web服务器安全设置（web安全和服务器安全的价值）

大家好,今天就和小鸥一起来看看这个问题吧 。web安全和服务器安全的价值，web服务器安全设置很多人还不知道，现在让我们一起来看看吧！

web服务器安全设置， IIS相关设置

删除默认建立的站点的虚拟目录，停止默认网站，删除对应的文件目录c:inetpub，配置所有站点的公共设置，设置相关的连接限制、带宽设置、性能设置等设置。配置应用映射，删除所有不必要的应用扩展，只保留asp、php、cgi、pl、aspx应用扩展。对于php和cgi，解析推荐isapi，而exe会影响安全性和性能。用户调试设置向客户发送文本错误消息。

对于数据库，尽量使用mdb后缀，而不是asp。您可以在IIS中设置mdb的扩展映射，并使用不相关的dll文件(如C:WINNTsystem32inetsrvssinc.dll)来防止数据库被下载。设置IIS的日志保存目录，调整日志信息。设置发送文本错误信息。修改403错误页面并将其转到其他页面会阻止某些扫描仪检测。另外，为了隐藏系统信息，防止系统版本信息从telnet泄露到80端口，可以修改IIS的banner信息，可以用winhex手动修改，也可以用banneredit等相关软件修改。

对于用户站点所在的目录，这里有一个解释。对应用户的FTP根目录有三个文件，wwwroot、database和logfiles，分别存储站点的站点文件、数据库备份和日志。一旦发生入侵事件，可以对用户站点所在的目录设置特定的权限。图片所在的目录只给目录列表权限，程序所在的目录如果不需要生成文件(比如生成html的程序)就不给写权限。因为虚拟主机通常不可能对脚本安全性一丝不苟。

方法

要从用户脚本提升权限：

二、web服务器安全设置， ASP安全设置

设置好权限和服务后，要防止asp木马，需要做到以下几点。在cmd窗口中运行以下命令：

regsvr 32/u c : \ WINNT \ System32 \ wshom . ocx

德尔c : \ WINNT \ System32 \ wshom . ocx

regsvr 32/u c : \ WINNT \ system32 \ shell32 . dll

del c : \ WINNT \ system32 \ shell 32 . dll

可以卸载wscript.shell、shell.application和wscript.network组件，可以有效防止asp木马通过wscript或shell.application执行命令，以及利用木马查看一些敏感的系统信息。另一种方法：可以取消上述文件的用户权限，重启IIS即可生效。但不推荐这种方法。

此外，对于FSO，因为用户程序需要使用它，所以不需要注销服务器上的组件。这里只提一下FSO的注意事项，在自动打开空间的虚商服务器上不需要使用。它只适用于手动打开的站点。你可以为需要和不需要FSO的站点设置两个组。需要FSO的用户组被授予执行c:winntsystem32scrrun.dll文件的权限，但是不需要FSO的用户组没有被授予权限。重新启动服务器以使其生效。

对于这样的设置结合上面的权限设置，你会发现海洋木马在这里已经失去作用了！

PHP的web服务器安全设置，安全设置

默认的php安装需要考虑以下事项：

C:\winnt\php.ini只能给用户读权限。需要在php.ini中进行以下设置：

安全模式=开

寄存器_全局=关

allow_url_fopen=Off

显示错误=关闭

magic _ quotes _ GPC=On[默认为On，但请再次检查]

Open_basedir=web目录

disable_functions=passthru，exec，shell_exec，system，phpinfo，get_cfg_var，popen，chmod

将默认的com.allow_dcom=true设置为false[修改前取消之前的；]

web服务器安全设置， MySQL安全设置

如果服务器上启用了MySQL数据库，则MySQL数据库的安全设置为：

删除mysql中的所有默认用户，只保留本地root账号，并为root用户添加复杂的密码。在赋予普通用户updatedeletealertcreatedrop的权限时，应该限定在特定的数据库，特别是防止普通用户拥有操作mysql数据库的权限。检查mysql.user表，取消不必要用户的shutdown _ priv、reload _ priv、process _ priv和File_priv权限，可能会泄露更多的服务器信息包括mysql以外的其他信息。可以为mysql设置。

