首页 | 邮件资讯 | 技术教程 | 解决方案 | 产品评测 | 邮件人才 | 邮件博客 | 邮件系统论坛 | 软件下载 | 邮件周刊 | 热点专题 | 工具
网络技术 | 操作系统 | 邮件系统 | 客户端 | 电子邮箱 | 反垃圾邮件 | 邮件安全 | 邮件营销 | 移动电邮 | 邮件软件下载 | 电子书下载

邮件网络安全

系统安全 | 邮件软件漏洞 | 攻防技术 | 安全基础 | 病毒公告 | 病毒查杀 | Forefront/TMG/ISA | 防火墙 | 数字签名 |
首页 > 邮件网络安全 > 攻防技术 > 配置安全服务器抵御现阶段流行攻击 > 正文

配置安全服务器抵御现阶段流行攻击

出处:黑客防线 作者:黑客防线 时间:2006-5-13 8:30:00

适合读者:网络管理员、服务器维护员、入侵者

前置知识:Windows基本操作

刘流:最近脚本攻击还是闹得沸沸扬扬,NBSI2的不断升级,新的注入方法和各种系统漏洞的出现,加上LCX又趁乱公布了海洋2005,所以攻击事件是越来越多。最近黑防技术咨询电话是天天叫个不停,中饭时间长期占线。没办法,只好策划了本期的这篇服务器配置文章,重点在现在网管们头大的虚拟主机的安全设置、各种软件的安全设置、完整的权限配置等方面,文章很简明,需要注意的都涉及到了,而且有些自己的看法,希望以后遇到麻烦的网管朋友们少些——当然,我们的电话就少些,毕竟我们得吃饭啊!上帝、佛主一起保佑……


配置安全服务器抵御现阶段流行攻击

    本人的工作是做软件开发,业务爱好研究网络安全,前些日子受朋友所托,为他们安装一台服务器并放在Internet上,要求如下:

6个站点的WWW服务,其中有几个是采用了动易、动网等源代码已经公布的系统建立的;
6个站点,两个需要SQL Server服务;
6个站点,需要各自独立的ftp和mail服务。

    安装软件、建立站点很容易,最头痛的是安全问题。网络时代,黑客工具泛滥,稍微肯花前时间和工夫的人,只要善于利用工具,就可以做个小小的“工具黑客”。可惜黑客好找,安全专家难寻,关于网络安全的文章,去网上一搜索都是一鳞半爪,东一榔头西一捶。无奈,我只好自己摸索,著成此文,希望可以帮助大家。

    规划

    在安装之前,我们要做好仔细的规划,服务器硬件且不管,考虑其它:

    1.采用软件

经考虑使用软件如下:
操作系统采用Windows 2000 Server;
数据库除Access已经支持外,另安装SQL Server 2000;
WWW服务采用Windows 2000 Server自带的IIS服务;
FTP系统采用Serv-U FTP Server;
Mail系统采用Imail;
杀毒软件采用Norton AntiVirus;
防火墙采用Norton Client FireWall;
工具软件包括:WinRar、Jmail、PcanyWhere;
以上软件均采用最新版本。

    由于本人没接触过Linux系统,这里就放弃了Linux,可能老手会觉得Linux系统比Windows 2000 更安全,但如果由一个新手来做,我想比用Windows 2000更危险,不能拿别人的服务器冒险。其它的软件尽量采用有品牌有知名度的软件。在杀毒软件上,我犹豫了很久,想采用国产软件,如瑞星、江民,不过最终还是放弃了。杀毒软件、防火墙、远程管理三种软件均采用Symantec有一好处,更新时只需要一次LiveUpdate,三种软件均更新到最新版本。

    2.硬盘分区规划

    硬盘分区是一件重要的事,原则是尽量把各服务分别放在不同的分区中,便于管理和维护。经过分析,决定分为C、D、E、F四大分区,均采用NTFS格式。
 C区:操作系统及软件安装区;
 D区:WWW站点服务区,包括数据库数据文件也存储在此区;
 E区:Mail服务区,所有的Mail方面的数据均放在此区;
 F区:备份及杂物区,包括服务器驱动程序、各软件的安装程序备份、日常数据的备份均在此区。

