WEB服务器搭建

WEB服务器搭建 本文所做的环境是在windows 2000 adv server上进行的测试，因此部分内容可能不适合于Windows Server 2003系统，但是大部分内容是通用的。 一、系统安装前的准备工作 Web服务器的安全在服务器安装前的准备工作就得考虑起，主要包括:安装源(系统光盘)和物理介质(硬盘)的安全检查以及服务器的安全规划。这部分内容主要包括以下几个方面: 1、确保有一张“干净”的安装光盘 意思是指光盘内容没有经过第三方修改，光盘没有遭到物理损坏。对于刻录的安装光盘请确认你的源文件安全可靠，尽量使用集成了SP4的安装光盘，以减少后面打补丁的工作量。 2、确保硬盘没有任何问题 尽量使用新硬盘，对于使用过的硬盘应先进行低级格式化。无论新旧硬盘需要确认硬盘本身没有遭受到病毒感染。 3、确保系统安装实施计划万无一失 安装前，最好先写一份系统安装过程的实施计划，同时准备服务器安装所需要的应用程序，且确保这些安装程序没有任何问题，到时按步就班的进行。 4、确保硬盘分区合理: 硬盘的分区建议分四个分区(如硬盘够大，亦可分五个区): C盘——存放系统 D盘——应用程序 E盘——备份文件和一些重要的日志 F盘——用户站点 注意:尽可能少的向系统盘写入非系统文件以减少系统备份的工作量，至于各分区的容量视情况而定。不要安装任何多余的程序或组件，严格遵循“最少的服务+最小的权限=最大的安全”原则。 5、完成之后以上工作，对Bios进行所需的相关设置，便可以进行安装了，如需要做 Raid，则需要在安装前完成Raid的设置工作。 二、安装过程中的安全问题 安装过程中需要注意的问题有以下几个方面: 1、磁盘格式:磁盘的分区容量视情况而定，磁盘格式务必要使用NTFS格式; 2、变更系统安装目录:在系统安装过程中请更改windows安装目录，避免使用默认的winnt目录作为系统目录; 3、密码设置:安装过程中的密码设置可在此处简单设置一个密码，尽量不要使用空密码，尽管此时没有连接到网络，但是一些物理安全问题仍然要重视; 4、组件安装:只安装必须的组件，对于不需要的组件或者所需要的组件中多余的部分一概舍弃。WEB服务器的IIS组件只安装:Internet服务管理器、world wide web服务器、公用文件三部分即可。组件安装要遵循的原则是:“最少的服务 + 最小的权限 = 最大的安全”原则; 5、应用软件安装:对于所有必须安装的应用软件，如Winrar、FTP、Serv-U、PcAnyWhere 等，必须先经过虚拟环境状态下的安全测试，确保软件运行正常，不带病毒或者插件; 6、变更应用软件安装目录:应用软件安装目录尽量不要用默认的Program Files目录，可以建立一个其他名称的目录放置应用程序。 三、系统安全设置 安装好操作系统之后，不要急于连上网络，此时的系统安全是十分脆弱的，需打全系统补丁，然后再进行下面的一些基本设置。 1、组策略设置: “开始”——“运行”——输入“gpedit.msc”——确定 打开“本地计算机策略”，推荐设置如下: (1) “密码策略”设置为:启用“密码必须符合复杂性要求”，设置“密码长度最小值”为8，“密码最长存留期”为30天，最短0天，“强制密码历史”为5个记住的密码(如图1)。 图 1 (2) “帐户锁定策略”设置为:“复位帐户锁定计数器”设置为30分钟之后，“帐户锁定时间”为60分钟，“帐户锁定阈值”为3次无效登陆(如图2)。 图 2 (3) “审核策略”设置为:“审核策略更改”(成功、失败);“审核登陆事件”(成功、失败);“审核对象访问”(失败);“审核目录服务访问”(失败);“审核特权使用”(失败);“审核系统事件”(成功、失败);“审核帐户登陆事件”(成功、失败);“审核帐户管理”(成功、失败)(如图3)。 图 3 (4)“用户权利指派”中将“拒绝从网络访问这台计算机”中添加guest帐号。 图 4 (5)“安全选项”中需要设置的有: ?“登陆屏幕不显示上次登陆的用户名”设置为——已启用; ?“对匿名连接的额外限制”设置为——“不允许枚举SAM帐号和密码”; ?“防止用户安装打印机驱动”设置为——已启用; ?“未签名驱动程序的安装操作”设置为——禁止安装; ?“未签名的非驱动程序的安装操作”设置为——禁止安装; ?“允许在未登陆前关机”设置为——已停用; ?