2022年实例设置服务器安全收集 .pdf

windows 2003 服务器安装步骤和安全配置1.系统安装(windows 2003 启动光盘 + Raid 磁盘和软件驱 ) -系统安装 , -用户名 : jasun 单位:jasun co. SN: JCGMJ-Tc669-KcBg7-HB8X2-FXG7M -计算机名称 : jasun-ma1 管理员密码 : 1234567890 2. 完成系统安装后, 并安装相应的驱动程序(如声卡 ,网卡等 ). 并安装好IIS6 开启系统自带防火墙.设置上网的IP 等.然后安装SP1并在线升级- 安装 IIS6 - 设置服务器IP 211.155.23.239 网关 : 211.155.23.239 DNS: ( 主)61.144.56.100 (副)211.155.27.88 - windows 2003 补丁打上并在线升级补丁winrar 5.2 安装五笔输入法安装与设置- 防火墙设置端口 : 80,1433,3306,25,110,3389,21,IPSEC 或 IP 筛选设置 (IP 筛选要允许 TCP 的 80,1433,3306,25,1103389,21 端口嗵过,其它全禁止 ) - 调整虚拟内存 服务器都最高设置成4096M - office 2003 安装WORD+EXCEL+ACCESS - 安装防火墙和杀毒软件，可使用macfee的杀毒软件和防火墙。- windows 2003 基本优化设置 , - 在 IIS 6.0 中，默认设置是特别严格和安全的，最大只能传送204,800 个字节，这样可以最大限度地减少因以前太宽松的超时和限制而造成的攻击。 （在 IIS 6.0 之前的版本中无此限制）在 IIS 6.0 中，修改上传附件大于200k 的方法，可以按以下步骤解决(一般用于 WEB 邮件发送或文件上传)：1、先在服务里关闭iis admin service 服务。2、找到windowssystem32inetsrv 下的 metabase.xml 文件。3、用纯文本方式打开，找到ASPMaxRequestEntityAllowed 把它修改为需要的值（可修改为10M 即： 10240000） ，默认为：204800，即： 200K。4、存盘，然后重启iis admin service 服务。在 IIS 6.0 中，无法下载超过4M 的附件时，可以按以下步骤解决：1、先在服务里关闭iis admin service 服务。2、找到windowssystem32inetsrv 下的 metabase.xml 文件。3、用纯文本方式打开，找到AspBufferingLimit 把它修改为需要的值（可修改为20M 即： 20480000） 。4、存盘，然后重启iis admin service 服务。- 禁用关机事件跟踪开始- 运行- gpedit.msc - Computer configuration - Administrative Templates - System - Display shutdown event tracker - 设置为Disable。如果是中文版，则：开始- 运行 - gpedit.msc- 计算机配置- 管理模板- 系统- 显示关机事件跟踪- 禁用。- 禁用开机CTRL+ALT+DEL和实现自动登陆管理工具- Local Security Settings（本地安全策略）- 本地策略- 安全选项- interactive logon: Do not require CTRL+ALT+DEL，启用之。3.修改终端服务端口(安全 ) - 运行 regedit，找到 HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Control Terminal Server Wds rdpwd Tds tcp，看到右边的PortNumber 了吗？在十进制状态下改成你想要的端口号吧，比如6101 之类的，只要不与其它冲突即可。- 第二处 HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Control Terminal Server WinStations RDP-Tcp，方法同上，记得改的端口号和上面改的一样就行了。4.禁止 IPC 空连接 (安全 ) hacker 可以利用 net use命令建立空连接，进而入侵，还有net view，nbtstat 这些都是基于空连接的，禁止空连接就好了。打开注名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 1 页，共 14 页 - - - - - - - - - 册表，找到Local_MachineSystemCurrentControlSetControlLSA 下的 RestrictAnonymous把这个值改成”1”即可。5.