Windows Server 2003 虚拟主机的安全配置

本人上次工作于某家网络公司.负责服务器的维护工作.现失业.
经过一段时间的了解.自认为在构件Windows服务器平台上有所经验.
鉴于现在很多朋友都开始谋划属于自己的虚拟主机.并且呢.
网上相关文章都是很老的那种.所以自己冒昧准备写一系列. 
希望各位多多指点.有问题有错误多多斧正.谢谢.
开头很严肃吧.呵呵.那下面就轻松点.哎.才跟GF去吃午饭了.撑的我.哎.老打嗝.
这人跟机器就一样.快的确是挺好.但是要稳定.服务器的稳定就好比谈恋爱的稳定.
否则一天三顿吵.外加吃个消夜.那就甭想好点工作了.呵呵.要建立稳定的恋爱关系.
那首先.基础很重要.人品.性格.爱好.对不对?那我们就先说硬件吧.
当然推荐品牌的服务器.DELL.IBM.都挺好.如果你跟我一样穷.那自己装一台也成.
主板非IWLL.ASUS.INTEL的不要.CPU当然要HT P4的.512 DDR.装起来也凑合.
自己曾经用一PC做过一段时间的测试.如果硬件质量都过关.其实也非常强.
然后是重要的服务器操作系统.鉴于本人水平有限制.我们暂时不探讨REDHAT.
首推Windwos Server 2003.尤其是安全性和IIS.比W2K要强很多.执行效率高.稳定安全.
在正式进入主题之前.套用FIRE的话作为整个工程的开场白:
"请不要尝试去攻击任何一台主机.因为你永远都无法知道.
你的对面的管理员.到底是一个天才还是一个伪装成白痴的天才."
装系统估计人人都会装.那我不多说.免得人说我骗稿费.在安装之前.我们还是要谈下服务器的分区.
跟PC分区还是有一点不同的.我按我以前自己做的分区设置罗列一下.下面的内容比较重要.
系统分区定在C盘.个人认为8G足够了.10G也行.NTFS格式.因为在2003下.非NTFS不能安装IIS.
权限保持默认.因为我曾经修改过一次系统盘的默认权限.结果不知道为什么系统就给崩了.55555.
软件分区定在D盘.8G到10G.主要安装辅助软件.WINRAR.日志检测软件.网络检测软件.Commview这类等.
至于MSN哦.QQ哦什么的.其实不推荐安装.为什么.当然会有点小隐患.推荐使用NTFS格式.
权限请保留ADMIN组和SYSTEM组.一共两个.其他的一律DEL掉.尤其是什么EVERYONE.
为什么.因为安装到系统中SYSTEM当然是必须具备.然后管理员要操作.所以要ADMIN组.
E盘我们做为服务器软件的安装分区.大小自己定义.包括CGI.PHP.ZEND.MYSQL.MSSQL.IMAIL.SERV-U等.
文件格式为NTFS.权限保留ADMIN组.SYSTEM组.和"IWAN_你的计算机名"这个帐号.一共三个.其他的DEL掉.
说明一下.这个"IWAN_你的计算机名"帐号.主要是负责操作应用程序地址池和服务器软件.比如PHP脚本.
F盘就可以做对外服务的分区.比如IIS的WEB服务.FTP空间.IMAIL邮件帐号空间.
建议建立三个文件夹: WEB.FTP和IMAIL.然后分门别类的放置每个软件的每个帐号的目录.
并且不继承F盘的父权限.独立来定制这三个目录的操作权限.具体我们下面说.
推荐权限为保留如下三个组: ADMIN组和SYSTEM组以及"USER_你的计算机名"这个帐号组.
"USER_你的计算机名"这个帐号组.权限为GUESTS.是匿名访问WEB服务器的默认帐号.
如果需要有写操作权限的另外建立个帐号.具体可以参考FSO分配这类文章.
G盘为FTA32格式.放置系统安装文件.日常工具软件的安装程序.系统备份.策略等等.
注意.敏感内容请通过第三方软件加密.以免病毒感染或者被黑客捆绑后门和木马.
如果条件允许就做异地备份.光盘或者磁带机备份.建议装个GHOST 2003.对于重要内容可以做镜像文件.
到这里基本上比较合理的分配了空间.并且也考虑以后的拓展性.我们可以准备进入下面的环节了.
下面我们来说安装.哎哎.你.坐好.虽然我出去了一下.出去的一小下而已嘛.
你也要注意纪律.什么?说我只知道陪MM不写教程.你知道个啥.两手都要硬.明白不?
安装的情况.这个.一般情况下分两种.不排除有变态的第N种可能.
对了.有一期科幻世界上有一篇叫第九种可能的文章.挺不错的.哦哦.打住打住.
首先是升级.WINDOWS 2003好象不支持WINDOWS 2000 PRO上的升级.
个人推荐还是别整什么升级的好.直接重新安装.免去了很多D版出现的妖异问题.
扫盲: 妖异问题就是一些搞半天搞不好不知道怎么搞不好最后不知道怎么自己搞好或者是别人随便一搞就搞好的问题.
直接安装.如果你的系统是好的.我是说.可以进入系统并且可以使用CD-ROM的情况.
你可以选择直接在现有的系统上安装.然后选择重新安装.输入SN序列号.直接NEXT就可以了.
注意在安装的时候.如果你做对外的服务器就选择系统盘为NTFS格式.分区方案见上面的.
如果你是自己用.做本地调试或者是测试的.那就随便你怎么弄吧.只要你觉得舒服.
OK.下面来说一下纯DOS里面的安装.虽然是很OLD的内容.
在DOS里面要使用一个名为 Smartdrv.exe 的命令.
意思是增补磁盘高速缓存.什么意思?我不想跟 IQ < 70 的人探讨技术问题.
这个命令可以在 Windows 98 的安装目录里找到.直接执行就可以了.不需要增加参数.
执行结果以后是什么样?没什么样.你多执行几次就会看到效果了.知道不?
