WebFtMail服务器的日常管理与维护手册

1、服 务 器 日 常 管 理 手 册 前 言服务器日常管理手册终于跟大家见面了。这里面凝聚着E动人的心血和对广大客户的关爱。在多年的服务过程中，通过长期的观察与总结，我们发现，仅仅靠我们的服务是不够的，因为我们的服务 属于亡羊补牢式的服务。要想让客户服务器能稳定正常运行，关键还是要少出故障。这就显示出客户的 日常维护的重要性。在目前广大客户技术水平参差不齐的情况下，我们考虑，提供一个服务器日常管理 的范本，将我们多年服务器管理的经验拿出来与大家分享，让更多的新IT从业人员少走弯路，减少不必要的错误。我们能体会到客户的迫切心情和对E动的殷切希望，我们也一直努力提高我们的技术水平与服务能力。我们知道

2、，仅仅靠一个管理手册解决不了所有问题，但这是E动人为提高客户技术水平所做的努力。我们欢迎有更多的客户能加入到我们这行列，把自己好的管理经验与大家一起分享，共同为 创造一个更加稳定和谐的网络环境而努力。中国E动网12月26日Web Ftp Mail服务器的日常管理与维护一、设置和管理账户二、网络服务安全管理三、系统安全管理四、打开相应的审核策略五、IIS的安装与配置六、Serv-U的基本设置七、用WebEasyMail架构Web邮件服务器一、设置和管理账户1、 系统管理员账户最好少建，更改默认的管理员帐户名(Admi ni strator )和描述，密码最好采用数字加大小写字母加数字的上档键组合

3、，长度最好不少于14位。2、 新建一个名为 Admi ni strator的陷阱帐号，为其设置最小的权限，然后随便输入组合的最好不低于 20位的密码。3、将Guest账户禁用并更改名称和描述，然后输入一个复杂的密码，然后禁用。4、 开始-程序-管理工具-本地安全策略，选择计算机配置-Windows设置-安全设置-账户策略-账户锁定策略，将账户设为“三次登陆无效”，“锁定时间为30分钟”，“复位锁定计数设为 30分钟”。5、 在安全设置-本地策略-安全选项中将“不显示上次的用户名”设为启用。6、本地策略-安全选项-对匿名连接的额外限制.选择(不允许枚举SAM帐号和共享)二、网络服务安全管理1、禁

4、止 C$、D$、ADMIN看类的缺省共享打开注册表，HKEY_LOCAL_MACHINESYSTEMCurre ntC on trolSetServicesla nman serverparameters，在右边的窗口中新建 Dword值，名称设为 AutoShareServer值设为0.注册表不了解.不要随便更改.2、解除NetBios与TCP/IP协议的绑定右击网上邻居-属性-右击本地连接-属性-双击In ternet协议-高级-Wins-禁用TCP/IP上的NETBIOS3、关闭不需要的服务，以下为建议选项 开始-所有程序-管理工具-服务Computer Browser:维护网络计算机更

5、新，禁用Distributed File System:局域网管理共享文件，不需要禁用Distributed lin ktrack ing clie nt:用于局域网更新连接信息，不需要禁用Error report ing service:禁止发送错误报告Microsoft Serch:提供快速的单词搜索，不需要可禁用NTLMSecuritysupportprovide : tel net 服务和 Microsoft Serch用的，不需要禁用Prin tSpooler:如果没有打印机可禁用Remote Registry :禁止远程修改注册表Remote Desktop Help Sessio

6、n Man ager:禁止远程协助Messenger:信使服务（windows2000）Task Scheduler:允许程序在指定时间运行（不用计划任务就禁用掉）TCP/IP NetBIOS Helper Service: NetBIOS （NetBT）”服务以及 NetBIOS 名称解析的支持注：新上架的服务器已经做过其他安全设置只开以下端口，需要开其他端口可以在。右击网上邻居-属性-Internet协议（TCP/IP）属性-高级-选项-TCP/IP筛选属性-TCP端口添加你想要开的端口.默认开启的端口列表：FTP:20.21mail:25.110Web:80pcany where:563

