年前一直在趕項目,到最后幾日才拿到新服務器新添加的硬盤��,重做陣列配置生產環境���,還要編寫部署文檔做好安全策略�����,交給測試部門與相關部門做上線前最后測試����,然后將部署文檔交給相關部門同事���,讓他根據部署文檔再做一次系統,以保證以后其他同事能自己正常部署服務器,最后終于趕在放假前最后一天匆忙搞定測試后���,簡單的指導同事按部署文檔將服務器重新部署了一次就先跑路回家了,剩下的就留給加班的同事負責將服務器托管到機房了。年后回來上班后按工作計劃開始做文檔(主要對之前編寫的部署文檔進行修正和將相關未添加的安全策略添加進文檔中�����,并在測試環境進行安全測試)���。等搞定后要對服務器做最后一次安全檢查時��,運營部門已將網站推廣出去了����,真是暈死,都不給人活了......只能是加班加點對已掛到公網的服務器日志和相關設置項做一次體檢。當然一檢查發現掛出去的服務器有著各種各樣的攻擊記錄����,不過還好都防住了����,沒有什么問題,然后就是繼續添加一些防火墻策略和系統安全設置��。
接下來還是不停的忙�����,要寫《服務器安全檢查指引——日常維護說明》���。公司新項目要開發��,得對新項目分析需求,編寫開發文檔��,然后搭建前后端開發框架���,舊系統要增加新功能����,又得寫V3、V4不同版本的功能升級開發文檔......今天終于忙得七七八八了���,回頭一看,2月份就這樣一眨眼就過去了����,看來程序員老得快還是有道理的��,時間都不是自己的了����。
前面啰哩啰嗦的講了一大堆費話,現在開始轉入正題�。
對于服務器的安全��,相信很多開發人員都會碰到,但絕大多數人對安全都沒有什么概念��。記得10年前我剛接手服務器時���,僅興奮�,又彷徨,而真正面對時�,卻無從下手���,上百度和谷歌上找����,也沒有完整的說明介紹��,對安全都是一頭霧水�����。剛開始配置的服務器漏洞百出���,那時幾乎吃睡在機房��,也避免不了服務器給黑的事情發生,而且大多被黑后還一無所知�����,想想都是郁悶~~~當然經驗也是在被黑的過程中慢慢升級的��,哈哈......
下面就將寫好的《服務器安全部署文檔》分享出來,希望能對大家有所幫助���。當然本人不是黑客,也不知道所有的攻擊手段�����,所以其中可能存在遺漏的地方�����,也請大家提出建議��。按本文檔的安全設置思想配置服務器(不同平臺、操作系統不同版本的配置都有一定的不同之處,但安全設置思路是共通的)�����,管理的眾多服務器(其中包括各種Web服務器�����、數據庫服務器�、流媒體服務器�、游戲服務器(Linux系統))從2005年到現在,還沒發現給入侵成功的例子���,當然也有可能沒有非常利害的黑客來進行攻擊有關,但從中也可以看到安全方面還是有一些保障的(呵呵...自夸的得多了����,都不好意思了)����。如果手上沒有服務器的朋友�,也可以在自己電腦用虛擬機安裝配置試試(在我公司技術部���,將文檔發給大家后�,不少同事都嘗試按文檔指引操作過,對提升服務器安全部署還是相當有幫助的)���。當然虛擬機在配置時,有一些地方與實際服務器上操作還是有些細微的差別的��。
目錄
1. 前言.. 3
2. 部署環境.. 3
2.1 服務器環境信息.. 3
3. 磁盤陣列配置.. 4
4. 安裝操作系統.. 4
5. 安裝軟件.. 4
5.1 安裝磁盤碎片整理程序.. 4
5.2 安裝虛擬光盤.. 6
5.3 安裝IIS. 6
5.4 安裝.NET Framework4. 9
5.5 安裝SQL2008. 9
5.6 安裝JMail 17
5.7 安裝殺毒軟件與防火墻.. 17
6. 服務器網站與安全配置.. 22
6.1. 修改系統默認帳戶名.. 22
6.2. 配置帳戶鎖定策略.. 27
6.3. 服務器硬盤安全訪問安全配置.. 28
6.4. 配置網站.. 29
6.5. 配置跨服務器同步更新圖片網站.. 68
6.6. 屏蔽xplog70.dll漏洞.. 75