“只有本地登陆的用户才能访问CD-ROM和软盘”设置为——已启用。 2、系统帐号设置 重新命名“administrator”用户，按照密码策略修改密码。(下文为阐述方便，仍称为administrator)。可以另创建一个管理员用户，日常管理使用只其中一个，备用帐号只作为忘记密码或者系统被入侵管理帐号密码被更改时应急之用。禁用或删除掉guest帐号(手工或工具均可，推荐删除guest)。 3、系统服务设置 默认安装之后需要更改的服务设置有以下: (1)必须禁用的服务: 以下服务危险性较大，必须禁用(先停止服务，再将属性设置为已禁用)(如图5)。 图 5 (2)推荐设置的服务: 以下服务一般并不需要用到，推荐关闭并将启动方式设为手动和禁止(如图6): 图 6 (3)需要开放的服务 经过以上设置之后，对服务进行复查，一般开放的服务为以下几个(如图7): 图 7 (4)其他服务根据需要决定是否开放，如Web服务需要开放的服务: IIS Admin World Wide Web 4、修改注册(注意修改前要备份注册表，修改完成后重新启动计算机): (1)关闭 NTFS 8.3 名称生成: NTFS 可以自动生成 8.3 个名称以与 16 位应用程序实现反向兼容。由于 16 位应用程序不应该在安全 Web 服务器上使用，因此可以安全关闭 8.3 名称生成。还应该注意，对此进行设置还存在性能上的优势。关闭8.3文件名: HKEY_LOCAL_MACHINE / SYSTEM / CurrentControlSet / Control / FileSystem将NtfsDisable8dot3NameCreation设置为1 (2)删除OS/2和POSIX子系统: 删除HKEY_LOCAL_MACHINE / SOFTWARE / Microsoft / OS/2 Subsystem for NT分支; 删除HKEY_LOCAL_MACHINE / SYSTEM / CurrentControlSet / ControlSession / Manager / Environment中的Os2LibPath项; 删除HKEY_LOCAL_MACHINE / SYSTEM / CurrentControlSet / ControlSession / Manager / SubSystems中的Os2和Posix项。 删除系统文件夹winnts / system32下的os2文件夹。 (3)抵御DDOS攻击设置(请参照网上的设置): 5、磁盘分区权限设置 重新启动服务器后检查各种服务运行是否正常，简单设置各磁盘权限，将C盘设置为administrator和system完全控制，D、E、F盘设置为administrator完全控制，并且重置所有 子对象的权限。 6、事件日志设置 更改日志文件默认保存目录，将应用程序日志、系统日志、安全日志更改到E:event目录(需要修改注册表以更改)，调整日志文件大小，将该目录只允许system有写入权限和administrator完全控制权限。 7、网络设置 设置网络连接，在属性里只保留TCP/IP，禁用TCP/IP上的netbios。(最彻底的禁用netbios的是在“设备管理器”中显示隐藏的设备，在“非即插即用设备”中禁用netbios。) 图 8 8、IE安全设置 设置IE的安全等级为高，连接网络，打好所有可用补丁，重新启动计算机。 9、应用软件安装 安装完成所有应用软件，如PHP、ActivePerl、Serv-U、mysql、pcanywhere等，PHP、ActivePerl和mysql请不要安装在默认的php、usr、mysql目录下，其他程序可默认安装在Program Files下，但不要采用默认目录。安装相关所需要的组件(如jmail、动易组件等)和相关系统维护工具。 10、文件目录权限设置(以下以web服务器权限设置为例)，这是反复实验所得到的最小的权限设置(如图9): 图 9 这样设置之后只有c:\winnt\temp目录有写入权限了，如果你还有更高的要求，可更改环境变量将tmp和temp将c:\winnt\temp更改为其他盘下的目录，权限设置成一样，然后重新启动删除掉c:\winnt\temp，如下面设置: 步骤:桌面“我的电脑”右键——“属性”——“高级”选项卡——点击“环境变量”按钮——出现“环境变量”编辑窗口(如图10) 图 10 然后去除部分危险命令的system权限，以防止缓冲区溢出等安全问题引发的安全问题。 