有史以來的虛擬主機(jī)安全配置

注入漏洞、上傳漏洞、弱口令漏洞等問題隨處可見?？缯竟?，遠(yuǎn)程控制等等是再老套不過了的話題。有些虛擬主機(jī)管理員不知是為了方便還是不熟悉配置，干脆就將所有的網(wǎng)站都放在同一個(gè)目錄中，然后將上級目錄設(shè)置為站點(diǎn)根目錄。有些呢，則將所有的站點(diǎn)的目錄都設(shè)置為可執(zhí)行、可寫入、可修改。有些則為了方便，在服務(wù)器上掛起了QQ，也裝上了BT.更有甚者，竟然把Internet來賓帳號加入到Administrators組中！汗……！普通的用戶將自己的密碼設(shè)置為生日之類的6位純數(shù)字，這種情況還可以原諒，畢竟他們大部分都不是專門搞網(wǎng)絡(luò)研究的，中國國民的安全意識提高還需要一段時(shí)間嘛，但如果是網(wǎng)絡(luò)管理員也這樣，那就怎么也有點(diǎn)讓人想不通了。網(wǎng)絡(luò)安全問題日益突出，最近不又有人聲稱“萬網(wǎng)：我進(jìn)來玩過兩次了！”一句話，目前很大部分的網(wǎng)站安全狀況讓人擔(dān)憂！
    這里就我個(gè)人過去的經(jīng)歷和大家一同來探討有關(guān)安全虛擬主機(jī)配置的問題。以下以建立一個(gè)站點(diǎn)cert.ecjtu.jx.cn為例，跟大家共同探討虛擬主機(jī)配置問題。
    一、建立Windows用戶
    為每個(gè)網(wǎng)站單獨(dú)設(shè)置windows用戶帳號cert，刪除帳號的User組，將cert加入Guest用戶組。將用戶不能更改密碼，密碼永不過期兩個(gè)選項(xiàng)選上。
    二、設(shè)置文件夾權(quán)限
    1、設(shè)置非站點(diǎn)相關(guān)目錄權(quán)限
    Windows安裝好后，很多目錄和文件默認(rèn)是everyone可以瀏覽、查看、運(yùn)行甚至是可以修改 的。這給服務(wù)器安全帶來極大的隱患。這里就我個(gè)人的一些經(jīng)驗(yàn)提一些在入侵中較常用的目錄。
     C：\;D：\;…… 　　C:\perl 　　C:\temp\ 　　C:\Mysql\ 　　c:\php\ 　　C:\autorun.inf 　　C:\Documents and setting\ 　　C:\Documents and Settings\All Users\「開始」菜單\程序\ 　　C:\Documents and Settings\All Users\「開始」菜單\程序\啟動 　　C:\Documents and Settings\All Users\Documents\ 　　C:\Documents and Settings\All Users\Application Data\Symantec\ 　　C:\Documents and Settings\All Users\Application Data\Symantec\pcAnywhere 　　C:\WINNT\system32\config\ 　　C:\winnt\system32\inetsrv\data\ 　　C:\WINDOWS\system32\inetsrv\data\ 　　C:\Program Files\ 　　C:\Program Files\Serv-U\ 　　c:\Program Files\KV2004\ 　　c:\Program Files\Rising\RAV 　　C:\Program Files\RealServer\ 　　C:\Program Files\Microsoft SQL server\ 　　C:\Program Files\Java Web Start\
    以上這些目錄或文件的權(quán)限應(yīng)該作適當(dāng)?shù)南拗?。如取消Guests用戶的查看、修改和執(zhí)行等權(quán)限。由于篇幅關(guān)系，這里僅簡單提及。
    2、設(shè)置站點(diǎn)相關(guān)目錄權(quán)限：
    A、設(shè)置站點(diǎn)根目錄權(quán)限：將剛剛建立的用戶cert給對應(yīng)站點(diǎn)文件夾，假設(shè)為D：\cert設(shè)置相應(yīng)的權(quán)限：Adiministrators組為完全控制；cert有讀取及運(yùn)行、列出文件夾目錄、讀取，取消其它所有權(quán)限。