6.7. 設置網絡訪問策略.. 76
6.8. 設置用戶權限分配策略.. 77
6.9. 關閉默認共享.. 79
6.10. 禁用不需要的和危險的服務.. 79
6.11. 修改審核策略.. 81
6.12. 系統防火墻安全設置.. 82
6.13. 開啟遠程桌面功能.. 83
6.14. 配置McAfee訪問保護.. 90
6.15. 配置McAfee防火墻.. 97
7. 部署注意事項.. 103
1. 前言
其實要配置一臺安全的服務器���,簡單來說就幾句話:
能不開放的端口和可以不運行的服務全部關閉或禁用�����;
使用可進行端口通訊訪問策略配置的防火墻�����;
嚴格控制系統中各種程序對各個目錄創建、修改與刪除可執行腳本����、動態鏈接庫與程序的權限���;
對于網站目錄���,能寫入的目錄或文件不能有執行權限��,有執行權限的目錄不可以賦給寫入權限����。(這條最為關鍵)
2. 部署環境
2.1 服務器環境信息
服務器硬件配置:
略
服務器軟件環境:
| 名稱 |
說明 |
| 磁盤陣列 |
RAID 10 |
| 操作系統 |
Windwos2008 R2 Enterprise 64Bit
(其實本人最熟悉的還是win2003服務器��,由于公司購買的Dell R820服務器不再支持低端系統,沒辦法只能將自己升級起來�,當前如果你的服務器還是使用win2003的話�����,查看本文還是有一定幫助的,兩者只是在配置某些地方有不一樣��,但整體的安全思想是一致的)
|
| IIS |
7.5 |
| SQL |
MSSQL2008 |
| .NET Framework |
.net 4.0 |
| 殺毒軟件與防火墻 |
McaFee 64位vse880;
HostIPS Client700��;
|
| 郵件發送軟件 |
JMail |
| IP地址 |
192.168.1.10 |
3. 磁盤陣列配置
具體配置請查看《RAID配置中文手冊》�,鏈接地址:
http://support1.ap.dell.com/cn/zh/forum/thread.asp?fid=20&tid=61244
配置前�,請提前備份好硬盤里的數據,重新做過陣列后�����,硬盤中的數據將全部丟失�����。
(筆者使用的是Dell R820服務器�,Dell服務器的售后服務確實不錯���,服務器有什么問題���,直接打幾個售后電話就可以解決�,非常方便)
4. 安裝操作系統
具體安裝操作步驟,請查看《R820服務器安裝指南》
1) 通過Lifecycle 安裝 windows 2008:
http://zh.community.dell.com/support_forums/poweredge/f/279/t/2812.aspx
這個方法是開機直接按F10���,進行安裝操作系統,可以快速的安裝��。 其它官方支持的系統安裝�,只是在選擇操作系統的時候�����,選擇對應的就可以進行快速的安裝���。
2) 手動安裝2012 :
http://zh.community.dell.com/support_forums/poweredge/f/279/t/9621.aspx
這個方法是直接通過2012的安裝光盤�����,從光驅啟動進行安裝的操作方法。
在選擇安裝磁盤時,可將本文檔所在文件夾中的RAID驅動解壓到U盤中���,將U盤插入服務器后手動選擇載入驅動進行安裝。
其他安裝過程的操作方法同平時安裝操作系統一樣,這里就不做詳細描述了���。
5.安裝軟件
5.1 安裝磁盤碎片整理程序
由于服務器的相關文件、圖片和各種日志文件會不停的創建與刪除���,服務器運行時間長了以后,磁盤上會存在很多文件碎片�,這樣就會降低服務器的性能���,縮短硬盤壽命�����。
Diskeeper2011_ProPremier是一個實時碎片整理程序,它不干擾系統資源����,自動化運行���,可以自動防止關鍵系統文件產生碎片�����,實時監控磁盤���,一旦產生碎片就進行整理,最大程度地保證系統穩定性和速度,而它的智能文件訪問加速順序技術I-FAAST2.0最高可將最常用文件的訪問速度提高80%(平均10%~20%)����。(具體介紹請查看官方相關文檔)