　　Serv-u安全问题：

　　安装程序尽量采用最新版本，避免采用默认安装目录，设置好serv-u目录所在的权限，设置一个复杂的管理员密码。修改serv-u的banner信息，设置被动模式端口范围(4001—4003)在本地服务器中设置中做好相关安全设置：包括检查匿名密码，禁用反超时调度，拦截“FTP bounce”攻击和FXP，对于在30秒内连接超过3次的用户拦截10分钟。域中的设置为：要求复杂密码，目录只使用小写字母，高级中设置取消允许使用MDTM命令更改文件的日期。

　　更改serv-u的启动用户：在系统中新建一个用户，设置一个复杂点的密码，不属于任何组。将servu的安装目录给予该用户完全控制权限。建立一个FTP根目录，需要给予这个用户该目录完全控制权限，因为所有的ftp用户上传，删除，更改文件都是继承了该用户的权限，否则无法操作文件。另外需要给该目录以上的上级目录给该用户的读取权限，否则会在连接的时候出现530 Not logged in, home directory does not exist。比如在测试的时候ftp根目录为d:soft，必须给d盘该用户的读取权限，为了安全取消d盘其他文件夹的继承权限。而一般的使用默认的system启动就没有这些问题，因为system一般都拥有这些权限的。

　　web服务器安全设置五、数据库服务器的安全设置

　　对于专用的MSSQL数据库服务器，按照上文所讲的设置TCP/IP筛选和IP策略，对外只开放1433和5631端口。对于MSSQL首先需要为sa设置一个强壮的密码，使用混合身份验证,加强数据库日志的记录,审核数据库登陆事件的”成功和失败”.删除一些不需要的和危险的OLE自动存储过程(会造成企业管理器中部分功能不能使用),这些过程包括如下:

　　Sp_OAcreate Sp_OADestroy Sp_OAGetErrorInfo Sp_OAGetProperty

　　Sp_OAMethod Sp_OASetProperty Sp_OAStop

　　去掉不需要的注册表访问过程,包括有:

　　Xp_regaddmultistring Xp_regdeletekey Xp_regdeletevalue

　　Xp_regenumvalues Xp_regread Xp_regremovemultistring

　　Xp_regwrite

　　去掉其他系统存储过程，如果认为还有威胁，当然要小心drop这些过程，可以在测试机器上测试，保证正常的系统能完成工作，这些过程包括：

　　xp_cmdshell xp_dirtree xp_dropwebtask sp_addsrvrolemember

　　xp_makewebtask xp_runwebtask xp_subdirs sp_addlogin

　　sp_addextendedproc

　　在实例属性中选择TCP/IP协议的属性。选择隐藏 SQL Server 实例可防止对1434端口的探测,可修改默认使用的1433端口。除去数据库的guest账户把未经认可的使用者据之在外。 例外情况是master和 tempdb 数据库,因为对他们guest帐户是必需的。另外注意设置好各个数据库用户的权限，对于这些用户只给予所在数据库的一些权限。在程序中不要用sa用户去连接任何数据库。网络上有建议大家使用协议加密的，千万不要这么做，否则你只能重装MSSQL了。

　　看过文章“web服务器安全设置”的人还看了：

　　1.如何提升服务器安全等级

　　2.如何防护网络服务器安全

　　3.如何维护网络服务器安全

　　4.服务器如何防攻击

　　5.Windows服务器的基础安全加固方法

　　6.入侵服务器的基础知识

　　7.服务器怎么防攻击

　　8.怎么利用服务器的DHCP维护局域网安全

　　9.怎么设置网件PR2000为公共热点安全模式

　　10.服务器物理安全

这篇文章到此就结束，希望能帮助到大家。