Win2000の仮想ホストの基本権限設定

スクリプト侵入についての記事では、インターネットはすでに洪水です。オリジナルはたくさんありますが、盗作もたくさんあります。多くの人々http://whois.webhosting.infoは、IPのすべてのドメイン名を照会してから、ハッカーに対してサーバーへのスクリプトの脆弱性を見つけます。未発表の脆弱性、私にはわかりませんので、私を攻撃するためにそれを使用しないでください。ここで私は、より安全なwin2000仮想ホストのパーミッション設定方法は単なるパーミッション設定だと思います。

仮想ホストソフトウェアと環境

1.Serv-U5.0.11（安全ではないようですが、必ずしもそうとは限りません）

2.Mysqlデータベース

3.Mssqlデータベース

4.PcAnyWhereリモートコントロール

5.ウイルス対策ソフトウェア、通常はNorton 8.0を使用します。

6.php5

7 .ActivePerl5.8

上記の様々なソフトウェアは、Mssqlデータベースに加えて、他はインストールするための推奨バージョンをダウンロードするために公式のウェブサイトに行くべきです。以下は、システムのインストールから始まるインストールの設定です。システムがWindows 2000 Advanced Server Editionとともにインストールされているとすると、システムはcドライブ、dドライブ、eドライブにすべてntfs形式で分割されています。
II。システムポート設定

仮想ホスト、一般的には制御用にPcanyWhereおよびターミナルサービスを使用し、ポートを変更するためのターミナルサービス、たとえば8735ポートに変更します。開きたいサービスに基づいてTCP /IPフィルタリングを設定します。ローカルセキュリティポリシーを使用しないのはなぜですか。個人的には、TCP /IPスクリーニングは、明示的に許可されていない限り拒否され、明示的に拒否されていない限りローカルセキュリティポリシーが許可されているため、厳密と見なされます。正しく理解できない場合は、アドバイスしてください。 TCPポートは21、80、5631、8735、10001、10002、10003、10004、10005のみを許可し、IPプロトコルは6のみ許可し、UDPポートは詳細なテストを行っていません。私はそれについて話さないで、そして後でそれをテストするつもりです。 TCP /IPポートの10001-10005はServ-UのPASVモードを設定するのに使用されるポートですが、もちろん他のものも使用できます。

ローカル接続のプロパティで、インターネットプロトコル（TCP /IP）のみを残して他のすべてのプロトコルをアンインストールします管理者アカウントを複雑な名前に変更し、ローカルセキュリティポリシーで設定します。アカウントにログインし、アカウントのロックアウトに対して適切な設定を行います。その後、コンピュータを再起動すると、この手順の設定は完了です。

III。システム権限設定

今すぐソフトウェアをインストールします。すべてのソフトウェアはdドライブにインストールされ、eドライブはデータのバックアップに使用されます。最初にServ-Uをd：\\ Serv-Uにインストールし、Hanhuaをクラックする方法でインストールしてください。次に、dドライブに順番に取り付けます。今すぐ権限の設定を開始します。まず第一に、全員の中のCディスク、DディスクとEディスクのセキュリティを削除し、名前を変更した管理者とシステムを追加し、それらを完全に制御させます。 Advancedはすべての子オブジェクトの権限をリセットし、継承可能な権限の伝播を許可します。このように、システム内のすべてのファイル、ディレクトリはすべて名前が変更された管理者およびシステムによって制御され、上位ディレクトリの権限は自動的に継承され、対応する権限は以下の各ディレクトリに設定されます。

aspを実行している場合は、C：\\ Program Files \\ Common Filesディレクトリの下のファイルを使用してデータベース接続を確立する必要があります。ここでは、C：\\ Program Files \\ Common Filesのアクセス許可、全員の参加、読み取りの許可、フォルダディレクトリの一覧表示、読み取りと実行を設定します。高度なタグを使用してより厳密な設定を行うこともできますが、これまでに行ったことはないので、あえて無意味に話すことはしません。

phpを実行するには、全員が読み取り権限を持つことができるようにc：\\ winnt \\ php.iniの権限を設定する必要があります。 phpのセッションディレクトリがc：\\ winnt \\ tempに設定されている場合、このディレクトリは全員が読み書きできるようにする必要があります。パフォーマンスを向上させるために、phpはisapi解析を使用するように設定されています。d：\\ phpディレクトリは、全員が読み取り、フォルダディレクトリの一覧表示、アクセス許可の読み取りと実行を許可されています。 php.iniの設定に関しては、ここでは説明しません。第一に、私はあまりよく理解していません、第二に、私はシステム権限の設定について話すだけです。

cgiを実行し、全員に読み取り、フォルダディレクトリの一覧表示、読み取りおよび実行権限の設定を行うようにd：\\ perlを設定します。ちなみに、cgiはセキュリティとパフォーマンスを解析するためにisapiを使うように設定されています。

さて、大きなServ-Uの設定について話しましょう。これは本当に強力ですが、セキュリティはそれほど良くはありません。変換する必要があります。最初のものはオーバーフロー攻撃です、5.0.11はそのような欠陥がないようです。二つ目はini設定ファイルを修正することです、ここで修正する権限はありません、スキップしてください。私の知る限りでは、これを行う唯一の方法は、デフォルトの管理者アカウントとパスワードを使用して、このトロイの木馬を実行するための書き込み実行権限を持つアカウントを追加することです。デフォルトのアカウントパスワードを変更した後は、editplusなどのエディタを使用してServUDaemon.exeとServUAdmin.exeを直接編集することで、このことを変更できます。あなたが悩みに怠惰すぎるなら、どんな言語でもプログラムを書くのは簡単です。私は以前にそのようなことを書いたことがあるので、自分で設定することができます。 Serv-Uでは基本的に問題はありません。

データベースはパーミッションが設定されていないため、dディスクのルートディレクトリを直接継承します。アカウントのパスワードを設定する方法については、私は言うのが面倒です。

最後のポイントは、c：\\ winnt \\ system32ディレクトリとその下のいくつかを設定することです。ここではダイナミックリンクライブラリを必要とするプログラムが多数あり、ファイルが多すぎるため、c：\\ winnt \\ system32というディレクトリに全員に読み取り、フォルダディレクトリを一覧表示して読み取り、実行します。 。実際、そうするのは安全ではありませんが、パニックにならないでください。まだ終わっていません。このディレクトリの下で、いくつかの特別なプログラムのために別々の設定をする必要もあります。最初のものはcacls.exeです、ちょっと、これを設定して、そして何か他のものを言いましょう。私たちは一般的にこの鳥のものを使用しないので、このものはアクセス権を設定するために使用され、親ディレクトリのアクセス権を継承せず、誰にもアクセスを拒否させます。 net.exe、cmd.exe、ftp.exe、tftp.exe、telnet.exeこれらのプログラムは、名前を変更した管理者のみにアクセスを許可するように設定されています。

では、考えてみましょう。これは今日の空き時間に書かれていますが、後で追加します。

補足：管理者以外のグループがwinntディレクトリにアクセスしてからwinntから呼び出されるファイルにアクセスすることを禁止し、読み取りパスを指定します。