列举三种虚拟主机方案
一、虚拟主机平台项目建设方案
以建立一个站点521school.cn为例,说明虚拟主机配置流程。 (1)一、建立Windows用户
为每个网站单独设置windows用户帐号cert,删除帐号的User组,将cert加入Guest用户组。将用户不能更改密码,密码永不过期两个选项选上。 (2)二、设置文件夹权限
1、设置非站点相关目录权限
Windows安装好后,很多目录和文件默认是everyone可以浏览、查看、运行甚至是可以修改 的。这给服务器安全带来极大的隐患。这里列出在入侵中较常用的目录。
C:\\;D:\\;…… C:\\perl C:\emp\\ C:\\Mysql\\ c:\\php\\ C:\\autorun.inf
C:\\Documents and setting\\
C:\\Documents and Settings\\All Users\\「开始」菜单\\程序\\ C:\\Documents and Settings\\All Users\\「开始」菜单\\程序\\启动 C:\\Documents and Settings\\All Users\\Documents\\
C:\\Documents and Settings\\All Users\\Application Data\\Symantec\\
C:\\Documents and Settings\\All Users\\Application Data\\Symantec\\pcAnywhere
虚拟主机建设方案
C:\\WINNT\\system32\\config\\ C:\\winnt\\system32\\inetsrv\\data\\ C:\\WINDOWS\\system32\\inetsrv\\data\\ C:\\Program Files\\ C:\\Program Files\\Serv-U\\ c:\\Program Files\\KV2004\\ c:\\Program Files\\Rising\\RAV C:\\Program Files\\RealServer\\
C:\\Program Files\\Microsoft SQL server\\ C:\\Program Files\\Java Web Start\\
以上这些目录或文件的权限应该作适当的。如取消Guests用户的查看、修改和执行等权限。
2、设置站点相关目录权限:
A、设置站点根目录权限:将刚刚建立的用户cert给对应站点文件夹,假设为D:\\cert设置相应的权限:Adiministrators组为完全控制;cert有读取及运行、列出文件夹目录、读取,取消其它所有权限。
B、设置可更新文件权限:经过第1步站点根目录文件夹权限的设置后,Guest用户已经没有修改站点文件夹中任何内容的权限了。这显然对于一个有更新的站点是不够的。这时就需要对单独的需更新的文件进行权限设置。当然这个可能对虚拟主机提供商来说有些不方便。客户的站点的需更新的文件内容之类的可能都不一样。这时,可以规定某个文件夹可写、可改。如有些虚拟主机提供商就规定,站点根目录中uploads为web可上传文件夹,data或者database为数据库文件夹。这样虚拟主机服务商就可以为客户定制这两个文件夹的权限。当然也可以像有些做的比较好的虚拟主机提供商一样,给客户做一个程序,让客户自己设定。可能要做到这样,服务商又得花不小的钱财和人力哦。 三、配置IIS
本文就几个特殊之处或需要注意的地方提出以下建议。
1、主目录权限设置:这里可以设置读取就行了。写入、目录浏览等都可以不要,
- 2 -
虚拟主机建设方案
最关键的就是目录浏览了。除非特殊情况,否则应该关闭,不然将会暴露很多重要的信息。这将为黑客入侵带来方便。其余保留默认就可以了。
2、应用程序配置:在站点属性中,主目录这一项中还有一个配置选项,点击进入。在应用程序映射选项中可以看到,默认有许多应用程序映射。将需要的保留,不需要的全部都删除。在入侵过程中,很多程序可能了asp,php等文件上传,但并不对cer,asa等文件进行,如果未将对应的应用程序映射删除,则可以将asp的后缀名改为cer或者asa后进行上传,木马将可以正常被解析。这也往往被管理员忽视。另外添加一个应用程序扩展名映射,可执行文件可以任意选择,后缀名为.mdb。这是为了防止后缀名为mdb的用户数据库被下载。
