PDF《www.alixixi.com》

WEB+FTP+Email 服务器安全配置 www.

alixixi.com 更多 WEB 技术资讯欢迎访问阿里西西 WEB 开发网站:http://www.alixixi.com Alixixi Development Team. QQ:178010108 MSN:Alixixi@MSN.COM Email:Alixixi@Alixixi.com 第1页共51 页WEB+FTP+Email 服务器 安全配置手册 作者 : 阿里 西西2006-8-11 WEB+FTP+Email 服务器安全配置 www.alixixi.com 更多 WEB 技术资讯欢迎访问阿里西西 WEB 开发网站:http://www.alixixi.com Alixixi Development Team. QQ:178010108 MSN:Alixixi@MSN.COM Email:Alixixi@Alixixi.com 第2页共51 页目录

第一章:硬件环境

第二章:软件环境

第三章:系统端口安全配置

第四章:系统帐户及安全策略配置

第五章:IIS 和WEB 站点文件夹权限配置

第六章:FTP 服务器安全权限配置

第七章:Email 服务器安全权限配置

第八章:远程管理软件配置

第九章:其它安全配置建议

第十章:篇后语 WEB+FTP+Email 服务器安全配置 www.alixixi.com 更多 WEB 技术资讯欢迎访问阿里西西 WEB 开发网站:http://www.alixixi.com Alixixi Development Team. QQ:178010108 MSN:Alixixi@MSN.COM Email:Alixixi@Alixixi.com 第3页共51 页

一、硬件环境 服务器采用 1U 规格的机架式托管主机,大概配置为 Nocona2.8G/1G DDR2/160G*2SATA 硬盘/双网卡/光驱软驱/3*USB2.0.

二、软件环境 操作系统:Windows Server

2003 Enterprise Edition sp1 WEB 系统:Win 操作系统自带 IIS6,支持.NET 邮件系统:MDaemon 8.02 英文版 FTP 服务器系统:Serv-U 6.0.2 汉化版 防火墙: BlackICE Server Protection,中文名:黑冰 杀毒软件:NOD32 2.5 远程管理控件:Symantec pcAnywhere11.5+Win 系统自带的 MSTSC 数据库:MSSQL2000 企业版 相关支持组件:JMail 4.4 专业版,带POP3 接口;

ASPJPEG 图片组件 相关软件:X-SCAN 安全检测扫描软件;

ACCESS;

EditPlus [相关说明] *考虑服务器数据安全,把160G*2 硬盘做成了阵列,实际可用容易也就只有一百多 G 了. *硬盘分区均为 NTFS 分区;

NTFS 比FAT 分区多了安全控制功能,可以对不同的文件夹设置不 同的访问权限,安全性增强.操作系统安装完后,第一时间安装 NOD32 杀毒软件,装完后在线 更新病毒库,接着在线 Update 操作系统安全补丁. *安装完系统更新后,运行 X-SCAN 进行安全扫描,扫描完后查看安全报告,根据安全报告做出 相应的安全策略调整即可. *出于安全考虑把 MSTSC 远程桌面的默认端口进行更改. WEB+FTP+Email 服务器安全配置 www.alixixi.com 更多 WEB 技术资讯欢迎访问阿里西西 WEB 开发网站:http://www.alixixi.com Alixixi Development Team. QQ:178010108 MSN:Alixixi@MSN.COM Email:Alixixi@Alixixi.com 第4页共51 页

三、系统端口安全配置 下面先是介绍关于端口的一些基础知识,主要是便于我们下一步的安全配置打下基础,如果 你对端口方面已经有较深了解可以略过这一步. 端口是计算机和外部网络相连的逻辑接口,也是计算机的第一道屏障,端口配置正确与否直 接影响到主机的安全,一般来说,仅打开你需要使用的端口会比较安全,配置的方法是在网卡属 性-TCP/IP-高级-选项-TCP/IP 筛选中启用 TCP/IP 筛选. 下面先介绍一下端口的基础知识.在网络技术中,端口(Port)大致有两种意思:一是物理意义 上的端口,比如,ADSL Modem、集线器、交换机、路由器用于连接其他网络设备的接口,如RJ-45 端口、SC 端口等等.二是逻辑意义上的端口,一般是指 TCP/IP 协议中的端口,端口号 的范围从

0 到65535,比如用于浏览网页服务的

80 端口,用于 FTP 服务的

21 端口等等.

