Windows Server 2003 虚拟主机的安全配置

本人上次工作于某家网络公司.负责服务器的维护工作.现失业.
经过一段时间的了解.自认为在构件Windows服务器平台上有所经验.
鉴于现在很多朋友都开始谋划属于自己的虚拟主机.并且呢.
网上相关文章都是很老的那种.所以自己冒昧准备写一系列.
希望各位多多指点.有问题有错误多多斧正.谢谢.
开头很严肃吧.呵呵.那下面就轻松点.哎.才跟GF去吃午饭了.撑的我.哎.老打嗝.
这人跟机器就一样.快的确是挺好.但是要稳定.服务器的稳定就好比谈恋爱的稳定.
否则一天三顿吵.外加吃个消夜.那就甭想好点工作了.呵呵.要建立稳定的恋爱关系.
那首先.基础很重要.人品.性格.爱好.对不对?那我们就先说硬件吧.
当然推荐品牌的服务器.DELL.IBM.都挺好.如果你跟我一样穷.那自己装一台也成.
主板非IWLL.ASUS.INTEL的不要.CPU当然要HT P4的.512 DDR.装起来也凑合.
自己曾经用一PC做过一段时间的测试.如果硬件质量都过关.其实也非常强.
然后是重要的服务器操作系统.鉴于本人水平有限制.我们暂时不探讨REDHAT.
首推Windwos Server 2003.尤其是安全性和IIS.比W2K要强很多.执行效率高.稳定安全.
在正式进入主题之前.套用FIRE的话作为整个工程的开场白:
"请不要尝试去攻击任何一台主机.因为你永远都无法知道.
你的对面的管理员.到底是一个天才还是一个伪装成白痴的天才."
装系统估计人人都会装.那我不多说.免得人说我骗稿费.在安装之前.我们还是要谈下服务器的分区.
跟PC分区还是有一点不同的.我按我以前自己做的分区设置罗列一下.下面的内容比较重要.
系统分区定在C盘.个人认为8G足够了.10G也行.NTFS格式.因为在2003下.非NTFS不能安装IIS.
权限保持默认.因为我曾经修改过一次系统盘的默认权限.结果不知道为什么系统就给崩了.55555.
软件分区定在D盘.8G到10G.主要安装辅助软件.WINRAR.日志检测软件.网络检测软件.Commview这类等.
至于MSN哦.QQ哦什么的.其实不推荐安装.为什么.当然会有点小隐患.推荐使用NTFS格式.
权限请保留ADMIN组和SYSTEM组.一共两个.其他的一律DEL掉.尤其是什么EVERYONE.
为什么.因为安装到系统中SYSTEM当然是必须具备.然后管理员要操作.所以要ADMIN组.
E盘我们做为服务器软件的安装分区.大小自己定义.包括CGI.PHP.ZEND.MYSQL.MSSQL.IMAIL.SERV-U等.
文件格式为NTFS.权限保留ADMIN组.SYSTEM组.和"IWAN_你的计算机名"这个帐号.一共三个.其他的DEL掉.
说明一下.这个"IWAN_你的计算机名"帐号.主要是负责操作应用程序地址池和服务器软件.比如PHP脚本.
F盘就可以做对外服务的分区.比如IIS的WEB服务.FTP空间.IMAIL邮件帐号空间.
建议建立三个文件夹: WEB.FTP和IMAIL.然后分门别类的放置每个软件的每个帐号的目录.
并且不继承F盘的父权限.独立来定制这三个目录的操作权限.具体我们下面说.
推荐权限为保留如下三个组: ADMIN组和SYSTEM组以及"USER_你的计算机名"这个帐号组.
"USER_你的计算机名"这个帐号组.权限为GUESTS.是匿名访问WEB服务器的默认帐号.
如果需要有写操作权限的另外建立个帐号.具体可以参考FSO分配这类文章.
G盘为FTA32格式.放置系统安装文件.日常工具软件的安装程序.系统备份.策略等等.
注意.敏感内容请通过第三方软件加密.以免病毒感染或者被黑客捆绑后门和木马.
如果条件允许就做异地备份.光盘或者磁带机备份.建议装个GHOST 2003.对于重要内容可以做镜像文件.
到这里基本上比较合理的分配了空间.并且也考虑以后的拓展性.我们可以准备进入下面的环节了.