3、目录安全性设置:在站点属性中选择目录安全性,点击匿名访问和验证控制,选择允许匿名访问,点击编辑。如下图所示。删除默认用户,浏览选择对应于前面为cert网站设定的用户,并输入密码。可以选中允许IIS控制密码。这样设定的目的是为了防止一些像站长助手、海洋等木马的跨目录跨站点浏览,可以有效阻止这类的跨目录跨站入侵。
4、可写目录执行权限设置:关闭所有可写目录的执行权限。由于程序方面的漏洞,目前非常流行上传一些网页木马,绝大部分都是用web进行上传的。由于不可写的目录木马不能进行上传,如果关闭了可写目录的执行权限,那么上传的木马将不能正常运行。可以有效防止这类形式web入侵。
5、处理运行错误:这里有两种方法,一是关闭错误回显。IIS属性――主目录――配置――应用程序调试――脚本错误消息,选择发送文本错误信息给客户。二是定制错误页面。在IIS属性――自定义错误信息,在http错误信息中双击需要定制的错误页面,将弹出错误映射属性设置框。消息类型有默认值、URL和文件三种,可以根据情况自行定制。这样一方面可以隐藏一些错误信息,另外一方面也可以使错误显示更加友好。 四、配置FTP
Ftp是绝大部分虚拟主机提供商必备的一项服务。用户的站内文件大部分都是使用ftp进行上传的。目前使用的最多的ftp服务器非Serv-U莫属了。这里有几点需要说明一下。
- 3 -
虚拟主机建设方案
1、管理员密码必须更改
如果入侵爱好者们肯定对Serv-U提权再熟悉莫过了。这些提权工具使用的就是Serv-U默认的管理员的帐号和密码运行的。因为Serv-U管理员是以超级管理员的身份运行的。如果没有更改管理员密码,这些工具使用起来就再好用不过了。如果更改了密码,那这些工具要想正常运行,那就没那么简单喽。得先破解管理员密码才行。 2、更改安装目录权限
Serv-U的默认安装目录都是everyone可以浏览甚至可以修改的。安装的时候如果选择将用户信息存储在ini文件中,则可以在ServUDaemon.ini得到用户的所有信息。如果Guests有修改权限,那么黑客就可以顺利建立具有超级权限的用户。这可不是一件好事。所以在安装好Serv-U之后,得修改相应的文件夹权限,可以取消Guests用户的相应权限。 五、命令行相关操作处理
1、禁止guests用户执行com.exe:我们可以通过以下命令取消guests执行com.exe的权限
cacls C:\\WINNT\\system3\\Cmd.exe /e /d guests。 2、禁用Wscript.Shell组件:
Wscript.Shell可以调用系统内核运行DOS基本命令。可以通过修改注册表,将此组件改名,来防止此类木马的危害。HKEY_CLASSES_ROOT\\Wscript.Shell\\ 及HKEY_CLASSES_ROOT\\Wscript.Shell.1\\改名为其它的名字。将两项clsid的值也改一下
HKEY_CLASSES_ROOT\\Wscript.Shell\\CLSID\\项目的值和
HKEY_CLASSES_ROOT\\Wscript.Shell.1\\CLSID\\项目的值,也可以将其删除。 3、禁用Shell.Application组件
Shell.Application也可以调用系统内核运行DOS基本命令。可以通过修改注册表,将此组件改名,来防止此类木马的危害。HKEY_CLASSES_ROOT\\Shell.Application\\
及
HKEY_CLASSES_ROOT\\Shell.Application.1\\ 改名为其它的名字。将
- 4 -
虚拟主机建设方案
HKEY_CLASSES_ROOT\\Shell.Application\\CLSID\\项目的值
