在互联网时代,虚拟主机已经成为众多网站的基础设施。为了保障网站的安全性和稳定性,网络管理员需要对虚拟主机进行适当配置。本文以建立一个名为cert.ecjtu.jx.cn的站点为例,探讨如何配置安全虚拟主机。
一、创建安全的Windows用户
为每个网站创建一个单独的Windows用户账号,例如名为cert的用户。在创建用户时,应该删除用户所属的User组,并将cert用户添加到Guest用户组。此外,应该设置用户无法更改密码且密码永不过期的选项。这些措施有助于限制用户权限并减少潜在的攻击面。
二、设置合理的文件夹权限
1. 非站点相关目录权限设置
Windows系统中,许多目录和文件默认权限允许Everyone用户浏览、查看、运行甚至是修改。这给服务器安全带来了隐患。应根据需要,合理限制这些目录的权限,比如取消Guests用户的相应权限。
2. 站点相关目录权限设置
A. 站点根目录权限设置
为站点根目录设置合理的权限是关键。例如,可以将Adiministrators组设置为完全控制,将cert用户设置为读取及运行、列出文件夹目录和读取,并取消其他所有权限。
B. 可更新文件权限设置
对于需要更新的文件,可以单独设置文件夹权限,允许用户上传和修改这些文件。虚拟主机提供商可以为此定制权限设置,或者提供让客户自行设定的程序。
三、配置安全的FTP服务
在选择FTP服务器时,应该注意禁用默认管理员账号并更改安装目录权限,以防止未授权访问和潜在的提权攻击。Serv-U是一个常用的FTP服务器,应该注意更改其默认管理员密码,并在安装后限制everyone用户对安装目录的访问权限。
四、处理命令行相关操作
1. 禁止Guests用户执行com.exe
通过使用命令行工具cacls,可以禁止Guests用户执行com.exe。这有助于防止潜在的命令执行漏洞。
2. 禁用Wscript.Shell、Shell.Application和FileSystemObject组件
通过修改注册表,可以禁用或更改这些组件的名称,以防止调用系统内核运行DOS基本命令。然而,考虑到FileSystemObject组件在文件上传中的应用,不建议对其禁用或删除。
3. 禁止Telnet登陆
修改C:WINNTsystem32目录下的login.cmd文件,添加exit命令,可以使得用户在Telnet登陆时立即退出,增强安全性。
五、端口设置
启用TCP/IP筛选,仅打开必要的端口(如21、80等),关闭未使用的端口,可以减少潜在的攻击点。
六、关闭文件共享
在控制面板中禁用Microsoft网络文件和打印共享,以及尽可能少安装不必要的软件,可以避免由软件漏洞带来的安全问题。