windns服务器自己动手做好.pdf

win2003dns服务器:自己动手做好 Win2003服务器安全 疯狂代码 http://CrazyC/ ĵ http:/CrazyC/WebSecurity/Article76719.html 　　 　　1.将mysql运行在普通用户权限下这是最重要点大部分入侵都是利用数据库权限进行 　　MYSQL降权运行 　　新建立个用户比如mysqlstart 　　net user mysqlstart fuckmicrosoft /add 　　net localgroup users mysqlstart /del 　　不属于任何组 　　如果MYSQL装在d:\mysql 那么给 mysqlstart 完全控制权限 　　然后在系统服务中设置MYSQL服务属性在登录属性当中选择此用户 mysqlstart 然后输入密码确定 　　重新启动 MYSQL服务然后MYSQL就运行在低权限下了 　　2.使用附件里IP策略关闭所有没用端口 　　管理工具本地安全策略IP安全策略所有任务导入策略 ; ; 然后指派... 　　3.所有盘根目录都不能有everyone,users 读和运行权限 　　C盘只给administrators 和system权限 　　其他盘也可以这样设置 　　Windows目录要加上给users默认权限否则ASP和ASPX等应用就无法运行 　　另外在c:/Documents and Settings/这里相当重要后面目录里权限根本不会继承从前设置如果仅仅只是设 置了C盘给administrators权限而在All Users/Application Data目录下会 出现everyone用户有完全控制权限 这样入侵这可以跳转到这个目录写入脚本或只文件再结合其他漏洞来提升权限；譬如利用serv-u本地溢出提升 权限或系统遗漏有补丁数据库弱点 　　把不必要服务都禁止掉尽管这些不定能被攻击者利用得上但是按照安全规则和标准上来说多余东西就没必 要开启减少份隐患 　　4.加强PHP安全 　　关闭危险 　　如果打开了安全模式那么禁止是可以不需要但是我们为了安全还是考虑进去比如 　　我们觉得不希望执行包括system等在那能够执行命令php或者能够查看php信息 　　phpinfo等那么我们就可以禁止它们 　　disable_functions = system,passthru,exec,shell_exec,popen,phpinfo 　　关闭PHP版本信息在http头中泄漏 　　我们为了防止黑客获取服务器中php版本信息可以关闭该信息斜路在http头中 　　expose_php = Off 　　比如黑客在 telnet 80 时候那么将无法看到PHP信息 　　(1) 关闭注册全局变量 　　在PHP中提交变量包括使用POST或者GET提交变量都将自动注册为全局变量能够直接访问 　　这是对服务器非常不安全所以我们不能让它注册为全局变量就把注册全局变量选项关闭 　　register_globals = Off 　　当然如果这样设置了那么获取对应变量时候就要采用合理方式比如获取GET提交变量var 　　那么就要用$_GET[var]来进行获取这个php员要注意 　　(2) 打开magic_quotes_gpc来防止SQL注入 　　SQL注入是非常危险问题小则网站WebSite后台被入侵重则整个服务器沦陷 　　所以定要小心php.ini中有个设置 　　magic_quotes_gpc = Off 　　这个默认是关闭如果它打开后将自动把用户提交对sql查询进行转换 　　比如把 转为 \等这对防止sql注射有重大作用所以我们推荐设置为 　　magic_quotes_gpc = _disibledevent=　　 　　如果你却是是要显示信息定要设置显示级别比如只显示警告以上信息 　　error_reporting = E_WARNING E_ERROR 　　当然我还是建议关闭提示 　　(4) 日志 　　建议在关闭display_errors后能够把信息记录下来便于查找服务器运行原因 　　log_errors = _disibledevent=　　 　　注意:给文件必须允许apache用户和组具有