運行安裝:
5.2 安裝虛擬光盤
略
5.3 安裝IIS
打開服務器管理器��,選擇角色=》點擊“添加角色”
選擇Web服務器(IIS)
點下一步后,按下圖所選內容進行勾選
5.4 安裝.NET Framework4
運行dotNetFx40_Full_x86_x64.exe安裝.net4框架(這個必須在IIS安裝完成后才進行安裝,這樣才會在IIS的相關屬性中自動綁定.net4框架)
5.5 安裝SQL2008
安裝SQL2008前�����,首先要安裝.net3.5框架�,打開服務器管理器,點擊功能=》添加功能=》勾選.NET Framework3.5.1運行安裝
繼續安裝SQL2008����,請先操作第6.1修改系統默認帳戶名步驟后的管理員用戶再進行下面步驟
按6.1操作后���,將SQL2008_CHS.iso載入虛擬光盤��,運行安裝
選擇“安裝”=》 “全新SQL Server 獨立安裝或向現有安裝添加功能”
這里選擇的帳戶名是SYSTEM,密碼為空
操作到這一步時請注意:
1)身份驗證模式選擇混合模式
2)設置的SA密碼必須為長于32位的中英文(大小寫)+數字�����,誰也記不住的亂碼�����,設置好后都不再使用該賬號與密碼���。
3)指定的SQL Server管理員為當前用戶(必須是操作第6.1修改系統默認帳戶名步驟后的管理員用戶,如果不是的話有可能導致登陸不了SQL)
有時候運行到最后一步時會顯示安裝出錯�����,這時重啟后進入控制面板���,點擊卸載程序��,將剛安裝的SQL2008刪掉后再次重啟電腦���,進行安裝就可以了�����,當然我試過一次通過,也試過這樣操作三四次后才成功��,為什么會這樣就不知道了�。
5.6 安裝JMail
略
5.7 安裝殺毒軟件與防火墻
殺毒軟件與防火墻的安裝,最好將 ”6.14.配置McAfee防火墻” 之前的所有步驟全部完成后才進行�,不然可能會造成一些配置或操作無法成功的情況�,因為防火墻安裝成功后����,會阻止系統軟件的運行與操作。如果已經安裝好了的話�,則先打開殺毒軟件控制臺���,將“訪問保護”先禁用�����,而防火墻則先不開啟。
具體也不進行細說���,直接上圖
安裝殺毒軟件:
安裝防火墻
直接運行McAfeeHIP_ClientSetup.exe (注:正版的安裝方法與下面是不一樣的����,有一些區別)
運行后不會有任何安裝界面出來,等待一會后再運行補丁����,如下圖
雙擊鼠標左鍵就可以了�����,然后進入下圖路徑���,找到已經安裝好的防火墻程序
運行McAfeeFire.exe����,就可以打開防火墻軟件了
6. 服務器網站與安全配置
6.1. 修改系統默認帳戶名
修改系統默認帳戶名并新建一個Administrator帳戶作為陷阱帳戶�,設置超長密碼,并去掉所有用戶組�����。(就是在用戶組那里設置為空即可.讓這個帳號不屬于任何用戶組)����,同樣改名禁用掉Guest用戶。
先對原Administrator用戶進行重命名
修改為你自己喜歡的名稱
然后新建一個Administrator欺騙帳戶�����,設置混合超長密碼
對它進行編輯
刪除隸屬的組
因這個是欺騙帳戶����,所以充許網絡策略控制訪問
將Guest也進行重命名操作
設置完成后必須重啟電腦��,不然安裝SQL時可能會導致安裝失敗���,需要重新安裝的問題
6.2. 配置帳戶鎖定策略
在運行中輸入gpedit.msc回車�,打開組策略編輯器��,選擇計算機配置-Windows設置-安全設置-賬戶策略-賬戶鎖定策略�����,將賬戶設為“三次登陸無效”,“鎖定時間30分鐘”�,“復位鎖定計數設為30分鐘”���。
6.3. 服務器硬盤安全訪問安全配置