更改 TTL 值(安全 ) hacker 可以根据 ping 回的 TTL 值来大致判断你的操作系统，如：TTL=107(WINNT); TTL=108(win2000); TTL=127 或 128(win9x); TTL=240 或 241(linux); TTL=252(solaris); TTL=240(Irix); 修改方法 : HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters新建一个 REG_DWORD 值的 DefaultTTL然后输入十进制值就是0-0 xff(0-255 十进制 ,默认值 128)改成一个莫名其妙的数字如258，起码让那些小菜鸟晕上半天，就此放弃入侵你也不一定哦6. 删除默认共享 (安全 ) 有人问过我一开机就共享所有盘，改回来以后，重启又变成了共享是怎么回事，这是2K 为管理而设置的默认共享，必须通过修改注册表的方式取消它：HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameters：新建一个AutoShareServer 类型是 REG_DWORD 把值改为 0 即可7.禁用 TCP/IP 上的 NetBIOS 网上邻居 -属性 -本地连接 -属性 -Internet 协议 （TCP/IP） 属性 -高级 -WINS 面板 -NetBIOS 设置 -禁用 TCP/IP 上的 NetBIOS 。 这样 hacker就无法用 nbtstat 命令来读取你的NetBIOS 信息和网卡MAC 地址了。8更改日志文件默认保存目录，将应用程序日志、系统日志、安全日志更改到E:logfileevent 目录 需要修改注册表以更改，调整日志文件大小，将该目录只允许system 有写入权限和administrator 完全控制权限。注册表中找到以下三项：HKEY_LOCAL_MACHINESystemCurrentControlSetServicesEventlogSecurity HKEY_LOCAL_MACHINESystemCurrentControlSetServicesEventlogApplication HKEY_LOCAL_MACHINESystemCurrentControlSetServicesEventlogSystem；将其中项值 Flie 的路径更改9.设置一个伪管理员帐号并将原来的Administrator 管理帐号的名称改掉进入管理工具里的计算机管理, 找到本地用户和组里的用户项目. 这时你会发现有几个帐号直接在 Administrator 帐号上重命名 ,改成你喜欢的名称, 如: Kaitmaster 并设定一个复杂的密码,不用担心改掉后会影响服务器的设置,没关系的 !一点也不会损坏系统和设置 然后新建一个Administrator 帐号然后随便设置一个密码, 下面选择密码永不过期的选项. 然后在该帐号上右击点属性, 然后将这个帐号的权限设置成最低就是!, 上面的功能应该关的就全关了! 不让系统显示上次登录的用户名默认情况下，登录对话框中会显示上次登录的用户名。这使得别人可以很容易地得到系统的一些用户名，进而做密码猜测。修改注册表可以不让对话框里显示上次登录的用户名。方法为：打开注册表编辑器并找到注册表项“HKLMSoftwareMicrosoftWindows TCurrentVersionWinlogonDont-DisplayLastUserName” ，把 REG_SZ 的键值改成1。10.SQL2000 安装 +SQL SP4 安装设定 SA 密码11.PHP 5.12+MYSQL4.1.16+Zend 2.62 安装下载: PHP（5.1.2 ） ：http:/ MySQL （4.1.16） ：http:/ Zend Optimizer （2.6.2） ：http:/ phpMyAdmin （2.8.0.3） ：http:/ -安装 php 5.1.2 下载解压php5.1.2 并解压到 C 盘下的 c:php 文件夹里然后将 php 里所有的dll 文件复制到c:windowssystem32 的文件夹里并代替原有的文件名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 2 页，共 14 页 - - - - - - - - - 将 C:Windowsphp.ini-dist改名为 php.ini, 然后用记事本打开，利用记事本的查找功能搜索register_globals = Off ，将 Off 改成On ；extension_dir =，并将其路径指到你的PHP 目录下的extensions 目录，比如： extension_dir = C:phpext ；在 c:php下建文件夹 tmp 找 upload_tmp_dir并改 upload_tmp_dir = “ c:phptmp ”,去掉前面的; (目录必须有读写权限。)