新服务器配置方法.docVIP

服务器配置(以后发现再补充)一、Windows配置方面1、禁用IPC$（Reg已经实现） HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa中的restrictanonymous子键， 将其值改为1即可禁用IPC连接。2、清空远程可访问的注册表路径（组策略 gpedit.msc） 打开组策略编辑器，依次展开 “计算机配置Windows 设置安全设置本地策略安全选项”， 在右侧窗口中找到“网络访问：可远程访问的注册表路径”， 然后在打开的窗口中，将可远程访问的注册表路径和子路径内容全部设置为空即可3、修改管理员帐号和创建陷阱帐号 打开“本地安全设置”对话框，依次展开“本地策略”“安全选项”， 在右边窗格中有一个“账户：重命名系统管理员账户”的策略，双击打开它， 给Administrator重新设置一个平淡的用户名，当然， 请不要使用Admin之类的名字，改了等于没改，尽量把它伪装成普通用户， 比如改成：guestone 。然后新建一个名称为Administrator的陷阱帐号“受限制用户”， 把它的权限设置成最低，什么事也干不了的那种， 并且加上一个超过10位的超级复杂密码。 这样可以让那些 Scripts s忙上一段时间了，并且可以借此发现它们的入侵企图。 或者在它的login scripts上面做点手脚。4、关闭自动播放功能 自动播放功能不仅对光驱起作用，而且对其它驱动器也起作用， 这样很容易被黑客利用来执行黑客程序。 打开组策略编辑器，依次展开“计算机配置管理模板系统”， 在右侧窗口中找到“关闭自动播放”选项并双击， 在打开的对话框中选择“已启用”，然后在“关闭自动播放”后面的下拉菜单中选择“所有驱动器”， 按“确定”即可生效。5、防御FTP服务器被匿名探测信息（Windows安全配置.reg） HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa下的DWORD值 TunOffAnonymousBlock为1，即可防御FTP服务器被匿名探测信息。6、关闭如下端口（端口关闭工具.bat）TCP端口135，137，139，445，593，3306，1025，2745，6129，23，1433UDP端口135，137，139，445，593，33067、小流量DDOS攻击解决办法（Windows安全配置.reg）Windows Registry Editor Version 5.00HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParametersSynAttackProtect=dword:00000002TcpMaxHalfOpen=dword:000001f4TcpMaxHalfOpenRetried=dword:000001908、删除共享（分两步实现） 1、新建 删除共享.bat 内容： echo off net share C$ /del net share D$ /del net share E$ /del net share F$ /del net share admin$ /del 2、把该文件添加到 开始菜单-启动里面9、要卸载IIS，因为我们用的apache10、删除所有磁盘和program files目录的其它用户权限，只留下 administrators 和 system11、禁止启动服务器共享（已实现）禁止系统自动启动服务器共享 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameters 新建 DWORD值值名为 AutoShareServer 数据值为0 12、打开C:Windows 搜索 net.exe;cmd.exe;tftp.exe;netstat.exe;regedit.exe;at.exe;attrib.exe;cacls.exe;; regsvr32.exe;xcopy.exe;wscript.exe;cscript.exe;ftp.exe;telnet.exe;arp.exe;edlin.exe; ping.exe;route.exe;finger.exe;posix.exe;rsh.exe;atsvc.exe;qbasic.exe;runonce.exe;syskey.exe 修改权限，删除所有的用户只保存Administrators 和SYSTEM为所有权限 二、Apache安全配置方面1、php.ini禁用函数修改PHP.ini文件disable_functions = phpinfo,system,exec,shell_exec,passthru,proc_open,proc_close,proc_get_status,checkdnsrr,getmxrr,getservbyname,getservbyport,syslog,popen,show_source,highlight_file,dl,socket_listen,socket_create,socket_bind,socket_accept,socket_connect,stream_socket_server,stream_socket_accept,stream_socket_client,ftp_connect,ftp_login,ftp_pasv,ftp_get,sys_getloadavg,disk_total_space,disk_free_space,posix_ctermid,posix_get_last_error,posix_getcwd,posix_getegid,posix_geteuid,posix_getgid,posix_getgrgid,posix_getgrnam,posix_getgroups,posix_getlogin,posix_getpgid,posix_getpgrp,posix_getpid,posix_getppid,posix_getpwnam,posix_getpwuid,posix_getrlimit,posix_getsid,posix_getuid,posix_isatty,posix_kill,posix_mkfifo,posix_setegid,posix_seteuid,posix_setgid,posix_setpgid,posix_setsid,posix_setuid,posix_strerror,posix_times,posix_ttyname,posix_uname2、创建apache小用户(配合文件夹权限目录,很好很安全)用户名：apache密码 ：123apache1、创建一个新的账户 apache在计算机管理里的本地用户和组里面创建一个帐户，例如：apache，密码设置为 123apache，加入guests组（如果出现问题，可以赋予user权限）2、打开 开始-管理工具-本地安全策略，在用户权限分配中选择“作为服务登陆”，添加apache用户3、计算机管理里面选择服务，找到APMServ-Apache，先停止服务，右击-属性，选择登陆，把单选框从本地系统帐户切换到此帐户，然后查找 选择apache，输入密码apacheuser，然后点确定4、赋予apache安装目录（比如：D:APMServ5.2.6）以及web目录（比 如E: wwwroot）apache帐号的【可读】权限，去除各磁盘根目录除administror与system以外的所有权限，赋予apache安装 目录所在的磁盘根目录apache帐户的可读取列目录权限5、避免通过网页上传文件(这样可以避免网页上传文件-一般情况下这步不要做)D:APMServ5.2.6tmpuploadtemp 目录不能有写入权限，只给个读取的权限就可以了 6、复制字体文件，便于【文字转图片调用】把 C:WINDOWSFontssimhei.ttf 复制到 D:APMServ5.2.6tmpuploadtemp7、D:APMServ5.2.6 要有完全控制权限11、D:APMServ5.2.6MySQL5.1data 目录要有完全控制权限(数据库目录，最好能独立到apache目录外边来)12、php.ini中指定的PHP临时上传目录和session保存目录，并给予目录apache完 全控制权限，例如：upload_tmp_dir = D:/wwwroot/Tmp/uploadtmp/ （为了避免通过网页上传文件，可以去除写入权限，一般来说还是开起来的）session.save_path = D:/wwwroot/Tmp/sessiontmp/ （该步骤是必须的）13、给予D:/php目录读取与运行的权限14、给予zend安装目录读取与运行的权限15、所有的输入法都要删除掉，只留下一个 智能ABC 或 搜狗 （避免输入法漏洞入侵）16、MYSQL1、去除 root用户的 【文件】权限2、新建小用户 数据库账号：mysql_web_user数据库密码：AcpkX!chw0Nzak17、删除apache目录下的phpinfo.php和phpadmin文件夹二、FTP Serv-U 相关配置1、设置管理员密码 a!hJNee#Hz&AL&w3、Serv-U 目录权限（总的来说，就是没有写入权限） a、读取 b、运行 c、列出文件夹三、禁用函数列表 PHPdisable_functions = phpinfo,system,exec,shell_exec,passthru,proc_open,proc_close,proc_get_status,checkdnsrr,getmxrr,getservbyname,getservbyport,syslog,popen,show_source,highlight_file,dl,socket_listen,socket_create,socket_bind,socket_accept,socket_connect,stream_socket_server,stream_socket_accept,stream_socket_client,ftp_connect,ftp_login,ftp_pasv,ftp_get,sys_getloadavg,disk_total_space,disk_free_space,posix_ctermid,posix_get_last_error,posix_getcwd,posix_getegid,posix_geteuid,posix_getgid,posix_getgrgid,posix_getgrnam,posix_getgroups,posix_getlogin,posix_getpgid,posix_getpgrp,posix_getpid,posix_getppid,posix_getpwnam,posix_getpwuid,posix_getrlimit,posix_getsid,posix_getuid,posix_isatty,posix_kill,posix_mkfifo,posix_setegid,posix_seteuid,posix_setgid,posix_setpgid,posix_setsid,posix_setuid,posix_strerror,posix_times,posix_ttyname,posix_uname四、dede操作2、special 文件夹，如果不需要专题 也可以删掉3、删除 install 目录4、如果不需要会员模块，删除 member 目录删除dede目录中如下文件删除文件include/dialog/login.p