Windows 的服務(wù)器安全加固方案

因?yàn)镮IS(即Internet Information Server)的方便性和易用性，使它成為最受歡迎的Web服務(wù)器軟件之一。但是，IIS的安全性卻一直令人擔(dān)憂。如何利用IIS建立一個(gè)安全的Web服務(wù)器，是很多人關(guān)心的話題。要?jiǎng)?chuàng)建一個(gè)安全可靠的Web服務(wù)器，必須要實(shí)現(xiàn)Windows 2003和IIS的雙重安全，因?yàn)镮IS的用戶同時(shí)也是Windows 2003的用戶，并且IIS目錄的權(quán)限依賴Windows的NTFS文件系統(tǒng)的權(quán)限控制，所以保護(hù)IIS安全的`第一步就是確保Windows 2000操作系統(tǒng)的安全，所以要對(duì)服務(wù)器進(jìn)行安全加固，以免遭到黑客的攻擊，造成嚴(yán)重的后果。

創(chuàng)新互聯(lián)公司是一家網(wǎng)站設(shè)計(jì)公司，集創(chuàng)意、互聯(lián)網(wǎng)應(yīng)用、軟件技術(shù)為一體的創(chuàng)意網(wǎng)站建設(shè)服務(wù)商，主營(yíng)產(chǎn)品：成都響應(yīng)式網(wǎng)站建設(shè)、品牌網(wǎng)站制作、成都全網(wǎng)營(yíng)銷推廣。我們專注企業(yè)品牌在網(wǎng)站中的整體樹立，網(wǎng)絡(luò)互動(dòng)的體驗(yàn)，以及在手機(jī)等移動(dòng)端的優(yōu)質(zhì)呈現(xiàn)。成都網(wǎng)站設(shè)計(jì)、成都網(wǎng)站制作、移動(dòng)互聯(lián)產(chǎn)品、網(wǎng)絡(luò)運(yùn)營(yíng)、VI設(shè)計(jì)、云產(chǎn)品.運(yùn)維為核心業(yè)務(wù)。為用戶提供一站式解決方案，我們深知市場(chǎng)的競(jìng)爭(zhēng)激烈，認(rèn)真對(duì)待每位客戶，為客戶提供賞析悅目的作品，網(wǎng)站的價(jià)值服務(wù)。

我們通過(guò)以下幾個(gè)方面對(duì)您的系統(tǒng)進(jìn)行安全加固：

1. 系統(tǒng)的安全加固：我們通過(guò)配置目錄權(quán)限，系統(tǒng)安全策略，協(xié)議棧加強(qiáng)，系統(tǒng)服務(wù)和訪問(wèn)控制加固您的系統(tǒng)，整體提高服務(wù)器的安全性。

2. IIS手工加固：手工加固iis可以有效的提高iweb站點(diǎn)的安全性，合理分配用戶權(quán)限，配置相應(yīng)的安全策略，有效的防止iis用戶溢出提權(quán)。

3. 系統(tǒng)應(yīng)用程序加固，提供應(yīng)用程序的安全性，例如sql的安全配置以及服務(wù)器應(yīng)用軟件的安全加固。

系統(tǒng)的安全加固：

1.目錄權(quán)限的配置：

1.1 除系統(tǒng)所在分區(qū)之外的所有分區(qū)都賦予Administrators和SYSTEM有完全控制權(quán)，之后再對(duì)其下的子目錄作單獨(dú)的目錄權(quán)限，如果WEB站點(diǎn)目錄，你要為其目錄權(quán)限分配一個(gè)與之對(duì)應(yīng)的匿名訪問(wèn)帳號(hào)并賦予它有修改權(quán)限，如果想使網(wǎng)站更加堅(jiān)固，可以分配只讀權(quán)限并對(duì)特殊的目錄作可寫權(quán)限。

1.2 系統(tǒng)所在分區(qū)下的根目錄都要設(shè)置為不繼承父權(quán)限，之后為該分區(qū)只賦予Administrators和SYSTEM有完全控制權(quán)。

1.3 因?yàn)榉?wù)器只有管理員有本地登錄權(quán)限，所在要配置Documents and Settings這個(gè)目錄權(quán)限只保留Administrators和SYSTEM有完全控制權(quán)，其下的子目錄同樣。另外還有一個(gè)隱藏目錄也需要同樣操作。因?yàn)槿绻惆惭b有PCAnyWhere那么他的的配置信息都保存在其下，使用webshell或FSO可以輕松的調(diào)取這個(gè)配置文件。

