配置安全服务器抵御现阶段流行攻击

适合读者：网络管理员、服务器维护员、入侵者

前置知识：Windows基本操作

刘流：最近脚本攻击还是闹得沸沸扬扬，NBSI2的不断升级，新的注入方法和各种系统漏洞的出现，加上LCX又趁乱公布了海洋2005，所以攻击事件是越来越多。最近黑防技术咨询电话是天天叫个不停，中饭时间长期占线。没办法，只好策划了本期的这篇服务器配置文章，重点在现在网管们头大的虚拟主机的安全设置、各种软件的安全设置、完整的权限配置等方面，文章很简明，需要注意的都涉及到了，而且有些自己的看法，希望以后遇到麻烦的网管朋友们少些——当然，我们的电话就少些，毕竟我们得吃饭啊！上帝、佛主一起保佑……

配置安全服务器抵御现阶段流行攻击

    本人的工作是做软件开发，业务爱好研究网络安全，前些日子受朋友所托，为他们安装一台服务器并放在Internet上，要求如下：

6个站点的WWW服务，其中有几个是采用了动易、动网等源代码已经公布的系统建立的；
6个站点，两个需要SQL Server服务；
6个站点，需要各自独立的ftp和mail服务。

    安装软件、建立站点很容易，最头痛的是安全问题。网络时代，黑客工具泛滥，稍微肯花前时间和工夫的人，只要善于利用工具，就可以做个小小的“工具黑客”。可惜黑客好找，安全专家难寻，关于网络安全的文章，去网上一搜索都是一鳞半爪，东一榔头西一捶。无奈，我只好自己摸索，著成此文，希望可以帮助大家。

    规划

    在安装之前，我们要做好仔细的规划，服务器硬件且不管，考虑其它：

    1．采用软件

经考虑使用软件如下：
操作系统采用Windows 2000 Server；
数据库除Access已经支持外，另安装SQL Server 2000；
WWW服务采用Windows 2000 Server自带的IIS服务；
FTP系统采用Serv-U FTP Server；
Mail系统采用Imail；
杀毒软件采用Norton AntiVirus；
防火墙采用Norton Client FireWall；
工具软件包括：WinRar、Jmail、PcanyWhere；
以上软件均采用最新版本。

    由于本人没接触过Linux系统，这里就放弃了Linux，可能老手会觉得Linux系统比Windows 2000 更安全，但如果由一个新手来做，我想比用Windows 2000更危险，不能拿别人的服务器冒险。其它的软件尽量采用有品牌有知名度的软件。在杀毒软件上，我犹豫了很久，想采用国产软件，如瑞星、江民，不过最终还是放弃了。杀毒软件、防火墙、远程管理三种软件均采用Symantec有一好处，更新时只需要一次LiveUpdate，三种软件均更新到最新版本。

    2．硬盘分区规划

    硬盘分区是一件重要的事，原则是尽量把各服务分别放在不同的分区中，便于管理和维护。经过分析，决定分为C、D、E、F四大分区，均采用NTFS格式。
 C区：操作系统及软件安装区；
 D区：WWW站点服务区，包括数据库数据文件也存储在此区；
 E区：Mail服务区，所有的Mail方面的数据均放在此区；
 F区：备份及杂物区，包括服务器驱动程序、各软件的安装程序备份、日常数据的备份均在此区。

    3．准备笔记本一只，笔一根，以备记录时用，呵呵。

    软件安装

    1．安装Windows 2000 Server

这里就不多废话了，按照正常步骤安装，注意几点：
1）安装目录不要选择默认的C:\Winnt，改个其它的名字，譬如C:\wfidkn。
2）由于另选了FTP和Mail服务软件，所以IIS中我们只需要选择WWW服务、Internet管理器、公用文件三项就足够了，
安装完毕后，以Administrator身份登陆，安装服务器驱动。安装各个软件，如果需要设置密码的地方，一定要设置一个复杂密码并用本子记录。至此，各个软件安装完毕，下一步就要进行安全设置，这是最重要的，也是最痛苦的一件事，稍有不慎，就会被黑客钻了空子。

    安全配置

    1．为了防止病毒入侵，在安装上最新的SP4之前千万不要接入网络中，先手工给Windows 2000 安装上最新的SP4补丁，然后接入网络，设置好本机IP、子网掩码、网关和DNS服务器地址，立刻启动Norton的LiveUpdate，更新病毒库到最新的版本，用杀毒软件挡一挡先。

    2．安装Windows补丁（一个漫长的过程），在“开始”菜单上启动Windows Update，按照提示，一步一步的选择，安装。很多补丁是不能同时安装，所以要多次安装，每次安装完毕后，一定要重启，再重新启动Windows Update。很多时候，安装了前一个补丁又会带出一大串补丁要安装，所以一定要检查到Windows Update检查完，不需要安装补丁了，才能停止。

