我認為目前Linux的家庭用戶比較少，在用戶量方面Linux是敵不過Windows的，因為大部分游戲，應用軟件等都是基于win平臺VB,VC,C#等開發(fā)的，而且目前電腦初學者學習的教材方面大部分都是關(guān)于Windows的，至少這幾年，十幾年內(nèi)微軟應該還是win霸主。在Linux挖掘出一個漏洞，能通過利用此漏洞廣為傳播病毒的計算機感染數(shù)量很少，所以Linux的漏洞價值不是很高。而且玩Linux的高手我認為大部分是技術(shù)型的，不屑于去追求那些蠅頭小利以及炫耀什么，樂于開源以及分享自己最新的研究成果，這個原因也造就了如今Linux的安全性。

       Windows只要安全細節(jié)做得好，入侵成功的幾率是很低的。好了，廢話不多說了，下面進入正文，談談我對web服務器安全防護的經(jīng)驗和方案。

       這個安全防護方案正是我博客網(wǎng)站www.9170.org采用的防護方案，還有更高的防護方案以后再說（我提供一種思路，比如：一個外網(wǎng)IP開放VPN和NAT端口轉(zhuǎn)發(fā)，然后路由器里面的一臺計算機連接VPN，把80端口轉(zhuǎn)發(fā)到內(nèi)網(wǎng)，內(nèi)網(wǎng)又有一個MySQL內(nèi)網(wǎng)服務器）

方案如下：

系統(tǒng)平臺：

      Win2003sp2企業(yè)版，打上所有微軟發(fā)布的安全更新。

主要硬件：Intel雙核CPU,512M內(nèi)存

優(yōu)化設置：

關(guān)閉默認共享$admin,$c等,代碼如下:

net share c$ /delete

net share admin$ /delete

echo  .. delshare.reg .......

echo Windows Registry Editor Version 5.00> c:\delshare.reg

echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]>> c:\delshare.reg

echo "AutoShareWks"=dword:00000000>> c:\delshare.reg

echo "AutoShareServer"=dword:00000000>> c:\delshare.reg

echo  .. delshare.reg .....

regedit /s c:\delshare.reg

echo  .. delshare.reg ....

del c:\delshare.reg

新建文本文檔另存為.bat文件運行.

盡量不安裝任何應用軟件（如：迅雷，QQ等）安裝好殺毒軟件以及防火墻。

安裝winrar，關(guān)閉多余系統(tǒng)服務項（如自帶的防火墻，計劃任務，打印機等。注意：請根據(jù)服務器實際情況來關(guān)閉，如果不懂系統(tǒng)后臺服務不建議去修改?？梢詤⒖糷ttp://baike.baidu.com/view/685551.htm）

開機自啟的注冊表鍵值除輸入法外一般都可以刪除。

系統(tǒng)安全設置

磁盤都使用NTFS格式，如果是FAT32，請轉(zhuǎn)換。命令格式如：convert c:/fs:ntfs（命令默認是C盤，如果是別的分區(qū)，請修改盤符）對根目錄的權(quán)限值保留administrator、system完全權(quán)限，如圖所示：

Web根目錄只保留administrator、system、以及用來啟動該web的IIS用戶完全訪問權(quán)限。如圖所示：

Web根目錄只保留administrator、system、以及用來啟動該web的IIS用戶完全訪問權(quán)限。如圖所示：

CMD.EXE,NET.EXE,NET1.EXE,以及回收站目錄只保留administrator和system的完全權(quán)限，如圖所示：

刪除安裝IIS后生成的intepub目錄。目錄安全權(quán)限設置完畢。

PHP安全設置

由于此文說的是安全，跳過PHP安裝步驟。編輯PHP配置文件，用文本編輯器打開php.ini。做如下修改：
        safe_mode = On
        disable_functions = passthru, exec, shell_exec, system, fopen, mkdir, rmdir, chmod, unlink, dir, fopen, fread, fclose, fwrite, file_exists, closedir, is_dir, readdir, opendir, fileperms, copy, unlink, delfile, popen, COM

PHP使用network service這個用戶組啟動的，所以在PHP的安裝目錄我們需要給他權(quán)限，如圖所示：

至此PHP的安全設置已經(jīng)完畢。

MySQL安全設置

安裝好MySQL和phpmyadmin后使用root賬戶登錄，修改root為強密碼，最好是數(shù)字+大寫+小寫，如果記得住特殊符號也行。然后點權(quán)限，添加新用戶新建一個用戶，創(chuàng)建與用戶同名的數(shù)據(jù)庫并授予所有權(quán)限，不給予特殊權(quán)限。網(wǎng)站連接MySQL的用戶就使用這個新建的，千萬不要用root！如圖所示：

 

上傳目錄無執(zhí)行可讀取。

關(guān)閉未知的擴展等，最好在每個網(wǎng)站都用一個獨立用戶啟動，可以命名為IIS_***，對應每一個網(wǎng)站根目錄的權(quán)限，IIS允許匿名訪問，這樣可以防止別的網(wǎng)站跨目錄訪問

防護CC和DDOS攻擊

攻擊的原理就不說了，搜索引擎搜索一下就知道了，一般的CC攻擊都是WEB動態(tài)頁面發(fā)起的，而且會在短時間新建很多TCP端口連接，根據(jù)這個特征，我們可以安裝一個DDOS防火墻，設置規(guī)則，我使用的是冰盾，如圖所示是我設置的防護CC攻擊規(guī)則。

在端口過濾里面可以設置流量

這樣設置完以后就能防止DDOS以及CC攻擊。

而且能防止掃描軟件掃描WEB頁面和暴力破解后臺登陸（因為做了連接數(shù)過多屏蔽，一般的掃描和破解都是多線程開放很多端口同時進行，工具掃描的連接數(shù)過多就自動屏蔽了，增大安全性能）

最新評論