    3.准备笔记本一只,笔一根,以备记录时用,呵呵。

    软件安装

    1.安装Windows 2000 Server

这里就不多废话了,按照正常步骤安装,注意几点:
1)安装目录不要选择默认的C:\Winnt,改个其它的名字,譬如C:\wfidkn。
2)由于另选了FTP和Mail服务软件,所以IIS中我们只需要选择WWW服务、Internet管理器、公用文件三项就足够了,
安装完毕后,以Administrator身份登陆,安装服务器驱动。安装各个软件,如果需要设置密码的地方,一定要设置一个复杂密码并用本子记录。至此,各个软件安装完毕,下一步就要进行安全设置,这是最重要的,也是最痛苦的一件事,稍有不慎,就会被黑客钻了空子。

    安全配置

    1.为了防止病毒入侵,在安装上最新的SP4之前千万不要接入网络中,先手工给Windows 2000 安装上最新的SP4补丁,然后接入网络,设置好本机IP、子网掩码、网关和DNS服务器地址,立刻启动Norton的LiveUpdate,更新病毒库到最新的版本,用杀毒软件挡一挡先。

    2.安装Windows补丁(一个漫长的过程),在“开始”菜单上启动Windows Update,按照提示,一步一步的选择,安装。很多补丁是不能同时安装,所以要多次安装,每次安装完毕后,一定要重启,再重新启动Windows Update。很多时候,安装了前一个补丁又会带出一大串补丁要安装,所以一定要检查到Windows Update检查完,不需要安装补丁了,才能停止。

    3.安装其它软件的补丁。先看SQL Server 2000,开动IE,直奔微软站点,SQL Server 2000最新的是SP3补丁,下载安装。安装完毕,重启后一定要检查SQL Server 2000是否装上了SP3。具体检查方法如下:开始->程序->Microsoft SQL Server->企业管理器,找到Local,点鼠标右键,选择属性,在“常规”栏中可以看到有一项产品版本,如果打了SP3补丁的会显示SP3字样。

    4.再看看其它的软件。Serv-U FTP Server和Imail Server,到其官方站点查看(好象最新的版本都没有补丁)。

    5.处理计算机用户与组。在管理工具中选择计算机管理,点“本地用户和组”,给administrator用户改名,鼠标右键选中administrator,选择重命名,自行设置新的登陆名,譬如改为adefyyu,并设置一个复杂的密码。删除掉Guest用户。此时系统中应该只有5个用户,除了administrator、Iuser、Iwam外,另有两个用户分别是SQLDebugger和TsInternetUser。如果还有其它用户,在查看后如果觉得不重要,建议删除。对用户与组做快照,可笔录也可用软件,记录下当前有哪些组,组中有哪些用户。

    6.设置磁盘目录访问权限。设置目录访问权限的目的在于即使黑客攻进了某个网站,它也只能在该网站目录范围内活动,不能对其它地方进行读写文件操作。这步很重要,因为服务器要求提供ADO、FSO、JMail和XMLHTTP四个组件服务(第四个应用范围不是很广,但是动易系统要)。鼠标右键选择C盘,属性,找到安全选项,添加Administrator用户或Administrators组,并赋予全部权限控制,删除掉EveryOne(如图1所示)。


配置安全服务器抵御现阶段流行攻击


(图1:设置目录访问权限)

   点选此选项卡中的“高级”按钮,如下图2所示。

配置安全服务器抵御现阶段流行攻击
 
(图2:应用权限控制设置)

    复选“重置所有子对象的权限并允许传播可继承权限”,点“确定”,将此权限控制应用到C盘下所有的目录,对D、E、F分区重复以上的操作。此时,整个硬盘只归Administrator管了,接下了要给其它用户分配一些权限了,不然别的用户就不能访问网站、上传文件和收发邮件了。
C:\Program Files\Common Files\System下的ado和oledb两个目录;Windows 2000安装目录下的System32、temp和Internet Logs三个目录:在以上目录的安全选项卡中,添加Iuser、Iwam用户的“读取及运行”、“列出文件目录”、“读取”三项权限,如果嫌找这些用户麻烦,可直接添加Everyone,(如图3所示)。

配置安全服务器抵御现阶段流行攻击
 
(图3:添加其它用户的访问控制)