然后执行 FORMAT C: /S/Q 切记.
如果你想保证你的 WINDOWS 2003 以后能拥有 DOS 启动进入 MS-DOS 环境的话.
请一定按照我上面说的做.只要在安装 WINDOWS 20003 之前把系统 FORMAT 以后.
以后安装完 WINDOWS 2003 以后.可以通过如下方法进入 纯DOS 环境而不需要其他引导光盘.
启动计算机.按 F8 键.进入 WINDOW 2003 SERVER 的操作系统高级选择菜单.
选择 带命令的安全模式 然后选择 MICROSOFT WINDWOS 即可.
另外一个命令.说实话我也不知道是做什么用的.名为 Lock.exe 的命令.
看样子似乎是锁定.一般的用法是执行完 Smartdrv.exe 以后执行一个 Lock.exe C: 假设你要装到C盘.
Lock.exe命令 - 解释:
执行该程序可有效地锁住你的光驱.
使光驱上的EJECT键暂时失效.直至用UNLOCK.EXE或RESET.EXE程序解锁.
重新启动计算机也可使EJECT键再次生效.
LOCK.EXE的应用格式为:
LOCK [device]
其中device即CD-ROM的盘号.默认为第一光驱.
总结一下流程.HOHO.
1. 修改 CMOS 为 CD-ROM 引导.不会?那一边凉快去.
2. 放入 Windows 98 引导光盘.进入Dos模式.进入 Windows 98 安装目录.执行 Smartdrv.exe 和 Lock.exe C:
3. 弹出光盘.更换一张 Windows 2003 Server 的安装光盘.进入 I386 目录.执行 Winnt.exe
好了.开始安装了.随便说一句.在安装的时候请不要设置Administrator的密码.就为 Null 空着.
为什么.你不听我话算了.以后出现问题了别找我.也不要怪我没说.
下面就进入最关键的环节了.大家振作精神.
如果你硬盘空间足够的话.并且现在时间也比较充足.那我推荐下面的步骤.
1. 重新启动系统.按F8.进入命令提示的模式.选择 MICROSOFT WINDWOS.
2. 进入 DOS 以后.启动 GHOST.做个 WINDOWS 2003 C盘的 GHO 文件.放到 FAT32 分区上.
关于第一点.请认真参看上面关于在 WINDOWS 2003 上进入纯 DOS 的内容.
如果你没有按我前面说的做.那就使用 CD-ROM 引导.然后修改 CMOS 启动.进入 DOS 环境.
做好GHO文件以后.就不怕以后万一崩溃以后重新安装的麻烦.
当然.你也可以把 "小白" 更新 Windows Update 以后做GHO.
本人推荐把干净的系统通过 更新 Windows Update 以后.什么都不做.然后直接GHOST做GHO.不过前提是你比较了解系统.
下面继续.GOGO.
把NIC卡.也就是网卡啦.禁用.然后设置好IP和DNS.GATEWAY.不要启用.切记.
为什么?因为如果你SERVER.那当然你一旦设置好NIC信息就可以上网了.但是在安装的时候没有设置 ADMINISTRATORS 的密码.
所以连入网络就会不安全.别说一会儿没事.我们不能保证无聊的人在窥视你的网络.呵呵.万一遇到个瞎猫也不好嘛.
现在服务器暂时无法连通任何网络.
这样可以防止裸机被冲击波或者HACKER扫描.
可以说是安全的.推荐这个时候操作人员不要离开工作台.呵呵.
下面高举注册表和组策略大法.开始我们的核心之旅途.
在开始之前.我想说的是.我们必须深入了解这台服务器的用途.
每种用途针对不同的设置和部署策略.只有最合适的也才可能是最安全的.
按我下面的例子继续展开.GO.
我选了一个比较典型的例子.比如一台服务器.准备作为WEB+FTP+MAIL服务.
分细致一点列在下面:
1. WEB当然是使用 IIS 6.0 支持 ASP.PHP.CGI 脚本.
2. FTP使用 SERV-U 5.0 中文版
3. MAIL使用 IMAIL 8.02 中文版
4. 数据库使用 MYSQL 数据库.当然是 5.0 版本的.PHP 也用 5.0.
5. 其他的.比如ZEND.JMAIL一律使用官方最新版本.
上面这类软件推荐在官方网站下载.或者是去 www.SKYCN.NET 下载.
按照上面的列表.我们可以得到最后的结果.开放端口如下:
80 => WEB
21 => FTP
25 => MAIL
110 => MAIL
3389 => 终端服务
8383 => MAIL WEB
我们可以按照上面的.以后做个可靠的IP和PORT策略.
即除了上面的TCP PORT.一律给予BLOCK.
当然了.推荐也将ICMP ECHO给予关闭.
如果你需要远程管理.推荐使用 PCANYWHERE 或者 WIN的终端服务 或者 WINVNC.
该例子我们选用了 WINDOWS 2003 的终端服务.所以上面开放了 3389 端口.
随便说一下.网上有很多人很多教材推荐要通过注册表修改终端服务的端口.
这里我想说的是.根本不需要.完全是杞人忧天.自己耽误工夫.
对于现在的 SP4 的 W2K 或者是 WINDOWS 2003.
终端服务已经非常完善和安全.如果一个管理员通过合理和正确的配置.
完全可以让服务器.我是说.裸机.暴露在网上承受每天10W次的扫描和尝试攻击.
除脚本漏洞以外.几乎是没有什么安全