1.4 配置Program files目錄，為Common Files目錄之外的所有目錄賦予Administrators和SYSTEM有完全控制權(quán)。

1.5 配置Windows目錄，其實(shí)這一塊主要是根據(jù)自身的情況如果使用默認(rèn)的安全設(shè)置也是可行的，不過(guò)還是應(yīng)該進(jìn)入SYSTEM32目錄下，將 cmd.exe、、net.exe、scrrun.dll、shell.dll這些殺手锏程序賦予匿名帳號(hào)拒絕訪問(wèn)。

1.6審核MetBase.bin，C:WINNTsystem32inetsrv目錄只有administrator只允許Administrator用戶讀寫。

2.組策略配置:

在用戶權(quán)利指派下，從通過(guò)網(wǎng)絡(luò)訪問(wèn)此計(jì)算機(jī)中刪除Power Users和Backup Operators;

啟用不允許匿名訪問(wèn)SAM帳號(hào)和共享;

啟用不允許為網(wǎng)絡(luò)驗(yàn)證存儲(chǔ)憑據(jù)或Passport;

從文件共享中刪除允許匿名登錄的DFS$和COMCFG;

啟用交互登錄：不顯示上次的用戶名;

啟用在下一次密碼變更時(shí)不存儲(chǔ)LANMAN哈希值;

禁止IIS匿名用戶在本地登錄;

3.本地安全策略設(shè)置:

開始菜單—管理工具—本地安全策略

A、本地策略——審核策略

審核策略更改 成功 失敗

審核登錄事件 成功 失敗

審核對(duì)象訪問(wèn)失敗

審核過(guò)程跟蹤 無(wú)審核

審核目錄服務(wù)訪問(wèn)失敗

審核特權(quán)使用失敗

審核系統(tǒng)事件 成功 失敗

審核賬戶登錄事件 成功 失敗

審核賬戶管理 成功 失敗

注：在設(shè)置審核登陸事件時(shí)選擇記失敗，這樣在事件查看器里的安全日志就會(huì)記錄登陸失敗的信息。

為保證服務(wù)器的安全，應(yīng)從哪些方面對(duì)自己的系統(tǒng)進(jìn)行加固

1、明確加固目標(biāo)

明確加固和優(yōu)化后的系統(tǒng)所要達(dá)到的安全級(jí)別。

2、明確系統(tǒng)運(yùn)行狀況

系統(tǒng)運(yùn)行的用途，系統(tǒng)正常運(yùn)行所需要的服務(wù)，從網(wǎng)絡(luò)掃描和人工評(píng)估中收集系統(tǒng)運(yùn)行狀況。

3、明確加固風(fēng)險(xiǎn)

風(fēng)險(xiǎn)包括停機(jī)、應(yīng)用不能正常使用、系統(tǒng)被破壞無(wú)法使用。

4、系統(tǒng)備份

備份包括文件系統(tǒng)、關(guān)鍵數(shù)據(jù)、配置信息、口令、用戶權(quán)限等內(nèi)容。

安全開發(fā)運(yùn)維必備的Nginx代理Web服務(wù)器性能優(yōu)化與安全加固配置

為了更好的指導(dǎo)部署與測(cè)試藝術(shù)升系統(tǒng)nginx網(wǎng)站服務(wù)器高性能同時(shí)下安全穩(wěn)定運(yùn)行,需要對(duì)nginx服務(wù)進(jìn)行調(diào)優(yōu)與加固;

本次進(jìn)行Nginx服務(wù)調(diào)優(yōu)加固主要從以下幾個(gè)部分：

本文檔僅供內(nèi)部使用，禁止外傳，幫助研發(fā)人員，運(yùn)維人員對(duì)系統(tǒng)長(zhǎng)期穩(wěn)定的運(yùn)行提供技術(shù)文檔參考。

Nginx是一個(gè)高性能的HTTP和反向代理服務(wù)器，也是一個(gè)IMAP/POP3/SMTP服務(wù)器。Nginx作為負(fù)載均衡服務(wù)器, Nginx 既可以在內(nèi)部直接支持 Rails 和 PHP 程序?qū)ν膺M(jìn)行服務(wù)，也可以支持作為 HTTP代理服務(wù)器對(duì)外進(jìn)行服務(wù)。

Nginx版本選擇:

項(xiàng)目結(jié)構(gòu):

Nginx文檔幫助:

Nginx首頁(yè)地址目錄: /usr/share/nginx/html

Nginx配置文件:

localtion 請(qǐng)求匹配的url實(shí)是一個(gè)正則表達(dá)式:

