯,否则,会给黑客造成可乘之机。目前,大多数网站上的ASP程序有这样那样的平安漏洞,但假如写程序的时候留意的话,还是可以避开的。涉及用户名与口令的程序最好封装在服务器端,尽量少的在ASP文件里出现,涉及到与数据库连
3、接地用户名与口令应赐予最小的权限。说明:用户名与口令,往往是黑客们最感爱好的东西,假如被通过某种方式看到源代码,后果是严峻的。因此要尽量削减它们在ASP文件中的出现次数。出现次数多得用户名与口令可以写在一个位置比较隐藏的包含文件中。假如涉及到与数据库连接,志向状态下只给它以执行存储过程的权限,千万不要干脆赐予该用户以修改、插入、删除记录的权限。须要经过验证的ASP页面,可跟踪上一个页面的文件名,只有从面转进来的会话才能读取这个页面。说明:现在的须要经过验证的ASP程序多是在页面头部加一个推断语句,但这还不够,有可能被黑客绕过验证干脆进入,因此有必要跟踪上一个页面。详细漏洞见所附漏洞文档。防止ASP主页.inc文件泄露问题当存在asp 的主页正在制作并没有进行最终调试完成以前,可以被某些搜寻引擎机动追加为搜寻对象,假如这时候有人利用搜寻引擎对这些网页进行查找,会得到有关文件的定位,并能在阅读器中察看到数据库地点和结构的细微环节揭示完整的源代码。