1、服务器安全设置之--硬盘权限篇
这里着重谈需要的权限,也就是最终文件夹或硬盘需要的权限,可以防御各种木马入侵,提权攻击,跨站攻击等。本实例经过多次试验,安全性能很好,服务器基本没有被木马威胁的担忧了。
硬盘或文件夹: C:\ D:\ E:\ F:\ 类推
主要权限部分:
Administrators 完全控制 无
该文件夹,子文件夹及文件
<不是继承的>
CREATOR OWNER 完全控制
只有子文件夹及文件
<不是继承的>
SYSTEM 完全控制
该文件夹,子文件夹及文件
<不是继承的>
其他权限部分:
如果安装了其他运行环境,比如PHP等,则根据PHP的环境功能要求来设置硬盘权限,一般是安装目录加上users读取运行权限就足够了,比如c:\php的话,就在根目录权限继承的情况下加上users读取运行权限,需要写入数据的比如tmp文件夹,则把users的写删权限加上,运行权限不要,然后把虚拟主机用户的读权限拒绝即可。如果是mysql的话,用一个独立用户运行MYSQL会更安全,下面会有介绍。如果是winwebmail,则最好建立独立的应用程序池和独立IIS用户,然后整个安装目录有users用户的读/运行/写/权限,IIS用户则相同,这个IIS用户就只用在winwebmail的WEB访问中,其他IIS站点切勿使用
硬盘设置需要根据你的实际需要来设置权限!
2、服务器安全设置之--系统服务篇(设置完毕需要重新启动)
*除非特殊情况非开不可,下列系统服务要停止并禁用:
1、Alerter 2、Application Layer Gateway Service 3、
Background Intelligent Transfer Service
4、Computer Browser 5、Distributed File System 6、Help and Support 7、Messenger 8、NetMeeting Remote Desktop Sharing 9、Print Spooler 10、Remote Registry 11、Task Scheduler 12、TCP/IP NetBIOS Helper 13、Telnet 14、Workstation 以上是windows2003server标准服务当中需要停止的服务,作为IIS网络服务器,以上服务务必要停止,如果需要SSL证书服务,则设置方法不同。如果你装有虚拟主机系统,设置当然也不一样!更详细设置可以根据自己的需要找更详细的参考资料。
3、服务器安全设置之--组件安全设置篇 (非常重要!!!)
A、卸载WScript.Shell 和 Shell.application 组件,将下面的代码保存为一个.BAT文件执行(分2000和2003系统)
win2000
regsvr32/u C:\WINNT\System32\wshom.ocx
del C:\WINNT\System32\wshom.ocx
regsvr32/u C:\WINNT\system32\shell32.dll
del C:\WINNT\system32\shell32.dll
win2003
regsvr32/u C:\WINDOWS\System32\wshom.ocx
del C:\WINDOWS\System32\wshom.ocx
regsvr32/u C:\WINDOWS\system32\shell32.dll
del C:\WINDOWS\system32\shell32.dll
B、改名不安全组件,需要注意的是组件的名称和Clsid都要改,并且要改彻底了,不要照抄,要自己改
【开始→运行→regedit→回车】打开注册表编辑器
然后【编辑→查找→填写Shell.application→查找下一个】
用这个方法能找到两个注册表项:
{13709620-C279-11CE-A49E-444553540000} 和 Shell.application 。
第一步:为了确保万无一失,把这两个注册表项导出来,保存为xxxx.reg 文件。
第二步:比如我们想做这样的更改
13709620-C279-11CE-A49E-444553540000 改名为 13709620-C279-11CE-A49E-444553540001
Shell.application 改名为 Shell.application_nohack
第三步:那么,就把刚才导出的.reg文件里的内容按上面的对应关系替换掉,然后把修改好的.reg文件导入到注册表中(双击即可),导入了改名后的注册表项之后,别忘记了删除原有的那两个项目。这里需要注意一点,Clsid中只能是十个数字和ABCDEF六个字母。
其实,只要把对应注册表项导出来备份,然后直接改键名就可以了。
WScript.Shell 和 Shell.application 组件是 脚本入侵过程中,提升权限的重要环节,这两个组件的卸载和修改对应注册键名,可以很大程度的提高虚拟主机的脚本安全性能,一般来说,ASP和php类脚本提升权限的功能是无法实现了,再加上一些系统服务、硬盘访问权限、端口过滤、本地安全策略的设置,虚拟主机因该说,安全性能有非常大的提高,黑客入侵的可能性是非常低了。注销了Shell组件之后,侵入者运行提升工具的可能性就很小了,但是prel等别的脚本语言也有shell能力,为防万一,还是设置一下为好。下面是另外一种设置,大同小异。
一、禁止使用FileSystemObject组件
FileSystemObject可以对文件进行常规 *** 作,可以通过修改注册表,将此组件改名,来防止此类木马的危害。
HKEY_CLASSES_ROOT\Scripting.FileSystemObject\
改名为其它的名字,如:改为 FileSystemObject_ChangeName
自己以后调用的时候使用这个就可以正常调用此组件了
也要将clsid值也改一下
HKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\项目的值
也可以将其删除,来防止此类木马的危害。
2000注销此组件命令:RegSrv32 /u C:\WINNT\SYSTEM\scrrun.dll
2003注销此组件命令:RegSrv32 /u C:\WINDOWS\SYSTEM\scrrun.dll
如何禁止Guest用户使用scrrun.dll来防止调用此组件?