HKEY_CLASSES_ROOT\\Shell.Application\\CLSID\\项目的值更改或删除。同时,禁止Guest用户使用shell32.dll来防止调用此组件。使用命令:cacls C:\\WINNT\\system32\\shell32.dll /e /d guests 4、FileSystemObject组件
FileSystemObject可以对文件进行常规操作可以通过修改注册表,将此组件改名,来防止此类木马的危害。对应注册表项为HKEY_CLASSES_ROOT\\scripting.FileSystemObject\\。可以禁止guests用户使用或直接将其删除。考虑到很多的上传都会使用到这个组件,为了方便,这里不建议更改或删除。 5、禁止telnet登陆
在C:\\WINNT\\system32目录下有个login.cmd文件,将其用记事本打开,在文件末尾另取一行,加入exit保存。这样用户在登陆telnet时,便会立即自动退出。 注:以上修改注册表操作均需要重新启动WEB服务后才会生效。 六、关闭文件共享
系统默认是启用了文件共享功能的。我们应给予取消。在控制面板――网络和拨号连接――本地连接――属性,在常规选项种,取消Microsoft 网络文件和打印共享。服务最少原则是保障安全的一项重要原则。非必要的服务应该给予关闭。系统服务可以在控制面板――管理工具――服务中进行设定。 七、端口设置
端口窗体底端就是门,这个比喻非常形象。如果我们服务器的所有端口都开放的话,那就意味着黑客有好多门可以进行入侵。所以我个人觉得,关闭未使用的端口是一件重要的事情。在控制面板――网络与拨号连接――本地连接――属性――Internet协议(TCP/IP)属性,点击高级,进入高级TCP/IP设置,选择选项,在可选的设置中选择TCP/IP筛选,启用TCP/IP筛选。添加需要的端口,如21、80等,关闭其余的所有未使用的端口。 八、关注安全动态及时更新漏洞补丁
- 5 -
虚拟主机建设方案
更新漏洞补丁对于一个网络管理员来说是非常重要的。更新补丁,可以进一步保证系统的安全。 九、关闭非必要服务
类似telnet服务、远程注册表操作等服务应给予禁用。同时尽可能安装最少的软件。这可以避免一些由软件漏洞带来的安全问题。有些网管在服务器上安装QQ,利用服务器挂QQ,这种做法是极度错误的。
二、虚拟主机的安装方案
随着虚拟主机技术的发展,功能越来越丰富,已经不仅仅只是满足个人网站的需要,越来越
多的小型电子商务网站也采用了虚拟主机来建站,如何为这些商户提供经济、方便的SSL解决方案,成为虚拟主机供应商的业务新增长点。
为什么我不能在相同IP地址下多个域名的虚拟主机上使用SSL?
SSL协议层是在HTTP协议层下面的,当SSL连接建立时,SSL模块在Web模块之前和浏览器进行通讯并交换证书、建立加密隧道。众所周知,Web服务器是通过HTTP数据包中的”Host”字段来区分虚拟主机的。而SSL模块在把服务器证书发送到浏览器时,还没有收到任何关于HTTP的数据包,更不知道虚拟主机的域名,因此SSL模块只能固定的将一张SSL证书发送到浏览器,而不能根据域名有选择性的发送证书。因此,您无法在一个IP地址的默认SSL 443端口下为多个虚拟主机配置多张证书。
由于一个IP与一个端口号只能对应一张证书,因此我们可以采用以下方式来解决:
1、为需要SSL加密的虚拟主机配置不同的IP地址,端口号都使用443。例如: www.domain1.com 的SSL使用 202.96.101.1:443 www.domain2.com的SSL使用 202.96.101.2:443,通过 https://www.domain1.com 和 https://www.domain2.com 访问这2个SSL网站了
2、如果只有一个IP地址,可以为多个网站配置不同的SSL端口。例如: www.domain1.com 的SSL使用 202.96.101.1:443 www.domain2.com的SSL使用 202.96.101.1:1000,通过 https://www.domain1.com 和 https://www.domain2.com:1000 访问这2个SSL网站了