(一)按端口号分布划分: (1)知名端口(Well-Known Ports) 知名端口即众所周知的端口号,范围从

0 到1023,这些端口号一般固定分配给一些服务. 比如

21 端口分配给 FTP 服务,25 端口分配给 SMTP(简单邮件传输协议)服务,80 端口分配 给HTTP 服务,135 端口分配给 RPC(远程过程调用)服务等等. (2)动态端口(Dynamic Ports) 动态端口的范围从

1024 到65535,这些端口号一般不固定分配给某个服务,也就是说许多 服务都可以使用这些端口.只要运行的程序向系统提出访问网络的申请,那么系统就可以从这些 端口号中分配一个供该程序使用.比如

1024 端口就是分配给第一个向系统发出申请的程序.在 关闭程序进程后,就会释放所占用的端口号. 不过,动态端口也常常被病毒木马程序所利用,如冰河默认连接端口是

7626、WAY 2.4 是WEB+FTP+Email 服务器安全配置 www.alixixi.com 更多 WEB 技术资讯欢迎访问阿里西西 WEB 开发网站:http://www.alixixi.com Alixixi Development Team. QQ:178010108 MSN:Alixixi@MSN.COM Email:Alixixi@Alixixi.com 第5页共51 页

8011、Netspy 3.0 是

7306、YAI 病毒是

1024 等等.

(二)按协议类型划分: 可以分为 TCP、UDP、IP 和ICMP(Internet 控制消息协议)等端口.下面主要介绍 TCP 和UDP 端口. (1)TCP 端口 TCP 端口,即传输控制协议端口,需要在客户端和服务器之间建立连接,这样可以提供可靠 的数据传输.常见的包括 FTP 服务的

21 端口,Telnet 服务的

23 端口,SMTP 服务的

25 端口, 以及 HTTP 服务的

80 端口等等. (2)UDP 端口 UDP 端口,即用户数据包协议端口,无需在客户端和服务器之间建立连接,安全性得不到保 障.常见的有 DNS 服务的

53 端口,SNMP(简单网络管理协议)服务的

161 端口,QQ 使用 的8000 和4000 端口等等. 介绍完了有关端口的基础知识,下面我们就开始进行服务器的端口安全配置. 在一般的 WEB+Email 服务器上,推荐同时使用 PcanyWhere 和终端服务进行远程控制管 理,基于安全考虑把终端服务

3389 端口修改成

6868 端口,方法如下: HKEY_LOCAL_MACHINESystemCurrentControlSetControlTerminal ServerWdsRepwdTdsTcp, 找到 PortNumber 项,双击选择十进制,输入你要改成的端 口即可,这里我们输入 6868.再找到键值: HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminalServerWin Stations, 在右侧窗口找到 PortNumber 并按上面的方法输入 6868, 设置成新的端口就可以了. 这样,在用 MSTSC 访问远程桌面时,IP 或网址后加上:6868 即端口号就可以了.如图(1): WEB+FTP+Email 服务器安全配置 www.alixixi.com 更多 WEB 技术资讯欢迎访问阿里西西 WEB 开发网站:http://www.alixixi.com Alixixi Development Team. QQ:178010108 MSN:Alixixi@MSN.COM Email:Alixixi@Alixixi.com 第6页共51 页图(1):远程桌面连接端口 接着根据要开放的服务,去设置 TCP/IP 筛选.要查看端口使用状况,可以使用 Netstat 在 命令行状态下查看,依次点击 开始→运行 ,键入 cmd 并回车,打开命令提示符窗口.在 命令提示符状态下键入 netstat -a -n ,按下回车键后就可以看到以数字形式显示的 TCP 和UDP 连接的端口号及状态. 我们根据服务器上端口的使用情况在 TCP/IP 筛选设置我们需要开放的端口,右击网上邻居 属性-->

右击本地连接属性-->

(双击 TCP/IP) -->

高级-->

选项-->

属性启用 TCP/IP 筛选, 如图(2): 图(2):本地连接属性1 WEB+FTP+Email 服务器安全配置 www.alixixi.com 更多 WEB 技术资讯欢迎访问阿里西西 WEB 开发网站:http://www.alixixi.com Alixixi Development Team. QQ:178010108 MSN:Alixixi@MSN.COM Email:Alixixi@Alixixi.com 第7页共51 页图(3):本地连接属性2 图(4):本地连接属性3 在TCP 端口筛选只允许 21,25,110, 80,1433,3000,5631,6868,8735, 10001,10002,10003,10004,10005 等相关必须使用的端口 (请根据你的实际情况 进行设定) ;

