其实要配置一台安全的服务器,简单来说就几句话:
能不开放的端口和可以不运行的服务全部关闭或禁用;
使用可进行端口通讯访问策略配置的防火墙;
严格控制系统中各种程序对各个目录创建、修改与删除可执行脚本、动态链接库与程序的权限;
对于网站目录,能写入的目录或文件不能有执行权限,有执行权限的目录不可以赋给写入权限。(这条最为关键) 服务器的环境信息主要包括了服务器的硬件配置和服务器的软件环境。 (其实本人最熟悉的还是win2003服务器,由于公司购买的Dell R820服务器不再支持低端系统,没办法只能将自己升级起来,当前如果你的服务器还是使用win2003的话,查看本文还是有一定帮助的,两者只是在配置某些地方有不一样,但整体的安全思想是一致的)
针对软件环境的配置:
名称 说明
磁盘阵列 RAID 10
操作系统 Windwos2008 R2Enterprise64Bit
IIS 7.5
SQL MSSQL2008
.NET Framework .net 4.0
杀毒软件与防火墙 McaFee64位vse880;HostIPS Client700;
邮件发送软件 JMail
IP地址 192.168.1.10
-
磁盘阵列配置
具体配置请查看《RAID配置中文手册》,链接地址: support1.ap.dell.com/cn/zh/forum… 配置前,请提前备份好硬盘里的数据,重新做过阵列后,硬盘中的数据将全部丢失。 (小编使用的是Dell R820服务器,Dell服务器的售后服务确实不错,服务器有什么问题,直接打几个售后电话就可以解决,非常方便)4. 安装操作系统 具体安装操作步骤,请查看《R820服务器安装指南》
-
通过Lifecycle 安装 windows 2008: zh.community.dell.com/support_for… 这个方法是开机直接按F10,进行安装操作系统,可以快速的安装。 其它官方支持的系统安装,只是在选择操作系统的时候,选择对应的就可以进行快速的安装。
-
手动安装2012 : zh.community.dell.com/support_for… 这个方法是直接通过2012的安装光盘,从光驱启动进行安装的操作方法。 在选择安装磁盘时,可将本文档所在文件夹中的RAID驱动解压到U盘中,将U盘插入服务器后手动选择载入驱动进行安装。
其他安装过程的操作方法同平时安装操作系统一样,这里就不做详细描述了。
5.安装软件 5.1 安装磁盘碎片整理程序
由于服务器的相关文件、图片和各种日志文件会不停的创建与删除,服务器运行时间长了以后,磁盘上会存在很多文件碎片,这样就会降低服务器的性能,缩短硬盘寿命。 Diskeeper2011_ProPremier是一个实时碎片整理程序,它不干扰系统资源,自动化运行,可以自动防止关键系统文件产生碎片,实时监控磁盘,一旦产生碎片就进行整理,最大程度地保证系统稳定性和速度,而它的智能文件访问加速顺序技术I-FAAST2.0最高可将最常用文件的访问速度提高80%(平均10%~20%)。(具体介绍请查看官方相关文档)5.2 安装虚拟光盘
略 5.3 安装IIS
打开服务器管理器,选择角色=》点击“添加角色”选择Web服务器(IIS)5.4 安装.NET Framework4
运行dotNetFx40_Full_x86_x64.exe安装.net4框架(这个必须在IIS安装完成后才进行安装,这样才会在IIS的相关属性中自动绑定.net4框架)5.5 安装SQL2008
安装SQL2008前,首先要安装.net3.5框架,打开服务器管理器,点击功能=》添加功能=》勾选.NET Framework3.5.1运行安装继续安装SQL2008,请先操作第6.1修改系统默认帐户名步骤后的管理员用户再进行下面步骤
按6.1操作后,将SQL2008_CHS.iso载入虚拟光盘,运行安装 选择“安装”=》 “全新SQL Server 独立安装或向现有安装添加功能”操作到这一步时请注意: 1)身份验证模式选择混合模式 2)设置的SA密码必须为长于32位的中英文(大小写)+数字,谁也记不住的乱码,设置好后都不再使用该账号与密码。 3)指定的SQL Server管理员为当前用户(必须是操作第6.1修改系统默认帐户名步骤后的管理员用户,如果不是的话有可能导致登陆不了SQL)有时候运行到最后一步时会显示安装出错,这时重启后进入控制面板,点击卸载程序,将刚安装的SQL2008删掉后再次重启电脑,进行安装就可以了,当然我试过一次通过,也试过这样操作三四次后才成功,为什么会这样就不知道了。