Nginx 匹配判斷表達(dá)式:

例如,匹配末尾為如下后綴的靜態(tài)并判斷是否存在該文件, 如不存在則404。

查看可用模塊編譯參數(shù)：

http_gzip模塊

開啟gzip壓縮輸出(常常是大于1kb的靜態(tài)文件)，減少網(wǎng)絡(luò)傳輸;

http_fastcgi_module模塊

nginx可以用來(lái)請(qǐng)求路由到FastCGI服務(wù)器運(yùn)行應(yīng)用程序由各種框架和PHP編程語(yǔ)言等。可以開啟FastCGI的緩存功能以及將靜態(tài)資源進(jìn)行剝離，從而提高性能。

keepalive模塊

長(zhǎng)連接對(duì)性能有很大的影響，通過(guò)減少CPU和網(wǎng)絡(luò)開銷需要開啟或關(guān)閉連接;

http_ssl_module模塊

Nginx開啟支持Https協(xié)議的SSL模塊

Linux內(nèi)核參數(shù)部分默認(rèn)值不適合高并發(fā),Linux內(nèi)核調(diào)優(yōu)，主要涉及到網(wǎng)絡(luò)和文件系統(tǒng)、內(nèi)存等的優(yōu)化，

下面是我常用的內(nèi)核調(diào)優(yōu)配置：

文件描述符

文件描述符是操作系統(tǒng)資源，用于表示連接、打開的文件，以及其他信息。NGINX 每個(gè)連接可以使用兩個(gè)文件描述符。

例如如果NGINX充當(dāng)代理時(shí)，通常一個(gè)文件描述符表示客戶端連接，另一個(gè)連接到代理服務(wù)器，如果開啟了HTTP 保持連接，這個(gè)比例會(huì)更低（譯注：為什么更低呢）。

對(duì)于有大量連接服務(wù)的系統(tǒng)，下面的設(shè)置可能需要調(diào)整一下：

精簡(jiǎn)模塊:Nginx由于不斷添加新的功能，附帶的模塊也越來(lái)越多,建議一般常用的服務(wù)器軟件使用源碼編譯安裝管理;

(1) 減小Nginx編譯后的文件大小

(2) 指定GCC編譯參數(shù)

修改GCC編譯參數(shù)提高編譯優(yōu)化級(jí)別穩(wěn)妥起見采用 -O2 這也是大多數(shù)軟件編譯推薦的優(yōu)化級(jí)別。

GCC編譯參數(shù)優(yōu)化 [可選項(xiàng)] 總共提供了5級(jí)編譯優(yōu)化級(jí)別：

常用編譯參數(shù):

緩存和壓縮與限制可以提高性能

NGINX的一些額外功能可用于提高Web應(yīng)用的性能，調(diào)優(yōu)的時(shí)候web應(yīng)用不需要關(guān)掉但值得一提，因?yàn)樗鼈兊挠绊懣赡芎苤匾?/p>

簡(jiǎn)單示例:

1) 永久重定向

例如，配置 http 向 https 跳轉(zhuǎn) (永久)

nginx配置文件指令優(yōu)化一覽表

描述:Nginx因?yàn)榘踩渲貌缓线m導(dǎo)致的安全問(wèn)題,Nginx的默認(rèn)配置中存在一些安全問(wèn)題,例如版本號(hào)信息泄露、未配置使用SSL協(xié)議等。

對(duì)Nginx進(jìn)行安全配置可以有效的防范一些常見安全問(wèn)題，按照基線標(biāo)準(zhǔn)做好安全配置能夠減少安全事件的發(fā)生,保證采用Nginx服務(wù)器系統(tǒng)應(yīng)用安全運(yùn)行;

Nginx安全配置項(xiàng)：

溫馨提示: 在修改相應(yīng)的源代碼文件后需重新編譯。

設(shè)置成功后驗(yàn)證:

應(yīng)配置非root低權(quán)限用戶來(lái)運(yùn)行nginx服務(wù),設(shè)置如下建立Nginx用戶組和用戶，采用user指令指運(yùn)行用戶

加固方法:

我們應(yīng)該為提供的站點(diǎn)配置Secure Sockets Layer Protocol (SSL協(xié)議)，配置其是為了數(shù)據(jù)傳輸?shù)陌踩琒SL依靠證書來(lái)驗(yàn)證服務(wù)器的身份，并為瀏覽器和服務(wù)器之間的通信加密。

