の実践的なスキルは、既定の確立されたサイトの仮想ディレクトリを削除し、既定のWebサイトを停止し、対応するファイルディレクトリc:inetpubを削除し、すべてのサイトの公開設定を構成し、関連する接続制限を設定します。パフォーマンス設定などの他の設定。アプリケーションマッピングを設定し、不要なアプリケーション拡張子をすべて削除し、asp、php、cgi、pl、aspxの各アプリケーション拡張子のみを残します。 phpとcgiの場合、isapiを使用して解析することをお勧めします。exe解析はセキュリティとパフォーマンスに影響を与えます。ユーザプログラムのデバッグ設定は、テキストエラーメッセージをユーザに送信します。データベースの場合は、mdbサフィックスを使用し、aspに変更する必要はありません。IISでmdbの拡張マップを設定できます。データベースがダウンロードされないようにC:WINNTsystem32inetsrvssinc.dllなどの無関係のdllファイルを使用します。 IISログ保存ディレクトリを設定し、ログレコード情報を調整します。テキストエラーメッセージを送信するように設定します。 403エラーページを修正して別のページに切り替え、一部のスキャナで検出されないようにします。さらに、システム情報を隠すために、telnetからポート80に漏洩したシステムバージョン情報を修正してIISのバナー情報を修正することができますwinwinを使用して手動で修正することやbannereditなどの関連ソフトウェアを修正することができます。
ユーザーサイトのあるディレクトリについては、wwwroot、database、logfilesの3つのファイルにそれぞれ対応するユーザーのFTPルートディレクトリの説明です。サイトファイル、データベースのバックアップ、およびサイトのログが格納されています。侵入イベントが発生した場合、ユーザーサイトがあるディレクトリに特定の権限を設定できますイメージがあるディレクトリには列ディレクトリの権限のみが与えられますプログラムがあるディレクトリにファイルを生成する必要がない場合(htmlを生成するプログラムなど)、書き込み権限はありません。それは通常仮想ホストなのでスクリプトセキュリティを貧弱にする方法がないので、スクリプトからの権限を強化するためにmethodユーザーでのみmoreを使用することができます。
ASPセキュリティ設定:
権限とサービスを設定した後、aspを防ぐトロイの木馬はまた、以下を実行する必要があります。cmdウィンドウで以下のコマンドを実行してください。
regsvr32 /u C:WINNTSystem32wshom.ocx
del C:WINNTSystem32wshom.ocx
regsvr32 /u C:WINNTsystem32shell32.dll
del C :WINNTsystem32shell32.dll
WScript.Shell、Shell.application、WScript.Networkコンポーネントをアンインストールし、aspトロイの木馬がwscriptまたはshell.applicationを介してコマンドを実行し、システム機密情報を表示するためにトロイの木馬を使用することを効果的に防止します。別の方法:上記のファイルのユーザーのアクセス許可をキャンセルし、IISを再起動して有効にします。ただし、この方法はお勧めできません。
また、FSOでは、ユーザープログラムを使用する必要があるため、サーバーからコンポーネントからログアウトすることはできませんが、ここではFSO防止についてのみ説明しますが、自動的にスペースを開く仮想マーチャントサーバーでは使用する必要はありません。サイトFSOを必要とするサイトとFSOを必要としないサイトに2つのグループを設定できますFSOが必要なユーザーグループには、c:winntsystem32scrrun.dllファイルを実行する権限を与えます。サーバーを再起動して有効にします。
上記の権限設定と組み合わせたこのような設定の場合、Haiyangトロイの木馬はここでその役割を失っていることがわかります!
PHPセキュリティ設定:
phpのデフォルトインストールは以下の注意を必要とします。
C:winntphp.iniはユーザーに読み取り権限を与えるだけです。 php.iniでは、以下の設定を行う必要があります。
Safe_mode = on
register_globals = Off
allow_url_fopen = Off
display_errors = Off
magic_quotes_gpc = On [デフォルトはオンですが、もう一度確認してください]
open_basedir = webディレクトリ
disable_functions = passthru、exec、shell_exec、system、phpinfo、get_cfg_var、popen、chmod
デフォルトの設定com.allow_dcom = trueはfalseに変更されます[変更する前に前の設定を取り消します]。 MySQLのセキュリティ設定
:あなたは、サーバー上のMySQLデータベースを有効にした場合、
、MySQLデータベースは、セキュリティ設定に注意を払う必要があります。
のためにのみローカルのrootアカウントを残して、デフォルトのユーザーのmysqlのすべてを削除しますrootユーザーが複雑なパスワードを追加します。通常のユーザーにupdatedeleまたはcreate-drop権限を与え、特に通常の顧客がmysqlデータベースを操作する権利を持たないようにするために、特定のデータベースに制限します。 mysql.userテーブルを確認し、不要なユーザーのshutdown_priv、キャンセルad_priv、process_priv、File_priv権限を取り消してくださいmysql.user以外の情報を含むより多くのサーバー情報が漏洩する可能性があります。 mysqlの起動ユーザーを設定することができます。これには、mysqlディレクトリに対するパーミッションしかありません。インストールディレクトリのデータデータベースのパーミッションを設定します(このディレクトリはmysqlデータベースのデータ情報を格納します)。 mysqlインストールディレクトリの場合は、読み取り、列ディレクトリの追加、およびユーザーへの実行権限の追加を行います。
Serv-uのセキュリティ問題:
インストーラは最新バージョンを使用しようとし、デフォルトのインストールディレクトリを避け、serv-uディレクトリのパーミッションを設定し、そして複雑な管理者パスワードを設定します。 serv-uのバナー情報を変更し、パッシブモードのポート範囲(4001 - 4003)をローカルサーバー設定で適切なセキュリティ設定にします(匿名パスワードの確認、タイムアウト防止スケジュールの無効化、FTPバウンス攻撃の遮断、FXPなど)。 30秒に3回以上接続したユーザーの場合は、10分間のインターセプトがあります。ドメイン内の設定は次のとおりです。複雑なパスワードを要求し、ディレクトリは小文字のみを使用し、[詳細設定]はMDTMコマンドを使用してファイルを変更できる日付を取り消します。
serv-uの起動ユーザーを変更します。システムに新しいユーザーを作成し、複雑なパスワードを設定します。どのグループにも属していません。ユーザーにservuインストールディレクトリのフルコントロールを与えます。 FTPルートディレクトリを確立するには、このユーザにディレクトリのフルコントロールを与える必要があります。これは、すべてのftpユーザがファイルをアップロード、削除、変更することをユーザが継承しているためです。さらに、ディレクトリの上の上位ディレクトリの読み取り権限をユーザーに付与する必要があります。そうしないと、表示されません530ログインしていない、ホームディレクトリが存在しない、などテストの場合、ftpルートディレクトリはd:softです。 dディスク上の他のフォルダの継承されたアクセス許可を安全に取り消すために、ユーザーの読み取りアクセス許可。一般的に、デフォルトのシステム起動を使用する場合、そのような問題はありません。システムは通常これらの許可を持っているからです。