5.6 安装JMail
略 5.7 安装杀毒软件与防火墙
杀毒软件与防火墙的安装,最好将 ”6.14.配置McAfee防火墙” 之前的所有步骤全部完成后才进行,不然可能会造成一些配置或操作无法成功的情况,因为防火墙安装成功后,会阻止系统软件的运行与操作。如果已经安装好了的话,则先打开杀毒软件控制台,将“访问保护”先禁用,而防火墙则先不开启。6. 服务器网站与安全配置 6.1. 修改系统默认帐户名
修改系统默认帐户名并新建一个Administrator帐户作为陷阱帐户,设置超长密码,并去掉所有用户组。(就是在用户组那里设置为空即可.让这个帐号不属于任何用户组),同样改名禁用掉Guest用户先对原Administrator用户进行重命名修改为你自己喜欢的名称 然后新建一个Administrator欺骗帐户,设置混合超长密码 对它进行编辑 删除隶属的组 因这个是欺骗帐户,所以充许网络策略控制访问 设置完成后必须重启电脑,不然安装SQL时可能会导致安装失败,需要重新安装的问题 6.2. 配置帐户锁定策略 在运行中输入gpedit.msc回车,打开组策略编辑器,选择计算机配置-Windows设置-安全设置-账户策略-账户锁定策略,将账户设为“三次登陆无效”,“锁定时间30分钟”,“复位锁定计数设为30分钟”。 6.3. 服务器硬盘安全访问安全配置
所有磁盘除CREATOR OWNER、administrators和system的用户权限全部删除(C盘必须保留Users用户组,理论上来说是要删除Users用户组的,但很多朋友如果这里直接删除,操作不当的话,网站有可能就访问不了,必须对系统目录下的不少目录重新配置权限非常麻烦,所以本文建议保留,只要按下面的一些设置做到位,这里也不会有多大的安全隐患的)6.4. 配置网站
将网站代码与图片复制到指定文件夹里
6.4. 配置网站
将网站代码与图片复制到指定文件夹里
打开服务器管理器,进入本地用户和组管理,为上面几个网站添加对应的绑定用户,并分别设置超长混合密码,并记录下来,后面备用然后将创建好的几个帐户所隶属的默认组删除,添加Guests组将远程控制去掉,将拨入设置为拒绝,打开IIS,将默认站点删除,对网站点右键,添加网站。创建好对应的站点点击连接为按钮,设置访问帐户,设置路径凭据为:特定用户,然后输入用户名为刚才创建好的用户名,与相应的密码。设置身份验证。点击应用程序池,将刚创建好的网站对应程序池.NET Framework版本和托管管道模式,设置网站的默认文档为Index.aspx。设置ISAPI和CGI限制。将Active Server Pages设置为不允许,将ASP.NET v4.0.30319设置为充许。进入C:\Windows\Microsoft.NET\Framework64\v4.0.30319目录,设置Temporary ASP.NET Files文件夹的访问权限点右键=》属性添加红框框住的用户,并设置为可修改进入C:\Windows\Microsoft.NET\Framework64\v2.0.50727目录,对Temporary ASP.NET Files文件夹做同样的操作
然后为当前创建的网站设置相应的文件夹访问权限 6.5. 配置跨服务器同步更新图片网站
略
6.6. 屏蔽xplog70.dll漏洞
进入安装好的SQL目录搜索 xplog70.dll 然后将找到的文件删除(这样操作会使SQL代理服务停止运行,所以如果使用代理功能的朋友请不要删除)6.7. 设置网络访问策略
在运行中输入gpedit.msc回车,打开组策略编辑器,选择计算机配置-Windows设置-安全设置-本地策略-安全选项,将
网络访问:可匿名访问的共享;
网络访问:可匿名访问的命名管道;
网络访问:可远程访问的注册表路径;
网络访问:可远程访问的注册表路径和子路径;
以上四项清空6.8. 设置用户权限分配策略
在运行中输入gpedit.msc回车,打开组策略编辑器,选择计算机配置-Windows设置-安全设置-本地策略-用户权限分配 将“从网络访问此计算机”策略中的“Everyone”删除6.10. 禁用不需要的和危险的服务
打开服务器管理器,进入“服务”管理,将下列服务禁用(用黄色标识的服务在2008系统中可能不存在)
