适合读者:网络管理员、服务器维护员、入侵者
前置知识:Windows基本操作
刘流:最近脚本攻击还是闹得沸沸扬扬,NBSI2的不断升级,新的注入方法和各种系统漏洞的出现,加上LCX又趁乱公布了海洋2005,所以攻击事件是越来越多。最近黑防技术咨询电话是天天叫个不停,中饭时间长期占线。没办法,只好策划了本期的这篇服务器配置文章,重点在现在网管们头大的虚拟主机的安全设置、各种软件的安全设置、完整的权限配置等方面,文章很简明,需要注意的都涉及到了,而且有些自己的看法,希望以后遇到麻烦的网管朋友们少些——当然,我们的电话就少些,毕竟我们得吃饭啊!上帝、佛主一起保佑……
配置安全服务器抵御现阶段流行攻击
文/图 段翔宇
本人的工作是做软件开发,业务爱好研究网络安全,前些日子受朋友所托,为他们安装一台服务器并放在Internet上,要求如下:
6个站点的WWW服务,其中有几个是采用了动易、动网等源代码已经公布的系统建立的;
6个站点,两个需要SQL Server服务;
6个站点,需要各自独立的ftp和mail服务。
安装软件、建立站点很容易,最头痛的是安全问题。网络时代,黑客工具泛滥,稍微肯花前时间和工夫的人,只要善于利用工具,就可以做个小小的“工具黑客”。可惜黑客好找,安全专家难寻,关于网络安全的文章,去网上一搜索都是一鳞半爪,东一榔头西一捶。无奈,我只好自己摸索,著成此文,希望可以帮助大家。
规划
在安装之前,我们要做好仔细的规划,服务器硬件且不管,考虑其它:
1. 采用软件
经考虑使用软件如下:
操作系统采用Windows 2000 Server;
数据库除Access已经支持外,另安装SQL Server 2000;
WWW服务采用Windows 2000 Server自带的IIS服务;
FTP系统采用Serv-U FTP Server;
Mail系统采用Imail;
杀毒软件采用Norton AntiVirus;
防火墙采用Norton Client FireWall;
工具软件包括:WinRar、Jmail、PcanyWhere;
以上软件均采用最新版本。
由于本人没接触过Linux系统,这里就放弃了Linux,可能老手会觉得Linux系统比Windows 2000 更安全,但如果由一个新手来做,我想比用Windows 2000更危险,不能拿别人的服务器冒险。其它的软件尽量采用有品牌有知名度的软件。在杀毒软件上,我犹豫了很久,想采用国产软件,如瑞星、江民,不过最终还是放弃了。杀毒软件、防火墙、远程管理三种软件均采用Symantec有一好处,更新时只需要一次LiveUpdate,三种软件均更新到最新版本。
2. 硬盘分区规划
硬盘分区是一件重要的事,原则是尽量把各服务分别放在不同的分区中,便于管理和维护。经过分析,决定分为C、D、E、F四大分区,均采用NTFS格式。
C区:操作系统及软件安装区;
D区:WWW站点服务区,包括数据库数据文件也存储在此区;
E区:Mail服务区,所有的Mail方面的数据均放在此区;
F区:备份及杂物区,包括服务器驱动程序、各软件的安装程序备份、日常数据的备份均在此区。
3.准备笔记本一只,笔一根,以备记录时用,呵呵。
软件安装
1.安装Windows 2000 Server
这里就不多废话了,按照正常步骤安装,注意几点:
1)安装目录不要选择默认的C:\Winnt,改个其它的名字,譬如C:\wfidkn。
2)由于另选了FTP和Mail服务软件,所以IIS中我们只需要选择WWW服务、Internet管理器、公用文件三项就足够了,
安装完毕后,以Administrator身份登陆,安装服务器驱动。安装各个软件,如果需要设置密码的地方,一定要设置一个复杂密码并用本子记录。至此,各个软件安装完毕,下一步就要进行安全设置,这是最重要的,也是最痛苦的一件事,稍有不慎,就会被黑客钻了空子。
安全配置
1.为了防止病毒入侵,在安装上最新的SP4之前千万不要接入网络中,先手工给Windows 2000 安装上最新的SP4补丁,然后接入网络,设置好本机IP、子网掩码、网关和DNS服务器地址,立刻启动Norton的LiveUpdate,更新病毒库到最新的版本,用杀毒软件挡一挡先。
2.安装Windows补丁(一个漫长的过程),在“开始”菜单上启动Windows Update,按照提示,一步一步的选择,安装。很多补丁是不能同时安装,所以要多次安装,每次安装完毕后,一定要重启,再重新启动Windows Update。很多时候,安装了前一个补丁又会带出一大串补丁要安装,所以一定要检查到Windows Update检查完,不需要安装补丁了,才能停止。
