Apache for windows虚拟主机配置方案.docVIP

Apache for windows虚拟主机配置方案 本文以建立一个站点521为例，跟大家共同探讨Apache虚拟主机配置问题。 一、建立Windows用户 为每个网站单独设置windows用户帐号cert，删除帐号的User组，将cert加入Guest用户组。将用户不能更改密码，密码永不过期两个选项选上。 二、设置文件夹权限 1、设置非站点相关目录权限 Windows安装好后，很多目录和文件默认是everyone可以浏览、查看、运行甚至是可以修改 的。这给服务器安全带来极大的隐患。这里列出在入侵中较常用的目录。 C：\；D：\；…… C:\perl C:\temp\ C:\Mysql\ c:\php\ C:\autorun.inf C:\Documents and setting\ C:\Documents and Settings\All Users\「开始」菜单\程序\ C:\Documents and Settings\All Users\「开始」菜单\程序\启动 C:\Documents and Settings\All Users\Documents\ C:\Documents and Settings\All Users\Application Data\Symantec\ C:\Documents and Settings\All Users\Application Data\Symantec\pcAnywhere C:\WINNT\system32\config\ C:\winnt\system32\inetsrv\data\ C:\WINDOWS\system32\inetsrv\data\ C:\Program Files\ C:\Program Files\Serv-U\ c:\Program Files\KV2004\ c:\Program Files\Rising\RAV C:\Program Files\RealServer\ C:\Program Files\Microsoft SQL server\ C:\Program Files\Java Web Start\ 以上这些目录或文件的权限应该作适当的限制。如取消Guests用户的查看、修改和执行等权限。 2、设置站点相关目录权限： A、设置站点根目录权限：将刚刚建立的用户cert给对应站点文件夹，假设为D：\cert设置相应的权限：Adiministrators组为完全控制；cert有读取及运行、列出文件夹目录、读取，取消其它所有权限。 B、设置可更新文件权限：经过第1步站点根目录文件夹权限的设置后，Guest用户已经没有修改站点文件夹中任何内容的权限了。这显然对于一个有更新的站点是不够的。这时就需要对单独的需更新的文件进行权限设置。当然这个可能对虚拟主机提供商来说有些不方便。客户的站点的需更新的文件内容之类的可能都不一样。这时，可以规定某个文件夹可写、可改。如有些虚拟主机提供商就规定，站点根目录中uploads为web可上传文件夹，data或者database为数据库文件夹。这样虚拟主机服务商就可以为客户定制这两个文件夹的权限。当然也可以像有些做的比较好的虚拟主机提供商一样，给客户做一个程序，让客户自己设定。可能要做到这样，服务商又得花不小的钱财和人力哦。 三、配置IIS 本文就几个特殊之处或需要注意的地方提出以下建议。 1、主目录权限设置：这里可以设置读取就行了。写入、目录浏览等都可以不要，最关键的就是目录浏览了。除非特殊情况，否则应该关闭，不然将会暴露很多重要的信息。这将为黑客入侵带来方便。其余保留默认就可以了。 2、应用程序配置：在站点属性中，主目录这一项中还有一个配置选项，点击进入。在应用程序映射选项中可以看到，默认有许多应用程序映射。将需要的保留，不需要的全部都删除。在入侵过程中，很多程序可能限制了asp，php等文件上传，但并不对cer，asa等文件进行限制，如果未将对应的应用程序映射删除，则可以将asp的后缀名改为cer或者asa后进行上传，木马将可以正常被解析。这也往往被管理员忽视。另外添加一个应用程序扩展名映射，可执行文件可以任意选择，后缀名为.mdb。这是为了防止后缀名为mdb的用户数据库被下载。 3、目录安全性设置：在站点属性中选择目录安全性，点击匿名访问和验证控制，选择允许匿名访问，点击编辑。如下图所示。删除默认用户，浏览选择对应于前面为cert网站设定的用户，并输入密码。可以选中允许IIS控制密码。这样设定的目的是为了防止一些像站长助手、海洋等木马的跨目录跨站点浏览，可以有效阻止这类的跨目录跨站入侵。 4、可写目录执行权限设置：关闭所有可写目录