備份服務(wù)器安全設(shè)置 服務(wù)器備份數(shù)據(jù)

如何備份一臺(tái)win2003服務(wù)器的安全設(shè)置?

IIS的相關(guān)設(shè)置：

創(chuàng)新互聯(lián)公司的客戶(hù)來(lái)自各行各業(yè)，為了共同目標(biāo)，我們?cè)诠ぷ魃厦芮信浜?，從?chuàng)業(yè)型小企業(yè)到企事業(yè)單位，感謝他們對(duì)我們的要求，感謝他們從不同領(lǐng)域給我們帶來(lái)的挑戰(zhàn)，讓我們激情的團(tuán)隊(duì)有機(jī)會(huì)用頭腦與智慧不斷的給客戶(hù)帶來(lái)驚喜。專(zhuān)業(yè)領(lǐng)域包括網(wǎng)站建設(shè)、成都網(wǎng)站建設(shè)、電商網(wǎng)站開(kāi)發(fā)、微信營(yíng)銷(xiāo)、系統(tǒng)平臺(tái)開(kāi)發(fā)。

刪除默認(rèn)建立的站點(diǎn)的虛擬目錄，停止默認(rèn)web站點(diǎn)，刪除對(duì)應(yīng)的文件目錄c：inetpub，配置所有站點(diǎn)的公共設(shè)置，設(shè)置好相關(guān)的連接數(shù)限制，帶寬設(shè)置以及性能設(shè)置等其他設(shè)置。配置應(yīng)用程序映射，刪除所有不必要的應(yīng)用程序擴(kuò)展，只保留asp，php，cgi，pl，aspx應(yīng)用程序擴(kuò)展。對(duì)于php和cgi，推薦使用isapi方式解析，用exe解析對(duì)安全和性能有所影響。用戶(hù)程序調(diào)試設(shè)置發(fā)送文本錯(cuò)誤信息給戶(hù)。對(duì)于數(shù)據(jù)庫(kù)，盡量采用mdb后綴，不需要更改為asp，可在IIS中設(shè)置一個(gè)mdb的擴(kuò)展映射，將這個(gè)映射使用一個(gè)無(wú)關(guān)的dll文件如C：WINNTsystem32inetsrvssinc.dll來(lái)防止數(shù)據(jù)庫(kù)被下載。設(shè)置IIS的日志保存目錄，調(diào)整日志記錄信息。設(shè)置為發(fā)送文本錯(cuò)誤信息。修改403錯(cuò)誤頁(yè)面，將其轉(zhuǎn)向到其他頁(yè)，可防止一些掃描器的探測(cè)。另外為隱藏系統(tǒng)信息，防止telnet到80端口所泄露的系統(tǒng)版本信息可修改IIS的banner信息，可以使用winhex手工修改或者使用相關(guān)軟件如banneredit修改。

對(duì)于用戶(hù)站點(diǎn)所在的目錄，在此說(shuō)明一下，用戶(hù)的FTP根目錄下對(duì)應(yīng)三個(gè)文件佳，wwwroot，database，logfiles，分別存放站點(diǎn)文件，數(shù)據(jù)庫(kù)備份和該站點(diǎn)的日志。如果一旦發(fā)生入侵事件可對(duì)該用戶(hù)站點(diǎn)所在目錄設(shè)置具體的權(quán)限，圖片所在的目錄只給予列目錄的權(quán)限，程序所在目錄如果不需要生成文件（如生成html的程序）不給予寫(xiě)入權(quán)限。因?yàn)槭翘摂M主機(jī)平常對(duì)腳本安全沒(méi)辦法做到細(xì)致入微的地步，更多的只能在方法用戶(hù)從腳本提升權(quán)限：

ASP的安全設(shè)置：

設(shè)置過(guò)權(quán)限和服務(wù)之后，防范asp木馬還需要做以下工作，在cmd窗口運(yùn)行以下命令：

regsvr32/u C：\WINNT\System32\wshom.ocx

del C：\WINNT\System32\wshom.ocx

regsvr32/u C：\WINNT\system32\shell32.dll

del C：\WINNT\system32\shell32.dll

即可將WScript.Shell， Shell.application， WScript.Network組件卸載，可有效防止asp木馬通過(guò)wscript或shell.application執(zhí)行命令以及使用木馬查看一些系統(tǒng)敏感信息。另法：可取消以上文件的users用戶(hù)的權(quán)限，重新啟動(dòng)IIS即可生效。但不推薦該方法。

