Windows2003下IIS6結(jié)合ServU的安全設(shè)置

[重要通告]如您遇疑難雜癥,本站支持知識付費業(yè)務,掃右邊二維碼加博主微信,可節(jié)省您寶貴時間哦!

Windows2003下IIS6結(jié)合ServU的安全設(shè)置

最近因為IIS和SERV-U以至服務器安全出現(xiàn)問題。上網(wǎng)看了很多文章,對這方面比以前了解更加深!授人以魚不如授人以漁,希望能讓大家熟悉操作步驟同時,也知道為什么要這樣。更渴望和各位朋友交流經(jīng)驗~,修補不足之處!Thanks
軟件環(huán)境 :
Windows Server 2003 Enterprise Edition Service Pack 1 簡體中文版 (NTFS分區(qū))
Serv-U 6.3 英文版
MCAfee 8.0
1,首先安裝Serv-U6.3,路徑隨便,不要安裝在C盤!
路徑盡量復雜的,以減少入侵者猜到安裝路徑,如D:\5155kdh\5126554dad485\
2,運行Serv-U,注冊域,把密碼保存設(shè)置為 “加密在注冊表里(Domain type:Store in computer registry)”。把帳戶密碼保存在注冊表比保存在ServUDaemon.ini安全。
3,Serv-U安裝完成后。打開“計算機管理”,“本地用戶和組”。新建一個用戶,如Asion,密碼要長,要復雜,抄下,一會還要用上! 把用戶不能更改密碼和密碼永不過期勾上3, 打開新建用戶(Asion)的屬性,在“隸屬于”中把Users刪除掉,即不屬于任何組
在“終端服務配置文件”,把“拒絕這個上用戶登錄到任何終端服務器”打上勾在“撥入”中,"遠程訪問權(quán)限"為“拒絕訪問”
4,打開Serv-U安裝目錄“屬性”“安全”“高級”,取消“允許父項的繼承權(quán)限傳播到該對象和所有子對象”,然后點“復制”把System/Creator owner/Users 刪除掉,只留下”Administrator”.然后“添加”“高級”“立刻查找”,把新的建的用戶“Asion”進去,權(quán)限除完全控制其它都給予! (即Serv-U安裝目錄只有兩個用戶權(quán)限,Admin/asion完全控制)

5,,運行注冊表程序Regedt32,打開分支\HKEY_LOCAL_MACHINE\SOFTWARE\Cat Soft,右擊CatSoft打開權(quán)限,取消“允許父項的繼續(xù)權(quán)限傳播到該對象和所有子對象”,然后點刪除,再應用。當彈出警告對話框“你拒絕了所有用戶訪問CatSoft。沒有人能訪問Catsoft。而且只有所有者才能更改權(quán)限。你要繼續(xù)嗎” 選擇“是”。然后添加Administrator和新建的用戶Asion所有權(quán)限(完全控制
6,打開計算機管理,“服務和應用程序”“服務”,找到”Serv-U Ftp服務器”,打開“屬性”“登錄”,將登陸身份設(shè)置為“此帳戶”,并將新建的帳戶asion添加上去,然后填上密碼,再應用)接著重新啟動一次Serv-U 服務。如果出現(xiàn)“錯誤5:拒絕訪問” 那就要檢查以上的操作有沒漏做一步!這種現(xiàn)象一般都是權(quán)限設(shè)置錯誤!