查找 ;Windows Extensions 将下面列举的 ; ;extension=php_curl.dll;extension=php_dbase.dll ;extension=php_gd2.dll (这个是用来支持GD 库的，一般需要，必选) ;extension=php_ldap.dll ;extension=php_zip.dll;extension=php_mbstring.dll ;extension=php_mssql.dll (可选 ) ;extension=php_mysql.dll 将这些前的 ；去掉，其他的你需要的也可以去掉前面的;然后关闭保存该文件。查找 ;session.save_path = 去掉前面; 号,本文这里将其设置置为session.save_path = “tmp”一些朋友经常反映无法上传较大的文件或者运行某些程序经常超时，那么可以找到C:Windows目录下的 PHP.INI 以下内容修改：max_execution_time = 30 ; 这个是每个脚本运行的最长时间，可以自己修改加长，单位秒max_input_time = 60 ; 这是每个脚本可以消耗的时间，单位也是秒memory_limit = 8M ; 这个是脚本运行最大消耗的内存，也可以自己加大upload_max_filesize = 2M ; 上载文件的最大许可大小，自己改吧，一些图片论坛需要这个更大的值上面修改完成后 ,将 php.ini 文件复制到c:windows下配置 IIS 来支持 php ISAPI 模式设置 : 打开 IIS 6 展开”Internet 服务管理器“的下在你需要设置的”网站“上并单击右键选择“属性”在弹出的属性窗口上选择“ISAPI 筛选器”选项卡找到并点击“添加”按钮，在弹出的“筛选器属性”窗口中的“筛选器名称”栏中输入： php 可执行文件里浏览选择php5isapi.dll文件 ,在 c:php php5isapi.dll下打开 “ 站点属性 ” 窗口的 “ 主目录 ” 选项卡，找到并点击 “ 配置 ” 按钮 ; 在” 应用程序映射 “ 选项卡找到并点击“ 添加 ” 按钮新增一个扩展名映射 , 可执行文件指向php4isapi.dll 所在路径 (c:php php5isapi.dll) 扩展名为 .php 动作限于”GET,HEAD,POST,TRACE“，如果自己有独立的服务器,可以直接在 IIS 的 WEB 服务扩展下加一个php 的扩展 ,方法如 ISAPI 筛选器的增加方法,最后设置为允许 .然后重启服务器, 在网站目录下新建一个php 文件来测试 ,内容如下 : 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 3 页，共 14 页 - - - - - - - - - 安装 MYSQL ( 参照 http:/ 安装Zend Optimizer 2.62 安装phpMyAdmin 解压然后放到虚拟主机下,新建一个目录 ,把文件都放进去, 找到并打开phpMyAdmin目录下的config.default.php，做以下修改：查找$cfgPmaAbsoluteUri设置你的 phpmyadmin的 WEB 访问 URL ，比如本文中： $cfgPmaAbsoluteUri = http:/localhost/phpmyadmin/; 注意这里假设phpmyadmin在默认站点的根目录下查找 $cfgblowfish_secret =设置 COOKIES 加密密匙，如 则设置为 $cfgblowfish_secret = ; 查找 $cfgServers$iauth_type = ，默认为 config ，是不安全的 ，不推荐，推荐使用cookie ，将其设置为$cfgServers$iauth_type = cookie; 注意这里如果设置为config 请在下面设置用户名和密码！例如：$cfgServers$iuser = root; / MySQL user-MySQL连接用户$cfgServers$ipassword = ; 搜索 $cfgDefaultLang，将其设置为zh-gb2312 ；搜索 $cfgDefaultCharset，将其设置为gb2312 ；打开浏览器，输入：http:/ 地址 /PHPAD 的目录，若IIS 和 MySQL 均已启动，输入用户ROOT 密码 ( 如没有设置密码则密码留空)即可进入phpMyAdmin数据库管理。首先点击权限进入用户管理，删除除 ROOT 和主机不为localhost的用户并重新读取用户权限表，这里同样可以修改和设置 ROOT 的密码，添加其他用户等phpMyAdmin 的具体功能，请慢慢熟悉，这里不再赘述。至此所有安装完毕。