不應(yīng)使用不安全SSLv2、SSLv3協(xié)議即以下和存在脆弱性的加密套件(ciphers), 我們應(yīng)該使用較新的TLS協(xié)議也應(yīng)該優(yōu)于舊的,并使用安全的加密套件。

HTTP Referrer Spam是垃圾信息發(fā)送者用來(lái)提高他們正在嘗試推廣的網(wǎng)站的互聯(lián)網(wǎng)搜索引擎排名一種技術(shù)，如果他們的垃圾信息鏈接顯示在訪問(wèn)日志中，并且這些日志被搜索引擎掃描，則會(huì)對(duì)網(wǎng)站排名產(chǎn)生不利影響

加固方法:

當(dāng)惡意攻擊者采用掃描器進(jìn)行掃描時(shí)候利用use-agent判斷是否是常用的工具掃描以及特定的版本,是則返回錯(cuò)誤或者重定向;

Nginx支持webdav，雖然默認(rèn)情況下不會(huì)編譯。如果使用webdav，則應(yīng)該在Nginx策略中禁用此規(guī)則。

加固方法: dav_methods 應(yīng)設(shè)置為off

當(dāng)訪問(wèn)一個(gè)特制的URL時(shí)，如"../nginx.status"，stub_status模塊提供一個(gè)簡(jiǎn)短的Nginx服務(wù)器狀態(tài)摘要,大多數(shù)情況下不應(yīng)啟用此模塊。

加固方法：nginx.conf文件中stub_status不應(yīng)設(shè)置為：on

如果在瀏覽器中出現(xiàn)Nginx自動(dòng)生成的錯(cuò)誤消息，默認(rèn)情況下會(huì)包含Nginx的版本號(hào),這些信息可以被攻擊者用來(lái)幫助他們發(fā)現(xiàn)服務(wù)器的潛在漏洞

加固方法: 關(guān)閉"Server"響應(yīng)頭中輸出的Nginx版本號(hào)將server_tokens應(yīng)設(shè)置為：off

client_body_timeout設(shè)置請(qǐng)求體（request body）的讀超時(shí)時(shí)間。僅當(dāng)在一次readstep中，沒有得到請(qǐng)求體，就會(huì)設(shè)為超時(shí)。超時(shí)后Nginx返回HTTP狀態(tài)碼408(Request timed out)。

加固方法：nginx.conf文件中client_body_timeout應(yīng)設(shè)置為：10

client_header_timeout設(shè)置等待client發(fā)送一個(gè)請(qǐng)求頭的超時(shí)時(shí)間（例如：GET / HTTP/1.1）。僅當(dāng)在一次read中沒有收到請(qǐng)求頭，才會(huì)設(shè)為超時(shí)。超時(shí)后Nginx返回HTTP狀態(tài)碼408(Request timed out)。

加固方法：nginx.conf文件中client_header_timeout應(yīng)設(shè)置為：10

keepalive_timeout設(shè)置與client的keep-alive連接超時(shí)時(shí)間。服務(wù)器將會(huì)在這個(gè)時(shí)間后關(guān)閉連接。

加固方法：nginx.conf文件中keepalive_timeout應(yīng)設(shè)置為：55

send_timeout設(shè)置客戶端的響應(yīng)超時(shí)時(shí)間。這個(gè)設(shè)置不會(huì)用于整個(gè)轉(zhuǎn)發(fā)器，而是在兩次客戶端讀取操作之間。如果在這段時(shí)間內(nèi)，客戶端沒有讀取任何數(shù)據(jù)，Nginx就會(huì)關(guān)閉連接。

加固方法：nginx.conf文件中send_timeout應(yīng)設(shè)置為：10

GET和POST是Internet上最常用的方法。Web服務(wù)器方法在RFC 2616中定義禁用不需要實(shí)現(xiàn)的可用方法。

加固方法:

limit_zone 配置項(xiàng)限制來(lái)自客戶端的同時(shí)連接數(shù)。通過(guò)此模塊可以從一個(gè)地址限制分配會(huì)話的同時(shí)連接數(shù)量或特殊情況。

加固方法：nginx.conf文件中l(wèi)imit_zone應(yīng)設(shè)置為：slimits $binary_remote_addr 5m

該配置項(xiàng)控制一個(gè)會(huì)話同時(shí)連接的最大數(shù)量，即限制來(lái)自單個(gè)IP地址的連接數(shù)量。

加固方法：nginx.conf 文件中 limit_conn 應(yīng)設(shè)置為: slimits 5

加固方法：

加固方法:

解決辦法:

描述后端獲取Proxy后的真實(shí)Client的IP獲取需要安裝--with-http_realip_module，然后后端程序采用JAVA(request.getAttribute("X-Real-IP"))進(jìn)行獲取;

描述: 如果要使用geoip地區(qū)選擇,我們需要再nginx編譯時(shí)加入 --with-http_geoip_module 編譯參數(shù)。

描述: 為了防止外部站點(diǎn)引用我們的靜態(tài)資源，我們需要設(shè)置那些域名可以訪問(wèn)我們的靜態(tài)資源。

描述: 下面收集了Web服務(wù)中常規(guī)的安全響應(yīng)頭, 它可以保證不受到某些攻擊,建議在指定的 server{} 代碼塊進(jìn)行配置。

描述: 為了防止某些未備案的域名或者惡意鏡像站域名綁定到我們服務(wù)器上, 導(dǎo)致服務(wù)器被警告關(guān)停，將會(huì)對(duì)業(yè)務(wù)或者SEO排名以及企業(yè)形象造成影響，我們可以通過(guò)如下方式進(jìn)行防范。

執(zhí)行結(jié)果:

描述: 有時(shí)你的網(wǎng)站可能只需要被某一IP或者IP段的地址請(qǐng)求訪問(wèn)，那么非白名單中的地址訪問(wèn)將被阻止訪問(wèn), 我們可以如下配置;

常用nginx配置文件解釋：

(1) 阿里巴巴提供的Concat或者Google的PageSpeed模塊實(shí)現(xiàn)這個(gè)合并文件的功能。

(2) PHP-FPM的優(yōu)化

如果您高負(fù)載網(wǎng)站使用PHP-FPM管理FastCGI對(duì)于PHP-FPM的優(yōu)化非常重要

(3) 配置Resin on Linux或者Windows為我們可以打開 resin-3.1.9/bin/httpd.sh 在不影響其他代碼的地方加入:-Dhttps.protocols=TLSv1.2, 例如

原文地址:

服務(wù)器安全加固 - Linux

查看 /etc/passwd 文件查看是否有無(wú)用的賬號(hào)，如果存在則刪除，降低安全風(fēng)險(xiǎn)。

操作步驟：

操作步驟：

操作步驟

操作步驟

使用命令 vim /etc/pam.d/su 修改配置文件，在配置文件中添加行。

例如，只允許admin組用戶su到root，則添加 auth required pam_wheel.so group=admin 。

【可選】為了方便操作，可配置admin支持免密sudo：在 /etc/sudoers 文件中添加 admin ALL=(ALL) NOPASSWD:ALL

為了防止使用"su"命令將當(dāng)前用戶環(huán)境變量帶入其它用戶，修改/etc/login.defs添加ALWAYS_SET_PATH=yes并保存。

操作步驟

操作步驟：

查看所有服務(wù)列表 systemctl list-units --type=service

操作步驟

使用命令 vim /etc/ssh/sshd_config 編輯配置文件。

配置文件修改完成后，重啟sshd服務(wù)生效（systemctl restart sshd）。

操作步驟

修改/etc/profile 配置文件，添加行 umask 027 ， 即新創(chuàng)建的文件屬主擁有讀寫執(zhí)行權(quán)限，同組用戶擁有讀和執(zhí)行權(quán)限，其他用戶無(wú)權(quán)限。

操作步驟

修改 /etc/profile 配置文件，設(shè)置為 TMOUT=600， 表示超時(shí)10分鐘無(wú)操作自動(dòng)退出登錄。

操作步驟

Linux系統(tǒng)默認(rèn)啟用以下類型日志，配置文件為 /etc/rsyslog.conf：

通過(guò)上述步驟，可以在 /var/log/history 目錄下以每個(gè)用戶為名新建一個(gè)文件夾，每次用戶退出后都會(huì)產(chǎn)生以用戶名、登錄IP、時(shí)間的日志文件，包含此用戶本次的所有操作（root用戶除外）

服務(wù)器安全加固 - Linux - wubolive - 博客園

網(wǎng)頁(yè)題目：服務(wù)器安全加固指導(dǎo) 服務(wù)器主機(jī)加固
鏈接分享：http://m.newbst.com/article32/dophdsc.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供網(wǎng)站營(yíng)銷、外貿(mào)建站、網(wǎng)站導(dǎo)航、企業(yè)網(wǎng)站制作、商城網(wǎng)站、

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來(lái)源： 創(chuàng)新互聯(lián)