7,運行Serv-U Admin,在“Settings”“Advanced” 下,添加PASV port range 3000-3030
在域的Advanced中。添加被動端口IP “Allow passive mode data transfers,use IP xxx.xxx.xxx.xxx”
Serv-U安裝路徑盡量復雜,刪除所有快捷圖標,包括Documents and Settings 下每個用戶目錄的快捷方式,目的是盡量減少入侵者猜中。建立新帳戶為為Serv-U的服務啟動是為安全, Serv-U默認是System啟動,而Serv-U有一個默認的管理用戶(用戶名:localadministrator,密碼:#|@$ak#.|k;0@p),任何人只要通過一個能訪問本地端口43958的賬號就可以隨意增刪賬號和執(zhí)行任意內(nèi)部和外部命令。 而注冊表中設(shè)置只允許Admin和Serv-U服務帳戶全權(quán),也是防止入侵IIS后而讀取Serv-U的Ftp 帳號密碼。指定PASV(被動端口)很有必要,一是減少服務器端口開放,越少越安全;二是使于管理。如果不開放PASV,那么客戶用IE登陸FTP就會出錯! 另外FTP最好是開啟記錄日志,要是被入侵,還有點痕跡可查。
IIS設(shè)置
1, 新建站點,(運行IIS.msc),新建一個站點。如FTP,目錄指向d:\ftp (名稱和目錄自己定),設(shè)置主頁文檔等等。瀏覽一下,看能不能正常顯示,行,就繼續(xù)下一步
2, 打開計算機管理,“本地用戶和組”,“新建一個用戶”,如IIS_FTP,密碼盡量長,并且記下!打開該用戶屬性,在“隸屬于”中刪除USERS組,即不屬于任何組。在“終端服務配置文件”中,勾上“拒絕這個用戶登陸到任何終端服務器”,然后應用
3, 打開IIS管理器,新建站點(FTP)的屬性,“目錄安全性”“身份驗證和訪問控制”“編輯”,點“瀏覽”選取新建的用戶IIS_FTP,并填上密碼, 再應用確定!
4, 打開站點的文件目錄(D:\ftp)“屬性”,“安全”“高級”,取消“允許父項的繼承權(quán)限傳播到該對象和所有子對象?!?,在彈出的對話框中,選“刪除”。 然后添加Administrator 完全控制,添加IIS_FTP用戶除了“完全控制“所以權(quán)限,也可以根椐網(wǎng)站的要求對應分配權(quán)限。我是這樣設(shè)置的。然后,在IIS管理器中測試該站點,正常繼續(xù)下文。如果沒法顯示或者出錯,檢查以上操作,注意一下權(quán)限設(shè)置。
原理和上面Serv-U的設(shè)置一樣,只要理解了權(quán)限設(shè)置就行。的確,權(quán)限很復雜,現(xiàn)在我都很迷茫,還希望高人指點一二。Thanks ^o^
MCAfee 8.0
在殺毒軟件設(shè)置中,發(fā)現(xiàn)病毒時自動清除;清除失敗時自動刪除(別設(shè)置在提示并讓用戶選擇)。多數(shù)站點入侵都是ASP木馬。讓Antivirus 發(fā)現(xiàn)一個清一個!