    3．安装其它软件的补丁。先看SQL Server 2000，开动IE，直奔微软站点，SQL Server 2000最新的是SP3补丁，下载安装。安装完毕，重启后一定要检查SQL Server 2000是否装上了SP3。具体检查方法如下：开始->程序->Microsoft SQL Server->企业管理器，找到Local，点鼠标右键，选择属性，在“常规”栏中可以看到有一项产品版本，如果打了SP3补丁的会显示SP3字样。

    4．再看看其它的软件。Serv-U FTP Server和Imail Server，到其官方站点查看（好象最新的版本都没有补丁）。

    5．处理计算机用户与组。在管理工具中选择计算机管理，点“本地用户和组”，给administrator用户改名，鼠标右键选中administrator，选择重命名，自行设置新的登陆名，譬如改为adefyyu，并设置一个复杂的密码。删除掉Guest用户。此时系统中应该只有5个用户，除了administrator、Iuser、Iwam外，另有两个用户分别是SQLDebugger和TsInternetUser。如果还有其它用户，在查看后如果觉得不重要，建议删除。对用户与组做快照，可笔录也可用软件，记录下当前有哪些组，组中有哪些用户。

    6．设置磁盘目录访问权限。设置目录访问权限的目的在于即使黑客攻进了某个网站，它也只能在该网站目录范围内活动，不能对其它地方进行读写文件操作。这步很重要，因为服务器要求提供ADO、FSO、JMail和XMLHTTP四个组件服务（第四个应用范围不是很广，但是动易系统要）。鼠标右键选择C盘，属性，找到安全选项，添加Administrator用户或Administrators组，并赋予全部权限控制，删除掉EveryOne（如图1所示）。

（图1：设置目录访问权限）

   点选此选项卡中的“高级”按钮，如下图2所示。

 
（图2：应用权限控制设置）

    复选“重置所有子对象的权限并允许传播可继承权限”，点“确定”，将此权限控制应用到C盘下所有的目录，对D、E、F分区重复以上的操作。此时，整个硬盘只归Administrator管了，接下了要给其它用户分配一些权限了，不然别的用户就不能访问网站、上传文件和收发邮件了。
C:\Program Files\Common Files\System下的ado和oledb两个目录；Windows 2000安装目录下的System32、temp和Internet Logs三个目录：在以上目录的安全选项卡中，添加Iuser、Iwam用户的“读取及运行”、“列出文件目录”、“读取”三项权限，如果嫌找这些用户麻烦，可直接添加Everyone，（如图3所示）。

 
（图3：添加其它用户的访问控制）

    D区是WWW服务区，各个站点的目录均要独立设置。添加Iuser、Iwam用户的“完全控制”、“修改”、“读取及运行”、“列出文件目录”、“读取”、“写入”三项权限，以保证站点能正常运行。这样我们的服务器就提供了Ado、FSO、Jmail和XMLHTTP组件功能了，并且其使用范围也做了限制。

    7．处理服务。管理工具中，选择“服务“，停止Alerter、Fax Service、Messenger、Remote Access Auto Connection Manager、Remote Registry Service、SQLSERVERAGENT、Task Scheduler、Telnet、Terminal Services、RunAs Service服务并设置为“禁用”。以上服务有些是从安全角度来是禁止的，有的是从服务器效率角度来禁止的。对于其它服务也要谨慎处理，仔细查看每一项服务所对应的执行文件并记录下来，以备将来如果出现问题时进行对照。

    8．设置审核策略、本地策略、安全选项。在管理工具中选择“本地安全策略”，打开“本地策略”下的“审核策略”，修改成如图4所示。

 （图4：设置本地安全策略）

    以上的操作，如果有黑客进行攻击的话，会进行有效的记录。本来还需要进行“用户权利指派”方面的修改的，不过默认情况下已经比较安全了，加上我们又有防火墙，所以不做了。

    9．设置Tcp/IP。打开“本地连接”属性，在“此连接使用下列选定的组件”中，只保留“Internet协议（TCP/IP）”一项。再选中“Internet协议（TCP/IP）”，点“属性”按钮，再点“高级”按钮，在“高级TCP/IP设置”对话框下，选择WINS，去掉“启用LMHOSTS查询”前的复选，并选中“禁用TCP/IP上的NetBIOS”，点确定。本来可以在“高级TCP/IP设置”中可以通过“IP安全机制”和“TCP/IP筛选”进行更高层访问安全设置，一来不是特别熟悉，二来已经有了防火墙，所以偷懒一下，等下次熟悉后，再来进行此项设置。

    10．处理SQL Server 2000安全问题。在SQL Server 2000安装目录下的\MSSQL\Binn文件夹中，有一个危险的Dll组件，就是xplog70.dll，将它改名或彻底删除，均可。