另外，對(duì)于FSO由于用戶(hù)程序需要使用，服務(wù)器上可以不注銷(xiāo)掉該組件，這里只提一下FSO的防范，但并不需要在自動(dòng)開(kāi)通空間的虛擬商服務(wù)器上使用，只適合于手工開(kāi)通的站點(diǎn)?？梢葬槍?duì)需要FSO和不需要FSO的站點(diǎn)設(shè)置兩個(gè)組，對(duì)于需要FSO的用戶(hù)組給予c：winntsystem32scrrun.dll文件的執(zhí)行權(quán)限，不需要的不給權(quán)限。重新啟動(dòng)服務(wù)器即可生效。

對(duì)于這樣的設(shè)置結(jié)合上面的權(quán)限設(shè)置，你會(huì)發(fā)現(xiàn)海陽(yáng)木馬已經(jīng)在這里失去了作用！

PHP的安全設(shè)置：

默認(rèn)安裝的php需要有以下幾個(gè)注意的問(wèn)題：

C：\winnt\php.ini只給予users讀權(quán)限即可。在php.ini里需要做如下設(shè)置：

Safe_mode=on

register_globals = Off

allow_url_fopen = Off

display_errors = Off

magic_quotes_gpc = On [默認(rèn)是on，但需檢查一遍]

open_basedir =web目錄

disable_functions =passthru，exec，shell_exec，system，phpinfo，get_cfg_var，popen，chmod

默認(rèn)設(shè)置com.allow_dcom = true修改為false[修改前要取消掉前面的；]

MySQL安全設(shè)置：

如果服務(wù)器上啟用MySQL數(shù)據(jù)庫(kù)，MySQL數(shù)據(jù)庫(kù)需要注意的安全設(shè)置為：

刪除mysql中的所有默認(rèn)用戶(hù)，只保留本地root帳戶(hù)，為root用戶(hù)加上一個(gè)復(fù)雜的密碼。賦予普通用戶(hù)updatedeletealertcreatedrop權(quán)限的時(shí)候，并限定到特定的數(shù)據(jù)庫(kù)，尤其要避免普通客戶(hù)擁有對(duì)mysql數(shù)據(jù)庫(kù)操作的權(quán)限。檢查mysql.user表，取消不必要用戶(hù)的shutdown_priv，relo

ad_priv，process_priv和File_priv權(quán)限，這些權(quán)限可能泄漏更多的服務(wù)器信息包括非mysql的其它信息出去。可以為mysql設(shè)置一個(gè)啟動(dòng)用戶(hù)，該用戶(hù)只對(duì)mysql目錄有權(quán)限。設(shè)置安裝目錄的data數(shù)據(jù)庫(kù)的權(quán)限（此目錄存放了mysql數(shù)據(jù)庫(kù)的數(shù)據(jù)信息）。對(duì)于mysql安裝目錄給users加上讀取、列目錄和執(zhí)行權(quán)限。

Serv-u安全問(wèn)題：

安裝程序盡量采用最新版本，避免采用默認(rèn)安裝目錄，設(shè)置好serv-u目錄所在的權(quán)限，設(shè)置一個(gè)復(fù)雜的管理員密碼。修改serv-u的banner信息，設(shè)置被動(dòng)模式端口范圍（4001—4003）在本地服務(wù)器中設(shè)置中做好相關(guān)安全設(shè)置：包括檢查匿名密碼，禁用反超時(shí)調(diào)度，攔截“FTP bounce”攻擊和FXP，對(duì)于在30秒內(nèi)連接超過(guò)3次的用戶(hù)攔截10分鐘。域中的設(shè)置為：要求復(fù)雜密碼，目錄只使用小寫(xiě)字母，高級(jí)中設(shè)置取消允許使用MDTM命令更改文件的日期。

更改serv-u的啟動(dòng)用戶(hù)：在系統(tǒng)中新建一個(gè)用戶(hù)，設(shè)置一個(gè)復(fù)雜點(diǎn)的密碼，不屬于任何組。將servu的安裝目錄給予該用戶(hù)完全控制權(quán)限。建立一個(gè)FTP根目錄，需要給予這個(gè)用戶(hù)該目錄完全控制權(quán)限，因?yàn)樗械膄tp用戶(hù)上傳，刪除，更改文件都是繼承了該用戶(hù)的權(quán)限，否則無(wú)法操作文件。另外需要給該目錄以上的上級(jí)目錄給該用戶(hù)的讀取權(quán)限，否則會(huì)在連接的時(shí)候出現(xiàn)530 Not logged in， home directory does not exist.比如在測(cè)試的時(shí)候ftp根目錄為d：soft，必須給d盤(pán)該用戶(hù)的讀取權(quán)限，為了安全取消d盤(pán)其他文件夾的繼承權(quán)限。而一般的使用默認(rèn)的system啟動(dòng)就沒(méi)有這些問(wèn)題，因?yàn)閟ystem一般都擁有這些權(quán)限的。

