2022年新服务器配置方法 2.pdf

《2022年新服务器配置方法 2.pdf》由会员分享，可在线阅读，更多相关《2022年新服务器配置方法 2.pdf（5页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、服务器配置 (以后发现再补充 ) 一、 Windows 配置方面1、禁用 IPC$（Reg 已经实现）HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa中的 restrictanonymous 子键，将其值改为1 即可禁用 IPC 连接。2、清空远程可访问的注册表路径（组策略gpedit.msc）打开组策略编辑器，依次展开“ 计算机配置 Windows 设置 安全设置 本地策略 安全选项 ” ，在右侧窗口中找到“ 网络访问：可远程访问的注册表路径” ，然后在打开的窗口中，将可远程访问的注册表路径和子路径内容全部设置为空即可3、修改管理员帐号和

2、创建陷阱帐号打开 “ 本地安全设置 ” 对话框，依次展开“ 本地策略 ”“安全选项 ” ，在右边窗格中有一个“ 账户：重命名系统管理员账户” 的策略，双击打开它，给 Administrator 重新设置一个平淡的用户名，当然，请不要使用Admin 之类的名字，改了等于没改，尽量把它伪装成普通用户，比如改成： guestone 。然后新建一个名称为Administrator 的陷阱帐号 “ 受限制用户 ” ，把它的权限设置成最低，什么事也干不了的那种，并且加上一个超过10 位的超级复杂密码。这样可以让那些Scripts s 忙上一段时间了，并且可以借此发现它们的入侵企图。或者在它的login s

3、cripts 上面做点手脚。4、关闭自动播放功能自动播放功能不仅对光驱起作用，而且对其它驱动器也起作用，这样很容易被黑客利用来执行黑客程序。打开组策略编辑器，依次展开“ 计算机配置 管理模板 系统 ” ，在右侧窗口中找到“ 关闭自动播放 ” 选项并双击，在打开的对话框中选择“ 已启用 ” ，然后在 “ 关闭自动播放 ” 后面的下拉菜单中选择“ 所有驱动器 ” ，按“ 确定 ” 即可生效。5、防御 FTP 服务器被匿名探测信息（Windows 安全配置 .reg）下的 DWORD 值TunOffAnonymousBlock为 1，即可防御FTP 服务器被匿名探测信息。6、关闭如下端口（端口关闭工

4、具.bat）TCP 端口 135，137， 139，445，593，3306，1025，2745，6129，23，1433 UDP 端口 135，137，139，445，593，3306 7、小流量 DDOS 攻击解决办法（Windows 安全配置 .reg）Windows Registry Editor Version 5.00 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - -

5、- - - - - 第 1 页，共 5 页 - - - - - - - - - SynAttackProtect=dword:00000002 TcpMaxHalfOpen=dword:000001f4 TcpMaxHalfOpenRetried=dword:00000190 8、删除共享（分两步实现）1、新建删除共享 .bat 内容：echo off net share C$ /del net share D$ /del net share E$ /del net share F$ /del net share admin$ /del 2、把该文件添加到开始菜单 -启动 里面9、要卸载 II

6、S，因为我们用的apache 10、删除所有磁盘和program files 目录的其它用户权限，只留下administrators 和 system 11、禁止启动服务器共享（已实现）禁止系统自动启动服务器共享HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameters 新建 DWORD值 值名为AutoShareServer 数据值为 0 12、打开 C:Windows 搜索net.exe;cmd.exe;tftp.exe;netstat.exe;regedit.exe;at.exe;attrib.exe;c

7、acls.exe; regsvr32.exe;xcopy.exe;wscript.exe;cscript.exe;ftp.exe;telnet.exe;arp.exe;edlin.exe; ping.exe;route.exe;finger.exe;posix.exe;rsh.exe;atsvc.exe;qbasic.exe;runonce.exe;syskey.exe 修改权限，删除所有的用户只保存Administrators 和 SYSTEM为所有权限二、 Apache安全配置方面1、php.ini 禁用函数修改 PHP.ini 文件disable_functions = phpinfo,

8、system,exec,shell_exec,passthru,proc_open,proc_close,proc_get_status,checkdnsrr,getmxrr,getservbyname,getservbyport,syslog,popen,show_source,highlight_file,dl,socket_listen,socket_create,socket_bind,socket_accept,socket_connect,stream_socket_server,stream_socket_accept,stream_socket_client,ftp_conne

9、ct,ftp_login,ftp_pasv,ftp_get,sys_getloadavg,disk_total_space,disk_free_space,posix_ctermid,posix_get_last_error,posix_getcwd,posix_getegid,posix_geteuid,posix_getgid,posix_getgrgid,posix_getgrnam,posix_getgroups,posix_getlogin,posix_getpgid,posix_getpgrp,posix_getpid,posix_getppid,posix_getpwnam,po

