菜鸟 完整 配置服务器 流程及权限设置

《菜鸟 完整 配置服务器 流程及权限设置》由会员分享，可在线阅读，更多相关《菜鸟 完整 配置服务器 流程及权限设置（12页珍藏版）》请在金锄头文库上搜索。

1、菜鸟完整配置菜鸟完整配置服务器服务器 流程及流程及权限权限设置设置来源:原创+引用 作者:我为人民服务 时间:2007-06-25 12:06 字体:大 中 小 收藏 我要投稿 本人是一菜鸟，虽然刚刚接触网络，但是有点痴迷。最近因为网络环境允 许自己搞台服务器服务器，就选了 WIN2003 搭建服务器服务器。原以为网上教程还有落伍者的教程多的是，以为简单的很！哎，谁知道教 程虽多，不是缺这个就是缺那个，有几个貌似很详细的（确实很详细），竟然 就漏拉那么一点点（比如 PHP 的一个文件），到头来还是配置的出错，不知道 是作者。还是其他原因，反正我在这上边耽误了很长时间，对咱们菜鸟们 的成长造成了

2、很坏的影响，呵呵，咱们可是未来胡联网的太阳呀！（有点远， 不好意思）结果到今天整整 7 天了，才搞出点眉目，也许小弟过于愚笨，大家 表笑话偶。再就是本人写的虽然都是个人的肺腑之言，肯定也会引用一些高手的东东， 请不要固执的以为有转贴或者是抄袭，因为已经有了的好东西咱们就得利用， 咱们的目的是更完善，也希望斑竹给小的落个伍，小的敢有胆量发出来还不嘉 奖下？不胜感激。言归正传：本人以为，服务器服务器的配置主要分两大块：1：底层环境的配置安 装；2：组件安全、硬盘权限权限的分配、服务的处理等安全问题处理。 一、先来底层环境的安装吧： 注意事项： 1、大家一定注意下 php 配置的时候一定要将 php

3、4ts.dll 文件复制到 windows 文件夹内，否则会出现 seaver .的故障（本人耽误了好长时间，真 郁闷）下面教程内没写这点，估计是漏了 对了，底层环境安装，小勤哥哥刚教的我，我就不再码字了咱们直接看他说的 吧（非常全面，但大家要注意我上边提到的注意事项啊，找到的唯一缺点，叫 咱们菜鸟不转都没理由）： http:/ 所造成的， 呵呵 $_$)，你还可以选择将 Serv-U 的 FTP 账户信息保存到注册表，不要存在 Serv-U 目录下的 ini 文中，这样更加安全。C、我们再开启“计算机管理“新建一个用户 Serv-UAdmin,设置设置好密码。将用户 退出 Users 组，不

4、加入任何组。并在用户的“终端服务配置文件”选项里取消 “允许登录到终端服务器服务器。并且禁止 Serv-UAdmin 用户的本地登陆。进入控制 面板 - 管理工具 - 本地安全策略 - 本地策略 - 用户权利指派 - 拒绝 本地登陆。(备注：这个用户我们将它来作为俺们 Serv-U 的服务运行账号，嘿 嘿)D、开始运行“Services.msc“打开 win 的服务管理器，找开 Serv-U Ftp Server 的 Serv-U 服务;打开“登陆”对话框。当前默认的为“本地系统帐户”。我们 将其修改为我们在 3 中新建的 Serv-UAdmin 用户，并输入密码。E、下面的工作就是设置设置

5、Serv-U 的运行与 FTP 目录的 ACLs 权限权限了: C:Documents and SettingsServ-UAdmin 目录加入 Serv-UAdmin 的权限权限， 允许读取与写入.D:Pro_LeeBolin_Serv-U#$2008$ Serv-U 的安装目录加入 Serv-UAdmin 的权限权限，允许读取与运行。(如果选择了账户保存在 ini 文件的话，这里就需要 增加修改与删除权限权限，因增删 FTP 账户时需要删改权才成，否则不能增删 FTP 账户哟_)如果 Serv-U 账户选择存在注册表的话。运行 regedt32.exe,打开注册表编辑 器。找到HKEY_L

6、OCAL_MACHINE SOFTWARECat Soft分支。在上面点右键，选 择权限权限，然后点高级，取消允许父项的继承权限权限传播到该对象和所有子对象， 删除除 admins 外的所有的账号。仅添加 Serv-UAdmin 账号到该子键的权限权限列 表，并给予完全控制权限权限。（如果选择了账户信息保存在 ini 文件中的话可略 过此步。）现在就来设置设置 WEB 目录的 ACLs 了，比如我的虚拟主机总目录为 E:Leebolin$(%wwwroot;那么我们将此 WEB 目录加入 Serv-UAdmin 账号的权权 限限即可，这样 FTP 就可以访问我们的 WEB 目录进行上传下载了，

