WEB站點服務器安全配置

WEB站點服務器安全配置

 

本文轉自：i春秋社區

 

//  概述

//  熟悉網站程序

//  更改默認設置的必要性

//  目錄分析與權限設置技巧

//  防止攻擊其餘要素

//  公司官網不可忽視的安全性

//  儘量的防止沒必要要的信息泄漏

一：概述

    圈內基本上都已經熟悉了黑產吧，如今攻擊的門檻愈來愈低，黑產也愈來愈被人熟知。在巨大的經濟利益的驅使下，天天

基本上有成百上千的網站被攻擊，在網站安全沒法徹底保障的狀況下，在此編寫此文僅爲站長做爲參考。

做爲一名信息安全愛好者來講，本人沒法保證此文的可用性，正確性。

因此有錯誤的地方還望見諒並指出

   另外我發現論壇裏全部資源裏基本上全是攻擊，滲透相關的。防護資源少的可憐。我但願你們不要一味的去想着滲透，突破。

也得多考慮考慮如何去抵抗這個攻擊，如何有效的，在資源消耗最低的狀況下去防護。不是有一句話   ； " 在攻於防的對立中，尋找突破 "

麼。

二：熟悉網站程序，以及目錄權限設置

   在網站正式上線運行前，少不了的調試。我所說的調試不牢牢只是調試網站的功能，熟悉網站程序也是一個必不可少的步驟。

若是有代碼功底的站長們能夠看看網站程序的代碼，瞭解網站每一個文件所實現的功能，這樣在網站出現問題的時候也能快速的找

出問題所在！（本文主要站在無代碼功底的站長角度上說網站安全）

在對於網站程序選擇調試完成後最重要的一步來了，咱們須要瞭解整個目錄結構，須要知道這個目錄是作什麼用的。好比（圖： 1.1 ）：

（圖1.1）

網站目錄結構基本算是這樣的吧，相關權限設置我也給出了按照這個圖來設置權限能夠抵抗大部分攻擊了。

對於網站權限設置後，咱們還須要最重要的一步那就是修改程序的默認信息，好比默認後臺，賬號密碼，默認數據庫地址。

三：防止攻擊其餘要素

1 ）：sql注入攻擊

對於 sql 注入攻擊如今網絡上已經出了各類 sql 通用防注入程序來抵抗了。我這裏只簡單說下用法。

asp 程序：防注入程序下載地址： http://code.google.com/p/defencesqlinject/  內附詳細使用說明，這裏就很少說了。

php 程序：代碼地址： http://www.jb51.net/article/30079.htm  在公用文件好比 config.php 內 require_once 'nosql.php';

2 ）：文件上傳攻擊

   在作完第二步所提到的目錄權限後基本上文件上傳攻擊已經能夠避免 %70 以上了。

網站後臺設置文件後綴白名單。 "jpeg,jpg,bmp,gif,png,rar,zip"  等非腳本後綴。

這裏須要注意的就是網站程序所用到的編輯器。 ewebeditor  該編輯器請先登陸後臺確認每一個樣式文件後綴的正確性後

刪除或者更名 admin_login.asp 文件   而後設置 db/ewebeditor.mdb  只讀權限。

Fckeditor  編輯器這裏請確認版本是否爲最新版本否者升級，而後將上傳目錄設置拒絕執行權限。

3 ）: 弱口令攻擊

   修改網站管理目錄名稱，修改 ftp  以及後臺登陸密碼（建議使用字母 + 數字 + 特殊字符的組合）若是條件容許就最好限制訪問 IP.

儘量的不要暴露過多與該網站相關的信息。增強我的所使用賬號密碼。（最好別使用同一個密碼）。    

 

聲明：（ BBs.ichunqiu.com ）所發佈的新聞均來源於互聯網，目的在於傳遞信息，但不表明本站贊同其觀點及立場，版權歸屬原做者，若有侵權請聯繫刪除。 本文由中國Cold整理髮布，轉載請註明來自i春秋社區（BBS.ichunqiu.com）