10、six_getpwuid,posix_getrlimit,posix_getsid,posix_getuid,posix_isatty,posix_kill,posix_mkfifo,posix_setegid,posix_seteuid,posix_setgid,posix_setpgid,posix_setsid,posix_setuid,posix_strerror,posix_times,posix_ttyname,posix_uname 2、创建 apache小用户 (配合文件夹权限目录,很好很安全 )名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - -

11、- - - - - - - - 名师精心整理 - - - - - - - 第 2 页，共 5 页 - - - - - - - - - 用户名： apache 密码：123apache 1、创建一个新的账户apache 在计算机管理里的本地用户和组里面创建一个帐户，例如：apache ，密码设置为123apache，加入 guests组（如果出现问题，可以赋予user 权限）2、打开 开始 -管理工具 -本地安全策略，在用户权限分配中选择“ 作为服务登陆 ” ，添加 apache用户3、计算机管理里面选择服务，找到APMServ-Apache ，先停止服务，右击-属性，选择登陆，把单选框从本地系

12、统帐户切换到此帐户，然后查找选择 apache ，输入密码apacheuser ，然后点确定4、赋予 apache安装目录（比如： D:APMServ5.2.6 ）以及 web 目录（比如 E: wwwroot ）apache帐号的【可读】 权限，去除各磁盘根目录除administror 与 system 以外的所有权限， 赋予 apache安装目录所在的磁盘根目录apache帐户的可读取列目录权限5、避免通过网页上传文件(这样可以避免网页上传文件-一般情况下这步不要做) D:APMServ5.2.6tmpuploadtemp 目录不能有写入权限，只给个读取的权限就可以了6、复制字体文件，便于

13、【文字转图片调用】把 C:WINDOWSFontssimhei.ttf 复制到D:APMServ5.2.6tmpuploadtemp 7、D:APMServ5.2.6 要有完全控制权限11、D:APMServ5.2.6MySQL5.1data 目录要有完全控制权限(数据库目录， 最好能独立到apache目录外边来 ) 12、php.ini 中指定的 PHP 临时上传目录和session保存目录，并给予目录apache完 全控制权限，例如： upload_tmp_dir = D:/wwwroot/Tmp/uploadtmp/ （为了避免通过网页上传文件，可以去除写入权限，一般来说还是开起来的）s

14、ession.save_path = D:/wwwroot/Tmp/sessiontmp/ （该步骤是必须的）13、给予 D:/php 目录读取与运行的权限14、给予 zend 安装目录读取与运行的权限15、所有的输入法都要删除掉，只留下一个智能 ABC 或 搜狗（避免输入法漏洞入侵）名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 3 页，共 5 页 - - - - - - - - - 16、MYSQL 1、去除root 用户的【文件】权限2、新建小用户数据库账号： mysql_we

15、b_user 数据库密码： AcpkX!chw0Nzak 17、删除 apache 目录下的 phpinfo.php 和 phpadmin 文件夹二、 FTP Serv-U 相关配置1、设置管理员密码a!hJNee#Hz&AL&w 3、Serv-U 目录权限（总的来说，就是没有写入权限）a、读取b、运行c、列出文件夹三、禁用函数列表PHP disable_functions = phpinfo,system,exec,shell_exec,passthru,proc_open,proc_close,proc_get_status,checkdnsrr,getmxrr,getservbyname

16、,getservbyport,syslog,popen,show_source,highlight_file,dl,socket_listen,socket_create,socket_bind,socket_accept,socket_connect,stream_socket_server,stream_socket_accept,stream_socket_client,ftp_connect,ftp_login,ftp_pasv,ftp_get,sys_getloadavg,disk_total_space,disk_free_space,posix_ctermid,posix_get

17、_last_error,posix_getcwd,posix_getegid,posix_geteuid,posix_getgid,posix_getgrgid,posix_getgrnam,posix_getgroups,posix_getlogin,posix_getpgid,posix_getpgrp,posix_getpid,posix_getppid,posix_getpwnam,posix_getpwuid,posix_getrlimit,posix_getsid,posix_getuid,posix_isatty,posix_kill,posix_mkfifo,posix_set

18、egid,posix_seteuid,posix_setgid,posix_setpgid,posix_setsid,posix_setuid,posix_strerror,posix_times,posix_ttyname,posix_uname 四、 dede操作2、special 文件夹，如果不需要专题也可以删掉3、删除install 目录4、如果不需要会员模块，删除member 目录删除 dede目录中如下文件删除文件include/dialog/login.php 强大的无需后台登陆文件include/dialog/select_soft.php 强大的无需后台上传新建文件inclu

19、de/dialog/select_images.php 强大的无需后台上传新建文件名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 4 页，共 5 页 - - - - - - - - - include/dialog/select_media.php 强大的无需后台上传新建文件include/dialog/select_templets.php 强大的无需后台上传新建文件plus/infosearch.php 删除 存在漏洞的文件company/search.php 删除 存在漏洞的文件名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 5 页，共 5 页 - - - - - - - - -