由于目前的入侵事件越发频繁,许多并不精通技术的黑客都能通过各式各样的黑客软件发起入侵攻击,为了预防自己的web服务器遭受入侵攻击,最好的方式就是做好web服务器的安全设置。下面就为大家介绍一下web服务器的安全设置。
我们第一处理的是将网站提示错误信息在服务器安全设置隐藏处理,让用户浏览下产生错误代码不显示,这还没完,还需把错误信息记录到错误日志方便管理员查阅。PHP中设置 error_reporting(0) 即可隐藏所有错误。
服务器安全端口设置
1.禁用不常用端口,例如:22、139、21
2.开放必要Web端口 80、443 端口。
3.禁用root远程登录端口22,或者更改默认的22端口
4.ssh、mysql、redis 等不使用默认端口 22、3306、6379 等端口。
服务器mysql数据库安全设置
1.禁用root用户mysql 远程登录数据库
2.定期对于mysql 数据库的备份,用于恢复数据库。
3.每个站点单独建立数据库用户,防止数据库混乱无规则
4.分配mysql账号 select、update、delete、insert 权限
5.定期备份数据库云储存是不错的选择
web服务器的安全设置
1.物理安全
服务器应该安放在安装了监视器的隔离房间内,并且监视器要保留15天以上的摄像记录。另外,机箱,键盘,电脑桌抽屉要上锁,以确保旁人即使进入房间也无法使用电脑,钥匙要放在另外的安全的地方。
2.账户安全
把管理员adminstrator用户改名,启用密码安全策略,保证密码长度,启用密码锁定策略,防止暴力破解,创建新的用户,加入到administrators组,防止唯一的管理员用户被锁,停用guest用户。
3.停止不需要的服务,建议关闭选项:
●Computer Browser:维护网络计算机更新,禁用
●Distributed File System: 局域网管理共享文件,不需要禁用
●Distributed linktracking client:用于局域网更新连接信息,不需要禁用
●Error reporting service:禁止发送错误报告
●Microsoft Serch:提供快速的单词搜索,不需要可禁用
●NTLMSecuritysupportprovide:telnet服务和Microsoft Serch用的,不需要禁用
●PrintSpooler:如果没有打印机可禁用
●Remote Registry:禁止远程修改注册表
●Remote Desktop Help Session Manager:禁止远程协助
3.关闭不必要的端口
关闭端口意味着减少功能,在安全和功能上面需要你作一点决策。如果服务器安装在防火墙的后面,冒的险就会少些,但是,永远不要认为你可以高枕无忧了。用端口扫描器扫描系统所开放的端口,确定开放了哪些服务是防止黑客入侵你的系统的第一步。
以下所说的端口是指TCP端口:
●WEB服务:HTTP端口:80,HTTPS端口:443, 提供服务的软件 IIS
●Windows终端(远程桌面)服务:端口:3389。
●SSH服务:端口:22。
●Telnet服务:端口:23。
●Mysql数据库:端口3306。
4.审核策略
在运行中输入gpedit.msc回车,打开组策略编辑器,选择计算机配置-Windows设置-安全设置-审核策略在创建审核项目时需要注意的是如果审核的项目太多,生成的事件也就越多,那么要想发现严重的事件也越难当然如果审核的太少也会影响你发现严重的事件,你需要根据情况在这二者之间做出选择。
推荐的要审核的项目是:
●登录事件 成功 失败
●账户登录事件 成功 失败
●系统事件 成功 失败
●策略更改 成功 失败
●对象访问 失败
●目录服务访问 失败
●特权使用 失败
5.开启密码策略
策略 设置
●密码复杂性要求 启用
●密码长度最小值 6位
●强制密码历史 5 次
●强制密码历史 42 天
6.开启帐户策略
策略 设置
●复位帐户锁定计数器 20分钟
●帐户锁定时间 20分钟
●帐户锁定阈值 3次
7.设定安全记录的访问权限
安全记录在默认情况下是没有保护的,把他设置成只有Administrator和系统帐户才有权访问。
8.把敏感文件存放在另外的文件服务器中
虽然现在服务器的硬盘容量都很大,但是你还是应该考虑是否有必要把一些重要的用户数据(文件,数据表,项目文件等)存放在另外一个安全的服务器中,并且经常备份它们。
9.不让系统显示上次登陆的用户名
默认情况下,终端服务接入服务器时,登陆对话框中会显示上次登陆的帐户明,本地的登陆对话框也是一样。这使得别人可以很容易的得到系统的一些用户名,进而作密码猜测。修改注册表可以不让对话框里显示上次登陆的用户名
10.到微软网站下载最新的补丁程序
很多网络管理员没有访问安全站点的习惯,以至于一些漏洞都出了很久了,还放着服务器的漏洞不补给人家当靶子用。谁也不敢保证数百万行以上代码的系统不出一点安全漏洞,经常访问微软和一些安全站点,下载最新的service pack和漏洞补丁,是保障服务器长久安全的唯一方法。
11.杀毒软件的安装
下载服务器安全狗这款服务器专用的杀毒软件,服务器安全狗能够帮助用户管理补丁、修复漏洞、排查入侵,修、查杀病毒,安全扫描,安全加固等,功能十分强大,可以有效防止黑客入侵服务器和维护主机安全。
免费服务器补丁管理软件:http://free.safedog.cn/server_safedog.html
企业版服务器补丁管理软件:https://www.safedog.cn/index/yunWang.html
多引擎,精准查杀网页木马、各类病毒
独有的安全狗云查杀引擎、网马引擎与专业的二进制病毒引擎结合,精确查杀各类网页木马和主流病毒。多引擎智能查杀病毒,全面保障服务器安全。
三层网络防护,实时保护网络安全
强有力的网络防护,实时监测IP和端口访问的合法性,实时拦截ARP攻击、Web攻击(抗CC)、DDOS攻击、暴力破解。
全面的文件/注册表保护,杜绝非法篡改
全面开放保护规则,同时支持监控网站目录,有效保护重要文件、目录与注册表不被篡改与删除,实时防止网站被上传网页木马。系统默认规则与用户自定义规则全支持,灵活定制,全面保护。
底层驱动防护,屏蔽入侵提权
驱动级保护,拦截更快速,有效防止未授权的非法用户登录服务器,实时阻止非法创建和修改系统帐号。
服务器安全加固,避免配置风险
全面的服务器体检,暴露安全隐患,当前系统健康情况了然于心,同时提供贴心的优化建议措施,加固服务器更简单,系统运行更快速,更安全。
12.防止SQL注入
SQL数据库服务尽量只允许本机连接、在服务器端对交互数据作严格的检查,过滤非法字符、安装IIS安全工具。
关于web服务器的安全设置就为大家介绍到这里,web服务器的安全设置是非常细致的工作,设计的方面也比较多,以上只是针对iis所做的一些比较简单的web服务器的安全设置,足够应对一般的入侵攻击,但是如果遇到一些比较有针对性的或者比较大型的网络攻击,可能就有点捉襟见肘了。这时您可以向安全狗咨询求助,我们会安排专业的技术团队帮您解决问题。