【3.A.S.T】网络安全爱好者 - Powered by Discuz! Board

标题: [原创文章] Web服务器的安全设置 [打印本页]

作者: saitojie 时间: 2008-11-3 19:58 标题: Web服务器的安全设置

原创作者：阿呆&柔肠寸断  [3.A.S.T]% D" `# [! D$ L0 e+ e5 w
信息来源：3.A.S.T网络安全团队  （ www.3ast.com.cn  ）' w( J. Y$ ?& v: G4 R" Y5 P
该文章已经发表在《黑客X档案》09第三期，转载请说明出处

引入：& _! \1 K. y8 s3 m9 A
又有段时间没发帖子了，记得小柔曾经发过相应的帖子，如果记得没错，小柔的帖子的主要部分是针对代码部分的，而今天我所说的Web服务器安全是从安全设置出发的，所以即使你不会代码，我相信按照我的方法也能做到相应的安全。

攻击：
1、旁注& k" ?3 L3 |0 c( x% ?
如今在网络上对于网站的攻击，我们经常听到一个名词——旁注。那么旁注到底是个什么意思呢？顾名思意就是说我们要攻击一个网站或者一台服务器，在正面交锋中，我们无法将其拿下，那么我们就从旁边试图突破，然后再转到目标上来将其拿下；举个形象点的例子就是说，我们要进入一间房子，发现正门进不去，我们会怎么进去？有些人肯定会马上说翻窗户，对了，这里的翻窗户实际上就是我们的旁注的意思。我这样说大家应该理解了吧！1 [: u' }6 D' e$ W

2、上传漏洞& y9 e7 k/ t& \6 ?0 V
在现在对于网站的攻击方法非常多，这里提到的上传漏洞也是其中一种，其实际意思就是说网站代码有漏洞，我们可以通过直接上传或者通过修改上传数据包的方式来将我们的ASP木马上传到服务器，从而得到webshell。至于是如何操作的，网络上相关的教程比比皆是，我在这就不浪费文字了。9 }9 u  [; P: n
- d: \" x3 e' b
思考：
不管你是如何得到别人的webshell的，只要你得到了webshell了，下面面临的最大问题就是获取服务器的admin权限，当然关于如何提权，也不是我今天要讲的内容，我们要思考的是，如何是防止别人提权及怎样通过BT的安全设置来妨碍那些所谓的“黑客”！

分析：
网站被入侵一般情况都是网站代码的问题，如果说你不会代码，又想要保障该网站的安全，那是有点困难的，但是想要保障服务器的安全，除开代码部分我们还是有方法的，下面我将从几个方面给大家说说一台虚拟主机应该如何来配置，从而可以使我们的服务器安全。7 }% h( @" P5 ^6 j6 k) q
& o% H4 @+ P$ ]) Y5 H! r
实战：3 k8 M. K6 H* y  k8 u/ y
1、整体权限的把握

想要做权限那么先要保证你的磁盘的文件系统为NTFS，这里我强烈建议那些想架设网站的和已经是ISP的人员这么做，因为这能够大大的提高服务器的安全性，附上FAT/FAT32转NTFS的命令：

convert 盘符 /fs:ntfs /x

复制代码

整体的权限我个人的习惯是这样的，再次说明这只是我的个人习惯，我会将每个磁盘的权限设置为只有administrators跟system完全控制的权限，其他的任何组，任何用户，我都不再给权限，如下图：
[attach]711[/attach]/ |( {; F4 d/ Q1 r
system与上面的一样，所以我只放出一章图！
! q. e( t1 z6 D$ D- X2 ~
注意：我上面只放出一张图，并不是说只有C盘这样设置，是每个分区都要这样设置。

到此我们的整体权限可以说是基本完成，当然后面肯定还有需要更改的地方，大家慢慢看，等会就知道了！
: n8 S: w: q6 h, X; F# N$ ?4 P
) \2 z5 n( ~: ~! X4 d8 _8 [" n5 h/ B) g+ A* ]; a# D) Z" K
2、默认站点的删除+ k0 A% P. C% c) S

[attach]710[/attach]

为什么要删除，相信大家都能够想明白，原因是因为，你知道默认站点的路径黑客也是知道的，所以没必要给黑客任何机会，所以毫不犹豫的删除吧！
- ?3 y. [3 i9 Y3 [
( |+ x4 H% G9 s# o! _) E4 f
3、建立整体目录