目录结构以及MTFS 格式下安全的目录权限设置：当前目录结构为c:php | + + + + (php5) tmp MySQL Zend phpMyAdmin c:php设置为Administrators和 SYSTEM 完全权限即可，其他用户均无权限对于其下的二级目录c:php设置为USERS 读取 /运行权限c:phptmp设置为USERS 读/写/删 权限c:phpMySQL 、c:phpZend设置为Administrators和 SYSTEM 完全权限phpMyAdmin WEB 匿名用户读取权限12 SerU FTP ,.jmail 和 aspjpeg 插件的安装(可选 ,需要的时候才装也行) 先停掉 Serv-U 服务用 Ultraedit打开 ServUDaemon.exe 查找Ascii ：LocalAdministrator 和 #l$ak#.lk;0P 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 4 页，共 14 页 - - - - - - - - - 修改成等长度的其它字符就可以了，ServUAdmin.exe也一样处理。另外注意设置Serv-U 所在的文件夹的权限，不要让 IIS 匿名用户有读取的权限，否则人家下走你修改过的文件，照样可以分析出你的管理员名和密码。13. .windows 2003配置 IIS 支持.shtml 要使用Shtml 的文件，则系统必须支持SSI，SSI 必须是管理员通过Web 服务扩展启用的windows 2003安装好 IIS 之后默认是支持 .shtml 的，只要在 “WEB 服务扩展 ” 允许 “ 在服务器前端的包含文件” 即可14. windows 2003下 winwebmail 的安装- 安装 WinWebMail, 然后重启服务器使WinWebMail完成安装 .并注册 .然后恢复 WinWebMail数据 . - 安装 MCAFEE并按 WinWebMail帮助内容设定 ,使 MCAFEE与 WinWebMail联合起到邮件杀毒作用(将 MCAFEE更新到最新的病毒库 ) -MCAFEE在邮件服务器的设置为：设置 WinWebMail 的杀毒产品名称为“McAfee VirusScan for Win32 ”并指定有效的执行程序路径。请将执行程序路径指向：系统盘符 :Program FilesCommon FilesNetwork Associates 目录或其子目录下的SCAN.EXE 文件。注意1：必须使用缺省的执行程序文件名。使用McAfee 时就必须指向SCAN.EXE 文件，而不能使用其他文件（如：SCAN32.EXE ） ，否则不但无法查毒，并且会影响邮件系统的正常工作。注意 2：SCAN.EXE 文件并不在其安装目录下！禁用 VirusScan 的电子邮件扫描功能。在VirusScan 扫描属性下“所有进程| 检测”中的“排除磁盘、文件和文件夹”内，点击“排除”按钮，在其“设置排除”中添加一个排除设置将安装WinWebMail 的目录以及所有子目录都设为排除。必须要设置排除，否则有可能出现邮件计数错误，从而造成邮箱满的假象。在 McAfee 控制台中有“访问保护”项中必须在其规则中不要选中“禁止大量发送邮件的蠕虫病毒发送邮件”项。否则会引起“Service unavailable”错误。- 必须要在查毒设置中排除掉安装目录下的mail 及其所有子目录，只针对WinWebMail安装文件夹下的temp 文件夹进行实时查毒。注意：如果没有temp 文件夹时，先手工创建此temp 文件夹，然后再进行此项设置。- 将 WinWebMail的 DNS 设置为 win2k3 中网络设置的DNS ，切记，要想发的出去最好设置一个不同的备用DNS 地址，对外发信的就全靠这些DNS 地址了- 给予安装WinWebMail 的盘符以及父目录以Internet 来宾帐户(IUSR_*) 允许 读取 运行 列出文件夹目录 的权限 . WinWebMail的安装目录 ,INTERNET访问帐号完全控制给予超级用户 /SYSTEM 在安装盘和目录中完全控制 权限 ,重启 IIS 以保证设定生效 . - 防止外发垃圾邮件: - 在服务器上点击右下角图标，然后在弹出菜单的“ 系统设置 ” -“ 收发规则 ” 中选中 “ 启用 SMTP 发信认证功能 ” 项，有效的防范外发垃圾邮件。- 在“ 系统设置 ” -“ 收发规则 ” 中选中 “ 只允许系统内用户对外发信” 项。- 在服务器上点击右下角图标，然后在弹出菜单的“ 系统设置 ” -“ 防护 ” 页选中 “ 启用外发垃圾邮件自动过滤功能” 项，然后再启用其设置中的 “ 允许自动调整 ” 项。- “ 系统设置 ” -“ 收发规则 ” 中设置 “ 最大收件人数 ” - 10. - “ 系统设置 ” -“ 防护 ” 页选中 “ 启用连接攻击保护功能” 项，然后再设置“ 启用自动保护功能”.- 用户级防付垃圾邮件，需登录WebMail ，在 “ 选项| 防垃圾邮件 ” 中进行设置。