    B、設(shè)置可更新文件權(quán)限：經(jīng)過第1步站點(diǎn)根目錄文件夾權(quán)限的設(shè)置后，Guest用戶已經(jīng)沒有修改站點(diǎn)文件夾中任何內(nèi)容的權(quán)限了。這顯然對于一個(gè)有更新的站點(diǎn)是不夠的。這時(shí)就需要對單獨(dú)的需更新的文件進(jìn)行權(quán)限設(shè)置。當(dāng)然這個(gè)可能對虛擬主機(jī)提供商來說有些不方便。客戶的站點(diǎn)的需更新的文件內(nèi)容之類的可能都不一樣。這時(shí)，可以規(guī)定某個(gè)文件夾可寫、可改。如有些虛擬主機(jī)提供商就規(guī)定，站點(diǎn)根目錄中uploads為web可上傳文件夾，data或者 database為數(shù)據(jù)庫文件夾。這樣虛擬主機(jī)服務(wù)商就可以為客戶定制這兩個(gè)文件夾的權(quán)限。當(dāng)然也可以像有些做的比較好的虛擬主機(jī)提供商一樣，給客戶做一個(gè)程序，讓客戶自己設(shè)定。可能要做到這樣，服務(wù)商又得花不小的錢財(cái)和人力哦。
    基本的配置應(yīng)該大家都會，這里就提幾個(gè)特殊之處或需要注意的地方。
    1、主目錄權(quán)限設(shè)置：這里可以設(shè)置讀取就行了。寫入、目錄瀏覽等都可以不要，最關(guān)鍵的就是目錄瀏覽了。除非特殊情況，否則應(yīng)該關(guān)閉，不然將會暴露很多重要的信息。這將為黑客入侵帶來方便。其余保留默認(rèn)就可以了。
    2、應(yīng)用程序配置：在站點(diǎn)屬性中，主目錄這一項(xiàng)中還有一個(gè)配置選項(xiàng)，點(diǎn)擊進(jìn)入。在應(yīng)用程序映射選項(xiàng)中可以看到，默認(rèn)有許多應(yīng)用程序映射。將需要的保留，不需要的全部都刪除。在入侵過程中，很多程序可能限制了asp，php等文件上傳，但并不對cer，asa等文件進(jìn)行限制，如果未將對應(yīng)的應(yīng)用程序映射刪除，則可以將asp的后綴名改為cer或者asa后進(jìn)行上傳，木馬將可以正常被解析。這也往往被管理員忽視。另外添加一個(gè)應(yīng)用程序擴(kuò)展名映射，可執(zhí)行文件可以任意選擇，后綴名為。mdb.這是為了防止后綴名為mdb的用戶數(shù)據(jù)庫被下載。
    3、目錄安全性設(shè)置：在站點(diǎn)屬性中選擇目錄安全性，點(diǎn)擊匿名訪問和驗(yàn)證控制，選擇允許匿名訪問，點(diǎn)擊編輯。如下圖所示。刪除默認(rèn)用戶，瀏覽選擇對應(yīng)于前面為cert網(wǎng)站設(shè)定的用戶，并輸入密碼?？梢赃x中允許IIS控制密碼。這樣設(shè)定的目的是為了防止一些像站長助手、海洋等木馬的跨目錄跨站點(diǎn)瀏覽，可以有效阻止這類的跨目錄跨站入侵。
    4、可寫目錄執(zhí)行權(quán)限設(shè)置：關(guān)閉所有可寫目錄的執(zhí)行權(quán)限。由于程序方面的漏洞，目前非常流行上傳一些網(wǎng)頁木馬，絕大部分都是用web進(jìn)行上傳的。由于不可寫的目錄木馬不能進(jìn)行上傳，如果關(guān)閉了可寫目錄的執(zhí)行權(quán)限，那么上傳的木馬將不能正常運(yùn)行?？梢杂行Х乐惯@類形式web入侵。
    5、處理運(yùn)行錯(cuò)誤：這里有兩種方法，一是關(guān)閉錯(cuò)誤回顯。IIS屬性――主目錄――配置――應(yīng)用程序調(diào)試――腳本錯(cuò)誤消息，選擇發(fā)送文本錯(cuò)誤信息給客戶。二是定制錯(cuò)誤頁面。在IIS屬性――自定義錯(cuò)誤信息，在http錯(cuò)誤信息中雙擊需要定制的錯(cuò)誤頁面，將彈出錯(cuò)誤映射屬性設(shè)置框。消息類型有默認(rèn)值、URL和文件三種，可以根據(jù)情況自行定制。這樣一方面可以隱藏一些錯(cuò)誤信息，另外一方面也可以使錯(cuò)誤顯示更加友好。