    D区是WWW服务区,各个站点的目录均要独立设置。添加Iuser、Iwam用户的“完全控制”、“修改”、“读取及运行”、“列出文件目录”、“读取”、“写入”三项权限,以保证站点能正常运行。这样我们的服务器就提供了Ado、FSO、Jmail和XMLHTTP组件功能了,并且其使用范围也做了限制。

    7.处理服务。管理工具中,选择“服务“,停止Alerter、Fax Service、Messenger、Remote Access Auto Connection Manager、Remote Registry Service、SQLSERVERAGENT、Task Scheduler、Telnet、Terminal Services、RunAs Service服务并设置为“禁用”。以上服务有些是从安全角度来是禁止的,有的是从服务器效率角度来禁止的。对于其它服务也要谨慎处理,仔细查看每一项服务所对应的执行文件并记录下来,以备将来如果出现问题时进行对照。

    8.设置审核策略、本地策略、安全选项。在管理工具中选择“本地安全策略”,打开“本地策略”下的“审核策略”,修改成如图4所示。

配置安全服务器抵御现阶段流行攻击


 (图4:设置本地安全策略)

    以上的操作,如果有黑客进行攻击的话,会进行有效的记录。本来还需要进行“用户权利指派”方面的修改的,不过默认情况下已经比较安全了,加上我们又有防火墙,所以不做了。

    9.设置Tcp/IP。打开“本地连接”属性,在“此连接使用下列选定的组件”中,只保留“Internet协议(TCP/IP)”一项。再选中“Internet协议(TCP/IP)”,点“属性”按钮,再点“高级”按钮,在“高级TCP/IP设置”对话框下,选择WINS,去掉“启用LMHOSTS查询”前的复选,并选中“禁用TCP/IP上的NetBIOS”,点确定。本来可以在“高级TCP/IP设置”中可以通过“IP安全机制”和“TCP/IP筛选”进行更高层访问安全设置,一来不是特别熟悉,二来已经有了防火墙,所以偷懒一下,等下次熟悉后,再来进行此项设置。

    10.处理SQL Server 2000安全问题。在SQL Server 2000安装目录下的\MSSQL\Binn文件夹中,有一个危险的Dll组件,就是xplog70.dll,将它改名或彻底删除,均可。

小提示:去掉了这个组件后,SQL Server 2000中数据库的属性就打不开了。

    11.设置www服务。选择管理工具中的Internet服务管理器,先删除掉默认站点,然后选择机器名,鼠标右键,选择“属性”,在“Internet信息服务”栏下,“主属性”选择WWW服务,点其右边的“编辑”按钮,进行站点默认属性的配置。修改以下几处:“主目录”选项卡下,点“配置”按钮,“应用程序映射”选项卡下,除了asp与asa外一律删除;“应用程序选项”选项卡下,有一个“启用父路径”复选框,如果你的站点没有用到“../”这样的东西,可将此复选框去掉;“应用程序调试”选项卡下,“脚本错误消息”选择“发送文本错误消息给客户”。点“确定”按钮保存设置,继续以下操作。“文档”选项卡下,去除不需要的默认文档名,添加新的默认文档名。

    12.在设置完站点默认属性后,就可以开始创建站点了,创建的站点均会继承默认属性,不需要再一个一个修改。创建完站点后,可再选择机器名,鼠标右键,选择“备份/还原配置”,进行站点设置信息的备份,以后若有问题,可用此备份文件直接还原,不需要再耗费功夫一个一个设置。设置完之后,可逐个站点浏览一次,以防失误。建议对站点的名称、域名、路径均笔录下来。

    13.设置FTP服务和Imail服务。Serv-U网上的教程很多,不再赘述,说明两点。一是在其“常规”设置中,复选“拦截FTP_bounce攻击和FXP”选项,以防不测,其它的各项默认均可。二是对于FTP用户,一律不准给“执行”权限,并且限制其访问目录,并设置配额。

    14.Imail网上也有很多教程,也不再多说了。

    15.设置Pcanywhere软件,在Pcanywhere中设置一个呼叫者,并对呼叫者设置一个复杂密码,在Windows 2000之外再加一组访问控制。设置完毕后,在另一台机器上测试一下,看是否成功。