- 打开 IIS 6.0, 确认启用支持asp 功能 , 然后在默认站点下建一个虚拟目录(如: mail), 然后指向安装WinWebMail 目录下的Web 子目录 , 打开浏览器就可以按下面的地址访问webmail 了: - Web 基本设置 : - 确认 “ 系统设置 ” -“ 资源使用设置 ” 内没有选中 “ 公开申请的是含域名帐号”- “ 系统设置 ” -“ 收发规则 ” 中设置 Helo 为您域名的MX 记录名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 5 页，共 14 页 - - - - - - - - - - .解决大附件上传容易超时失败的问题. 在 IIS 中调大一些脚本超时时间，操作方法是：在 IIS 的“ 站点或（虚拟目录）” 的“ 主目录 ” 下点击 “ 配置 ” 按钮，设置脚本超时间为：300 秒（注意：不是Session 超时时间）。- .解决 Windows 2003的 IIS 6.0 中，Web 登录时经常出现 超时，请重试 的提示 . 将 WebMail 所使用的应用程序池“ 属性 -回收 ” 中的 “ 回收工作进程 ” 以及 属性 -性能 中的 “ 在空闲此段时间后关闭工作进程” 这两个选项前的勾号去掉，然后重启一下IIS 即可解决 . - .解决通过 WebMail 写信时间较长后，按下发信按钮就会回到系统登录界面的问题. 适当增加会话时间（Session ）为 60 分钟。在 IIS 站点或虚拟目录属性的“ 主目录 ” 下点击 配置 -选项 ，就可以进行设置了(SERVER 2003默认为 20 分钟 ). - . 安装后查看 WinWebMail的安装目录下有没有temp 目录 ,如没有 ,手工建立一个 . - 打开 2003 自带防火墙 ,并打开 POP3.SMTP.WEB.远程桌面 .充许此 4 项服务 , OK, 如果想用 IMAP4 或 SSL 的SMTP.POP3.IMAP4也需要打开相应的端口. 15. 服务器安全设置之-组件安全设置(非常重要！ ！) A、卸载 WScript.Shell 和 Shell.application组件，反注册 wshom.ocx 控件 CMD命令 : regsvr32/u C:WINDOWSSystem32wshom.ocx 然后手动删除下的 wshom.ocx 或 CMD 命令 : del C:WINDOWSSystem32wshom.ocx 反注册 shell32.dll 组件 CMD 命令 : regsvr32/u C:WINDOWSsystem32shell32.dll 然后手动删除的 shell32.dll 或 CMD 命令 : del C:WINDOWSsystem32shell32.dll B、改名不安全组件，需要注意的是组件的名称和Clsid 都要改，并且要改彻底了，不要照抄，要自己改【开始 运行 regedit 回车】 打开注册表编辑器然后【编辑 查找 填写 Shell.application查找下一个】用这个方法能找到两个注册表项：13709620-C279-11CE-A49E-444553540000和 Shell.application。第一步： 为了确保万无一失，把这两个注册表项导出来，保存为xxxx.reg 文件。第二步： 比如我们想做这样的更改13709620-C279-11CE-A49E-444553540000改名为13709620-C279-11CE-A49E-444553540001Shell.application改名为Shell.application_nohack第三步： 那么，就把刚才导出的.reg 文件里的内容按上面的对应关系替换掉，然后把修改好的.reg 文件导入到注册表中 （双击即可） ，导入了改名后的注册表项之后，别忘记了删除原有的那两个项目。这里需要注意一点，Clsid中只能是十个数字和ABCDEF六个字母 。其实，只要把对应注册表项导出来备份，然后直接改键名就可以了，C、禁止使用FileSystemObject组件(注意 :更改了这个后 ,如果你利用该组件,记得在 asp 程序里将原来的Scripting.FileSystemObject也改成 Scripting.FileSystemObject_c 不然不能上传文件) FileSystemObject可以对文件进行常规操作,可以通过修改注册表，将此组件改名，来防止此类木马的危害。改名为其它的名字，如：改为Scripting.FileSystemObject_c 自己以后调用的时候使用这个就可以正常调用此组件了也要将 clsid 值也改一下项目的值也可以将其删除，来防止此类木马的危害。2003 注销此组件命令：RegSrv32 /u C:WINDOWSSYSTEMscrrun.dll 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 6 页，共 14 页 - - - - - - - - - 如何禁止 Guest 用户使用 scrrun.dll 来防止调用此组件？