廣告廣告
  加入我的最愛 設為首頁 風格修改
首頁 首尾
 手機版   訂閱   地圖  簡體 
您是第 1896 個閱讀者
 
發表文章 發表投票 回覆文章
  可列印版   加為IE收藏   收藏主題   上一主題 | 下一主題   
upside 手機 葫蘆墩家族
個人頭像
個人文章 個人相簿 個人日記 個人地圖
特殊貢獻獎 社區建設獎 優秀管理員勳章
頭銜:反病毒 反詐騙 反虐犬   反病毒 反詐騙 反虐犬  
版主
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片
推文 x0
[資訊教學] Win2003伺服器安全配置技巧 (二)
SERV-U FTP 伺服器的設置:
  一般來說,不推薦使用srev-u做ftp伺服器,主要是漏洞出現的太頻繁了,但是也正是因為其操作簡單,功能強大,過於流行,關注的人也多,才被發掘出bug來,換做其他的ftp伺服器軟體也一樣不見得安全到哪兒去。
  當然,這裡也有款功能跟serv-u同樣強大,比較安全的ftp軟體:Ability FTP Server
  設置也很簡單,不過我們這裡還是要迎合大眾胃口,說說關於serv-u的安全設置。
  首先,6.0比從前5.x版本的多了個修改本地LocalAdministrtaor的密碼功能,其實在5.x版本裏可以用ultraedit-32等編輯器修改serv-u程式體進行修改密碼端口,6.0修補了這個隱患,單獨拿出來方便了大家。不過修改了管理密碼的serv-u是一樣有安全隱患的,兩個月前臭要飯的就寫了新的採用本地sniff方法獲取serv-u的管理密碼的exploit,正在網上火賣著,不過這種sniff的方法,同樣是在獲得 webshell的條件後還得有個能在目錄裏有"執行"的許可權,並且需要管理員再次登陸運行serv-u administrator的時候才能成功。所以我們的管理員要儘量避上以上幾點因素,也是可以防護的。
另外serv-u的幾點常規安全需要設置下
  選中"Block "FTP_bounce"attack and FXP"。什麼是FXP呢?通常,當使用FTP協議進行文件傳輸時,客戶端首先向FTP伺服器發出一個"PORT"命令,該命令中包含此用戶的IP地址和將被用來進行數據傳輸的端口號,伺服器收到後,利用命令所提供的用戶地址資訊建立與用戶的連接。大多數情況下,上述過程不會出現任何問題,但當客戶端是一名惡意用戶時,可能會通過在PORT命令中加入特定的地址資訊,使FTP伺服器與其他非客戶端的機器建立連接。雖然這名惡意用戶可能本身無權直接訪問某一特定機器,但是如果FTP伺服器有權訪問該機器的話,那麼惡意用戶就可以通過FTP伺服器作為仲介,仍然能夠最終實現與目標伺服器的連接。這就是FXP,也稱跨伺服器攻擊。選中後就可以防止發生此種情況。

  另外在"Block anti time-out schemes"也可以選中。其次,在"Advanced"選項卡中,檢查 "Enable security"是否被選中,如果沒有,選擇它們。

IIS的安全:
  刪掉c:/inetpub目錄,刪除iis不必要的映射
  首先是每一個web站點使用單獨的IIS用戶,譬如這裡,新建立了一個名為 http://211.147.225.34/gate...15safe.com/ ,許可權為guest的。


  在IIS裏的站點屬性裏"目錄安全性"---"身份驗證和訪問控制"裏設置匿名訪問使用下列Windows 用戶帳戶"的用戶名密碼都使用315safe.com... 這個用戶的資訊.在這個站點相對應的web目錄文件,默認的只給IIS用戶的讀取和寫入許可權(後面有更BT的設置要介紹)。

在"應用程式配置"裏,我們給必要的幾種腳本執行許可權:ASP.ASPX,PHP,



爸爸 你一路好走
獻花 x0 回到頂端 [樓 主] From:臺灣和信超媒體寬帶網 | Posted:2006-12-06 03:09 |

首頁  發表文章 發表投票 回覆文章
Powered by PHPWind v1.3.6
Copyright © 2003-04 PHPWind
Processed in 0.062671 second(s),query:15 Gzip disabled
本站由 瀛睿律師事務所 擔任常年法律顧問 | 免責聲明 | 本網站已依台灣網站內容分級規定處理 | 連絡我們 | 訪客留言