使用这个命令:cacls C:\WINNT\system32\scrrun.dll /e /d guests
二、禁止使用WScript.Shell组件
WScript.Shell可以调用系统内核运行DOS基本命令
可以通过修改注册表,将此组件改名,来防止此类木马的危害。
HKEY_CLASSES_ROOT\WScript.Shell\及HKEY_CLASSES_ROOT\WScript.Shell.1\
改名为其它的名字,如:改为WScript.Shell_ChangeName 或 WScript.Shell.1_ChangeName
自己以后调用的时候使用这个就可以正常调用此组件了
也要将clsid值也改一下
HKEY_CLASSES_ROOT\WScript.Shell\CLSID\项目的值
HKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\项目的值
也可以将其删除,来防止此类木马的危害。
三、禁止使用Shell.Application组件
Shell.Application可以调用系统内核运行DOS基本命令
可以通过修改注册表,将此组件改名,来防止此类木马的危害。
HKEY_CLASSES_ROOT\Shell.Application\
及
HKEY_CLASSES_ROOT\Shell.Application.1\
改名为其它的名字,如:改为Shell.Application_ChangeName 或 Shell.Application.1_ChangeName
自己以后调用的时候使用这个就可以正常调用此组件了
也要将clsid值也改一下
HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值
HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值
也可以将其删除,来防止此类木马的危害。
禁止Guest用户使用shell32.dll来防止调用此组件。
2000使用命令:cacls C:\WINNT\system32\shell32.dll /e /d guests
2003使用命令:cacls C:\WINDOWS\system32\shell32.dll /e /d guests
注: *** 作均需要重新启动WEB服务后才会生效。
四、调用Cmd.exe
禁用Guests组用户调用cmd.exe
2000使用命令:cacls C:\WINNT\system32\Cmd.exe /e /d guests
2003使用命令:cacls C:\WINDOWS\system32\Cmd.exe /e /d guests
通过以上四步的设置基本可以防范目前比较流行的几种木马,但最有效的办法还是通过综合安全设置,将服务器、程序安全都达到一定标准,才可能将安全等级设置较高,防范更多非法入侵。
C、防止Serv-U权限提升 (适用于 Serv-U6.0 以前版本,之后可以直接设置密码)
先停掉Serv-U服务
用Ultraedit打开ServUDaemon.exe
查找 Ascii:LocalAdministrator 和 #l@$ak#.lk0@P
修改成等长度的其它字符就可以了,ServUAdmin.exe也一样处理。
另外注意设置Serv-U所在的文件夹的权限,不要让IIS匿名用户有读取的权限,否则人家下走你修改过的文件,照样可以分析出你的管理员名和密码。
4、服务器安全设置之--IIS用户设置方法
不同站点使用不用的IIS用户。另外权限的设置要细致。
5、服务器安全设置之--服务器安全和性能配置
把下面文本保存为: windows2000-2003服务器安全和性能注册表自动配置文件.reg 运行即可。[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoRecentDocsMenu"=hex:01,00,00,00
"NoRecentDocsHistory"=hex:01,00,00,00
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"DontDisplayLastUserName"="1"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"restrictanonymous"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\Parameters]
"AutoShareServer"=dword:00000000
"AutoShareWks"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
"EnableICMPRedirect"=dword:00000000
"KeepAliveTime"=dword:000927c0
"SynAttackProtect"=dword:00000002
"TcpMaxHalfOpen"=dword:000001f4
"TcpMaxHalfOpenRetried"=dword:00000190
