Windows Server 2003 虚拟主机的安全配置
Windows Server 2003 虚拟主机的安全配置
发布时间:2016-12-27 来源:查字典编辑
摘要:本人上次工作于某家网络公司.负责服务器的维护工作.现失业.经过一段时间的了解.自认为在构件Windows服务器平台上有所经验.鉴于现在很多朋...

本人上次工作于某家网络公司.负责服务器的维护工作.现失业.

经过一段时间的了解.自认为在构件Windows服务器平台上有所经验.

鉴于现在很多朋友都开始谋划属于自己的虚拟主机.并且呢.

网上相关文章都是很老的那种.所以自己冒昧准备写一系列.

希望各位多多指点.有问题有错误多多斧正.谢谢.

开头很严肃吧.呵呵.那下面就轻松点.哎.才跟GF去吃午饭了.撑的我.哎.老打嗝.

这人跟机器就一样.快的确是挺好.但是要稳定.服务器的稳定就好比谈恋爱的稳定.

否则一天三顿吵.外加吃个消夜.那就甭想好点工作了.呵呵.要建立稳定的恋爱关系.

那首先.基础很重要.人品.性格.爱好.对不对?那我们就先说硬件吧.

当然推荐品牌的服务器.DELL.IBM.都挺好.如果你跟我一样穷.那自己装一台也成.

主板非IWLL.ASUS.INTEL的不要.CPU当然要HTP4的.512DDR.装起来也凑合.

自己曾经用一PC做过一段时间的测试.如果硬件质量都过关.其实也非常强.

然后是重要的服务器操作系统.鉴于本人水平有限制.我们暂时不探讨REDHAT.

首推WindwosServer2003.尤其是安全性和IIS.比W2K要强很多.执行效率高.稳定安全.

在正式进入主题之前.套用FIRE的话作为整个工程的开场白:

"请不要尝试去攻击任何一台主机.因为你永远都无法知道.

你的对面的管理员.到底是一个天才还是一个伪装成白痴的天才."

装系统估计人人都会装.那我不多说.免得人说我骗稿费.在安装之前.我们还是要谈下服务器的分区.

跟PC分区还是有一点不同的.我按我以前自己做的分区设置罗列一下.下面的内容比较重要.

系统分区定在C盘.个人认为8G足够了.10G也行.NTFS格式.因为在2003下.非NTFS不能安装IIS.

权限保持默认.因为我曾经修改过一次系统盘的默认权限.结果不知道为什么系统就给崩了.55555.

软件分区定在D盘.8G到10G.主要安装辅助软件.WINRAR.日志检测软件.网络检测软件.Commview这类等.

至于MSN哦.QQ哦什么的.其实不推荐安装.为什么.当然会有点小隐患.推荐使用NTFS格式.

权限请保留ADMIN组和SYSTEM组.一共两个.其他的一律DEL掉.尤其是什么EVERYONE.

为什么.因为安装到系统中SYSTEM当然是必须具备.然后管理员要操作.所以要ADMIN组.

E盘我们做为服务器软件的安装分区.大小自己定义.包括CGI.PHP.ZEND.MYSQL.MSSQL.IMAIL.SERV-U等.

文件格式为NTFS.权限保留ADMIN组.SYSTEM组.和"IWAN_你的计算机名"这个帐号.一共三个.其他的DEL掉.

说明一下.这个"IWAN_你的计算机名"帐号.主要是负责操作应用程序地址池和服务器软件.比如PHP脚本.

F盘就可以做对外服务的分区.比如IIS的WEB服务.FTP空间.IMAIL邮件帐号空间.

建议建立三个文件夹:WEB.FTP和IMAIL.然后分门别类的放置每个软件的每个帐号的目录.

并且不继承F盘的父权限.独立来定制这三个目录的操作权限.具体我们下面说.

推荐权限为保留如下三个组:ADMIN组和SYSTEM组以及"USER_你的计算机名"这个帐号组.

"USER_你的计算机名"这个帐号组.权限为GUESTS.是匿名访问WEB服务器的默认帐号.

如果需要有写操作权限的另外建立个帐号.具体可以参考FSO分配这类文章.

G盘为FTA32格式.放置系统安装文件.日常工具软件的安装程序.系统备份.策略等等.

注意.敏感内容请通过第三方软件加密.以免病毒感染或者被黑客捆绑后门和木马.

如果条件允许就做异地备份.光盘或者磁带机备份.建议装个GHOST2003.对于重要内容可以做镜像文件.

到这里基本上比较合理的分配了空间.并且也考虑以后的拓展性.我们可以准备进入下面的环节了.

下面我们来说安装.哎哎.你.坐好.虽然我出去了一下.出去的一小下而已嘛.

你也要注意纪律.什么?说我只知道陪MM不写教程.你知道个啥.两手都要硬.明白不?

安装的情况.这个.一般情况下分两种.不排除有变态的第N种可能.

对了.有一期科幻世界上有一篇叫第九种可能的文章.挺不错的.哦哦.打住打住.

首先是升级.WINDOWS2003好象不支持WINDOWS2000PRO上的升级.

个人推荐还是别整什么升级的好.直接重新安装.免去了很多D版出现的妖异问题.

扫盲:妖异问题就是一些搞半天搞不好不知道怎么搞不好最后不知道怎么自己搞好或者是别人随便一搞就搞好的问题.

直接安装.如果你的系统是好的.我是说.可以进入系统并且可以使用CD-ROM的情况.

你可以选择直接在现有的系统上安装.然后选择重新安装.输入SN序列号.直接NEXT就可以了.

注意在安装的时候.如果你做对外的服务器就选择系统盘为NTFS格式.分区方案见上面的.

如果你是自己用.做本地调试或者是测试的.那就随便你怎么弄吧.只要你觉得舒服.

