服务器安全加固.pptVIP

服务器安全加固 目录 服务器的应用 服务器应用：在环境允许的情况下，服务器的应用越单一越好，例如，存放web的服务器就存放web程序，不推荐数据库跟web放在一台机器上。如果要合并的话，先考虑类似的程序放在一起，再考虑相同操作系统的内容放在一起。 常用操作系统：windows 2003/linux 推荐的几种架构 密码安全 关闭非必要服务 安全补丁 本地安全策略——密码策略 本地安全策略——账户锁定策略 本地安全策略——审核策略 本地安全策略——安全选项 本地安全策略——审记信息日志查看 远程连接方式 删除默认站点 目录权限——权限最小化 目录权限——高危程序 scripting.filesystemobject/adodb.stream 可执行权限与纯脚本 可上传目录 第三方可用插件 包含某个独立的功能，使用方便，提高软件开发的效率。 但是其存在漏洞的可能性很大。 建议需要仔细检查。 web漏洞——代码安全 其核心是构造URL 方法：严格检查URL和用户提交内容 具体实施： 1、参数的过滤，过滤掉危险字符串，特别是% 2、参数尽量使用数字类型，并且需要强制转换类型，对于字符串类型，最好用过滤 IIS备份与恢复 在iis5的时候（2000的时候），iis的信息是在二进制的文件中的，很难备份，一般备份都需要做自己开发程序去，c#里面有DirectoryEntry这个类可以用。 在iis6的时候，改用xml文件来存储这些信息，有了这些信息，虽然需要花点时间，但是至少还是恢复的回去。C:\WINDOWS\system32\inetsrv\MetaBase.xml AspMaxRequestEntityAllowed=204800 这个是默认的可上传文件大小，如果有需要的话，需要改掉。改MetaBase.xml的时候需要停IIS ADMIN服务 sql server——高危sp linux——目录权限 Linux——php安全 Linux——php安全 mysql安全——mysql.user表 mysql安全 开启二进制日志与慢查询日志 独立的用户独立的数据库连接 限制用户来源 phpMyAdmin 反向代理的使用——反向代理定义 反向代理优势 写在最后 备份——冷/热备份，实时/定时备份 系统上线步骤 规范化的操作流程 密码方式 默认数据库 分配权限 1 2 3 4 先建一个帐户 选择密码方式验证 选择web站点为默认数据库 默认在数据库上选择读写用户组 新建web的数据库连接步骤（不包括SP） 站点的数据库用户设置 建立帐户 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 Aspose Pty Ltd. 文件所有者权限 文件所有者组权限 其他用户权限 -rw-r–r– 1 root root 483997 Ju1 l5 17:3l sobsrc. tgz r代表只读，w代表写，x代表可执行 第一个字符指定了文件类型 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 Aspose Pty Ltd. A.使用5以上的版本 B.打开php的安全模式——safe_mode = on C.用户组安全——safe_mode_gid = off D.安全模式下执行程序主目录——safe_mode_exec_dir E.安全模式下包含文件 ——safe_mode_include_dir Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 Aspose Pty Ltd. F.控制php脚本能访问的目录——open_basedir G.在php.ini中禁止高危函数——disable_functions H.关闭PHP版本信息在http头中的泄漏——expose_php I.关闭注册全局变量——register_globals = Off J. 防止SQL注入——magic_quotes_gpc = On Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 Aspose Pty Ltd. 1、连接主机地址 对于root用户（这个跟服