使用这个命令：cacls C:WINNTsystem32scrrun.dll /e /d guests D、禁止使用WScript.Shell组件 (同 A 的组件 ) WScript.Shell可以调用系统内核运行DOS 基本命令可以通过修改注册表，将此组件改名，来防止此类木马的危害。及 HKEY_CLASSES_ROOTWScript.Shell.1 改名为其它的名字，如：改为WScript.Shell_ChangeName 或 WScript.Shell.1_ChangeName 自己以后调用的时候使用这个就可以正常调用此组件了也要将 clsid 值也改一下项目的值项目的值也可以将其删除，来防止此类木马的危害。E、禁止使用Shell.Application组件 (同 A 的组件 ) Shell.Application可以调用系统内核运行DOS 基本命令可以通过修改注册表，将此组件改名，来防止此类木马的危害。及改名为其它的名字，如：改为Shell.Application_ChangeName 或 Shell.Application.1_ChangeName 自己以后调用的时候使用这个就可以正常调用此组件了也要将 clsid 值也改一下项目的值项目的值也可以将其删除，来防止此类木马的危害。禁止 Guest 用户使用 shell32.dll 来防止调用此组件。2003 使用命令： cacls C:WINDOWSsystem32shell32.dll /e /d guestsF、调用 Cmd.exe 禁用 Guests 组用户调用 cmd.exe 2003 使用命令： cacls C:WINDOWSsystem32Cmd.exe /e guestsG、防御 PHP 木马攻击的技巧PHP 本身再老版本有一些问题，比如在php4.3.10和 php5.0.3 以前有一些比较严重的bug，所以推荐使用新版。另外，目前闹的轰轰烈烈的SQL Injection 也是在 PHP 上有很多利用方式，所以要保证安全， PHP 代码编写是一方面，PHP 的配置更是非常关键。我们 php 手手工安装的， php 的默认配置文件在/usr/local/apache2/conf/php.ini，我们最主要就是要配置php.ini 中的内容，让我们执行php 能够更安全。整个PHP 中的安全设置主要是为了防止phpshell 和 SQL Injection的攻击，一下我们慢慢探讨。我们先使用任何编辑工具打开/etc/local/apache2/conf/php.ini，如果你是采用其他方式安装，配置文件可能不在该目录。(1) 打开 php 的安全模式php 的安全模式是个非常重要的内嵌的安全机制，能够控制一些php 中的函数，比如system() ，同时把很多文件操作函数进行了权限控制，也不允许对某些关键文件的文件，比如/etc/passwd ，但是默认的php.ini 是没有打开安全模式的，我们把它打开：safe_mode = on (2) 用户组安全名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 7 页，共 14 页 - - - - - - - - - 当 safe_mode打开时， safe_mode_gid被关闭，那么php 脚本能够对文件进行访问，而且相同组的用户也能够对文件进行访问。建议设置为：safe_mode_gid = off如果不进行设置，可能我们无法对我们服务器网站目录下的文件进行操作了，比如我们需要对文件进行操作的时候。(3) 安全模式下执行程序主目录如果安全模式打开了，但是却是要执行某些程序的时候，可以指定要执行程序的主目录：safe_mode_exec_dir = D:/usr/bin 一般情况下是不需要执行什么程序的，所以推荐不要执行系统程序目录，可以指向一个目录，然后把需要执行的程序拷贝过去，比如：safe_mode_exec_dir = D:/tmp/cmd 但是，我更推荐不要执行任何程序，那么就可以指向我们网页目录：safe_mode_exec_dir = D:/usr/www (4) 安全模式下包含文件如果要在安全模式下包含某些公共文件，那么就修改一下选项：safe_mode_include_dir = D:/usr/www/include/其实一般 php 脚本中包含文件都是在程序自己已经写好了，这个可以根据具体需要设置。(5) 控制 php脚本能访问的目录使用 open_basedir选项能够控制PHP 脚本只能访问指定的目录，这样能够避免PHP 脚本访问不应该访问的文件，一定程度上限制了phpshell 的危害，我们一般可以设置为只能访问网站目录：open_basedir = D:/usr/www (6) 关闭危险函数如果打开了安全模式，那么函数禁止是可以不需要的，但是我们为了安全还是考虑进去。