Windows Server 2003 虚拟主机的安全配置 [转]
本人上次工作于某家网络公司.负责服务器的维护工作.现失业.
经过一段时间的了解.自认为在构件Windows服务器平台上有所经验.
鉴于现在很多朋友都开始谋划属于自己的虚拟主机.并且呢.
网上相关文章都是很老的那种.所以自己冒昧准备写一系列.
希望各位多多指点.有问题有错误多多斧正.谢谢.
开头很严肃吧.呵呵.那下面就轻松点.哎.才跟GF去吃午饭了.撑的我.哎.老打嗝.
这人跟机器就一样.快的确是挺好.但是要稳定.服务器的稳定就好比谈恋爱的稳定.
否则一天三顿吵.外加吃个消夜.那就甭想好点工作了.呵呵.要建立稳定的恋爱关系.
那首先.基础很重要.人品.性格.爱好.对不对?那我们就先说硬件吧.
当然推荐品牌的服务器.DELL.IBM.都挺好.如果你跟我一样穷.那自己装一台也成.
主板非IWLL.ASUS.INTEL的不要.CPU当然要HT P4的.512 DDR.装起来也凑合.
自己曾经用一PC做过一段时间的测试.如果硬件质量都过关.其实也非常强.
然后是重要的服务器操作系统.鉴于本人水平有限制.我们暂时不探讨REDHAT.
首推Windwos Server 2003.尤其是安全性和IIS.比W2K要强很多.执行效率高.稳定安全.
在正式进入主题之前.套用FIRE的话作为整个工程的开场白:
"请不要尝试去攻击任何一台主机.因为你永远都无法知道.
你的对面的管理员.到底是一个天才还是一个伪装成白痴的天才."
装系统估计人人都会装.那我不多说.免得人说我骗稿费.在安装之前.我们还是要谈下服务器的分区.
跟PC分区还是有一点不同的.我按我以前自己做的分区设置罗列一下.下面的内容比较重要.
系统分区定在C盘.个人认为8G足够了.10G也行.NTFS格式.因为在2003下.非NTFS不能安装IIS.
权限保持默认.因为我曾经修改过一次系统盘的默认权限.结果不知道为什么系统就给崩了.55555.
软件分区定在D盘.8G到10G.主要安装辅助软件.WINRAR.日志检测软件.网络检测软件.Commview这类等.
至于MSN哦.QQ哦什么的.其实不推荐安装.为什么.当然会有点小隐患.推荐使用NTFS格式.
权限请保留ADMIN组和SYSTEM组.一共两个.其他的一律DEL掉.尤其是什么EVERYONE.
为什么.因为安装到系统中SYSTEM当然是必须具备.然后管理员要操作.所以要ADMIN组.
E盘我们做为服务器软件的安装分区.大小自己定义.包括CGI.PHP.ZEND.MYSQL.MSSQL.IMAIL.SERV-U等.
文件格式为NTFS.权限保留ADMIN组.SYSTEM组.和"IWAN_你的计算机名"这个帐号.一共三个.其他的DEL掉.
说明一下.这个"IWAN_你的计算机名"帐号.主要是负责操作应用程序地址池和服务器软件.比如PHP脚本.
F盘就可以做对外服务的分区.比如IIS的WEB服务.FTP空间.IMAIL邮件帐号空间.
建议建立三个文件夹: WEB.FTP和IMAIL.然后分门别类的放置每个软件的每个帐号的目录.
并且不继承F盘的父权限.独立来定制这三个目录的操作权限.具体我们下面说.
推荐权限为保留如下三个组: ADMIN组和SYSTEM组以及"USER_你的计算机名"这个帐号组.
"USER_你的计算机名"这个帐号组.权限为GUESTS.是匿名访问WEB服务器的默认帐号.
如果需要有写操作权限的另外建立个帐号.具体可以参考FSO分配这类文章.
G盘为FTA32格式.放置系统安装文件.日常工具软件的安装程序.系统备份.策略等等.
注意.敏感内容请通过第三方软件加密.以免病毒感染或者被黑客捆绑后门和木马.
如果条件允许就做异地备份.光盘或者磁带机备份.建议装个GHOST 2003.对于重要内容可以做镜像文件.
到这里基本上比较合理的分配了空间.并且也考虑以后的拓展性.我们可以准备进入下面的环节了.