    16.添加防火墙访问规则。打开Symantec Client FireWall软件,点开客户端防火墙,选择“Internet 访问控制”,选择“添加”按钮,执行以下操作:添加可以访问Internet的软件,主要有以下几个:

dllhost.exe(以备xmlhttp组件访问外部网站)
iexplore.exe
lsass.exe
Imail下的几个执行文件(以备收发邮件)
Serv-U下的几个执行文件
Symantec下的LiveUpdate、awhost32.exe(以备pcanywhere能响应远端的连接)
添加不能访问Internet的软件,主要有以下几个:
sqlmangr.exe
sqlservr.exe(SQL Server 2000的外部连接响应)

刘流:其实我们不用主动添加,只需要进行收发邮件操作、FTP传文件、访问网站等相应的操作,防火墙均会提示我们如何配置其访问规则,不过Awhost32.exe需要手工添加,千万不要忘记。


操作结果如下图所示(如图5所示)。

配置安全服务器抵御现阶段流行攻击


(图5:添加Internet访问控制)


再选择“配置”按钮,选择“系统范围的设置”,设置访问规则,如下图6所示。

配置安全服务器抵御现阶段流行攻击
 
(图6:设置系统访问规则)


点“添加”按钮,出现“添加规则向导”对话框,按照向导一步一步的做即可添加。规则示例如下:

配置安全服务器抵御现阶段流行攻击


    规则是按照先后顺序进行检查,所以还要考虑好顺序问题。一般情况下,允许访问的规则在前,禁止访问的规则在后,先在笔记本上照此表设计好访问规则,然后逐项添加。设置好规则后,一定要对WWW、FTP、Mail、Pcanywhere服务逐个测试,不能有丝毫疏忽。

    最后还要检查客户端防火墙下入侵检测选项卡中的“启用入侵检测”、“启用自动禁止”两个复选框要选中,以策完全,如下图7所示。

配置安全服务器抵御现阶段流行攻击
 
(图7:检查入侵检测选项卡)

    用最新的扫描工具进行站点扫描。到这一步服务器设置算是告一段落,不过我们还是不能掉以轻心,立刻寻找最新的扫描工具,对站点进行攻击性扫描。先关掉防火墙,然后进行扫描,我用的是X-scan,扫描结果,还是发现了三处漏洞,赶紧想办法补上,补完之后再扫描,直到扫描不到漏洞为止。再开启防火墙进行扫描,一般情况下,有了防火墙后就不会有漏洞了,不过还是扫描一遍放心。

    17.备份网站程序和数据库等。扫描完毕,把网站程序和数据库备份到F盘,然后就可以把机器搬到电信机房了。

   18.做进程快照和服务快照。在机房里接入网络,启动服务器,登陆进去后,对当前进程和已启动服务做快照,以后维护时可进行对照,然后再让远程机器用Pcanywhere登陆一次,如果一切都正常,可注销用户,至此,安全设置基本告一段落,以后就是日常的维护工作,我也列了几条:

    登陆后检查以下内容:用户和组、已启动的服务、当前进程列表、日志、最近一周新建立的文件(针对各个站点进行查询)、另外还要不定期检查各个安装软件的补丁和动易、动网等系统的补丁情况。

    做好了以上工作后,基本可保证服务器安全了,当然,如果碰到技术非常厉害的黑客,我估计服务器也经不住攻击,不过,千年一遇,真碰到了,我也认了。

相关文章 热门文章
  • 恶意入侵者利用Gmail等发起精准性攻击
  • IMF系统遭黑客攻击 部分电子邮件和文档丢失
  • 避免AD攻击 防止密码破解和其它常用目录攻击
  • 终结邮件服务器攻击 采取措施阻止拒绝服务攻击和目录收集攻击
  • Exchange Server阻止账户搜索攻击
  • 2011年垃圾邮件及钓鱼攻击趋势预测
  • 赛门铁克锁定攻击源 263企业邮箱反垃圾邮件解锁危机
  • 弱密码让Hotmail频遭钓鱼攻击
  • 详解DDoS攻击实施的六大方法
  • 思科:从路由和交换机入手应对Dos攻击
  • 梭子鱼巧妙应对电子邮件退信攻击
  • 25%企业遭受过恶意软件攻击
  • 宽带ADSL密码破解大全
  • ADSL帐号被盗处理全程
  • 流行的漏洞入侵(一)
  • IE主页被强行修改的解决办法
  • 教你怎样轻松破解密码
  • QQ被盗的原因及防范手段
  • 五种windows密码设置及破解
  • IIS的十七个常见漏洞
  • 揭秘盗取QQ密码木马
  • 12种常用密码破解方法详解
  • 破解email账号的方法(菜鸟篇)
  • MAC地址全接触之豪“夺”
  • 自由广告区
     