(0)

相关推荐

  • Windows Server 2003 虚拟主机的安全配置

    本人上次工作于某家网络公司.负责服务器的维护工作.现失业. 经过一段时间的了解.自认为在构件Windows服务器平台上有所经验. 鉴于现在很多朋友都开始谋划属于自己的虚拟主机.并且呢. 网上相关文章都是很老的那种.所以自己冒昧准备写一系列.  希望各位多多指点.有问题有错误多多斧正.谢谢. 开头很严肃吧.呵呵.那下面就轻松点.哎.才跟GF去吃午饭了.撑的我.哎.老打嗝. 这人跟机器就一样.快的确是挺好.但是要稳定.服务器的稳定就好比谈恋爱的稳定. 否则一天三顿吵.外加吃个消夜.那就甭想好点工作了

  • Windows Server 2003 系统安全配置方法

    一.系统的安装 1.按照Windows2003安装光盘的提示安装,默认情况下2003没有把IIS6.0安装在系统里面. 2.IIS6.0的安装 开始菜单->控制面板->添加或删除程序->添加/删除Windows组件 应用程序 ---ASP.NET(可选) |--启用网络 COM+ 访问(必选) |--Internet 信息服务(IIS)---Internet 信息服务管理器(必选) |--公用文件(必选) |--万维网服务---Active Server pages(必选) |--Int

