本文以建立一個站點521school.cn爲例,跟大家共同探討Apache虛擬主機配置問題。
一、建立Windows用戶
爲每個網站單獨設置windows用戶帳號cert,刪除帳號的User組,將cert加入Guest用戶組。將用戶不能更改密碼,密碼永不過期兩個選項選上。
二、設置文件夾權限
1、設置非站點相關目錄權限
Windows安裝好後,很多目錄和文件默認是everyone可以瀏覽、查看、運行甚至是可以修改 的。這給服務器安全帶來極大的隱患。這裏列出在入侵中較常用的目錄。
C:\;D:\;……
C:\perl
C:\temp\
C:\Mysql\
c:\php\
C:\autorun.inf
C:\Documents and setting\
C:\Documents and Settings\All Users\「開始」菜單\程序\
C:\Documents and Settings\All Users\「開始」菜單\程序\啓動
C:\Documents and Settings\All Users\Documents\
C:\Documents and Settings\All Users\Application Data\Symantec\
C:\Documents and Settings\All Users\Application Data\Symantec\pcAnywhere
C:\WINNT\system32\config\
C:\winnt\system32\inetsrv\data\
C:\WINDOWS\system32\inetsrv\data\
C:\Program Files\
C:\Program Files\Serv-U\
c:\Program Files\KV2004\
c:\Program Files\Rising\RAV
C:\Program Files\RealServer\
C:\Program Files\Microsoft SQL server\
C:\Program Files\Java Web Start\
以上這些目錄或文件的權限應該作適當的限制。如取消Guests用戶的查看、修改和執行等權限。
2、設置站點相關目錄權限:
A、設置站點根目錄權限:將剛剛建立的用戶cert給對應站點文件夾,假設爲D:\cert設置相應的權限:Adiministrators組爲完全控制;cert有讀取及運行、列出文件夾目錄、讀取,取消其它所有權限。
B、設置可更新文件權限:經過第1步站點根目錄文件夾權限的設置後,Guest用戶已經沒有修改站點文件夾中任何內容的權限了。這顯然對於一個有更新的站點是不夠的。這時就需要對單獨的需更新的文件進行權限設置。當然這個可能對虛擬主機提供商來說有些不方便。客戶的站點的需更新的文件內容之類的可能都不一樣。這時,可以規定某個文件夾可寫、可改。如有些虛擬主機提供商就規定,站點根目錄中uploads爲web可上傳文件夾,data或者database爲數據庫文件夾。這樣虛擬主機服務商就可以爲客戶定製這兩個文件夾的權限。當然也可以像有些做的比較好的虛擬主機提供商一樣,給客戶做一個程序,讓客戶自己設定。可能要做到這樣,服務商又得花不小的錢財和人力哦。
三、配置IIS
本文就幾個特殊之處或需要注意的地方提出以下建議。
1、主目錄權限設置:這裏可以設置讀取就行了。寫入、目錄瀏覽等都可以不要,最關鍵的就是目錄瀏覽了。除非特殊情況,否則應該關閉,不然將會暴露很多重要的信息。這將爲黑客入侵帶來方便。其餘保留默認就可以了。
2、應用程序配置:在站點屬性中,主目錄這一項中還有一個配置選項,點擊進入。在應用程序映射選項中可以看到,默認有許多應用程序映射。將需要的保留,不需要的全部都刪除。在入侵過程中,很多程序可能限制了asp,php等文件上傳,但並不對cer,asa等文件進行限制,如果未將對應的應用程序映射刪除,則可以將asp的後綴名改爲cer或者asa後進行上傳,木馬將可以正常被解析。這也往往被管理員忽視。另外添加一個應用程序擴展名映射,可執行文件可以任意選擇,後綴名爲.mdb。這是爲了防止後綴名爲mdb的用戶數據庫被下載。
3、目錄安全性設置:在站點屬性中選擇目錄安全性,點擊匿名訪問和驗證控制,選擇允許匿名訪問,點擊編輯。如下圖所示。刪除默認用戶,瀏覽選擇對應於前面爲cert網站設定的用戶,並輸入密碼。可以選中允許IIS控制密碼。這樣設定的目的是爲了防止一些像站長助手、海洋等木馬的跨目錄跨站點瀏覽,可以有效阻止這類的跨目錄跨站入侵。
4、可寫目錄執行權限設置:關閉所有可寫目錄的執行權限。由於程序方面的漏洞,目前非常流行上傳一些網頁木馬,絕大部分都是用web進行上傳的。由於不可寫的目錄木馬不能進行上傳,如果關閉了可寫目錄的執行權限,那麼上傳的木馬將不能正常運行。可以有效防止這類形式web入侵。