这只是为了方便自己日后管理。' {6 B$ G) H6 W# h
比方说，我会将我要架设的站点全部放置在某一个分区的Web文件夹内，以后自己看见了，就知道，这个文件夹是自己专门用来放网站的，这个里面全部都是服务器上的网站。图略，步骤略。/ r' f3 r9 N) `( `
/ ]! j# Y3 W. h Z
4、单一的站点单一的用户) i: i J; g* [, x5 j2 c

这是什么意思呢？且听我慢慢道来！
所谓单一的站点单一的用户，这个方法是针对那些做虚拟主机的服务商而言的，试想一下，如果所有站点都是使用的同一个用户（IUSR_机器名），那黑客拿下一个站点的权限，岂不是整个虚拟主机上的站点都被人拿到了，那损失就大了，具体的设置方法如下：

a、首先建立一个guests组的用户，比方说站点为aaa那么我们就建立一个aaa的用户，密码也为aaa（这是为了方便自己日后管理，免得站点多了，密码忘记了），将这个用户从users组删除并且加入到guests组，相关命令如下：

net user aaa aaa /add
net localgroup users aaa /del
net localgroup guests aaa /add

复制代码

b、然后将上面建立的用户分别应用到IIS与根目录上，步骤如图：, `) N4 O% p. G
[attach]713[/attach]) n% r$ Q: B& m1 g$ s" W
从上图可知aaa用户对于aaa站点的更目录拥有权限，权限的分配如上图，这个步骤是对于站点目录而言。

下图是对IIS的设置，右键点击aaa站点，选择【属性】-【目录安全性】-【身份验证和访问控制】-【编辑】
将aaa用户填写进去。
[attach]714[/attach]9 c# g. w+ n# o: u+ R$ I
至此，单一站点单一用户设置完成，至于这样设置之后为什么我们访问站点不会要求我们输入用户名的问题，由于时间关系这里我不做解释，大家先依葫芦画瓢的按我的步骤做吧！1 |& ^9 M& y" M7 J
& V; W: \, e. e  j5 z0 d% ~- l# O& S; @
特别注意：我这里只说明了aaa站点跟aaa用户的设置，如果有bbb站点，那么你就应该建立一个bbb用户，然后按照上面的操作，将上面的aaa全部换成bbb即可。6 ~2 I3 x5 R3 Y- e# [
# G4 d/ c7 ^$ a3 M
设置到这里，服务器的安全其实也就马马虎虎了，至少一个站点被入侵，其他的站点是不会有事情的。

5、防止上传漏洞的IIS设置

插入几句话：我们知道一个好的站点，肯定是需要上传功能的，也正是因为这个原因导致很多网站被入侵，那么对于上传文件夹我们应该如何处理呢！下面我将假设aaa站点内存在一个专门用来存放用户上传文件的文件夹“uploadfiles”，然后对其进行设置，以下设置在IIS内完成，如下图：, ~# U. t% ^1 o
[attach]715[/attach]2 |' @3 |% Z' {  T4 D  \5 w6 u
在IIS中找到这个文件夹右键点击-【属性】-【目录】-【执行权限】，将原来的【纯脚本】改为【无】
为什么要这样设置呢？原因是因为，我们知道用户上传的文件要么是一些exe文件，要么是一些图片或者一些rar文件，而这些文件是绝对不会存在需要IIS解释的脚本的，也就是说这些文件根本不需要解释，可以被我们直接浏览，那我们为什么还给它一个执行权限为【纯脚本】让黑客有机可乘呢，改为【无】之后，用户上传文件，即使是ASP木马，用户也浏览不了了，这不是很好么！" o7 `9 J/ c  b( c' n" ?
+ }" D3 t' E3 ~( `0 S1 i
6、删除IIS中不必要的关联! L8 y: @) U% j* @/ ]& V

在IIS中，不管你是什么站点，是ASP的也好，是PHP的也好，实际上都是需要一个解释器对相应的ASP脚本语言、PHP脚本语言进行解释的，我们用户通过IE浏览到的页面，其实都是IIS解释之后的结果，就我个人熟识的，一个站点，我还没看见有几种脚本语言的，所以当你知道这个原理之后，我就问一下，如果我们的站点只是一个ASP的站点，我们有必要让我们的站点上面还存在PHP的解释器吗？答案就不言而喻了！操作步骤如下图：