本人上次工作于某家网络公司.负责服务器的维护工作.现失业.
经过一段时间的了解.自认为在构件Windows服务器平台上有所经验.
鉴于现在很多朋友都开始谋划属于自己的虚拟主机.并且呢.
网上相关文章都是很老的那种.所以自己冒昧准备写一系列.
希望各位多多指点.有问题有错误多多斧正.谢谢.
开头很严肃吧.呵呵.那下面就轻松点.哎.才跟GF去吃午饭了.撑的我.哎.老打嗝.
这人跟机器就一样.快的确是挺好.但是要稳定.服务器的稳定就好比谈恋爱的稳定.
否则一天三顿吵.外加吃个消夜.那就甭想好点工作了.呵呵.要建立稳定的恋爱关系.
那首先.基础很重要.人品.性格.爱好.对不对?那我们就先说硬件吧.
当然推荐品牌的服务器.DELL.IBM.都挺好.如果你跟我一样穷.那自己装一台也成.
主板非IWLL.ASUS.INTEL的不要.CPU当然要HT P4的.512 DDR.装起来也凑合.
自己曾经用一PC做过一段时间的测试.如果硬件质量都过关.其实也非常强.
然后是重要的服务器操作系统.鉴于本人水平有限制.我们暂时不探讨REDHAT.
首推Windwos Server 2003.尤其是安全性和IIS.比W2K要强很多.执行效率高.稳定安全.
在正式进入主题之前.套用FIRE的话作为整个工程的开场白:
"请不要尝试去攻击任何一台主机.因为你永远都无法知道.
你的对面的管理员.到底是一个天才还是一个伪装成白痴的天才."
装系统估计人人都会装.那我不多说.免得人说我骗稿费.在安装之前.我们还是要谈下服务器的分区.
跟PC分区还是有一点不同的.我按我以前自己做的分区设置罗列一下.下面的内容比较重要.
系统分区定在C盘.个人认为8G足够了.10G也行.NTFS格式.因为在2003下.非NTFS不能安装IIS.
权限保持默认.因为我曾经修改过一次系统盘的默认权限.结果不知道为什么系统就给崩了.55555.
软件分区定在D盘.8G到10G.主要安装辅助软件.WINRAR.日志检测软件.网络检测软件.Commview这类等.
至于MSN哦.QQ哦什么的.其实不推荐安装.为什么.当然会有点小隐患.推荐使用NTFS格式.
权限请保留ADMIN组和SYSTEM组.一共两个.其他的一律DEL掉.尤其是什么EVERYONE.
为什么.因为安装到系统中SYSTEM当然是必须具备.然后管理员要操作.所以要ADMIN组.
E盘我们做为服务器软件的安装分区.大小自己定义.包括CGI.PHP.ZEND.MYSQL.MSSQL.IMAIL.SERV-U等.
文件格式为NTFS.权限保留ADMIN组.SYSTEM组.和"IWAN_你的计算机名"这个帐号.一共三个.其他的DEL掉.
说明一下.这个"IWAN_你的计算机名"帐号.主要是负责操作应用程序地址池和服务器软件.比如PHP脚本.
F盘就可以做对外服务的分区.比如IIS的WEB服务.FTP空间.IMAIL邮件帐号空间.
建议建立三个文件夹: WEB.FTP和IMAIL.然后分门别类的放置每个软件的每个帐号的目录.
并且不继承F盘的父权限.独立来定制这三个目录的操作权限.具体我们下面说.
推荐权限为保留如下三个组: ADMIN组和SYSTEM组以及"USER_你的计算机名"这个帐号组.
"USER_你的计算机名"这个帐号组.权限为GUESTS.是匿名访问WEB服务器的默认帐号.
如果需要有写操作权限的另外建立个帐号.具体可以参考FSO分配这类文章.
G盘为FTA32格式.放置系统安装文件.日常工具软件的安装程序.系统备份.策略等等.
注意.敏感内容请通过第三方软件加密.以免病毒感染或者被黑客捆绑后门和木马.
如果条件允许就做异地备份.光盘或者磁带机备份.建议装个GHOST 2003.对于重要内容可以做镜像文件.
到这里基本上比较合理的分配了空间.并且也考虑以后的拓展性.我们可以准备进入下面的环节了.
回复Comments
作者:
{commentrecontent}