"TcpMaxConnectResponseRetransmissions"=dword:00000001
"TcpMaxDataRetransmissions"=dword:00000003
"TCPMaxPortsExhausted"=dword:00000005
"DisableIPSourceRouting"=dword:00000002
"TcpTimedWaitDelay"=dword:0000001e
"TcpNumConnections"=dword:00004e20
"EnablePMTUDiscovery"=dword:00000000
"NoNameReleaseOnDemand"=dword:00000001
"EnableDeadGWDetect"=dword:00000000
"PerformRouterDiscovery"=dword:00000000
"EnableICMPRedirects"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters]
"BacklogIncrement"=dword:00000005
"MaxConnBackLog"=dword:000007d0
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AFD\Parameters]
"EnableDynamicBacklog"=dword:00000001
"MinimumDynamicBacklog"=dword:00000014
"MaximumDynamicBacklog"=dword:00007530
"DynamicBacklogGrowthDelta"=dword:0000000a
功能:可抵御DDOS攻击2-3万包,提高服务器TCP-IP整体安全性能(效果等于软件防火墙,节约了系统资源)
6、服务器安全设置之--IP安全策略 (仅仅列出需要屏蔽或阻止的端口或协议)
协议 IP协议端口 源地址 目标地址 描述 方式
ICMP -- -- -- ICMP 阻止
UDP 135 任何IP地址 我的IP地址 135-UDP 阻止
UDP 136 任何IP地址 我的IP地址 136-UDP 阻止
UDP 137 任何IP地址 我的IP地址 137-UDP 阻止
UDP 138 任何IP地址 我的IP地址 138-UDP 阻止
UDP 139 任何IP地址 我的IP地址 139-UDP 阻止
TCP 445 任何IP地址-从任意端口 我的IP地址-445 445-TCP 阻止
UDP 445 任何IP地址-从任意端口 我的IP地址-445 445-UDP 阻止
UDP 69 任何IP地址-从任意端口 我的IP地址-69 69-入 阻止
UDP 69 我的IP地址-69 任何IP地址-任意端口 69-出 阻止
TCP 4444 任何IP地址-从任意端口 我的IP地址-4444 4444-TCP 阻止
TCP 1026 我的IP地址-1026 任何IP地址-任意端口 灰鸽子-1026 阻止
TCP 1027 我的IP地址-1027 任何IP地址-任意端口 灰鸽子-1027 阻止
TCP 1028 我的IP地址-1028 任何IP地址-任意端口 灰鸽子-1028 阻止
UDP 1026 我的IP地址-1026 任何IP地址-任意端口 灰鸽子-1026 阻止
UDP 1027 我的IP地址-1027 任何IP地址-任意端口 灰鸽子-1027 阻止
UDP 1028 我的IP地址-1028 任何IP地址-任意端口 灰鸽子-1028 阻止
TCP 21 我的IP地址-从任意端口 任何IP地址-到21端口 阻止tftp出站 阻止
TCP 99 我的IP地址-99 任何IP地址-任意端口 阻止99shell 阻止
以上是IP安全策略里的设置,可以根据实际情况,增加或删除端口
7、服务器安全设置之--本地安全策略设置
安全策略自动更新命令:GPUpdate /force (应用组策略自动生效不需重新启动)
开始菜单—>管理工具—>本地安全策略
A、本地策略——>审核策略
审核策略更改 成功 失败
审核登录事件 成功 失败
审核对象访问 失败
审核过程跟踪 无审核
审核目录服务访问 失败
审核特权使用 失败
审核系统事件 成功 失败
审核账户登录事件 成功 失败
审核账户管理 成功 失败
B、本地策略——>用户权限分配
关闭系统:只有Administrators组、其它全部删除。
通过终端服务拒绝登陆:加入Guests、User组
通过终端服务允许登陆:只加入Administrators组,其他全部删除
C、本地策略——>安全选项
交互式登陆:不显示上次的用户名 启用
网络访问:不允许SAM帐户和共享的匿名枚举 启用
网络访问:不允许为网络身份验证储存凭证 启用
网络访问:可匿名访问的共享 全部删除
网络访问:可匿名访问的命 全部删除
网络访问:可远程访问的注册表路径 全部删除
网络访问:可远程访问的注册表路径和子路径 全部删除
帐户:重命名来宾帐户 重命名一个帐户
帐户:重命名系统管理员帐户 重命名一个帐户
还有很多设置!你可以多找找资料!