[attach]716[/attach]5 K# o7 u0 Q. `* c, s! P

在鼠标右键点击该站点选择属性-【主目录】-【配置】-【映射】-【应用程序扩展】，将里面不需要的全部删除，如上图所示！) e- h, ]1 E- z) O- g5 ?5 h/ N) F
这种操作之后，就可以防止黑客上传一些后缀为asa，cer的木马来得到webshell了！

7、防止数据库下载: j& U, W4 Y5 `; v7 P
. Y- _( }7 P4 W( W  z
我们知道网站最核心的东西就是它的数据库，很多黑客就围绕着数据库不知道下了多少心事，因为黑客知道，只要能把网站的数据库下载下来，目的差不多完成了一大半，那么我们应该如何来防止数据库下载呢？下面教给大家一个终极办法，从上一个步骤的说明大家可以知道，用户通过IE浏览网页都是浏览的IIS解释之后的结果，那么，我们可以添加一个无用的关联，使这个关联来解释我们的mdb文件，这个时候，黑客就无法来下载我们站点的数据库了，即使下载下来，也不用怕，因为那数据库已经是个乱七八糟的数据库了，为什么这么说，举个例子，我们有一篇英文文章，结果你找来一个德语翻译来翻译，最后的东西你能看明白吗？自己慢慢去体会吧！操作如下图：) a. Y$ U' W* P# ?5 E$ r& m% {
[attach]717[/attach]
按照上一个步骤的方法打开上图的地方之后点击【添加】，然后为.mdb创建一个新的关联，上面的【可执行文件】随便找一个.dll的文件就可以了！但是记住，千万不要选择asp.dll文件就可以了，原因，哎哟，一句两句解释不清楚，呵呵，反正记住我的忠告吧！呵呵！

8、对站点的文件夹的权限灵活设置（新手慎用）% o8 x% \  e" t, H; U7 G3 [
4 w+ _* g! ?. l( t" n
这一步骤，我就不截图了，因为我怕，有人看了图不看我写的！我只给大家一个思路，比如你对你的站点非常属性，知道哪些目录是需要写权限，哪些目录是不需要写权限的，那么你就根据自己的思路，自由设置，如果不熟悉这个步骤可以省略！因为上面的设置个人觉得已经够黑客忙一阵子了！(*^__^*) 嘻嘻……！

基本上算是完成了，哎哟妈耶累死我了！~~~~大家不回不要紧，我希望大家能认真看完，因为个人觉得这个东西对于网站的管理员而言是非常重要的！/ E+ x) W! ?/ H' d  Q9 T; h' B

最后送大家一句话“没有绝对安全的服务器，只有不断安全的服务器”，所以说并不是按照我的步骤设置完成了，你的服务器就没有任何问题了，我希望大家能在学习中有所发现，能够提出更加完善的“服务器安全方案”！8 t" W- P9 U- j

再给大家一个公式：最小的权限+最少的服务=最大的安全。。。。

作者: miaoqi008 时间: 2008-11-3 20:40

不错~期待后续内容哦:)

作者: zhuyahui 时间: 2008-11-3 21:47

我没得服务器~

作者: 柔肠寸断 时间: 2008-11-3 22:04

保护版权，征得同意之后进行权限设置& q6 I4 Y7 T+ x" Z
% s' ?2 S( F& Q5 O
等待发表之后取消权限设置

作者: zhuyahui 时间: 2008-11-3 22:13

啊呆帮个忙群里说个话谢谢~

作者: 3ast 时间: 2009-2-9 15:49

不错的文章哦

作者: 3ast 时间: 2009-2-9 15:49

阿呆的文章都是经典的

作者: fangyanghui 时间: 2009-4-17 07:50

又学了一些知识~

作者: 残爱 时间: 2009-4-17 14:49

学习了.......

作者: zhanpk 时间: 2009-5-13 17:28

.m (56). 这么详细太好了!~

作者: 冰吻六秒钟 时间: 2010-3-7 17:52

太好了呵呵通俗易懂啊

欢迎光临【3.A.S.T】网络安全爱好者 (http://www.3ast.com/)