如果多个虚拟主机是1个主域名下的多个子域名,情况发生了转变,因为你可以申请通配符SSL证书。
例如: 有2个虚拟主机 abc.domain.com、xyz.domain.com,你申请一张 *.domain.com的证书,按照前面所说的原理,2个虚拟主机都使用同一个IP和默认的443端口,当浏览器访问IP:443端口时,SSL模块把通配符SSL证书传送给浏览器,建立合法的SSL隧道,然
- 6 -
虚拟主机建设方案
后WEB模块接收到HTTP数据包时判断域名选择虚拟主机。
原理是OK的,不幸的是你无法按照这个原理对IIS进行配置,IIS不支持SSL端口配置域名。如果仅依靠IIS,你不得不使用上面的2个方法(不同的IP地址或者不同的端口号)。
如果仅有1个IP地址,采用方法2时,abc.domain.com 使用 443端口、xyz.domain.com使用1000端口,你会发现一个现象,由于SSL端口不区分域名,因此https://abc.domain.com还是https://xyz.domain.com都是指向abc.domain.com网站内容,而https://abc.domain.com:1000还是https://xyz.domain.com:1000都是指向xyz.domain.com网站内容的。当然这也有好处,你可以在abc.domain.com下放一个程序,程序判断一下域名,如果用户访问https://xyz.domain.com就马上跳转到https://xyz.domain.com:1000,不会有任何的安全警告。
幸运的是,通过SSL反向代理服务器,你可以解决这个问题。就是使用第三方的SSL模块来替代IIS处理SSL加密,将证书安装反向代理服务器中,浏览器访问SSL反向代理服务器,然后反向代理服务器使用HTTP协议访问你的Web服务器。你可以选择SSL反向代理硬软件有:
1、支持SSL的负载均衡器,如F5、ArrayNetworks 2、使用ISA Server 2004软件 3、使用免费的Squid软件 4、使用免费的Stunnel软件
5、使用PortTunnel,参见: 这里。
三、虚拟主机挑选方案
对于草根来说在刚开始建站的时候,相比起费用很贵的服务器比起来虚拟主机成了最好的选择,同时维护成本也不高,简单容易上手。不过现在虚拟主机的类似五花八门,现在中华合租网根据实际经验来为各位朋友介绍下在选择虚拟主机时要考虑的几点问题: 国内外主机?
尽管国外主机在容量、性价比、IP等反面有优势,不过现在国外主机对版权管理很严,同时国内访问国外主机速度较慢,还会不定期封IP,这对使用国外主机的网站有不小的影响。至于国内的主机,备案是难题,性价比不够高,不过速度很好,很少有版权纠纷,相较而言对于搜索引擎可能会更加友好。如果准备长期做站,同时希望用户体验更好,还是建议选择国内的主机。 有什么?
现在不管是国外的还是国内的虚拟主机,都会有所,的选项通常是IIS或CPU或流量。那么,选择什么的虚拟主机呢?其实,这三者之间是相互影响的,一样别的同样会住,好比CPU,那么流量同样不可能高,ISS同样不可能高,高了CPU自然会很高;不过呢,如果是静态网站,那么CPU会比较好,论坛建议IIS,至于流量,可以考虑的,CPU的好处是访问静态页面不会占用大量CPU。
- 7 -
虚拟主机建设方案
性价比如何? 其实,现在国内的虚拟主机服务商还是不少,每家服务商提供的空间大小及数据库大小都有所不同的,如果是每天更新几十篇文章的小网站,那么1G空间几十M数据库即可,不用看到大空间很诱人,实际上很多时候很多人都用不完的,所以与其选择大空间,倒不如选择速度更快的小容量空间,这样网站的用户体验会更好。服务器合租 最后需要说的一点是,不同的空间商提供的虚拟主机环境及权限都有所不同,好比如果是代理空间商,那么提供的权限会很少,好比有的不支持自定义错误页面,或者不支持在线解压什么的,还要联系客服才可以解压,或者不支持子目录绑定域名什么的;建议按照自己的实际需求选择虚拟主机,一般而言,如果是顶级服务商,那么提供的虚拟主机会更贵,同时虚拟主机的权限会更完善。
- 8 -