下面我们来说安装.哎哎.你.坐好.虽然我出去了一下.出去的一小下而已嘛.
你也要注意纪律.什么?说我只知道陪MM不写教程.你知道个啥.两手都要硬.明白不?
安装的情况.这个.一般情况下分两种.不排除有变态的第N种可能.
对了.有一期科幻世界上有一篇叫第九种可能的文章.挺不错的.哦哦.打住打住.
首先是升级.WINDOWS 2003好象不支持WINDOWS 2000 PRO上的升级.
个人推荐还是别整什么升级的好.直接重新安装.免去了很多D版出现的妖异问题.
扫盲: 妖异问题就是一些搞半天搞不好不知道怎么搞不好最后不知道怎么自己搞好或者是别人随便一搞就搞好的问题.
直接安装.如果你的系统是好的.我是说.可以进入系统并且可以使用CD-ROM的情况.
你可以选择直接在现有的系统上安装.然后选择重新安装.输入SN序列号.直接NEXT就可以了.
注意在安装的时候.如果你做对外的服务器就选择系统盘为NTFS格式.分区方案见上面的.
如果你是自己用.做本地调试或者是测试的.那就随便你怎么弄吧.只要你觉得舒服.
OK.下面来说一下纯DOS里面的安装.虽然是很OLD的内容.
在DOS里面要使用一个名为 Smartdrv.exe 的命令.
意思是增补磁盘高速缓存.什么意思?我不想跟 IQ < 70 的人探讨技术问题.
这个命令可以在 Windows 98 的安装目录里找到.直接执行就可以了.不需要增加参数.
执行结果以后是什么样?没什么样.你多执行几次就会看到效果了.知道不?
然后执行 FORMAT C: /S/Q 切记.
如果你想保证你的 WINDOWS 2003 以后能拥有 DOS 启动进入 MS-DOS 环境的话.
请一定按照我上面说的做.只要在安装 WINDOWS 20003 之前把系统 FORMAT 以后.
以后安装完 WINDOWS 2003 以后.可以通过如下方法进入 纯DOS 环境而不需要其他引导光盘.[page]
启动计算机.按 F8 键.进入 WINDOW 2003 SERVER 的操作系统高级选择菜单.
选择 带命令的安全模式 然后选择 MICROSOFT WINDWOS 即可.
另外一个命令.说实话我也不知道是做什么用的.名为 Lock.exe 的命令.
看样子似乎是锁定.一般的用法是执行完 Smartdrv.exe 以后执行一个 Lock.exe C: 假设你要装到C盘.
Lock.exe命令 - 解释:
执行该程序可有效地锁住你的光驱.
使光驱上的EJECT键暂时失效.直至用UNLOCK.EXE或RESET.EXE程序解锁.
重新启动计算机也可使EJECT键再次生效.
LOCK.EXE的应用格式为:
LOCK [device]
其中device即CD-ROM的盘号.默认为第一光驱.
总结一下流程.HOHO.
1. 修改 CMOS 为 CD-ROM 引导.不会?那一边凉快去.
2. 放入 Windows 98 引导光盘.进入Dos模式.进入 Windows 98 安装目录.执行 Smartdrv.exe 和 Lock.exe C:
3. 弹出光盘.更换一张 Windows 2003 Server 的安装光盘.进入 I386 目录.执行 Winnt.exe
好了.开始安装了.随便说一句.在安装的时候请不要设置Administrator的密码.就为 Null 空着.
为什么.你不听我话算了.以后出现问题了别找我.也不要怪我没说.
下面就进入最关键的环节了.大家振作精神.
如果你硬盘空间足够的话.并且现在时间也比较充足.那我推荐下面的步骤.
1. 重新启动系统.按F8.进入命令提示的模式.选择 MICROSOFT WINDWOS.
2. 进入 DOS 以后.启动 GHOST.做个 WINDOWS 2003 C盘的 GHO 文件.放到 FAT32 分区上.
关于第一点.请认真参看上面关于在 WINDOWS 2003 上进入纯 DOS 的内容.
如果你没有按我前面说的做.那就使用 CD-ROM 引导.然后修改 CMOS 启动.进入 DOS 环境.
做好GHO文件以后.就不怕以后万一崩溃以后重新安装的麻烦.
当然.你也可以把 "小白" 更新 Windows Update 以后做GHO.
