English
 电子信箱
 加入收藏

  威盾防火墙 >> 新闻中心 >> 业界动态 >> Windows Server 2003 虚拟主机的安全配置
 

Windows Server 2003 虚拟主机的安全配置

威盾防火墙 2014-11-19
 
本人上次工作于某家网络公司.负责服务器的维护工作.现失业.
经过一段时间的了解.自认为在构件Windows服务器平台上有所经验.
鉴于现在很多朋友都开始谋划属于自己的虚拟主机.并且呢.
网上相关文章都是很老的那种.所以自己冒昧准备写一系列.
希望各位多多指点.有问题有错误多多斧正.谢谢.

开头很严肃吧.呵呵.那下面就轻松点.哎.才跟GF去吃午饭了.撑的我.哎.老打嗝.
这人跟机器就一样.快的确是挺好.但是要稳定.服务器的稳定就好比谈恋爱的稳定.
否则一天三顿吵.外加吃个消夜.那就甭想好点工作了.呵呵.要建立稳定的恋爱关系.
那首先.基础很重要.人品.性格.爱好.对不对?那我们就先说硬件吧.

当然推荐品牌的服务器.DELL.IBM.都挺好.如果你跟我一样穷.那自己装一台也成.
主板非IWLL.ASUS.INTEL的不要.CPU当然要HT P4的.512 DDR.装起来也凑合.
自己曾经用一PC做过一段时间的测试.如果硬件质量都过关.其实也非常强.

然后是重要的服务器操作系统.鉴于本人水平有限制.我们暂时不探讨REDHAT.
首推Windwos Server 2003.尤其是安全性和IIS.比W2K要强很多.执行效率高.稳定安全.

在正式进入主题之前.套用FIRE的话作为整个工程的开场白:

"请不要尝试去攻击任何一台主机.因为你永远都无法知道.
你的对面的管理员.到底是一个天才还是一个伪装成白痴的天才."

装系统估计人人都会装.那我不多说.免得人说我骗稿费.在安装之前.我们还是要谈下服务器的分区.
跟PC分区还是有一点不同的.我按我以前自己做的分区设置罗列一下.下面的内容比较重要.

系统分区定在C盘.个人认为8G足够了.10G也行.NTFS格式.因为在2003下.非NTFS不能安装IIS.
权限保持默认.因为我曾经修改过一次系统盘的默认权限.结果不知道为什么系统就给崩了.55555.

软件分区定在D盘.8G到10G.主要安装辅助软件.WINRAR.日志检测软件.网络检测软件.Commview这类等.
至于MSN哦.QQ哦什么的.其实不推荐安装.为什么.当然会有点小隐患.推荐使用NTFS格式.
权限请保留ADMIN组和SYSTEM组.一共两个.其他的一律DEL掉.尤其是什么EVERYONE.
为什么.因为安装到系统中SYSTEM当然是必须具备.然后管理员要操作.所以要ADMIN组.

E盘我们做为服务器软件的安装分区.大小自己定义.包括CGI.PHP.ZEND.MYSQL.MSSQL.IMAIL.SERV-U等.
文件格式为NTFS.权限保留ADMIN组.SYSTEM组.和"IWAN_你的计算机名"这个帐号.一共三个.其他的DEL掉.
说明一下.这个"IWAN_你的计算机名"帐号.主要是负责操作应用程序地址池和服务器软件.比如PHP脚本.

F盘就可以做对外服务的分区.比如IIS的WEB服务.FTP空间.IMAIL邮件帐号空间.
建议建立三个文件夹: WEB.FTP和IMAIL.然后分门别类的放置每个软件的每个帐号的目录.
并且不继承F盘的父权限.独立来定制这三个目录的操作权限.具体我们下面说.
推荐权限为保留如下三个组: ADMIN组和SYSTEM组以及"USER_你的计算机名"这个帐号组.
"USER_你的计算机名"这个帐号组.权限为GUESTS.是匿名访问WEB服务器的默认帐号.
如果需要有写操作权限的另外建立个帐号.具体可以参考FSO分配这类文章.

G盘为FTA32格式.放置系统安装文件.日常工具软件的安装程序.系统备份.策略等等.
注意.敏感内容请通过第三方软件加密.以免病毒感染或者被黑客捆绑后门和木马.
如果条件允许就做异地备份.光盘或者磁带机备份.建议装个GHOST 2003.对于重要内容可以做镜像文件.

到这里基本上比较合理的分配了空间.并且也考虑以后的拓展性.我们可以准备进入下面的环节了.

下面我们来说安装.哎哎.你.坐好.虽然我出去了一下.出去的一小下而已嘛.
你也要注意纪律.什么?说我只知道陪MM不写教程.你知道个啥.两手都要硬.明白不?

安装的情况.这个.一般情况下分两种.不排除有变态的第N种可能.
对了.有一期科幻世界上有一篇叫第九种可能的文章.挺不错的.哦哦.打住打住.

首先是升级.WINDOWS 2003好象不支持WINDOWS 2000 PRO上的升级.
个人推荐还是别整什么升级的好.直接重新安装.免去了很多D版出现的妖异问题.

扫盲: 妖异问题就是一些搞半天搞不好不知道怎么搞不好最后不知道怎么自己搞好或者是别人随便一搞就搞好的问题.

直接安装.如果你的系统是好的.我是说.可以进入系统并且可以使用CD-ROM的情况.
你可以选择直接在现有的系统上安装.然后选择重新安装.输入SN序列号.直接NEXT就可以了.

注意在安装的时候.如果你做对外的服务器就选择系统盘为NTFS格式.分区方案见上面的.
如果你是自己用.做本地调试或者是测试的.那就随便你怎么弄吧.只要你觉得舒服. 

OK.下面来说一下纯DOS里面的安装.虽然是很OLD的内容.
在DOS里面要使用一个名为 Smartdrv.exe 的命令.
意思是增补磁盘高速缓存.什么意思?我不想跟 IQ < 70 的人探讨技术问题.
这个命令可以在 Windows 98 的安装目录里找到.直接执行就可以了.不需要增加参数.
执行结果以后是什么样?没什么样.你多执行几次就会看到效果了.知道不?

然后执行 FORMAT C: /S/Q 切记.
如果你想保证你的 WINDOWS 2003 以后能拥有 DOS 启动进入 MS-DOS 环境的话.
请一定按照我上面说的做.只要在安装 WINDOWS 20003 之前把系统 FORMAT 以后.
以后安装完 WINDOWS 2003 以后.可以通过如下方法进入 纯DOS 环境而不需要其他引导光盘.
相关内容: 最新内容:
服务器安全配置精华技巧[2014-11-19]
Web服务器记录中查找黑客踪迹[2014-11-19]
Mssql和Mysql的安全性分析[2014-11-19]
拒绝服务攻击原理及解决方法[2014-11-19]
DoS拒绝服务攻击工具基本技术及其发展方向[2014-11-19]
什么是CC攻击,与DDOS的区别[2014-11-19]