小提示：去掉了这个组件后，SQL Server 2000中数据库的属性就打不开了。

    11．设置www服务。选择管理工具中的Internet服务管理器，先删除掉默认站点，然后选择机器名，鼠标右键，选择“属性”，在“Internet信息服务”栏下，“主属性”选择WWW服务，点其右边的“编辑”按钮，进行站点默认属性的配置。修改以下几处：“主目录”选项卡下，点“配置”按钮，“应用程序映射”选项卡下，除了asp与asa外一律删除；“应用程序选项”选项卡下，有一个“启用父路径”复选框，如果你的站点没有用到“../”这样的东西，可将此复选框去掉；“应用程序调试”选项卡下，“脚本错误消息”选择“发送文本错误消息给客户”。点“确定”按钮保存设置，继续以下操作。“文档”选项卡下，去除不需要的默认文档名，添加新的默认文档名。

    12．在设置完站点默认属性后，就可以开始创建站点了，创建的站点均会继承默认属性，不需要再一个一个修改。创建完站点后，可再选择机器名，鼠标右键，选择“备份/还原配置”，进行站点设置信息的备份，以后若有问题，可用此备份文件直接还原，不需要再耗费功夫一个一个设置。设置完之后，可逐个站点浏览一次，以防失误。建议对站点的名称、域名、路径均笔录下来。

    13．设置FTP服务和Imail服务。Serv-U网上的教程很多，不再赘述，说明两点。一是在其“常规”设置中，复选“拦截FTP_bounce攻击和FXP”选项，以防不测，其它的各项默认均可。二是对于FTP用户，一律不准给“执行”权限，并且限制其访问目录，并设置配额。

    14．Imail网上也有很多教程，也不再多说了。

    15．设置Pcanywhere软件，在Pcanywhere中设置一个呼叫者，并对呼叫者设置一个复杂密码，在Windows 2000之外再加一组访问控制。设置完毕后，在另一台机器上测试一下，看是否成功。

    16．添加防火墙访问规则。打开Symantec Client FireWall软件，点开客户端防火墙，选择“Internet 访问控制”，选择“添加”按钮，执行以下操作：添加可以访问Internet的软件，主要有以下几个：

dllhost.exe（以备xmlhttp组件访问外部网站）
iexplore.exe
lsass.exe
Imail下的几个执行文件（以备收发邮件）
Serv-U下的几个执行文件
Symantec下的LiveUpdate、awhost32.exe（以备pcanywhere能响应远端的连接）
添加不能访问Internet的软件，主要有以下几个：
sqlmangr.exe
sqlservr.exe（SQL Server 2000的外部连接响应）

刘流：其实我们不用主动添加，只需要进行收发邮件操作、FTP传文件、访问网站等相应的操作，防火墙均会提示我们如何配置其访问规则，不过Awhost32.exe需要手工添加，千万不要忘记。

操作结果如下图所示（如图5所示）。

（图5：添加Internet访问控制）

再选择“配置”按钮，选择“系统范围的设置”，设置访问规则，如下图6所示。

 
（图6：设置系统访问规则）

点“添加”按钮，出现“添加规则向导”对话框，按照向导一步一步的做即可添加。规则示例如下：

    规则是按照先后顺序进行检查，所以还要考虑好顺序问题。一般情况下，允许访问的规则在前，禁止访问的规则在后，先在笔记本上照此表设计好访问规则，然后逐项添加。设置好规则后，一定要对WWW、FTP、Mail、Pcanywhere服务逐个测试，不能有丝毫疏忽。

    最后还要检查客户端防火墙下入侵检测选项卡中的“启用入侵检测”、“启用自动禁止”两个复选框要选中，以策完全，如下图7所示。

 
（图7：检查入侵检测选项卡）

    用最新的扫描工具进行站点扫描。到这一步服务器设置算是告一段落，不过我们还是不能掉以轻心，立刻寻找最新的扫描工具，对站点进行攻击性扫描。先关掉防火墙，然后进行扫描，我用的是X-scan，扫描结果，还是发现了三处漏洞，赶紧想办法补上，补完之后再扫描，直到扫描不到漏洞为止。再开启防火墙进行扫描，一般情况下，有了防火墙后就不会有漏洞了，不过还是扫描一遍放心。

    17．备份网站程序和数据库等。扫描完毕，把网站程序和数据库备份到F盘，然后就可以把机器搬到电信机房了。

   18．做进程快照和服务快照。在机房里接入网络，启动服务器，登陆进去后，对当前进程和已启动服务做快照，以后维护时可进行对照，然后再让远程机器用Pcanywhere登陆一次，如果一切都正常，可注销用户，至此，安全设置基本告一段落，以后就是日常的维护工作，我也列了几条：

    登陆后检查以下内容：用户和组、已启动的服务、当前进程列表、日志、最近一周新建立的文件（针对各个站点进行查询）、另外还要不定期检查各个安装软件的补丁和动易、动网等系统的补丁情况。

    做好了以上工作后，基本可保证服务器安全了，当然，如果碰到技术非常厉害的黑客，我估计服务器也经不住攻击，不过，千年一遇，真碰到了，我也认了。