    最新软件下载
  • SharePoint Server 2010 部署文档
  • Exchange 2010 RTM升级至SP1 教程
  • Exchange 2010 OWA下RBAC实现的组功能...
  • Lync Server 2010 Standard Edition 标..
  • Lync Server 2010 Enterprise Edition...
  • Forefront Endpoint Protection 2010 ...
  • Lync Server 2010 Edge 服务器部署文档
  • 《Exchange 2003专家指南》
  • Mastering Hyper-V Deployment
  • Windows Server 2008 R2 Hyper-V
  • Microsoft Lync Server 2010 Unleashed
  • Windows Server 2008 R2 Unleashed
  • 今日邮件技术文章
  • 腾讯,在创新中演绎互联网“进化论”
  • 华科人 张小龙 (中国第二代程序员 QQ...
  • 微软推出新功能 提高Hotmail密码安全性
  • 快压技巧分享:秒传邮件超大附件
  • 不容忽视的邮件营销数据分析过程中的算..
  • 国内手机邮箱的现状与未来发展——访尚..
  • 易观数据:2011Q2中国手机邮箱市场收入..
  • 穿越时空的爱恋 QQ邮箱音视频及贺卡邮件
  • Hotmail新功能:“我的朋友可能被黑了”
  • 入侵邻居网络发骚扰邮件 美国男子被重..
  • 网易邮箱莫子睿:《非你莫属》招聘多过..
  • 中国电信推广189邮箱绿色账单
  • 最新专题
  • 鸟哥的Linux私房菜之Mail服务器
  • Exchange Server 2010技术专题
  • Windows 7 技术专题
  • Sendmail 邮件系统配置
  • 组建Exchange 2003邮件系统
  • Windows Server 2008 专题
  • ORF 反垃圾邮件系统
  • Exchange Server 2007 专题
  • ISA Server 2006 教程专题
  • Windows Vista 技术专题
  • “黑莓”(BlackBerry)专题
  • Apache James 专题
  • 分类导航
    邮件新闻资讯:
    IT业界 | 邮件服务器 | 邮件趣闻 | 移动电邮
    电子邮箱 | 反垃圾邮件|邮件客户端|网络安全
    行业数据 | 邮件人物 | 网站公告 | 行业法规
    网络技术:
    邮件原理 | 网络协议 | 网络管理 | 传输介质
    线路接入 | 路由接口 | 邮件存储 | 华为3Com
    CISCO技术 | 网络与服务器硬件
    操作系统:
    Windows 9X | Linux&Uinx | Windows NT
    Windows Vista | FreeBSD | 其它操作系统
    邮件服务器:
    程序与开发 | Exchange | Qmail | Postfix
    Sendmail | MDaemon | Domino | Foxmail
    KerioMail | JavaMail | Winwebmail |James
    Merak&VisNetic | CMailServer | WinMail
    金笛邮件系统 | 其它 |
    反垃圾邮件:
    综述| 客户端反垃圾邮件|服务器端反垃圾邮件
    邮件客户端软件:
    Outlook | Foxmail | DreamMail| KooMail
    The bat | 雷鸟 | Eudora |Becky! |Pegasus
    IncrediMail |其它
    电子邮箱: 个人邮箱 | 企业邮箱 |Gmail
    移动电子邮件:服务器 | 客户端 | 技术前沿
    邮件网络安全:
    软件漏洞 | 安全知识 | 病毒公告 |防火墙
    攻防技术 | 病毒查杀| ISA | 数字签名
    邮件营销:
    Email营销 | 网络营销 | 营销技巧 |营销案例
    邮件人才:招聘 | 职场 | 培训 | 指南 | 职场
    解决方案:
    邮件系统|反垃圾邮件 |安全 |移动电邮 |招标
    产品评测:
    邮件系统 |反垃圾邮件 |邮箱 |安全 |客户端
    广告联系 | 合作联系 | 关于我们 | 联系我们 | 繁體中文
    版权所有:邮件技术资讯网©2003-2010 www.5dmail.net, All Rights Reserved
    www.5Dmail.net Web Team   粤ICP备05009143号