數(shù)據(jù)庫(kù)服務(wù)器的安全設(shè)置

對(duì)于專(zhuān)用的MSSQL數(shù)據(jù)庫(kù)服務(wù)器，按照上文所講的設(shè)置TCP/IP篩選和IP策略，對(duì)外只開(kāi)放1433和5631端口。對(duì)于MSSQL首先需要為sa設(shè)置一個(gè)強(qiáng)壯的密碼，使用混合身份驗(yàn)證，加強(qiáng)數(shù)據(jù)庫(kù)日志的記錄，審核數(shù)據(jù)庫(kù)登陸事件的“成功和失敗”。刪除一些不需要的和危險(xiǎn)的OLE自動(dòng)存儲(chǔ)過(guò)程（會(huì)造成企業(yè)管理器中部分功能不能使用），這些過(guò)程包括如下：

Sp_OACreate Sp_OADestroy Sp_OAGetErrorInfo Sp_OAGetProperty

Sp_OAMethod Sp_OASetProperty Sp_OAStop

去掉不需要的注冊(cè)表訪問(wèn)過(guò)程，包括有：

Xp_regaddmultistring Xp_regdeletekey Xp_regdeletevalue

Xp_regenumvalues Xp_regread Xp_regremovemultistring

Xp_regwrite

去掉其他系統(tǒng)存儲(chǔ)過(guò)程，如果認(rèn)為還有威脅，當(dāng)然要小心Drop這些過(guò)程，可以在測(cè)試機(jī)器上測(cè)試，保證正常的系統(tǒng)能完成工作，這些過(guò)程包括：

xp_cmdshell xp_dirtree xp_dropwebtask sp_addsrvrolemember

xp_makewebtask xp_runwebtask xp_subdirs sp_addlogin

sp_addextendedproc

。。。。。。

想看后文 請(qǐng)百度“通通網(wǎng)絡(luò)”

服務(wù)器安全設(shè)置？如何設(shè)置服務(wù)器安全？

用NT（2000）建立的WEB站點(diǎn)在所有的網(wǎng)站中占了很大一部分比例，主要因?yàn)槠湟子眯耘c易管理性，使該公司不必再投入大量的金錢(qián)在服務(wù)器的管理上，這一點(diǎn)優(yōu)于nix系統(tǒng)，不必請(qǐng)很專(zhuān)業(yè)的管理員，不必支付一份可以節(jié)省的高薪，呵呵，當(dāng)然nix的管理員也不會(huì)失業(yè)，因?yàn)槠溟_(kāi)放源碼和windows系統(tǒng)無(wú)與倫比的速度，使得現(xiàn)在幾乎所有的大型服務(wù)器全部采用nix系統(tǒng)。但對(duì)于中小型企業(yè)來(lái)說(shuō)windows已經(jīng)足夠，但NT的安全問(wèn)題也一直比較突出，使得一些每個(gè)基于NT的網(wǎng)站都有一種如履薄冰的感覺(jué)，在此我給出一份安全解決方案，算是為中國(guó)的網(wǎng)絡(luò)安全事業(yè)做出一份貢獻(xiàn)吧 （說(shuō)明：本方案主要是針對(duì)建立Web站點(diǎn)的NT、2000服務(wù)器安全，對(duì)于局域網(wǎng)內(nèi)的服務(wù)器并不合適。）

安全配置NT/2000 SERVER

即使正確的安裝了WIN2000 SERVER，系統(tǒng)還是有很多的漏洞，還需要進(jìn)一步進(jìn)行細(xì)致地配置。

1．端口：

端口是計(jì)算機(jī)和外部網(wǎng)絡(luò)相連的邏輯接口，也是計(jì)算機(jī)的第一道屏障，端口配置正確與否直接影響到主機(jī)的安全，一般來(lái)說(shuō)，僅打開(kāi)你需要使用的端口會(huì)比較安全，配置的方法是在網(wǎng)卡屬性-TCP/IP-高級(jí)-選項(xiàng)-TCP/IP篩選中啟用TCP/IP篩選，不過(guò)對(duì)于win2000的端口過(guò)濾來(lái)說(shuō)，有一個(gè)不好的特性：只能規(guī)定開(kāi)哪些端口，不能規(guī)定關(guān)閉哪些端口，這樣對(duì)于需要開(kāi)大量端口的用戶(hù)就比較痛苦。