7、1远程桌面：3389 （3389不要关闭，否则将无法远程连接）三、系统安全管理1. 对于系统的NTFS磁盘权限设置,C盘只给administrators和system权限，其他的权限不给，其他的盘也可以这样设置，这里给的system权限也不一定需要给，只是由于某些第三方应用程序是以服务形式启动的，需要加上这个用户，否则造成启动不了。2. Windows目录要加上给users的默认权限，否则 ASP和ASPX等应用程序就无法运行。3. 另外在c:/Docume nts and Sett in gs/这里相当重要，后面的目录里的权限根本不会继承从前的设置，如果仅仅只是设置了C盘给administr

8、ators权限，而在 All Users/Application Data 目录下会出现every one用户有完全控制权限，这样入侵这可以跳转到这个目录，写入脚本或只文件，再结合其他漏洞来提升权限.4. net.exe , cmd.exe, tftp.exe , netstat.exe , regedit.exe , at.exe , attrib.exe , cacls.exe这些文件都设置只允许administrators.system访问.guests禁止访问四、打开相应的审核策略开始-程序-管理工具-本地安全策略-安全设置-本地策略-审核策略注:windows2003已经开启部分.w

9、indows2000没有开启.可以根据实际情况来设置.推荐的要审核的项目是：登录事件成功失败账户登录事件成功失败系统事件成功失败策略更改成功失败对象访问失败目录服务访问失败特权使用失败五、IIS的安装与配置右击网站-新建-网站.按向导操作输入网站描述：这里可以随便填.一般为了方便查找.填写网站的域名网站IP地址：服务器只有一个IP地址这里可以选（全部未分配）,如果选了 IP.在更换服务器IP时. 这里的IP也要进行更换.所以为方便.这里也不选.此网站的主机头（默认：无）：服务器做虚拟主机或者服务器上有多个站点时。主机头填写该站点 的域名。只有一个站点可以不填（注：主机头是唯一的。不可以和其他主

10、机头重复）路径：单击浏览。找到网站程序所放的目录。允许下列权限：默认权限即可。这样一个站点就初步建好了。网站选项卡新建站点的一个基本设置在这里可能更改。选择高级：可以给网站添加多个域名。IP地址：默认端口： 80主机头值：需要添加的域名 （如：）注：添加的域名不可重复。 更改IIS日志的路径右键单击“默认 Web站点t属性-网站-在启用日志记录下点击属性建议:IIS日志默认是放在 C:WINDOWSsystem32LogFiles下.服务器运行一段时间后日志会特别 大造成C盘空间不足建议把路径改在其他盘符2、性能选项卡：对于做虚拟主机想限制各个站点带宽的。这项很有用。3、主目

11、录选项卡：本地路径-浏览：网站程序的路径。配置-选项选项卡：会话超时：session的存活时间，请请复选框选中并检查一下上面的用户名:（IIS插件）中所设置的属inetsrv ”启用父路径：windows默认没有勾选这个选项。在asp程序中使用“ ./4、目录安全性选卡如果你的网站访问需要用户名和密码。 可以检查一下，是否启用了匿名访问， 如上图就是：IUSR_EDONG-FU5JINJ65这个用户对网站程序有没有访问的权限。在In ternet信息服务管理器控制台缺省情况下，这个文件位于“ C:IIS插件中来备份元数据。如果需要进行此工作，请选择桌面 “备份/恢复配置”。然后你就可以选择备份

12、现有元数据设MetaEdit 2.2中也可找到。当你以这种方式保存了元数据C:wi nn tsystem32i nstrvmetaback文件夹中。当你执行备5、IIS设置进行备份 有多种方法可以用来完成此项工作。性和值都被储存在 Metabase.b in文件中， 目录中。在IIS 5.0中，你可以从内置的 上的计算机图标然后单击右健。然后再选择 置或者恢复以前的版本。与此相同的选项在 时，你的备份将以.md0文件的格式储存在份时，文件将使用你所指定的名称，如Pre-Lockdown.mdO。如果你使用相同的文件名创建了多个备份，他们将使用数字逐渐递增的扩展名，如Backup.mdO, Ba