所有磁盤除CREATOR OWNER����、administrators和system的用戶權限全部刪除(C盤必須保留Users用戶組����,理論上來說是要刪除Users用戶組的,但很多朋友如果這里直接刪除,操作不當的話�,網站有可能就訪問不了�����,必須對系統目錄下的不少目錄重新配置權限非常麻煩,所以本文建議保留,只要按下面的一些設置做到位��,這里也不會有多大的安全隱患的)
6.4. 配置網站
將網站代碼與圖片復制到指定文件夾里
(由于本站的前后端分開���,圖片站也是獨立的�,另外做了一個圖片異步跨服務器更新程序,所以有下面四個文件夾)
打開服務器管理器,進入本地用戶和組管理���,為上面幾個網站添加對應的綁定用戶��,并分別設置超長混合密碼��,并記錄下來,后面備用
注:后來經同事提醒,原來win2008服務器的IIS訪問可以使用應用程序池名稱做為帳號來設置(大家可以參考:http://www.cnblogs.com/yjmyzz/archive/2009/10/26/1590033.html),而不用再創建多個獨立的賬號����,不過文檔都已經寫了���,就懶得改了�����,還是使用Win2003的設置模式來添加帳戶
然后將創建好的幾個帳戶所隸屬的默認組刪除��,添加Guests組
將遠程控制去掉
將撥入設置為拒絕
打開IIS,將默認站點刪除
對網站點右鍵,添加網站
創建好對應的站點
點擊連接為按鈕���,設置訪問帳戶,設置路徑憑據為:特定用戶,然后輸入用戶名為剛才創建好的用戶名��,與相應的密碼
設置身份驗證
點擊應用程序池���,將剛創建好的網站對應程序池.NET Framework版本和托管管道模式
.NET Framework版本設置為.NET Framework v4.0.30319
托管管道模式設置為經典模式
設置網站的默認文檔為Index.aspx
設置ISAPI和CGI限制
將Active Server Pages設置為不允許�,將ASP.NET v4.0.30319設置為充許
進入C:\Windows\Microsoft.NET\Framework64\v4.0.30319目錄,設置Temporary ASP.NET Files文件夾的訪問權限
點右鍵=》屬性
添加紅框框住的用戶,并設置為可修改
進入C:\Windows\Microsoft.NET\Framework64\v2.0.50727目錄,對Temporary ASP.NET Files文件夾做同樣的操作
然后為當前創建的網站設置相應的文件夾訪問權限
添加剛才創建的�,并在IIS里綁定的帳戶�����、Authenticated Users和NETWORK SERVICE三個帳號
設置權限為默認權限(讀取和執行、列出文件夾內容、讀取)
啟用父路徑
雙擊ASP打開屬性編輯,將啟用父路徑修改為True
附加數據庫操作
打開SQL2008
附加數據庫
找到數據庫存放位置
刪除數據庫中原綁定用戶
新建登陸名
將數據庫鏈接的用戶名與密碼填寫在SQL新建登陸名對應文本框中,并按下圖進行設置
然后點擊用戶映射���,勾選數據,并設置數據庫擁有db_owner角色權限(注:點擊確定后最好重新檢查新建用戶的屬性�,用戶映射項,查看db_owner角色權限是否賦值成功,這里經常會出現創建后沒有賦值成功的情況�����,需要手動重新設置過后才可以)
打開網站目錄�,找到Web.config文件,記事本打開���,填上新創建的數據庫用戶名與密碼
運行ASP.NET State Service服務,并將它設置為自動運行
其他幾個網站也按上面的步驟與配置進行設置后��,打開瀏覽器就可以正常該問了
為可寫入目錄設置寫入權限
將紅框框住的兩個帳戶設置可修改權限
禁用可寫入目錄的執行權限(也可以將所有不用運行ASPX腳本的目錄都禁用執行權限����,比如css、js等)
6.5. 配置跨服務器同步更新圖片網站
略
6.6. 屏蔽xplog70.dll漏洞
進入安裝好的SQL目錄搜索 xplog70.dll 然后將找到的文件刪除(這樣操作會使SQL代理服務停止運行��,所以如果使用代理功能的朋友請不要刪除)