你的情况和我以前很像(一年前吧),不过你考了np,我没有,我多学了rhce。我也是从13年开始接触的,时间也不是很长,也没有说成为了高手,只是我们情况很相近,所以谈谈我自己的学习方法,看看有没有你可以借鉴的地方。
你已经在安全公司工作了,看了一下,你是做安全服务,而你想做渗透测试,那么你可以这么做。
你可以下载一些渗透视频来看,别觉得那很丢脸!然后,可以过一下owasp top10,还有一些渗透测试平台,下载下来,试着去做做。再配合一些书籍,道哥的和余弦的。再接着,你可以去各大论坛看看文章,比如tools,90,fb,乌云,360等等,在这些地方,会有很多知识让你学。尤其是乌云上的,案例非常多,而且大多数都是很短的时间就能学会的。再之后要拔高,肯定是需要一门语言为依托的,建议你从python入手,然后去推特上关注大牛,他们经常分享有用的新的知识点,英语不行就补。
对于学网络出身的,大部分要是做安全的话,都只做安全服务,确实很沉闷。
还有人说我们网络出身的很有优势,我到目前为止都没看出来优势在哪里。
共勉,同是网络人。。。。
织梦cms(dedecms)是否开源:是
版本更新频率:一般 最新更新版本为5.7
安全性能:差 (织梦经常被爆出各种BUG 笔者也遇到过很多dede网站的网被挂马等信息)
模板:非常多!
是否适合二次开发:一般 允许function功能扩展
系统功能:会员系统 留言 论坛扩展 广告 采集 过滤 会员点券 自动获取关键词 下载 Ajax技术结核性差
特点点评:总体来说这个cms还是大众比较能接受的一款cms 模板众多 功能上比较适合一般的开发使用 模板保存在空间内 也是静态生成 支持自定义模型 专题等 缺点就是BUG比较多 浏览版 搜索存在注入等BUG 生成速度也比较可观
帝国cms (EmpireCMS)
是否开源:是
版本更新频率:高 最新版本 7.2
安全性能:高 (来源HASH验证+认证码+证书认证+随时验证码+三道md5等)
模板:一般 帝国cms模板流传模板比较少
是否适合二次开发:一般
系统功能:
下载系统、音乐系统、商城系统、产品库、分类信息、会员系统、视频播放、手机端、广告 下载点券 留言反馈自定义 多线程(节点)采集
特点点评:这个cms的安全性是有目共睹的,来源认证的方式笔者十分认可 而且模板文件都是保存至数据库 静态生成 支持多浏览端 手机模板 多语言版开发比较适合 比较蛋疼的是 帝国cms后台 太乱了而且不适合新手入门 标签模板也比较复杂点 适合开发不错帝国官方给了很多自定义的插件 字段 结合项 以及万能会员接口等,无限分表 制作关于我们联
系方式等单页需要信息绑定栏目 动态文件不支持一些标签模板。商城功能太垃圾
Phpcms ( 本人研究时间不多,部分功能还没用过,简单评论)
是否开源:是
版本更新频率:一般 最新版本V9
安全性能:一般
模板:一般少于帝国cms
是否适合二次开发:一般 开发模板还行 功能开发 勉强
系统功能:新闻、图片、下载、信息、产品、会员、问吧、订单、财务、专题、全站搜索、广告、自定义表单、个人空间、短消息、邮件订阅、评论、Digg、心情指数、问卷调查、留言本、友情链接、WAP等
特点评论:内容模型、会员模型、问吧、订单、财务等20多个功能模块组成这个比较爽 适合做一些资讯站点 支持在后台完全可视化添加、预览和编辑,自动缓存php页面,一定程度上,减轻了服务器压力,官方服务性比较差 BBS里面的官方回复爱理不理的静态不怎么样;速度比较慢 对SEO不合适
齐博cms
是否开源:是
版本更新频率:一般 V7
安全性能:一般 我都叫他齐软 ·勃··起有问题
模板:还行相对于dede比较少
是否适合二次开发 不适合
系统功能:分类信息系统、电子商务系统、新闻媒体系统、图片系统、下载系统、视频系统、知道系统、黄页系统、博客系统、考试系统、企业系统
特点评论:建站做企业站 用这个的很少 不能说没有 大部分都是用这个做一些行业资讯的站的比较多 也是静态生成 唯一不一样的是支持拖拽布局 有种QQ空间装饰的感觉 安全性一般 乌云网已经爆过N多BUG 听说最近正在开发微信模板 比较期待
Php 168 cms(国威cms)
是否开源:是