3.安装其它软件的补丁。先看SQL Server 2000,开动IE,直奔微软站点,SQL Server 2000最新的是SP3补丁,下载安装。安装完毕,重启后一定要检查SQL Server 2000是否装上了SP3。具体检查方法如下:开始->程序->Microsoft SQL Server->企业管理器,找到Local,点鼠标右键,选择属性,在“常规”栏中可以看到有一项产品版本,如果打了SP3补丁的会显示SP3字样。
4.再看看其它的软件。Serv-U FTP Server和Imail Server,到其官方站点查看(好象最新的版本都没有补丁)。
5.处理计算机用户与组。在管理工具中选择计算机管理,点“本地用户和组”,给administrator用户改名,鼠标右键选中administrator,选择重命名,自行设置新的登陆名,譬如改为adefyyu,并设置一个复杂的密码。删除掉Guest用户。此时系统中应该只有5个用户,除了administrator、Iuser、Iwam外,另有两个用户分别是SQLDebugger和TsInternetUser。如果还有其它用户,在查看后如果觉得不重要,建议删除。对用户与组做快照,可笔录也可用软件,记录下当前有哪些组,组中有哪些用户。
6.设置磁盘目录访问权限。设置目录访问权限的目的在于即使黑客攻进了某个网站,它也只能在该网站目录范围内活动,不能对其它地方进行读写文件操作。这步很重要,因为服务器要求提供ADO、FSO、JMail和XMLHTTP四个组件服务(第四个应用范围不是很广,但是动易系统要)。鼠标右键选择C盘,属性,找到安全选项,添加Administrator用户或Administrators组,并赋予全部权限控制,删除掉EveryOne(如图1所示)。
(图1:设置目录访问权限)
点选此选项卡中的“高级”按钮,如下图2所示。
(图2:应用权限控制设置)
复选“重置所有子对象的权限并允许传播可继承权限”,点“确定”,将此权限控制应用到C盘下所有的目录,对D、E、F分区重复以上的操作。此时,整个硬盘只归Administrator管了,接下了要给其它用户分配一些权限了,不然别的用户就不能访问网站、上传文件和收发邮件了。
C:\Program Files\Common Files\System下的ado和oledb两个目录;Windows 2000安装目录下的System32、temp和Internet Logs三个目录:在以上目录的安全选项卡中,添加Iuser、Iwam用户的“读取及运行”、“列出文件目录”、“读取”三项权限,如果嫌找这些用户麻烦,可直接添加Everyone,(如图3所示)。
(图3:添加其它用户的访问控制)
D区是WWW服务区,各个站点的目录均要独立设置。添加Iuser、Iwam用户的“完全控制”、“修改”、“读取及运行”、“列出文件目录”、“读取”、“写入”三项权限,以保证站点能正常运行。这样我们的服务器就提供了Ado、FSO、Jmail和XMLHTTP组件功能了,并且其使用范围也做了限制。
7.处理服务。管理工具中,选择“服务“,停止Alerter、Fax Service、Messenger、Remote Access Auto Connection Manager、Remote Registry Service、SQLSERVERAGENT、Task Scheduler、Telnet、Terminal Services、RunAs Service服务并设置为“禁用”。以上服务有些是从安全角度来是禁止的,有的是从服务器效率角度来禁止的。对于其它服务也要谨慎处理,仔细查看每一项服务所对应的执行文件并记录下来,以备将来如果出现问题时进行对照。
8.设置审核策略、本地策略、安全选项。在管理工具中选择“本地安全策略”,打开“本地策略”下的“审核策略”,修改成如图4所示。
(图4:设置本地安全策略)
以上的操作,如果有黑客进行攻击的话,会进行有效的记录。本来还需要进行“用户权利指派”方面的修改的,不过默认情况下已经比较安全了,加上我们又有防火墙,所以不做了。
9.设置Tcp/IP。打开“本地连接”属性,在“此连接使用下列选定的组件”中,只保留“Internet协议(TCP/IP)”一项。再选中“Internet协议(TCP/IP)”,点“属性”按钮,再点“高级”按钮,在“高级TCP/IP设置”对话框下,选择WINS,去掉“启用LMHOSTS查询”前的复选,并选中“禁用TCP/IP上的NetBIOS”,点确定。本来可以在“高级TCP/IP设置”中可以通过“IP安全机制”和“TCP/IP筛选”进行更高层访问安全设置,一来不是特别熟悉,二来已经有了防火墙,所以偷懒一下,等下次熟悉后,再来进行此项设置。