  • Windows Server 2003 之 DNS配置

    本分步指南说明如何在 Windows Server 2003 产品中为域名系统 (DNS) 配置Internet 访问.DNS 是 Internet 上使用的核心名称解析工具.DNS 负责主机名称和Internet 地址之间的解析 如何从运行 Windows Server 2003 的独立服务器开始 运行Windows Server 2003 的独立服务器成为网络的 DNS 服务器.第一步,为该服务器分配一个静态 Internet 协议 (IP) 地址.DNS 服务器不应该使用动态分配的 IP

  • Windows Server 2003下配置IIS6.0+php5+MySql5+PHPMyAdmin环境的图文教程

    配置环境: 操作系统:Windows Server 2003 sp2企业版 Web服务器:系统自带的IIS6.0 所需工具: PHP:php-5.2.12-Win32.zip(官方网址:http://www.php.net) 数据库:mysql-5.0.22-win32.zip(官方网址:http://www.mysql.com) 数据库管理:phpMyAdmin-3.2.5-all-languages.zip(官方网址:http://www.phpmyadmin.net) 配置过程: 首先我们

  • Windows Server 2003 下配置 MySQL 集群(Cluster)教程

    MySQL 群集是 MySQL 适合于分布式计算环境的高可用.高冗余版本.它采用了 NDB Cluster 存储引擎,允许在 1 个群集中运行多个 MySQL 服务器.在 MySQL 5.0 及以上的二进制版本中,以及与最新的 Linux 版本兼容的 RPM 包中提供了该存储引擎. MySQL 群集是一种技术,该技术允许在无共享的系统中部署"内存中"和"磁盘中"数据库的 Cluster .通过无共享体系结构,系统能够使用廉价的硬件,而且对软硬件无特殊要求.此外,由于

  • 怎样把Windows server 2003转换成工作站系统

    随着windows server 2003的上市在即,很多人可以用上的泄漏的版本,相对于工作站系统,服务器在由 于做了更多的内核优化,所以在稳定性和安全性方面有很大的提高.但是,很多人并不是需要Server的全 部功能的,而且Server系统关闭了某些工作站系统所需要的服务,下面,我们将对如何优化windows  server 2003并转换成一个工作站系统做出一些介绍. 1.禁用配置服务器向导 由于不需要服务器设置功能,首先我们先禁止"配置你的服务器"(Manage Your Ser

  • windows server 2003邮箱服务器安装教程

    windows server 2003下具体配置邮箱服务器如图,就不备注文字啦 唯一要注意的是需要把iso镜像文件解压后,把里面的I386文件夹拷贝到windows2003里 以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持我们.

  • Windows Server 2003 启动中常见错误的解决方法

    摘要:在Windows Server 2003启动过程中,会出现各种各样的问题,本文介绍了操作系统启动过程的几个阶段,收集了一些经常出现的错误,并结合 Windows 操作系统启动过程,针对这些错误提出了解决方法. 当诊断一个系统启动错误时,判断系统是在哪一阶段出现错误非常关键,系统启动过程根据 CPU 架构不同略微有些差异,下面我们简单介绍一下 x86-based 系统启动过程的几个阶段: 1. Pre-Boot Sequence 2. Boot Sequence 3. Kernel Load

  • 驯服Windows Server 2003

    虽然通过一些技巧可以让Windows Server 2003更符合我们的使用习惯,但对我等菜鸟来说,操作还是有相当的难度,有没有更简单.更省事的驯服它的办法呢?有,那就是使用Windows Server 2003 Optimize Tool. Windows Server 2003 Optimize Tool的界面如图1所示,它会自动侦测出Windows Server 2003的版本号.内部开发代号.系统类型等信息,当然最实用的就是下面那一排选项页了,它究竟能够帮助我们完成哪些工作呢?让我们一起

  • Windows Server 2003探究

    Windows Server 2003探究 解剖WinServ03(一) 让我们一道进入Microsoft的服务器重拳WinServ03中来看看,到底它带给我们什么. 在上次的手记(欢迎莅临.Net世界)中我们了解到了Window Server 2003(下简称WinServ03)的大致的发布情况以及Windows Server 2003 Family家族中的各位成员.但是并未对WinServ03的具体情况做太多的介绍.    今天就让我们一道进入Microsoft的服务器重拳WinServ03

随机推荐