5、處理運行錯誤:這裏有兩種方法,一是關閉錯誤回顯。IIS屬性――主目錄――配置――應用程序調試――腳本錯誤消息,選擇發送文本錯誤信息給客戶。二是定製錯誤頁面。在IIS屬性――自定義錯誤信息,在http錯誤信息中雙擊需要定製的錯誤頁面,將彈出錯誤映射屬性設置框。消息類型有默認值、URL和文件三種,可以根據情況自行定製。這樣一方面可以隱藏一些錯誤信息,另外一方面也可以使錯誤顯示更加友好。
四、配置FTP
Ftp是絕大部分虛擬主機提供商必備的一項服務。用戶的站內文件大部分都是使用ftp進行上傳的。目前使用的最多的ftp服務器非Serv-U莫屬了。這裏有幾點需要說明一下。
1、管理員密碼必須更改
如果入侵愛好者們肯定對Serv-U提權再熟悉莫過了。這些提權工具使用的就是Serv-U默認的管理員的帳號和密碼運行的。因爲Serv-U管理員是以超級管理員的身份運行的。如果沒有更改管理員密碼,這些工具使用起來就再好用不過了。如果更改了密碼,那這些工具要想正常運行,那就沒那麼簡單嘍。得先破解管理員密碼才行。
2、更改安裝目錄權限
Serv-U的默認安裝目錄都是everyone可以瀏覽甚至可以修改的。安裝的時候如果選擇將用戶信息存儲在ini文件中,則可以在ServUDaemon.ini得到用戶的所有信息。如果Guests有修改權限,那麼黑客就可以順利建立具有超級權限的用戶。這可不是一件好事。所以在安裝好Serv-U之後,得修改相應的文件夾權限,可以取消Guests用戶的相應權限。
五、命令行相關操作處理
1、禁止guests用戶執行com.exe:我們可以通過以下命令取消guests執行com.exe的權限
cacls C:\WINNT\system3\Cmd.exe /e /d guests。
2、禁用Wscript.Shell組件:
Wscript.Shell可以調用系統內核運行DOS基本命令。可以通過修改註冊表,將此組件改名,來防止此類木馬的危害。HKEY_CLASSES_ROOT\Wscript.Shell\ 及HKEY_CLASSES_ROOT\Wscript.Shell.1\改名爲其它的名字。將兩項clsid的值也改一下HKEY_CLASSES_ROOT\Wscript.Shell\CLSID\項目的值和HKEY_CLASSES_ROOT\Wscript.Shell.1\CLSID\項目的值,也可以將其刪除。
3、禁用Shell.Application組件
Shell.Application也可以調用系統內核運行DOS基本命令。可以通過修改註冊表,將此組件改名,來防止此類木馬的危害。HKEY_CLASSES_ROOT\Shell.Application\ 及HKEY_CLASSES_ROOT\Shell.Application.1\ 改名爲其它的名字。將HKEY_CLASSES_ROOT\Shell.Application\CLSID\項目的值HKEY_CLASSES_ROOT\Shell.Application\CLSID\項目的值更改或刪除。同時,禁止Guest用戶使用shell32.dll來防止調用此組件。使用命令:cacls C:\WINNT\system32\shell32.dll /e /d guests
4、FileSystemObject組件
FileSystemObject可以對文件進行常規操作可以通過修改註冊表,將此組件改名,來防止此類木馬的危害。對應註冊表項爲HKEY_CLASSES_ROOT\scripting.FileSystemObject\。可以禁止guests用戶使用或直接將其刪除。考慮到很多的上傳都會使用到這個組件,爲了方便,這裏不建議更改或刪除。
5、禁止telnet登陸
在C:\WINNT\system32目錄下有個login.cmd文件,將其用記事本打開,在文件末尾另取一行,加入exit保存。這樣用戶在登陸telnet時,便會立即自動退出。
注:以上修改註冊表操作均需要重新啓動WEB服務後纔會生效。
六、關閉文件共享
系統默認是啓用了文件共享功能的。我們應給予取消。在控制面板――網絡和撥號連接――本地連接――屬性,在常規選項種,取消Microsoft 網絡文件和打印共享。服務最少原則是保障安全的一項重要原則。非必要的服務應該給予關閉。系統服務可以在控制面板――管理工具――服務中進行設定。
七、端口設置
端口窗體底端就是門,這個比喻非常形象。如果我們服務器的所有端口都開放的話,那就意味着黑客有好多門可以進行入侵。所以我個人覺得,關閉未使用的端口是一件重要的事情。在控制面板――網絡與撥號連接――本地連接――屬性――Internet協議(TCP/IP)屬性,點擊高級,進入高級TCP/IP設置,選擇選項,在可選的設置中選擇TCP/IP篩選,啓用TCP/IP篩選。添加需要的端口,如21、80等,關閉其餘的所有未使用的端口。
八、關注安全動態及時更新漏洞補丁
更新漏洞補丁對於一個網絡管理員來說是非常重要的。更新補丁,可以進一步保證系統的安全。
九、關閉非必要服務
類似telnet服務、遠程註冊表操作等服務應給予禁用。同時儘可能安裝最少的軟件。這可以避免一些由軟件漏洞帶來的安全問題。有些網管在服務器上安裝QQ,利用服務器掛QQ,這種做法是極度錯誤的。