最新VPS服务器安全设置教程

整理文档很辛苦,赏杯茶钱您下走!

免费阅读已结束,点击下载阅读编辑剩下 ...

阅读已结束,您可以下载文档离线阅读编辑

资源描述

最新VPS安全设置一、禁止默认共享。方法一:建立一个记事本,填上以下代码。保存为*.bat并加到启动项目中netsharec$/delnetshared$/delnetsharee$/delnetsharef$/delnetshareipc$/delnetshareadmin$/del方法二:修改注册表,(注意修改注册表前一定要先备份一下注册表,备份方法。在运行regedit,选择文件》导出,取个文件名,导出即可,如果修改注册表失败,可以找到导出的注册表文件双击运行即可。)HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters新建“DWORD值”值名为“AutoShareServer”数据值为“0”二、远程桌面连接配置。开始程序管理工具终端服务配置连接选择右侧”RDP-tcp”连接右击属性==权限删除其它用户,只保留system,添加administrator(不是administrators),设置这两个用户(system和administrator)是”完全控制”权限,这样即使服务器被创建了其它的管理员.也无法使用终端服务。三、serv_u安全设置(注意一定要设置管理密码,否则会被提权)打开serv_u,点击“本地服务“,在右边点击”设置/更改密码“,如果没有设置密码,”旧密码为空,填好新密码点击”确定“。四、关闭139、445端口①控制面板网络本地链接属性(这里勾选取消网络文件和打印机共享)tcp/ip协议属性高级WINSNetbios设置==禁用Netbios,即可关闭139端口.②关闭445端口(注意修改注册表前一定要先备份一下注册表,备份方法。在运行regedit,选择文件》导出,取个文件名,导出即可,如果修改注册表失败,可以找到导出的注册表文件双击运行即可。)HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\netBT\Parameters新建“DWORD值”值名为“SMBDeviceEnabled”数据为默认值“0”五、删除不安全组件WScript.Shell、Shell.application这两个组件一般一些ASP木马或一些恶意程序都会使用到。方法:在“运行”里面分别输入以下命令①regsvr32/uwshom.ocx卸载WScript.Shell组件②regsvr32/ushell32.dll卸载Shell.application组件。③regsvr32/u%windir%\system32\Wshext.dll六、设置iis权限。针对每个网站单独建立一个用户。(下面仅是其中一个站点的权限设置,如果vps上有多个站点,其它站点依据本站点分别设置不同的internet来宾用户。)①首先,右击“我的电脑”》管理》本地计算机和组》用户,在右边。右击“新用户”,建立新用户,并设置好密码。如图:例如:本测试添加test为某一网站访问用户。②设置站点文件夹的权限然后,打开internet信息服务管理器。找到相应站点。右击,选择“权限”如图:选择权限后,如下图:删除其它用户,只保留一个超级管理员administrator(可以自己定义,注意不是管理员组administrators)。和系统用户(system),还有添加访问网站的inernet来宾用户。可以点击“添加”将刚才在系统创建的用户(如test)添加里面。然后勾选该用户(test)读取和运行、列出文件夹目录、读取、写入的权限。超级管员(administrator)”完全控制”,系统用户(system)“完全控制”权限。并且选择用户(test)“高级”出现如下图选中“用在些显示的可以应用到子对象的项目替代所有子对象的权限项目”点击“应用”后,等待文件夹权限传递完毕。然后点“确定”。③设置访问用户。右击站点属性==》目录安全性==》编辑,将刚才添加的用户(如test)添加到匿名访问用户。密码和添加用户时密码一致。④设置站点访问权限。右击要设置的站点。属性==》主目录本地路径下面只选中读取记录访问索引资源其它都不要选择。执行权限选择“纯脚本”。不要选择“脚本和可执行文件”。如图所示:其它设置和就是iis站点的一般设置,不再多说。注意:对于ASP.NET程序,则需要设置IIS_WPG组的帐号权限、上传目录的权限设置。这时需要注意,一定要将上传目录的执行权限设为“无”,将文件夹的写入权限选上,这样即使上传了ASP、PHP等脚本程序或者exe程序,也不会在用户浏览器里触发执行,对于纯静态网站(全部是html)将(纯脚本)改成(无)。对于某些程序可能要求everyone有完全控制的权限,可以将网站访问用户(如test用户)对文件夹设置完全控制的权限就行了,并不需要添加everyone来设置完全控制。七、数据库安全设置一定要设置数据库密码。另外。对于sql数据库建议卸载扩展存储过程xp_cmdshellxp_cmdshell是进入操作系统的最佳捷径,是数据库留给操作系统的一个大后门。请把它去掉。使用这个SQL语句:usemasterexecsp_dropextendedproc'xp_cmdshell'如果你需要这个存储过程,请用这个语句也可以恢复过来。第一步执行:EXECsp_addextendedprocxp_cmdshell,@dllname='xplog70.dll'declare@oint第二步执行:sp_addextendedproc'xp_cmdshell','xpsql70.dll'八、防止access数据库被下载在IIS属性——主目录——配置——映射——应用程序扩展那里添加。mdb文件的应用解析。注意这里的选择的DLL不要选择asp.dll,找一个映射里面不使用的dll文件。九、利用防火墙限制端口。对外只打开自己需要的端口,对于vps用户,需要打开网站服务端口80,远程登录端口3389,如果使用的有serv_u等ftp服务软件,需要打开21端口。具体打开端口请参考下面:1、右击网上邻居选择“属性”,===本地连接==属性==高级设置选中”启用”按钮.2、点击“例外”==》添加端口。根据自己需要添加对外的端口。注意在添加的端口前面勾选上3、添加完端口,点击”确定”确定十、防止列出用户组和系统进程如果上传asp木马用户列表可能会被黑客利用,我们应当隐藏起来,方法是:【开始→程序→管理工具→服务】,找到Workstation,停止它,禁用它。十一、安装杀毒软件虽然杀毒软件有时候不能解决问题,但是杀毒软件避免了很多问题,可以查杀部分木马程序。建议安装占用内存资源比较小的杀毒软件,另外,要经常升级软件才有效。本文档由景安互联网数据中心mr.zhang整理。联系QQ:340699407

1 / 7
下载文档,编辑使用

©2015-2020 m.777doc.com 三七文档.

备案号:鲁ICP备2024069028号-1 客服联系 QQ:2149211541

×
保存成功