本人推荐把干净的系统通过 更新 Windows Update 以后.什么都不做.然后直接GHOST做GHO.不过前提是你比较了解系统.
下面继续.GOGO.
把NIC卡.也就是网卡啦.禁用.然后设置好IP和DNS.GATEWAY.不要启用.切记.
为什么?因为如果你SERVER.那当然你一旦设置好NIC信息就可以上网了.但是在安装的时候没有设置 ADMINISTRATORS 的密码.
所以连入网络就会不安全.别说一会儿没事.我们不能保证无聊的人在窥视你的网络.呵呵.万一遇到个瞎猫也不好嘛.
现在服务器暂时无法连通任何网络.
这样可以防止裸机被冲击波或者HACKER扫描.
可以说是安全的.推荐这个时候操作人员不要离开工作台.呵呵.
下面高举注册表和组策略大法.开始我们的核心之旅途.
在开始之前.我想说的是.我们必须深入了解这台服务器的用途.
每种用途针对不同的设置和部署策略.只有最合适的也才可能是最安全的.
按我下面的例子继续展开.GO.
我选了一个比较典型的例子.比如一台服务器.准备作为WEB+FTP+MAIL服务.
分细致一点列在下面:
1. WEB当然是使用 IIS 6.0 支持 ASP.PHP.CGI 脚本.
2. FTP使用 SERV-U 5.0 中文版
3. MAIL使用 IMAIL 8.02 中文版
4. 数据库使用 MYSQL 数据库.当然是 5.0 版本的.PHP 也用 5.0.
5. 其他的.比如ZEND.JMAIL一律使用官方最新版本.
上面这类软件推荐在官方网站下载.或者是去www.SKYCN.NET 下载.
按照上面的列表.我们可以得到最后的结果.开放端口如下:
80 => WEB
21 => FTP
25 => MAIL
110 => MAIL
3389 => 终端服务
8383 => MAIL WEB
我们可以按照上面的.以后做个可靠的IP和PORT策略.
即除了上面的TCP PORT.一律给予BLOCK.
当然了.推荐也将ICMP ECHO给予关闭.
如果你需要远程管理.推荐使用 PCANYWHERE 或者 WIN的终端服务 或者 WINVNC.
该例子我们选用了 WINDOWS 2003 的终端服务.所以上面开放了 3389 端口.
随便说一下.网上有很多人很多教材推荐要通过注册表修改终端服务的端口.
这里我想说的是.根本不需要.完全是杞人忧天.自己耽误工夫.
对于现在的 SP4 的 W2K 或者是 WINDOWS 2003.
终端服务已经非常完善和安全.如果一个管理员通过合理和正确的配置.
完全可以让服务器.我是说.裸机.暴露在网上承受每天10W次的扫描和尝试攻击.
除脚本漏洞以外.几乎是没有什么安全问题的.无论你的树多大都不会招风.
想通过简单的黑客工具.比如溢出.比如弱密码.比如RPC来入侵几乎是不可能.
如果你的服务器配置完以后.随便使用几个网上的工具就可以攻击成功.
那你干脆回家洗了睡算了.或者直接把网线给剪掉.我不想跟白痴探讨.
如果有真正的HACKER盯上了你的机器.就凭着修改一下终端服务的端口.
就想蒙混过关的话.那几乎是太天真了.如果你的服务器不会被工具所入侵.
当然也不会轻易的被突破终端服务的防线.
我经常说.IF THEN.IF THEN.
IF 你的服务器无法被简单的工具工具.
THEN 不会被简单的得到ADMIN而登陆3389
IF 你的服务器被HACKER或者组织盯上.
服务器既然可以被通过系统上甚至服务器软件上的BUG来入侵.
那就算你没3389他们也一样可以有办法的.
SO.修改端口.完全没有必要的.
写到这里.很多朋友说.我写的很空泛.没有实际操作.
但是我想说的是.要有扎实的部署策略和翔实的资料和理论做基础.
否则就会在实际动手时出现怪异问题.扰乱工作进度和质量.
所以我写该文主要是告诉大家我的思维模式和工作方法.
就好象CISCO的很多书里有大量的PS和引用.示例和作者心得小贴士.
外国的教授或者老师善于发掘学生的想象力和处理问题的技巧方法.
而不像国内TMD填鸭教学.说到这里让我很心寒.呵呵.
不说远了.现在我们所要做的.就是按照我们上面的构想去实现.