版本更新频率 一般
安全性能:一般
模板多少:未知
是否适合二次开发:未知
系统功能:提供多套方案:站群系统、政府方案、企业内网方案、企业外网方案等。提供在线办事、视频、文章、下载、图片等系统模块。提供问答系统、表单系统、商城等系统模块。提供手机群发、邮件群发、站内群发等相关功能。提供留言本、售后模块、投诉建议等功能。提供通讯录、邮箱、万年历、计数器等功能模块。
特点评论:安全性还说得过去 本人用的比较少 企业站很少 主要是做 学校 ZF 内外网 以及站群为主的 系统可一键安装、一键卸载、一键暂停 这个不错所有 *** 作均不需要进入后台,前台即可 *** 作不知道是好是坏 支持动态标签、静态标签、标签后缀内置的即时通讯插件 不错可以尝试
Discuz
是否开源:是
版本更新频率:高 x3.2
安全性能:一般
模板多少:多堪比dede cms
是否适合二次开发:是
系统功能:应用中心、站长管理、分类信息、群组、门户、论坛、评论、等等
特点点评:
Discuz 我比较认可的一个cms 用它做企业站有点大材小用。先说下数据库数据结构更经过精心的设计,从字段到表的分配、索引的构建,都经过缜密的考虑,这个不错!点个赞!
其次BBS 门户 功能也不错 二次开发比较容易上手 支持diy 制作 而且后台支持随时换模板 很多开发者能自己进入 出售自己的模板 还有uc的设置接口 海量插件 支持手机版 微信登陆支付等 我现在用它搞微信平台 做的不错!缺点是很多注册机让人很蛋疼 金币论坛功能也不错 让很多站长发了家!
Destoon cms
是否开源 是
版本更新频率 高 5.0
安全性能:未知
模板多少:一般
是否适合二次开发:是
系统功能:会员、公司、商城、求购、供应、行情、人才、专题、图库、文章、分站、广告、排名、WAP、公告
特点点评:
做供求网站的不二选择,内置了非常强大的模板模型。简直就是阿里旺旺的整站源码 静态生成 会员注册 开店 求购供应 行业新闻投稿审核等信息 我比较看重 2个地方 是分站和排名
Ecshop cms
是否开源:是
版本更新频率:慢 V2.7.3
安全性能:高
模板多少:多
是否适合二次开发:是
系统功能以及点评:网店系统,功能非常全面,不仅有强大的商品筛选功能和灵活的促销功能; 还可以对商品的参数进行编辑,包括货号、品牌、单位、类别、库存、价格、成本价、积分、图片、详细描述等等,而且发货单还可以跟踪和批量打印,商家和顾客都可以跟踪物流情况;每个页面都能针对性的标题、关键字便于SEO搜索引擎收录 模板后缀并非htm 后台比帝国cms还有蛋疼 主要是适合个人开店 并非平台 平台详细参考shopex cms就不多做shopex cms的介绍了
thinkphp
是否开源:是
版本更新频率:一般 3.2.3
安全性能:高
模板多少:无
系统功能:无
点评: 这个或许不能叫它cms 应该叫他框架比较合适、MVC结构的开源PHP框架 比较适合 程序员做功能网站当然也可以自己写成cms 直接调用即可 底层架构、兼容处理、基类库、数据库访问层、模板引擎、缓存机制、插件机制、角色认证、表单处理等常用的组件,并且对于跨版本、跨平台和跨数据库移植都比较方便。AJAX支持 静态页面生成和多元化缓存机制 也是不错!适合程序员的一款框架
wordpress cms
是否开源:是
版本更新频率:一般 5.3.1
安全性能:高
模板多少:多
系统功能:主要是以博客为主
系统点评:有许多第三方开发的免费模板,安装方式简单易用 和dz差不多、 功能强大,插件众多,易于扩充功能、主要适合用于博客系统 我曾经见过一个网络公司用这个做企业站!没法技术大能就是任性!不多说了
-------------------------------写在最后
关于开源 我想说闭关锁国早晚会死 无论哪个公司或者是 CMS
其次 关于安全性 没有最安全的系统 记录是人创造的也是人打破的
关于系统功能 总体来说分3种 一般的企业 行业资讯 一种是B2B等 一种就是网店等
关于点评:只是我个人的意见 和见解 不足请指正!不喜勿愤
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)