13、ckup.mdl等等。 在你的元数据严重损坏的情况下，你将不能启动IIS。此时，你也不能从IIS插件或metaedit中执行恢复操作。如果真的发生了类似情况，你就可以通过从备份文件夹中选用最合适的.md0 （.md1等等）元数据备份文件来替换Metabase.bin 。如果你的备份文件没有错误，IIS将会立刻启动。制作元数据的备份还有其它两个意义。你可以使用 xcopy , scopy或其它复制程序来简单地复制Metabase.b in 文件。你应该先停止In ternet服务，以保证你的元数据是最新的并且不在使用状态中。最后，我们还提供了两个脚本-metaback.vbs和 metarest

14、.vbs-它们位于 Inetpub/IISSamples/sdk/admin（如果你在 IIS 5.0 上安装了 IIS SDK 文件夹中或在 IIS Resource Kit/Utility/ADSI Admin Scripts文件夹（如果你安装了IIS 4.0 ResourceKit ）中。这些.vbs脚本使用了一个 ADSI命令，它是专门为创建元数据备份而提供的。6、 利用 WIS （Web Injection Scanner）工具对整个网站进行SQL Injection脆弱性扫描7、如果需要加装PHP支持，PHP的安装目录网站匿名用户一定要有读的权限。&为了防止跨站浏览，建议每个网站，

15、使用不同的来宾账号进行访问。设置方法:A、 右击我的电脑-管理-本地用户和组-右击（新建用户,如：webuser，密码为：edonguser）,设置 为 guests 组。B、 为您的网站目录添加相应的权限。如您的网站目录在：D:hostsedong。右击edong文件夹，找到安全选项卡，设置权限为： administrator 完全控制。System完全控制，webuser除完全控制外其 他权限都给。C打开IIS管理器，右击需要设置的网站属性选择“目录安全性”选项卡“身份验证和访问控制”编辑-启用匿名访问-用户名输入：webuser密码输入：edonguser六. Serv-U 的基本设置1

16、. 建立FTP服务器服务端（2）、打开 Serv-U 管理器.如下图的“ Serv - U Administrator ”，右击 Domain （NewDomain）。此向导可以帮你轻松地完成基本设置，因为建议使用它。直接选“Next ” （下一步）。如下图3）、请随着安装向导按以下步骤来进行操作：（3）Domain Port number（端口 ）:默认为21.如果想改端口也可以选其他的（4）Domain type : 默认选就行了 .这样备份方便.只要把安装目录下的：ServUDaemon.ini 文件COPY 一下就可以了 .In stall as system server（安装成一个

17、系统服务器吗）：选“ Yes”。Allow anonymous access（接受匿名登录吗）：选NO.因为服务器不能允许匿名登录Lock anonym ous users in to their home directory（将用户锁定在刚才选定的主目录中吗）：即是否将上步的主目录设为用户的根目录；一般选“Yes”。Create namedaccou nt （建立其他帐号吗）：此处询问是否建立普通登录用户帐号；一般选“ Yes”。Account logi n name（用户登录名）：普通用户帐号名，比如输入“ edo ng”。Password （密码）：设定用户密码。由于此处是用明文（而不是

18、*）显示所输入的密码，因此只 输一次。（10）Home directory（主目录）：输入（或选择）此用户的主目录。（11）Lock anonym ous users in to their home directory（将用户锁定在主目录中吗）：选“ Yes”。（12）Account admin privilege（帐号管理特权）：一般使用它的默认值“ No privilege ” （普通帐号）。（13）最后选“ Finish （结束）即完成设置。如下图：（4）、基本权限。比如在左边的面板中选中“ edong”用户，则在右边的面板中出现如下图的设置窗 口。选“Dir Access ” （目录

19、存取权限），即可设置此用户在它的主目录（即“ Path”）是否对文件拥 有 “Read（读）、Write （写）、“Append（写和添加）、“Delete ” （删除）、“Execute” （执行）; 是否对目录拥有“ List ” （显示文件和目录的列表）、“ Create ” （建立新目录）和“ Remove （修改目录，包括删除，移动，更名）；及“herit ”（以上权限是否包括它下面的目录树）等等。注：“Execute”（执行）不要选.会有很大的安全隐患.2. Serv-U 管理器A、“ Local Server ” （本地服务器）属性1、 Local Server （本地服务器）：

