[原创]服务器安全优化(Video)
文章作者:lzis信息来源:邪恶八进制信息安全团队([url]www.eviloctal.com[/url])
[url]http://www.lzis.com/blog/attachments/server-safe.rar[/url]
用迅雷下。
比较详细,望高手指正那里有错误,还有什么不完整的!望补充!
QQ:61803200 拜阅了一下,提出几点疑问:
一,特殊字符的数据库真的不能被下载么?是否可以转码后下载?(可以用MIME限制吧?)
二,关于你BOKE的设置只能说不太能运用到虚拟主机中,只能是专门网站的服务器下设置,不然不搞死服务器管理员才怪
三,FTP和3389改了端口也未必找不到吧,终究他们是对外网开放的。(如何能设置一下IPSEC,允许某一网段可以访问该端口这样最好)
四,其实我看里面很多权限设置互相重复了,没多少必要
五,总体说来设置一半甚至不到这样的权限已经让我们中国的那些所谓黑客望而却步了。
六,感谢LZ的资料,说得比较全面,不过有些细节最好也把它做进去,比如如何删除或者删除哪些不必要的组件,servu的基本安全设置等等。
七,没了,已上仅是个人意见,欢迎指正 [quote]引用第1楼pivot于2007-07-15 00:03发表的 :
拜阅了一下,提出几点疑问:
一,特殊字符的数据库真的不能被下载么?是否可以转码后下载?(可以用MIME限制吧?)
二,关于你BOKE的设置只能说不太能运用到虚拟主机中,只能是专门网站的服务器下设置,不然不搞死服务器管理员才怪
三,FTP和3389改了端口也未必找不到吧,终究他们是对外网开放的。(如何能设置一下IPSEC,允许某一网段可以访问该端口这样最好)
四,其实我看里面很多权限设置互相重复了,没多少必要
.......[/quote]
1,本身数据库就具有防下载,而且特殊字符多,要下载也不是简单的事!而且是32MD5加密~我的密码也有点变态,虽然要穷举破解~也要用上N个月的时间,而且网站后台需要服务器密码的验证!即使有帐号密码也是没用的。
2,对,我是针对自己的服务器,虽然服务器权限制变态会影响虚拟主机运营,但~不会影响服务器安全即可!
3,最起码改变了端口,扫描软件扫不到,也同时可以防止同网段的嗅探!至于IPSEC或者个人见解可能是多此一举吧~!
4,重复,是有点重复,或者这就是所谓的严密,变态。
最后,感谢这位朋友的宝贵意见! 没有提到关闭端口
135 没关 已经做了相对多的设置,135端口的可利用性也不怎么了吧?
有几台服务器的ADMINISTRATOR的密码是空? 1.数据库防下载有个简单的方法,在IIS里右键该文件名-属性-去掉读取权限就OK了。这样在IE里打开是403,但是不影响网站运行。
2.修改3389登录端口在NMAP等扫描器下毫无意义。
3.BAT绑定也不是没办法的。
4.用ADMINISTRATOR去管理后台文件不是明智之举。
不说了,终极二字不是随便用的 [quote]引用第3楼eemi于2007-07-15 13:21发表的 :
没有提到关闭端口
135 没关[/quote]
恩,这对,但我在本地连接连WINDOWS文件共享的服务都给卸了,连server的服务都没有,根本不会存在什么135 139了。!(个人见解) 推荐PDF 1.数据库防下载有个简单的方法,在IIS里右键该文件名-属性-去掉读取权限就OK了。这样在IE里打开是403,但是不影响网站运行。
2.修改3389登录端口在NMAP等扫描器下毫无意义。
3.BAT绑定也不是没办法的。
4.用ADMINISTRATOR去管理后台文件不是明智之举。
不说了,终极二字不是随便用的 把访问数据库文件直接转向就可以了,毒一点的话就转到一个网马上。 数据库防下载可以放在WEB目录之外,甚至一些配置文件和缓存文件/目录也可以放在WEB目录之外。
有些方法可以挫败端口扫描。
其实这些都不是安全的重点。重点是管理员素质。而且我个人不喜欢修改3389端口,也不喜欢修改SSH端口。
没有看video,最不喜欢教程做成这样的,search和索引都困难。不知道一下我制作的ISO REGTWEAKS.REG,你修改了多少
[language=reg]Windows Registry Editor Version 5.00
;禁止自动打开默认共享
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]
"AutoShareServer"=dword:00000000
"AutoSharewks"=dword:00000000
;禁止建立空连接
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"restrictanonymous"=dword:00000001
;Disable Help and Support Service
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\helpsvc]
"Start"=dword:00000003
;Set Print Spooler
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Spooler]
"Start"=dword:00000003
;Disable Wireless Zero Configuration Service
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WZCSVC]
"Start"=dword:00000003
;Disable TCP/IP NetBIOS Helper Service
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LmHosts]
"Start"=dword:00000003
;Disable Distributed File System
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dfs]
"Start"=dword:00000003
;Disable Computer Browser
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Browser]
"Start"=dword:00000003
;Disable Workstation
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanworkstation]
"Start"=dword:00000003
;Disable Performance Logs and Alerts
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SysmonLog]
"Start"=dword:00000003
;SMBDeviceEnabled(445端口关闭)
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters]
"SMBDeviceEnabled"=dword:00000000
;SynAttackProtect
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
"SynAttackProtect"=dword:00000001
"TcpMaxConnectResponseRetransmissions"=dword:00000002
;禁用错误报告,但在发生严重错误时通知我
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PCHealth\ErrorReporting]
"DoReport"=dword:00000000
[/language] [quote]引用第10楼Helvin于2007-07-16 13:37发表的 :
数据库防下载可以放在WEB目录之外,甚至一些配置文件和缓存文件/目录也可以放在WEB目录之外。
有些方法可以挫败端口扫描。
其实这些都不是安全的重点。重点是管理员素质。而且我个人不喜欢修改3389端口,也不喜欢修改SSH端口。
.......[/quote]
恩,虽不是重点,本身就意识到! [quote]引用第10楼Helvin于2007-07-16 13:37发表的 :
数据库防下载可以放在WEB目录之外,甚至一些配置文件和缓存文件/目录也可以放在WEB目录之外。
有些方法可以挫败端口扫描。
其实这些都不是安全的重点。重点是管理员素质。而且我个人不喜欢修改3389端口,也不喜欢修改SSH端口。
.......[/quote]
测试过吗,真的可以放在web目录之外吗?
不知道是不是我方法不对,我测过,硬是没成功. 楼上的,数据库是可以放WEB之外的,数据库给上当前站点匿名用户的权限,再改下数据库引导文件即可,其实楼猪的文章,全面倒是全面,不必要的部分也不少。。 没注意看楼主的东西,数据库是可以放WEB外的,我一直这么做 [quote]引用第15楼cnhcerkf于2007-08-28 10:47发表的 :
貌似某sb所谓的终极安全小站已经被另一个sb xx掉了[s:266]
[img]http://www.dirshell.com/wifi/fucksb.jpg[/img][/quote]
什么事情都别说得那么绝,终极安全?美国军方网络都不敢这么说。。
PS:我举报是谁,但我不说。。 [quote]引用第9楼追寻于2007-07-16 08:40发表的 :
把访问数据库文件直接转向就可以了,毒一点的话就转到一个网马上。[/quote]
这个方法倒是第一次见过,学习了。
这个会不会影响网站对数据的访问?
MDB数据库一般都是小站,小站MS都是虚拟主机,没有权限设置IIS嘀哦 楼上的说的啥意思。
MS虚拟机的安全做的都相当BT的说.
页:
[1]