一般的なWebサーバーのセキュリティ設定のヒント

既定の設定済みサイトの仮想ディレクトリを削除し、既定のWebサイトを停止し、対応するファイルディレクトリc：inetpubを削除し、すべてのサイトの共通設定を設定し、関連する接続制限を設定します。設定やパフォーマンス設定などのその他の設定。アプリケーションマッピングを設定し、不要なアプリケーション拡張をすべて削除し、asp、php、cgi、pl、aspxの各アプリケーション拡張のみを残します。 phpとcgiの場合、isapiを使用して解析することをお勧めします。exe解析はセキュリティとパフォーマンスに影響を与えます。ユーザプログラムのデバッグ設定は、テキストエラーメッセージをユーザに送信します。データベースの場合は、mdbサフィックスを使用し、aspに変更する必要はありません。IISでmdbの拡張マップを設定し、C：WINNTsystem32inetsrvssinc.dllなどの無関係のdllファイルを使用してデータベースがダウンロードされないようにすることができます。 IISログ保存ディレクトリを設定し、ログレコード情報を調整します。テキストエラーメッセージを送信するように設定します。 403エラーページを修正して別のページに切り替え、一部のスキャナによる検出を防ぎます。さらに、システム情報を隠すために、telnetからポート80に漏洩したシステムバージョン情報を修正してIISのバナー情報を修正することができますwinwinを使用して手動で修正することやbannereditなどの関連ソフトウェアを修正することができます。

ユーザーサイトが配置されているディレクトリについては、wwwroot、database、logfilesの3つのファイルにそれぞれ対応するユーザーのFTPルートディレクトリの説明です。サイトファイル、データベースのバックアップ、およびサイトのログです。侵入イベントが発生した場合、ユーザーサイトが存在するディレクトリに特定の権限を設定することができますイメージが存在するディレクトリには列ディレクトリの権限のみが付与されます（htmlを生成するプログラムなど）。仮想ホストには通常、スクリプトのセキュリティを低くする方法がないため、スクリプトから権限をアップグレードするためにmethodユーザーでのみmoreを使用することができます。

ASPセキュリティ設定：

サービスとanti-asp wooden horseの後、次の作業を行う必要があります。cmdウィンドウで次のコマンドを実行します。

regsvr32 /u C：WINNTSystem32wshom.ocx

del C：WINNTSystem32wshom.ocx

regsvr32 /u C：WINNTsystem32shell32.dll

del C：WINNTsystem32shell32.dll

アンインストールWScript.Shell、Shell.application、WScript.Networkコンポーネント、事実上aspトロイの木馬を防ぐwscriptまたはshell.application経由でコマンドを実行し、このトロイの木馬を使用してシステムの機密情報を表示します。別の方法：上記のファイルのユーザーのアクセス許可をキャンセルし、IISを再起動して有効にします。ただし、この方法はお勧めできません。

また、FSOでは、ユーザープログラムを使用する必要があるため、サーバーからコンポーネントからログアウトすることはできませんが、ここではFSO防止についてのみ言及していますが、自動的にスペースを開く仮想マーチャントサーバーでは使用する必要はありません。手動で開いたサイトFSOが必要なサイトとFSOが不要なサイトに2つのグループを設定できますFSOが必要なユーザーグループには、c：winntsystem32scrrun.dllファイルを実行する権限を与えます。サーバーを再起動して有効にします。

上記の権限設定と組み合わせたこのような設定の場合、Haiyangトロイの木馬はここでその役割を失っていることがわかります。

PHPのセキュリティ設定：

phpのデフォルトインストールでは以下の注意が必要です。

C：winntphp.iniはユーザーに読み取り権限を与えるだけです。 php.iniでは、以下の設定を行う必要があります。

Safe_mode = on

register_globals = Off

allow_url_fopen = Off

display_errors = Off

magic_quotes_gpc =オン[デフォルトはオンですが、もう一度確認してください]

open_basedir = Webディレクトリ

disable_functions = exec、shell_exec、system、phpinfo、get_cfg_var、popen、chmod

デフォルト設定のcom.allow_dcom = trueがfalseに変更されます（変更前に前の設定をキャンセルします）。

MySQLのセキュリティ設定：

MySQLデータベースがサーバー上で有効になっている場合、MySQLデータベースが必要です。セキュリティ設定は以下のとおりです。

mysqlのすべてのデフォルトユーザーを削除し、ローカルのrootアカウントをそのまま使用し、rootユーザーに複雑なパスワードを追加します。一般ユーザーにmysqlデータベースを操作する権利がないようにするために、一般ユーザーにupdatedeleteretreatedrop権限を与え、特定のデータベースに制限します。 mysql.userテーブルを確認し、不要なユーザーのshutdown_priv、relo

ad_priv、process_priv、File_privの許可を取り消してくださいmysql以外の情報など、より多くのサーバー情報が漏洩する可能性があります。 mysqlの起動ユーザーを設定することができます。これにはmysqlディレクトリに対するパーミッションしかありません。インストールディレクトリのデータデータベースのパーミッションを設定します（このディレクトリはmysqlデータベースのデータ情報を格納します）。 mysqlインストールディレクトリの場合は、読み取り、列ディレクトリの追加、およびユーザーへの実行権限を追加します。

Serv-uのセキュリティ問題：

最新バージョンのインストーラを使用し、デフォルトのインストールディレクトリを使用しないようにし、serv-uディレクトリの権限を設定し、複雑な管理者パスワードを設定してください。 serv-uのバナー情報を変更し、ローカルサーバーの設定で関連するセキュリティ設定を行うようにパッシブモードのポート範囲（4001〜4003）を設定します。匿名パスワードを確認し、タイムアウト防止スケジュールを無効にし、「FTPバウンス」攻撃とFXPを傍受します。 30秒に3回以上接続したユーザーは10分のインターセプトを行います。ドメイン内の設定は次のとおりです。複雑なパスワードを要求し、ディレクトリでは小文字のみを使用し、[詳細]設定ではMDTMコマンドを使用してファイルを変更できる日付を取り消します。

serv-uの起動ユーザーを変更します。システムに新しいユーザーを作成し、複雑なパスワードを設定します。どのグループにも属していません。ユーザーにservuインストールディレクトリのフルコントロールを与えます。 FTPルートディレクトリを確立するには、このユーザにディレクトリのフルコントロールを与える必要があります。これは、すべてのftpユーザがファイルをアップロード、削除、および変更することをユーザが継承しているためです。さらに、ディレクトリの上の上位ディレクトリの読み取り権限をユーザーに付与する必要があります。そうしないと、530未ログイン、ホームディレクトリは存在しません。たとえば、テスト時には、ftpルートディレクトリはd：softです。 dディスク上の他のフォルダの継承されたアクセス許可を安全に取り消すために、ユーザーの読み取りアクセス許可。通常、システムにはこれらのアクセス許可があるため、既定のシステム起動を使用しても問題はありません。