10.处理SQL Server 2000安全问题。在SQL Server 2000安装目录下的\MSSQL\Binn文件夹中,有一个危险的Dll组件,就是xplog70.dll,将它改名或彻底删除,均可。
小提示:去掉了这个组件后,SQL Server 2000中数据库的属性就打不开了。
11.设置www服务。选择管理工具中的Internet服务管理器,先删除掉默认站点,然后选择机器名,鼠标右键,选择“属性”,在“Internet信息服务”栏下,“主属性”选择WWW服务,点其右边的“编辑”按钮,进行站点默认属性的配置。修改以下几处:“主目录”选项卡下,点“配置”按钮,“应用程序映射”选项卡下,除了asp与asa外一律删除;“应用程序选项”选项卡下,有一个“启用父路径”复选框,如果你的站点没有用到“../”这样的东西,可将此复选框去掉;“应用程序调试”选项卡下,“脚本错误消息”选择“发送文本错误消息给客户”。点“确定”按钮保存设置,继续以下操作。“文档”选项卡下,去除不需要的默认文档名,添加新的默认文档名。
12.在设置完站点默认属性后,就可以开始创建站点了,创建的站点均会继承默认属性,不需要再一个一个修改。创建完站点后,可再选择机器名,鼠标右键,选择“备份/还原配置”,进行站点设置信息的备份,以后若有问题,可用此备份文件直接还原,不需要再耗费功夫一个一个设置。设置完之后,可逐个站点浏览一次,以防失误。建议对站点的名称、域名、路径均笔录下来。
13.设置FTP服务和Imail服务。Serv-U网上的教程很多,不再赘述,说明两点。一是在其“常规”设置中,复选“拦截FTP_bounce攻击和FXP”选项,以防不测,其它的各项默认均可。二是对于FTP用户,一律不准给“执行”权限,并且限制其访问目录,并设置配额。
14.Imail网上也有很多教程,也不再多说了。
15.设置Pcanywhere软件,在Pcanywhere中设置一个呼叫者,并对呼叫者设置一个复杂密码,在Windows 2000之外再加一组访问控制。设置完毕后,在另一台机器上测试一下,看是否成功。
16.添加防火墙访问规则。打开Symantec Client FireWall软件,点开客户端防火墙,选择“Internet 访问控制”,选择“添加”按钮,执行以下操作:添加可以访问Internet的软件,主要有以下几个:
dllhost.exe(以备xmlhttp组件访问外部网站)
iexplore.exe
lsass.exe
Imail下的几个执行文件(以备收发邮件)
Serv-U下的几个执行文件
Symantec下的LiveUpdate、awhost32.exe(以备pcanywhere能响应远端的连接)
添加不能访问Internet的软件,主要有以下几个:
sqlmangr.exe
sqlservr.exe(SQL Server 2000的外部连接响应)
刘流:其实我们不用主动添加,只需要进行收发邮件操作、FTP传文件、访问网站等相应的操作,防火墙均会提示我们如何配置其访问规则,不过Awhost32.exe需要手工添加,千万不要忘记。
操作结果如下图所示(如图5所示)。
(图5:添加Internet访问控制)
再选择“配置”按钮,选择“系统范围的设置”,设置访问规则,如下图6所示。
(图6:设置系统访问规则)
点“添加”按钮,出现“添加规则向导”对话框,按照向导一步一步的做即可添加。规则示例如下:
|
操作 |
连接 |
计算机 |
通信 |
跟踪 |
类型 |
说明 |
|
允许Internet访问 |
来自其它计算机的连接 |
所有计算机 |
TCP和UDP 端口是20、21、25、80、110、 |
无 |
用户 |
本机服务FTP、Mail、Web |
|
允许Internet访问 |
来自其它计算机的连接 |
|
TCP和UDP 端口是8181、8383 |
无 |
用户 |
WebMail服务 |
|
禁止Internet访问 |
来自其它计算机的连接 |
所有计算机 |
TCP和UDP 端口是1433、1434、3389 |
无 |
用户 |
禁止访问数据库和终端服务 |
|
… |
|
0% (0)
0% (0)
没有相关信息
|