6.7. 設置網絡訪問策略
在運行中輸入gpedit.msc回車����,打開組策略編輯器,選擇計算機配置-Windows設置-安全設置-本地策略-安全選項�,將
網絡訪問:可匿名訪問的共享;
網絡訪問:可匿名訪問的命名管道;
網絡訪問:可遠程訪問的注冊表路徑;
網絡訪問:可遠程訪問的注冊表路徑和子路徑;
以上四項清空
6.8. 設置用戶權限分配策略
在運行中輸入gpedit.msc回車�����,打開組策略編輯器,選擇計算機配置-Windows設置-安全設置-本地策略-用戶權限分配
將“從網絡訪問此計算機”策略中的“Everyone”刪除
在“拒絕通過遠程桌面服務登陸”策略中��,添加下面用戶組和用戶
另外�����,在添加新站點時�,也必須將創建的新用戶添加到這里
6.9. 關閉默認共享
打開注冊表
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]
新建DOWRD值�,名稱為“AutoShareServer”、“AutoShareWKs”�,設置值為“0”
6.10. 禁用不需要的和危險的服務
打開服務器管理器��,進入“服務”管理,將下列服務禁用(用黃色標識的服務在2008系統中可能不存在)
6.11. 修改審核策略
6.12. 系統防火墻安全設置
開啟系統防火墻(控制面板=》系統和安全=》Windwos防火墻=》打開或關閉Windows防火墻)�,如果遠程操作的話就要小心,不要將自己的連接也給禁用了
關閉“文件和打印共享”功能
注:如果為了更安全的話�,最好是將遠程桌面關閉��,使用更安全的第三方遠程登陸程序?��;蛘咝薷倪h程連接端口,一般來說做了前面的設置后�,就算留了“肉雞”在�����,問題也不是很大。
添加新的防火墻規則�,請參考6.13的相關操作
6.13. 開啟遠程桌面功能
對我的電腦點擊左鍵=》屬性��,打開系統屬性窗口
修改遠程桌面鏈接端口
點擊開始菜單,輸入regedit打開注冊表
將HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp項的PortNumber值由3389修改為比如:12345這些高端端口
將HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp項的PortNumber值由3389修改為12345
修改了遠程桌面端口后���,原防火墻的遠程桌面規則就會失效了,需要重新創建規則
打開Windows防火墻�,點擊“高級設置”
設置后重新電腦就馬上生效了
注:如果是遠程修改端口的話��,需要同時修改McAfee防火墻,添加新的端口規則�����,這樣才不會出現無法遠程登陸的情況
6.14. 配置McAfee訪問保護
打開VirusScan控制臺
啟用訪問保護
打開訪問保護屬性
添加用戶定義的規則
要排除的進程:
csc.exe, DTSWizard.exe, Explorer.EXE, FrameworkService.exe, HIPSvc.exe, McScript_InUse.exe, SqlWb.exe, Ssms.exe, vbc.exe, w3wp.exe
要排除的進程:
FrameworkService.exe, mmc.exe, svchost.exe
開啟防火墻的各項阻止規則
按下面要求,在對應的規則里添加排除的進程
| 名稱 |
說明 |
| 通用最大保護:禁止將程序注冊為服務 |
svchost.exe, mmc.exe, Explorer.EXE |
| 防病毒標準保護:禁止群發郵件蠕蟲發送郵件 |
w3wp.exe |
| 通用最大保護:禁止在 Windows 文件夾中創建新的可執行文件 |
w3wp.exe, csc.exe, vbc.exe |
這些規則的添加����,需要經常查看“訪問保護日志”�,看那些程序是我們請允許執行的�����,但卻給防火墻阻止了��,將它們到對應的排除進程當中(具體操作如果不懂的可以查查百度,或者查看我下一篇文章《服務器安全檢查指引——日常維護說明》�����,它屬性服務器的日常維護內容)