首先可以将cacls设置为拒绝任何人访问，然后取消下列命令的system访问权限: At、cmd、cscript、ftp、net、net1、netstat、runas、telnet、tftp、tlntadmn、wscript 11、TCP/IP端口设置 以上设置完成之后，设置“TCP/IP筛选”:(根据各人主机情况按需要开放): 步骤:桌面“网上邻居”右键“属性”——“本地连接”右键“属性”——双击“Internet协议(Tcp-IP)”——“高级”——“选项”选项卡——双击“Tcp-IP筛选”(如图11) 图 11 图 12 12、IP策略设置: (1)允许的策略为: 允许所有IP连接本服务器策略设置和TCP/IP筛选一致，这里不做阐述。除此之外可开放本机对外的ICMP协议。 (2)拒绝的策略为: 禁止任何IP与本服务器的除TCP、UDP外的所有协议，禁止本机与任何IP的除TCP、UDP、ICMP的所有协议。另外需要禁止任何IP对本机的TCP135、137、138、139、445、 3389端口的访问，禁止UDP69端口的访问。 13、特殊文件打开方式设置 更改一些黑客常用的文件类型(bat，vbs，vbe，reg)的打开方式，改成默认使用notepad打开。 (1)打开任意一个文件夹——“工具”——“文件夹选项”——“文件类型”(如图13) 图 13 注册表项的打开方式为“注册表编辑器” (2)选中“reg”注册表项，点击“更改”按钮，出现“打开方式”对话框(如图14) 图 14 选中“记事本”后“确定” 图 15 “reg”文件已改为“记事本”的打开方式 另外，如果“文件夹选项”里没有“bat”文件类型，可以新建，然后再更改打开方式。 14、IIS的安全设置 (1)修改IIS的安装默认路径，不要将IIS安装在系统分区上: 默认情况下，IIS与操作系统安装在同一个分区中，这是一个潜在的安全隐患。因为一旦入侵者绕过了IIS的安全机制，就有可能入侵到系统分区。如果管理员对系统文件夹、文件的权限设置不是非常合理，入侵者就有可能篡改、删除系统的重要文件，或者利用一些其 他的方式获得权限的进一步提升。将IIS安装到其他分区，即使入侵者能绕过IIS的安全机制，也很难访问到系统分区。 IIS的默认安装的路径是C:\inetpub，Web服务的页面路径是C:\inetpub\wwwroot，这是任何一个熟悉IIS的人都知道的，入侵者也不例外，使用默认的安装路径无疑是告诉了入侵者系统的重要资料，所以需要更改。 (2)删除不必要的虚拟目录 IIS安装完成后在wwwroot下默认生成了一些目录，并默认设置了几个虚拟目录，包括IISHelp、IISAdmin、IISSamples、MSADC等，它们的实际位置有的是在系统安装目录下，有的是在重要的Program files下，从安全的角度来看很不安全，而且这些设置实际也没有太大的作用，所以我们可以删除这些不必要的虚拟目录。 (3)删除危险的IIS组件 默认安装后的有些IIS组件可能会造成安全威胁，应该从系统中去掉，以下是一些“黑名单”，大家可以根据自己的需要决定是否需要删除。 Internet服务管理器(HTML):这是基于Web 的IIS服务器管理页面，一般情况下不应通过Web进行管理，建议卸载它。 SMTP Service和NNTP Service:如果不打算使用服务器转发邮件和提供新闻组服务，就可以删除这两项，否则，可能因为它们的漏洞带来新的不安全。 样本页面和脚本:这些样本中有些是专门为显示IIS的强大功能的，但同样可被用来从Internet上执行应用程序和浏览服务器，建议删除。 (4)为IIS中的文件分类设置权限 除了在操作系统里为IIS的文件设置必要的权限外，还要在IIS管理器中为它们设置权限，以期做到双保险。一般而言，对一个文件夹永远也不应同时设置写和执行权限，以防止攻击者向站点上传并执行恶意代码。另外目录浏览功能也应禁止，预防攻击者把站点上的文件夹浏览个遍最后找到漏洞。一个好的设置策略是:为Web 站点上不同类型的文件都建立目录，然后给它们分配适当权限。例如: ?静态文件文件夹:包括所有静态文件，如HTM 或HTML，给予允许读取、拒绝写的权限。 ?ASP脚本文件夹:包含站点的所有脚本文件，如cgi、vbs、asp等等，给予允许执行、拒绝写和读取的权限。 ?EXE等可执行程序:包含站点上的二进制执行文件，给予允许执行、拒绝写和拒绝读取的权限。 (5)删除不必要的应用程序映射 IIS中默认存在很多种应用程序映射， 如.htw、.ida、.idq、.asp、.cer、.cdx、.asa、.htr、.idc、.shtm、.shtml、.stm、.printer等，通过这些程序映射，IIS就能知道对于什么样的文件该调用什么样的动态链接库文件来进行解析处理。但是，在这些程序映射中，除了.asp的这个程序映射，其它的文件在网站上都很少用到。而且在这些程序映射中，.htr、.idq/ida、.printer等多个程序映射都已经被发现存在缓存溢出问题，入侵者可以利用这些程序映射中存在的缓存溢出获得系统的权限。即使已经安 装了系统最新的补丁程序，仍然没法保证安全。所以我们需要将这些不需要的程序映射删除。 步骤: 在“Internet服务管理器”中，右击网站目录，选择“属性”，在网站目录属性对话框的“主目录”页面中，点击“配置”按钮，弹出“应用程序配置”对话框(如图16) 图 16 在“应用程序映射”页面，删除无用的程序映射(如图17) 图 17 如果需要这一类文件时，必须安装最新的系统修补程序以解决程序映射存在的问题，并且选中相应的程序映射，再点击“编辑”按钮，在“添加/编辑应用程序扩展名映射”对话框中勾选“检查文件是否存在”选项。这样当客户请求这类文件时，IIS会先检查文件是否存在，文件存在后才会去调用程序映射中定义的动态链接库来解析(如图18)。 图 18 (6)保护日志安全 日志是系统安全策略的一个重要坏节，IIS带有日志功能，能记录所有的用户请求。确保日志的安全能有效提高系统整体安全性。 方法一: 修改IIS日志的存放路径 IIS的日志默认保存在一个众所周知的位置(%WinDir%\System32\LogFil-es)，这对Web日志的安全很不利。所以我们最好修改一下其存放路径。在“Internet服务管理器”中，右击网站目录，选择“属性”，在网站目录属性对话框的“Web站点”页面中，在选中“启用日志记 录”的情况下，点击旁边的“属性”按钮，在“常规属性”页面，点击“浏览”按钮或者直接在输入框中输入日志存放路径即可(图19)。 图 19 方法二: 修改日志访问权限 日志是为管理员了解系统安全状况而设计的，其他用户没有必要访问，应将日志保存在NTFS分区上，设置为只有管理员才能访问。 最好是单独设置一个分区用于保存系统日志，分区格式是NTFS，这样除了便于管理外，也避免了日志与系统保存在同一分区给系统带来的安全威胁。如果IIS日志保存在系统分区中，入侵者使用软件让IIS产生大量的日志，可能会导致日志填满硬盘空间，整个Windows系统将因为缺乏足够可用的硬盘空间而崩溃，为日志设置单独的分区则可以避免这种情况的出现。 15、防火墙和杀毒软件的安装和设置(根据个人喜好，这里介绍McAfee) 所有工作均完成之后，安装McAfee并升级，设置macfee杀毒软件(麦咖啡)的病毒策略和防火墙策略: (1)端口阻挡设置为:除默认设置外，勾选以下几条:禁止从万维网下载，禁止FTP出站通讯。 (2)文件、共享和文件夹保护设置为:阻挡对所有共享资源的读写访问(除非有其他需要开放的设置)，要阻挡的文件和文件夹可全部勾选，必须注意，在后期更新系统补丁或安装软件等工作时必须先将此处的相关保护取消。 (3)缓冲区溢出保护设置为:启用缓冲区溢出保护。 (4)有害程序策略设置为:全部勾选。 注意: 必须使用缺省的执行程序文件名。使用 McAfee 时就必须指向 SCAN.EXE 文件，而 不能使用其他文件(如:SCAN32.EXE)，否则不但无法查毒，并且会影响系统其他功能的正常运行。 至于防火墙策略和TCP/IP筛选和IP策略相近，这里不多说，只是在程序访问规则中将需要访问网络的程序要进行相关设置。 通过以上的一些安全设置，相信你的WEB服务器会安全许多。不过，需要提醒注意的是:不要认为进行了安全配置的主机就一定是安全的，我们只能说一台主机在某些情况下一定的时间内是安全的，随着网络结构变化、新漏洞的发现、用户的操作，主机的安全状况是随时随地变化的，只有让安全意识贯穿整个过程才能做到真正的安全(本文仍有不完整的地方，今后再行补充)。