20、此处可设置是否自动开启FTP服务以及手动开启或停止FTP服务等。2、License （许可证）：3、 Sett in gs（设置）：General/Max. speed :可设置最大传输速率（kb/s ）。Gen eral/Max. no. of users:可设置连接到本服务器的最多用户数。General的其他项目均与保持服务器的安全性有关。4、Activity（活动状态）Users （用户）：显示当前登录的用户IP地址等资料及当前工作状态；建议选中Auto reload ”（自动刷新）。如果选中某个用户，单击右键，再选癒 ill User ”，即可将它从服务器中踢出去。Blocked IP

21、s （被挡住的IP）:此处用来暂时禁止某些IP访问本系统。单击工具栏的“ + ”即可增加即可增加被暂时禁止的IP地址及禁止登录的总时间（从增加之后开始计算）。列表中可以看见被禁止的IP地址及其对应的计算机的完整的域名和离解禁尚有多少时间（以秒为单位）等等。在列表中单击右键即可以选择删除已禁止的IP地址。Session Log （系统日志）：记录所有登录（或试图登录）到本机的操作痕迹及错误信息等。B、“Domai n （域名）属性2、Settings （设置）：及完全允许或禁止登录的IP地址等。General/Max no. of Users（最大用户数）：此处可以设置允许同时登录到本FTP服务

22、器的最大用户数。IP Access/Deny access（拒绝）：此处可设置仅仅拒绝登录到本FTP服务器的计算机的IP地址列表。IP Access/Allow access（允许）：此处可设置仅仅允许登录到本FTP服务器的计算机的IP地址列表。Message （信息）：此处可改变一些提示性显示信息，如“ Sig non message file ” （开始广播）、“ Server offline ”（服务器未工作）、“ No anonymos access ” （不接受匿名登录）等等。3、Activity（活动状态）：Users （用户）：显示登录到本服务器的用户及其状态；建议选中“Auto

23、 reload ” （自动刷新）Domain Log （系统日志）：记录所有登录（或试图登录）到本服务器的操作痕迹及错误信息等。C、Serv-U用户属性之“ Account ” （帐号）一、Account （帐号）选项。如下图：二、各项说明和应用实例1、 Disable account（禁用帐号）：如果选中它，则此帐号将无法使用。2、User name （用户名）：此处显示并可改变该用户的登录名3、Group（s）（组）：如果有建立组，则此处可通过选择组来更多的目录。这些组中目录的属性由建 立组时确定，用户在“ Dir Access ”中不能修改！4、Password （密码）：此项为“ ”（

24、加密）说明有密码，为保密，因此内容不予显示。如果为空 白，则不需密码；如有输入任何密码均显示“ ”。5、Home directory （主目录）：此处原则上为用户登录后的主目录；实际用户登录的根目录将由“General”属性中的“ Lock user in home directory ”来决定。6、Notes （备注）：此项用来标注一些说明性的文字。七、用WebEasyMail架构Web邮件服务器1. 安装.2. Web邮件服务器的配置与设置（1）WebEasyMail服务，如图所示，它的服务包括 DNS配置和启动或停止 WebEasyMail服务程序。 右击状态栏的，选择-服务，DNS的

25、IP地址与服务器的 DNSIP地址相同.如想修改.选中修改复选框就可 以进行修改.（2）高级管理设置用户高级选项中，可以启动用户自动清理功能，规定100天未登陆系统，禁用帐户； 100天帐户禁用，删除帐户。从而避免一些用户占用资源。邮件高级选项中，可以启动邮件自动清理功能，规定移动超过100天的邮件至Admin等其他用户，删除所有超过 200天的邮件。邮件监控功能，如果启动，可 以抄送Admin等其他用户，但一般不作此设置。Web高级选项中可以规定附件的大小，我们可以规定附件总长度为5120K（ 5M或更大。并且可以启动密码保护功能，设置休眠时间为10分钟。（3）备份在系统备份中，可以查看以前备份的详细内容，也可以删除以前的备份；备份时可选取立即 备份或更新式备份备份以前所有内容，也可设置以一天为基准的增量式备份或不备份在在事件查看中，我们选取以时间命名的事件文件查看就可以看到如图所示的Web邮件服务器的活动事件记录。邮件服务器出问题最主要的是查看活动日志（4）、系统设置 用户管理我们可以设置如edonguser的用户即日