OK.下面来说一下纯DOS里面的安装.虽然是很OLD的内容.

在DOS里面要使用一个名为Smartdrv.exe的命令.

意思是增补磁盘高速缓存.什么意思?我不想跟IQ<70的人探讨技术问题.

这个命令可以在Windows98的安装目录里找到.直接执行就可以了.不需要增加参数.

执行结果以后是什么样?没什么样.你多执行几次就会看到效果了.知道不?

然后执行FORMATC:/S/Q切记.

如果你想保证你的WINDOWS2003以后能拥有DOS启动进入MS-DOS环境的话.

请一定按照我上面说的做.只要在安装WINDOWS20003之前把系统FORMAT以后.

以后安装完WINDOWS2003以后.可以通过如下方法进入纯DOS环境而不需要其他引导光盘.

启动计算机.按F8键.进入WINDOW2003SERVER的操作系统高级选择菜单.

选择带命令的安全模式然后选择MICROSOFTWINDWOS即可.

另外一个命令.说实话我也不知道是做什么用的.名为Lock.exe的命令.

看样子似乎是锁定.一般的用法是执行完Smartdrv.exe以后执行一个Lock.exeC:假设你要装到C盘.

Lock.exe命令-解释:

执行该程序可有效地锁住你的光驱.

使光驱上的EJECT键暂时失效.直至用UNLOCK.EXE或RESET.EXE程序解锁.

重新启动计算机也可使EJECT键再次生效.

LOCK.EXE的应用格式为:

LOCK[device]

其中device即CD-ROM的盘号.默认为第一光驱.

总结一下流程.HOHO.

1.修改CMOS为CD-ROM引导.不会?那一边凉快去.

2.放入Windows98引导光盘.进入Dos模式.进入Windows98安装目录.执行Smartdrv.exe和Lock.exeC:

3.弹出光盘.更换一张Windows2003Server的安装光盘.进入I386目录.执行Winnt.exe

好了.开始安装了.随便说一句.在安装的时候请不要设置Administrator的密码.就为Null空着.

为什么.你不听我话算了.以后出现问题了别找我.也不要怪我没说.

下面就进入最关键的环节了.大家振作精神.

如果你硬盘空间足够的话.并且现在时间也比较充足.那我推荐下面的步骤.

1.重新启动系统.按F8.进入命令提示的模式.选择MICROSOFTWINDWOS.

2.进入DOS以后.启动GHOST.做个WINDOWS2003C盘的GHO文件.放到FAT32分区上.

关于第一点.请认真参看上面关于在WINDOWS2003上进入纯DOS的内容.

如果你没有按我前面说的做.那就使用CD-ROM引导.然后修改CMOS启动.进入DOS环境.

做好GHO文件以后.就不怕以后万一崩溃以后重新安装的麻烦.

当然.你也可以把"小白"更新WindowsUpdate以后做GHO.

本人推荐把干净的系统通过更新WindowsUpdate以后.什么都不做.然后直接GHOST做GHO.不过前提是你比较了解系统.

下面继续.GOGO.

把NIC卡.也就是网卡啦.禁用.然后设置好IP和DNS.GATEWAY.不要启用.切记.

为什么?因为如果你SERVER.那当然你一旦设置好NIC信息就可以上网了.但是在安装的时候没有设置ADMINISTRATORS的密码.

所以连入网络就会不安全.别说一会儿没事.我们不能保证无聊的人在窥视你的网络.呵呵.万一遇到个瞎猫也不好嘛.

现在服务器暂时无法连通任何网络.

这样可以防止裸机被冲击波或者HACKER扫描.

可以说是安全的.推荐这个时候操作人员不要离开工作台.呵呵.

下面高举注册表和组策略大法.开始我们的核心之旅途.

在开始之前.我想说的是.我们必须深入了解这台服务器的用途.

每种用途针对不同的设置和部署策略.只有最合适的也才可能是最安全的.

按我下面的例子继续展开.GO.

我选了一个比较典型的例子.比如一台服务器.准备作为WEB+FTP+MAIL服务.

分细致一点列在下面:

1.WEB当然是使用IIS6.0支持ASP.PHP.CGI脚本.

2.FTP使用SERV-U5.0中文版

3.MAIL使用IMAIL8.02中文版

4.数据库使用MYSQL数据库.当然是5.0版本的.PHP也用5.0.

5.其他的.比如ZEND.JMAIL一律使用官方最新版本.

上面这类软件推荐在官方网站下载.或者是去www.SKYCN.NET下载.

按照上面的列表.我们可以得到最后的结果.开放端口如下:

80=>WEB

21=>FTP

25=>MAIL

110=>MAIL

3389=>终端服务

8383=>MAILWEB

我们可以按照上面的.以后做个可靠的IP和PORT策略.

即除了上面的TCPPORT.一律给予BLOCK.

当然了.推荐也将ICMPECHO给予关闭.

如果你需要远程管理.推荐使用PCANYWHERE或者WIN的终端服务或者WINVNC.

该例子我们选用了WINDOWS2003的终端服务.所以上面开放了3389端口.

随便说一下.网上有很多人很多教材推荐要通过注册表修改终端服务的端口.

这里我想说的是.根本不需要.完全是杞人忧天.自己耽误工夫.

对于现在的SP4的W2K或者是WINDOWS2003.

终端服务已经非常完善和安全.如果一个管理员通过合理和正确的配置.

完全可以让服务器.我是说.裸机.暴露在网上承受每天10W次的扫描和尝试攻击.

除脚本漏洞以外.几乎是没有什么安全

推荐文章
猜你喜欢
附近的人在看
推荐阅读
拓展阅读
相关阅读
网友关注
最新Windows2003学习
热门Windows2003学习
操作系统子分类