2．IIS：

IIS是微軟的組件中漏洞最多的一個(gè)，平均兩三個(gè)月就要出一個(gè)漏洞，而微軟的IIS默認(rèn)安裝又實(shí)在不敢恭維，所以IIS的配置是我們的重點(diǎn)，現(xiàn)在大家跟著我一起來(lái)：首先，把C盤(pán)那個(gè)什么Inetpub目錄徹底刪掉，在D盤(pán)建一個(gè)Inetpub（要是你不放心用默認(rèn)目錄名也可以改一個(gè)名字，但是自己要記得）在IIS管理器中將主目錄指向D:\Inetpub；其次，那個(gè)IIS安裝時(shí)默認(rèn)的什么scripts等虛擬目錄一概刪除，如果你需要什么權(quán)限的目錄可以自己慢慢建，需要什么權(quán)限開(kāi)什么。（特別注意寫(xiě)權(quán)限和執(zhí)行程序的權(quán)限，沒(méi)有絕對(duì)的必要千萬(wàn)不要給）第三，應(yīng)用程序配置：在IIS管理器中刪除必須之外的任何無(wú)用映射，必須指的是ASP,ASA和其他你確實(shí)需要用到的文件類(lèi)型，例如你用到stml等（使用server side include），實(shí)際上90%的主機(jī)有了上面兩個(gè)映射就夠了，其余的映射幾乎每個(gè)都有一個(gè)凄慘的故事：htw, htr, idq, ida……想知道這些故事？去查以前的漏洞列表吧。在IIS管理器中右擊主機(jī)-屬性-WWW服務(wù) 編輯-主目錄配置-應(yīng)用程序映射，然后就開(kāi)始一個(gè)個(gè)刪吧（里面沒(méi)有全選的，嘿嘿）。接著在剛剛那個(gè)窗口的應(yīng)用程序調(diào)試書(shū)簽內(nèi)將腳本錯(cuò)誤消息改為發(fā)送文本（除非你想ASP出錯(cuò)的時(shí)候用戶(hù)知道你的程序/網(wǎng)絡(luò)/數(shù)據(jù)庫(kù)結(jié)構(gòu)）錯(cuò)誤文本寫(xiě)什么？隨便你喜歡，自己看著辦。點(diǎn)擊確定退出時(shí)別忘了讓虛擬站點(diǎn)繼承你設(shè)定的屬性。安裝新的Service Pack后，IIS的應(yīng)用程序映射應(yīng)重新設(shè)置。（說(shuō)明：安裝新的Service Pack后，某些應(yīng)用程序映射又會(huì)出現(xiàn)，導(dǎo)致出現(xiàn)安全漏洞。這是管理員較易忽視的一點(diǎn)。）

如何配置網(wǎng)絡(luò)服務(wù)器安全

1、安裝補(bǔ)丁程序任何操作系統(tǒng)都有漏洞，作為網(wǎng)絡(luò)系統(tǒng)管理員就有責(zé)任及時(shí)地將“補(bǔ)丁”打上。大部分中小企業(yè)服務(wù)器使用的是微軟的

Windows2000/2003操作系統(tǒng)，因?yàn)槭褂玫娜颂貏e多，所以發(fā)現(xiàn)的Bug也比較多，同時(shí)，蓄意攻擊它們的人也很多。微軟公司為了彌補(bǔ)操作系統(tǒng)的

安全漏洞，在其網(wǎng)站上提供了許多補(bǔ)丁，可以到網(wǎng)上下載并安裝相關(guān)升級(jí)包。對(duì)于Windows2003，至少要升級(jí)到SP1，對(duì)于Windows2000，

至少要升級(jí)至ServicePack2。

2、安裝和設(shè)置防火墻現(xiàn)在有許多基于硬件或軟件的防火墻，如華為、神州數(shù)碼、聯(lián)想、瑞星等廠商的產(chǎn)品。對(duì)于企業(yè)內(nèi)

部網(wǎng)來(lái)說(shuō)，安裝防火墻是非常必要的。防火墻對(duì)于非法訪問(wèn)具有很好的預(yù)防作用，但是并不是安裝了防火墻之后就萬(wàn)事大吉了，而是需要進(jìn)行適當(dāng)?shù)脑O(shè)置才能起作

用。如果對(duì)防火墻的設(shè)置不了解，需要請(qǐng)技術(shù)支持人員協(xié)助設(shè)置。

3、安裝網(wǎng)絡(luò)殺毒軟件現(xiàn)在網(wǎng)絡(luò)上的病毒非常猖獗，這就需要在網(wǎng)絡(luò)服務(wù)器上安裝網(wǎng)絡(luò)版的殺毒軟