TCP/IP 端口里面的都是几个常 有的知名端口,10001-10005 是设置Serv-U 的PASV 模式使用的端口,3000 是MDaemon 默认的 WEB 登陆端口,6868 图(5): TCP 端口筛选 是自定义修改的 MSTSC 远程桌面端口,当然也可以使用别的.IP 协议和 UDP 端口根据您的需 要做出相应配置,本人未仔细研究过,请根据你的实际应用进行筛选. 接着, 我们要在本地连接属性里面, 卸载所有的其他协议, 只留下 Internet 协议 (TCP/IP) , WEB+FTP+Email 服务器安全配置 www.alixixi.com 更多 WEB 技术资讯欢迎访问阿里西西 WEB 开发网站:http://www.alixixi.com Alixixi Development Team. QQ:178010108 MSN:Alixixi@MSN.COM Email:Alixixi@Alixixi.com 第8页共51 页 把默认的共享和打印机卸载掉.如图(6): 图(6): 删除共享和打印机共享 然后,再双击 Internet 协议(TCP/IP)进入高级选项窗口,选择 WINS 选项卡,选中禁止 TCP/IP 上的 NetBIOS 项, 可有效防止他人从网络 NetBIOS 协议获取计算机相关信息. 如图(7): 图(7):禁用 NetBIOS WEB+FTP+Email 服务器安全配置 www.alixixi.com 更多 WEB 技术资讯欢迎访问阿里西西 WEB 开发网站:http://www.alixixi.com Alixixi Development Team. QQ:178010108 MSN:Alixixi@MSN.COM Email:Alixixi@Alixixi.com 第9页共51 页

四、系统帐户及安全策略配置 右击桌面我的电脑--->

管理--->

本地用户与组,进行系统用户帐户管理,如图(8): 图(8): 本地用户与组 把administrator 帐号改成较为复杂点的名称,例如 AliStudioAdministrator,并赋予强类型 组合密码 (数字+字母+符号组合) 如Pass1R3&

6gG, 口令必须定期更改 (建议至少两周该一次) , 且最好记在心里, 除此以外不要在任何地方做记录;

取消所有除管理员 root 外所有用户属性中的 远程控制->

启用远程控制 以及终端服务配置文件->

允许登陆到终端服务器. 另外,经常检查管理工具的事件查看器,如果在日志审核中发现某个帐号被连续尝试,则必 须立刻更改此帐号和口令;

接着禁用或更名 Guest 用户帐号,并将它从 Guest 组删掉.同时可 以新建一个没有任何权限的 Administrator 用户并赋予长串密码, 用以迷惑试图穷举破解管理员 密码的菜鸟黑客: ) .除过 Administrator 外,有必要再增加一个属于管理员组的帐号;

最好再 新增一个管理员组的帐号,一方面防止忘记其中一个帐号口令,还能有个备用帐号;

同时,如果 一旦黑客攻破其一个管理帐号并更改口令, 我们还有机会重新在短期内取得控制权做出相应处理. 接着配置相关的安全策略,打开管理工具中的本地安全策略设置的安全选项,设置登陆时不 WEB+FTP+Email 服务器安全配置 www.alixixi.com 更多 WEB 技术资讯欢迎访问阿里西西 WEB 开发网站:http://www.alixixi.com Alixixi Development Team. QQ:178010108 MSN:Alixixi@MSN.COM Email:Alixixi@Alixixi.com 第10 页共51 页 显示上次登陆帐号,如图(9): 图(9): 本地安全策略 在帐户锁定策略中将锁定阈值设置为三次无效登陆即锁定,锁定时长为

30 分钟.如图(10): 图(10): 帐户锁定策略 WEB+FTP+Email 服务器安全配置 www.alixixi.com 更多 WEB 技术资讯欢迎访问阿里西西 WEB 开发网站:http://www.alixixi.com Alixixi Development Team. QQ:178010108 MSN:Alixixi@MSN.COM Email:Alixixi@Alixixi.com 第11 页共51 页 锁定时长为30分钟,如图(11): 图(11): 锁定时长 打开本地安全策略->

审核策略中打开相应的审核,推荐的审核是: 账户管理 成功 失败 ;

登录事件 成功 失败 ;

对象访问 失败 ;

策略更改 成功 失败 ;

特权使用 失败 ;

系统事件 成功 失败 ;

目录服务访问 失败 ;

账户登录事件 成功 失败 . 如图(12): 图(12): 审核策略 WEB+FTP+Email 服务器安全配置 www.alixixi.com 更多 WEB 技术资讯欢迎访问阿里西西 WEB 开发网站:http://www.alixixi.com Alixixi Development Team. QQ:1780101........