比如，我们觉得不希望执行包括system() 等在那的能够执行命令的php 函数，或者能够查看php 信息的phpinfo() 等函数，那么我们就可以禁止它们：disable_functions = system,passthru,exec,shell_exec,popen,phpinfo如果你要禁止任何文件和目录的操作，那么可以关闭很多文件操作disable_functions = chdir,chroot,dir,getcwd,opendir,readdir,scandir,fopen,unlink,delete,copy,mkdir, rmdir,rename,file,file_get_contents,fputs,fwrite,chgrp,chmod,chown 以上只是列了部分不叫常用的文件处理函数，你也可以把上面执行命令函数和这个函数结合，就能够抵制大部分的phpshell 了。(7) 关闭 PHP版本信息在 http头中的泄漏我们为了防止黑客获取服务器中php 版本的信息，可以关闭该信息斜路在http 头中：expose_php = Off比如黑客在telnet 80 的时候，那么将无法看到PHP 的信息。(8) 关闭注册全局变量在 PHP 中提交的变量，包括使用POST 或者 GET 提交的变量，都将自动注册为全局变量，能够直接访问，这是对服务器非常不安全的，所以我们不能让它注册为全局变量，就把注册全局变量选项关闭：register_globals = Off 当然，如果这样设置了，那么获取对应变量的时候就要采用合理方式，比如获取GET 提交的变量 var，那么就要用 $_GETvar 来进行获取，这个php 程序员要注意。(9) 打开 magic_quotes_gpc 来防止 SQL注入SQL 注入是非常危险的问题，小则网站后台被入侵，重则整个服务器沦陷，所以一定要小心。php.ini 中有一个设置：magic_quotes_gpc = Off 这个默认是关闭的，如果它打开后将自动把用户提交对sql 的查询进行转换，比如把 转为 等，这对防止sql 注射有重大作用。所以我们推荐设置为：名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 8 页，共 14 页 - - - - - - - - - magic_quotes_gpc = On (10) 错误信息控制一般 php 在没有连接到数据库或者其他情况下会有提示错误，一般错误信息中会包含php 脚本当前的路径信息或者查询的SQL 语句等信息，这类信息提供给黑客后，是不安全的，所以一般服务器建议禁止错误提示：display_errors = Off如果你却是是要显示错误信息，一定要设置显示错误的级别，比如只显示警告以上的信息：error_reporting = E_WARNING & E_ERROR当然，我还是建议关闭错误提示。(11) 错误日志建议在关闭display_errors后能够把错误信息记录下来，便于查找服务器运行的原因：log_errors = On同时也要设置错误日志存放的目录，建议根apache 的日志存在一起：error_log = D:/usr/local/apache2/logs/php_error.log注意：给文件必须允许apache 用户的和组具有写的权限。MYSQL 的降权运行新建立一个用户比如mysqlstart net user mysqlstart fuckmicrosoft /add net localgroup users mysqlstart /del 不属于任何组如果 MYSQL 装在 d:mysql ，那么，给mysqlstart 完全控制的权限然后在系统服务中设置，MYSQL 的服务属性，在登录属性当中，选择此用户mysqlstart 然后输入密码，确定。重新启动MYSQL 服务，然后MYSQL 就运行在低权限下了。如果是在 windos 平台下搭建的apache 我们还需要注意一点，apache 默认运行是system 权限，这很恐怖，这让人感觉很不爽.那我们就给apache 降降权限吧。net user apache fuckmicrosoft /add net localgroup users apache /del ok. 我们建立了一个不属于任何组的用户apche 。我们打开计算机管理器，选服务，点apache 服务的属性，我们选择log on ，选择 this account ，我们填入上面所建立的账户和密码，重启apache 服务， ok，apache 运行在低权限下了。实际上我们还可以通过设置各个文件夹的权限，来让apache 用户只能执行我们想让它能干的事情，给每一个目录建立一个单独能读写的用户。这也是当前很多虚拟主机提供商的流行配置方法哦，不过这种方法用于防止这里就显的有点大材小用了。16.本地安全策略打开“本地安全策略” ，推荐设置如下：密码策略设置为：(这个设置后 ,管理员密码是更改不到的.,要重新禁用密码必须符合复杂性要