IIS結(jié)合Serv-U
1, 剛才Serv-U和IIS都已經(jīng)完,現(xiàn)在要讓Serv-U配合IIS了。打開站點目錄,打開“安全”,添加Serv-U的運行帳戶“Asion”,權(quán)限分配為除“完全控制”/“運行文件”/“更改權(quán)限”/“取得所有權(quán)”之外的所有權(quán)限。
2, 因為站點文件在d:\ftp下,所以還需要設(shè)置Serv-U運行帳戶(Asion)對d:\盤的特殊訪問,只付予“運行文件”/“讀取屬性”/“讀取擴展屬性”/“讀取權(quán)限”,切記:應用到“只有該文件夾”。 如果站點文件在X:\abc\efg\目錄,那同理還需要對X: 和 X:\abc\ 操作這一步
這里要注意的, 如果站點路徑?jīng)]有設(shè)置好權(quán)限(上面第2步),剛開始登陸FTP是正常,但一段時間后,就會提示 “530 Not logged in, homedirectory does not exist” 或者帳戶密碼正確也不無登
加固IIS和SERV-U
1, 打開本地連接, “Internet 協(xié)議(TCP/IP)” “屬性” “高級” “選項”
打開Tcp/ip篩選 “啟用 TCP/IP篩選”,只允許TCP20、21、80、3389和SERV-U的被動端口3000~3015,允許所有UDP和IP協(xié)議。
2, 打開IIS信息服務管理器,“應用程序池”“Default AppPool屬性”中,取消“空閑超時”和“啟用快速保護失敗”
3, 每個盤符根目錄(如c:\ 、d:\、e:\....)都不要給予Everyone權(quán)限,并把盤符下所有目錄取消“允許父項的繼承權(quán)限傳播到該對象和所有子對象”
4, 刪除Documents and Settings、Documents and Settings\All Users和D:\Documents and Settings\Default User的Evryone權(quán)限
上文提到的asion和IIS_FTP用戶,可以隨便改,只是設(shè)置時沒寫錯就行!建議大家更改,不要用相對容易記憶的用戶名。另外,有些文章說更改登陸Serv-U的提示符,我覺得完全沒有必要,用FTP軟件一連接,返回信息220,那肯定是Serv-U了!而IIS和Serv-U都不需要System用戶運行,所以就把相關(guān)目錄的system權(quán)限刪除,無非是怕溢出得到system權(quán)限(這個比Admin還高級)。 補充一點:IIS中文件分類設(shè)置權(quán)限,為不同的類型文件建立不同目錄,然后給予適應的權(quán)限。如靜態(tài)文件:允許 R,拒絕W ;ASP文件: 允許E,拒絕W和R ;EXE目錄:允許E,拒絕W和R 做為網(wǎng)管,安全工作永沒完善,或多或少都有漏洞,唯有最大能力減少被入侵的機率,事后迅速補救。
我每次遠程登陸服務器,首先做的都必打三個命令。
tasklist :顯示系統(tǒng)所有進程,雖然不少木馬把名字改為svchost.exe 等等系統(tǒng)服務來隱藏,但明顯的進程還是要查殺。
Taskkill /pid :能終止大部份進程,確定是可疑進程就殺。還不能殺的只好進安全模式了…..
Netstat –an : 以數(shù)字形式顯示所有本機的連接端口。這樣可以看清楚那些端口被使用。

問題未解決?付費解決問題加Q或微信 2589053300 (即Q號又微信號)右上方掃一掃可加博主微信

所寫所說,是心之所感,思之所悟,行之所得;文當無敷衍,落筆求簡潔。 以所舍,求所獲;有所依,方所成!

支付寶贊助
微信贊助

免責聲明,若由于商用引起版權(quán)糾紛,一切責任均由使用者承擔。

您必須遵守我們的協(xié)議,如您下載該資源,行為將被視為對《免責聲明》全部內(nèi)容的認可->聯(lián)系老梁投訴資源
LaoLiang.Net部分資源來自互聯(lián)網(wǎng)收集,僅供用于學習和交流,請勿用于商業(yè)用途。如有侵權(quán)、不妥之處,請聯(lián)系站長并出示版權(quán)證明以便刪除。 敬請諒解! 侵權(quán)刪帖/違法舉報/投稿等事物聯(lián)系郵箱:service@laoliang.net
意在交流學習,歡迎贊賞評論,如有謬誤,請聯(lián)系指正;轉(zhuǎn)載請注明出處: » Windows2003下IIS6結(jié)合ServU的安全設(shè)置

發(fā)表回復

本站承接,網(wǎng)站推廣(SEM,SEO);軟件安裝與調(diào)試;服務器或網(wǎng)絡推薦及配置;APP開發(fā)與維護;網(wǎng)站開發(fā)修改及維護; 各財務軟件安裝調(diào)試及注冊服務(金蝶,用友,管家婆,速達,星宇等);同時也有客戶管理系統(tǒng),人力資源,超市POS,醫(yī)藥管理等;

立即查看 了解詳情