件來(lái)控制病毒的傳播，目前，大多數(shù)反病毒廠商(如瑞星、冠群金辰、趨勢(shì)、賽門(mén)鐵克、熊貓等)都已經(jīng)推出了網(wǎng)絡(luò)版的殺毒軟件。同時(shí)，在網(wǎng)絡(luò)版的殺毒軟件使用

中，必須要定期或及時(shí)升級(jí)殺毒軟件。

4、賬號(hào)和密碼保護(hù)賬號(hào)和密碼保護(hù)可以說(shuō)是系統(tǒng)的第一道防線(xiàn)，目前網(wǎng)上的大部分對(duì)系統(tǒng)的攻擊都是從截獲或猜測(cè)密碼開(kāi)始

的。一旦黑客進(jìn)入了系統(tǒng)，那么前面的防衛(wèi)措施幾乎就沒(méi)有作用，所以對(duì)服務(wù)器系統(tǒng)管理員的賬號(hào)和密碼進(jìn)行管理是保證系統(tǒng)安全非常重要的措施。

5、監(jiān)測(cè)系統(tǒng)日

志通過(guò)運(yùn)行系統(tǒng)日志程序，系統(tǒng)會(huì)記錄下所有用戶(hù)使用系統(tǒng)的情形，包括最近登錄時(shí)間、使用的賬號(hào)、進(jìn)行的活動(dòng)等。日志程序會(huì)定期生成報(bào)表，通過(guò)對(duì)報(bào)表進(jìn)行分

析，你可以知道是否有異?，F(xiàn)象。

6、關(guān)閉不需要的服務(wù)和端口服務(wù)器操作系統(tǒng)在安裝的時(shí)候，會(huì)啟動(dòng)一些不需要的服務(wù)，這樣會(huì)占用系統(tǒng)的資源，而且也增加

了系統(tǒng)的安全隱患。對(duì)于假期期間完全不用的服務(wù)器，可以完全關(guān)閉;對(duì)于假期期間要使用的服務(wù)器，應(yīng)關(guān)閉不需要的服務(wù)，如Telnet等。另外，還要關(guān)掉沒(méi)

有必要開(kāi)的TCP端口。

7、定期對(duì)服務(wù)器進(jìn)行備份為防止不能預(yù)料的系統(tǒng)故障或用戶(hù)不小心的非法操作，必須對(duì)系統(tǒng)進(jìn)行安全備份。除了對(duì)全系統(tǒng)進(jìn)行每月一次的

備份外，還應(yīng)對(duì)修改過(guò)的數(shù)據(jù)進(jìn)行每周一次的備份。

公司要購(gòu)買(mǎi)云服務(wù)器，那么應(yīng)該如何選擇配置和安全設(shè)置

網(wǎng)絡(luò)時(shí)代回答您：

購(gòu)買(mǎi)服務(wù)器需要考慮的因素：

一、云服務(wù)器的環(huán)境

如果購(gòu)買(mǎi)的云服務(wù)器在主干節(jié)點(diǎn)上，它將比平均節(jié)點(diǎn)訪問(wèn)速度快。

二、云服務(wù)器的硬件配置

一般來(lái)說(shuō)，購(gòu)買(mǎi)云服務(wù)器的配置將直接影響服務(wù)器的響應(yīng)速度。云服務(wù)器的CPU數(shù)量，硬盤(pán)越大，內(nèi)存越大，處理器越好，云服務(wù)器運(yùn)行的速度就越快。

三、云服務(wù)器的帶寬大小

云服務(wù)器的帶寬將直接影響到網(wǎng)站訪問(wèn)的速度。服務(wù)器帶寬越大，訪問(wèn)速度越快。此外，當(dāng)帶寬小，訪客數(shù)量過(guò)多時(shí)，會(huì)出現(xiàn)紙箱現(xiàn)象。

當(dāng)前題目：備份服務(wù)器安全設(shè)置 服務(wù)器備份數(shù)據(jù)
本文地址：http://www.muchs.cn/article6/dohcpig.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供做網(wǎng)站、服務(wù)器托管、用戶(hù)體驗(yàn)、全網(wǎng)營(yíng)銷(xiāo)推廣、品牌網(wǎng)站制作、標(biāo)簽優(yōu)化

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶(hù)投稿、用戶(hù)轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話(huà)：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來(lái)源： 創(chuàng)新互聯(lián)