6.15. 配置McAfee防火墻
按下面路徑進入防火墻文件夾
運行McAfeeFire.exe打開防火墻軟件
點擊解除鎖定�����,密碼默認為abcde12345
解鎖后對防火墻的相關選項進行設置
啟用防火墻功能——如果是遠程桌面操作的話,這一步操作后遠程桌面會馬上無法聯接�,需要在服務器本地設置請允許才能再聯接上
啟用后用遠程桌面聯接一下����,并給予授權
點擊充許后�����,再用遠程桌面聯接就可以登陸了����,其他端口���、軟件或網站的授權訪問也是一樣的操作��,在給予授權操作時�����,請仔細留意一下是否是我們請允許的程序訪問的,不是的話或不明白的一律給予拒絕���,拒絕后發現網站某項功能無法訪問或出問題時,再來這里進行排查和修改規則����,以保證服務器的安全。
7. 部署注意事項
1�、更新前一定要經過自測和測試部門人員測試通過���;
2��、修改網站任何配置都必須提前做好備份,方便回檔����;
3����、修改了服務器端的任何設置都必須提交做好拷屏與記錄�,方便網站出現任何問題時快速的找出問題;
4��、對服務器端的相關端口進行變動時��,必須提前在Windows防火墻和McAfee防火墻提前開通對應的端口���,修改好端口重啟服務器或軟件后��,記得關閉原端口,并且做好測試工作,防止發生無法訪問的情況���,特別對于遠程訪問端口的修改必須小心,不然可能會造成無法遠程登陸的情況;
5、當發生某功能無法運行或出錯的時候��,請先檢查Windows防火墻�����、McAfee訪問保護和防火墻����,看看是否是給訪問保護規則阻止了�。
6、必須定期檢查用戶管理查看是否有多余的用戶和用戶隸屬組是否改變�����;檢查應用程序日志�����、安全日志�、系統日志�����、IIS訪問日志�����、網站后臺管理記錄的日志、網站目錄中記錄的操作日志與充值日志����、McAfee訪問保日志等���,并做好備份工作��;查看Windows防火墻����、McAfee訪問保護和防火墻是否運行中��,有沒有不小心關閉后忘記開啟了;檢查SQL的相關日志與記錄增長量�,檢查SQL備份情況��,備份空間是否足夠等��;(具體可查看我下一篇文章《服務器安全檢查指引——日常維護說明》)
7�����、除了做好服務器安全相關配置外�����,代碼的安全也是非常重要的���,所有提交的數據必須做好過濾操作���,防SQL注入和XSS攻擊,客戶端定期殺毒查木馬�����,定期修改登陸密碼�����,以保證系統安全�����。
8. 結束語
服務器的安全無小事�,事事須小心��,一出問題就是大問題�,所以真正操作時需要非常細心+小心�。
作為一個服務器維護人員,除了日常的維護工作外����,有時間的話還須學習掌握各種常用的黑客工具,熟悉各種攻擊手段�,多點上上烏云網等這種類型的網站���,去看看別人是怎么入侵的���,以做到更好的防護���。
由于公司網站的一些特殊性�����,所以發布的內容是經過刪減過的����,有一些特殊配置和設置沒有發布出來���,呵呵......不過基本的安全防護描述的差不多了���。里面是否還存在有安全問題就不太清楚了���,希望有經驗的朋友多多指教。
如果你覺本篇文章有幫到你��,也請幫忙點推薦。
版權聲明:
本文由AllEmpty發布于博客園�����,本文版權歸作者和博客園共有����,歡迎轉載,但未經作者同意必須保留此段聲明��,且在文章頁面明顯位置給出原文鏈接,如有問題�����,可以通過1654937#qq.com 聯系我,非常感謝����。
發表本編內容�����,只要主為了和大家共同學習共同進步�����,有興趣的朋友可以加加Q群:327360708 或Email給我(1654937#qq.com)����,大家一起探討,由于本人工作很繁忙�����,如果疑問請先留言,回復不及時也請諒解��。