7、呵.(由于 Serv-U 并没有以 system 运行，所以这里只存留 admins 与 serv-uadmin 的权限权限 就 OK 了。)如果是 asp/php/html 脚本的话，WEB 目录只需要 admins & serv-uadmin & IUSR_XX 即可(这里的 IUSR_XX 是指站点的匿名单用户账号.F、到目前为止，我们的 Serv-U 已经简单的做到了防提权，防溢出了。为什么 呢？因为能常远程溢出 overflow 的话，都是通过得一 shell 而进行进一步的 hacking，而我们现在的 Serv-U 不是以 system 运行，所以即使执行了 overflow 指

8、命，也并不能得到什么.防提权就不用我解释了：因为我们的 Serv-Uadmin 没有任何系统级的 ACLs 访问权限权限.G、修改 3389 远程连接端口 修改注册表. 开始-运行-regedit 依次展开 HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/ TERMINAL SERVER/WDS/RDPWD/TDS/TCP 右边键值中 PortNumber 改为你想用的端口号.注意使用十进制(例 10000 ) HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/TERMINAL SER

9、VER/ WINSTATIONS/RDP-TCP/ 右边键值中 PortNumber 改为你想用的端口号.注意使用十进制(例 10000 ) 注意：别忘了在 WINDOWS2003 自带的防火墙给+上修改后端口号 修改完毕.重新启动服务器服务器.设置设置生效.2、禁止 C$、D$一类的缺省共享 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverpar ameters AutoShareServer、REG_DWORD、0x0 3、禁止 ADMIN$缺省共享 HKEY_LOCAL_MACHINESYSTEMCurrentCo

10、ntrolSetServiceslanmanserverpar ameters AutoShareWks、REG_DWORD、0x0 4、限制 IPC$缺省共享 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa restrictanonymous REG_DWORD 0 缺省 1 匿名用户无法列举本机用户列表 2 匿名用户无法连接本机 IPC$共享 说明:不建议使用 2，否则可能会造成你的一些服务无法启动，如 SQL Server 5、在 Terminal Service Configration（远程服务配置）-权限权限-高级中配置安 全

11、审核，一般来说只要记录登录、注销事件就可以了。 6、解除 NetBios 与 TCP/IP 协议的绑定 控制面版网络绑定NetBios 接口禁用 2000：控制面版网 络和拨号连接本地网络属性TCP/IP属性高级WINS 禁用 TCP/IP 上的 NETBIOS 7、在网络连接的协议里启用 TCP/IP 筛选，仅开放必要的端口（如 80） 8、通过更改注册表 Local_MachineSystemCurrentControlSetControlLSA- RestrictAnonymous = 1 来禁止 139 空连接 9、修改数据包的生存时间(TTL)值 HKEY_LOCAL_MACHINE

12、SYSTEMCurrentControlSetServicesTcpipParameters DefaultTTL REG_DWORD 0-0xff(0-255 十进制,默认值 128) 10、防止 SYN 洪水攻击 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters SynAttackProtect REG_DWORD 0x2(默认值为 0x0) 11、禁止响应 ICMP 路由通告报文 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters

13、Interfacesinterface PerformRouterDiscovery REG_DWORD 0x0(默认值为 0x2) 12、防止 ICMP 重定向报文的攻击 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters EnableICMPRedirects REG_DWORD 0x0(默认值为 0x1) 13、不支持 IGMP 协议 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters IGMPLevel REG_DWORD 0x0(

14、默认值为 0x2) 14、设置设置 arp 缓存老化时间设置设置 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices:TcpipParameter s ArpCacheLife REG_DWORD 0-0xFFFFFFFF(秒数,默认值为 120 秒) ArpCacheMinReferencedLife REG_DWORD 0-0xFFFFFFFF(秒数,默认值为 600) 15、禁止死网关监测技术 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices:TcpipParameter s EnableD

15、eadGWDetect REG_DWORD 0x0(默认值为 ox1) 16、不支持路由功能 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices:TcpipParameter s IPEnableRouter REG_DWORD 0x0(默认值为 0x0) （二）、硬盘权限权限: 权限权限说明：权限权限是具有继承性、累加性、优先性、交叉性的。继承性是说下级的目录在没有经过重新设置设置之前，是拥有上一级目录权限权限 设置设置的。这里还有一种情况要说明一下，在分区内复制目录或文件的时候，复 制过去的目录和文件将拥有它现在所处位置的上一级目录权限权限设置设置。但在分区 内移动目录或文件的时候，移动过去的目录和文件将拥有它原先的权限权限设置设置。累加是说如一个组 GROUP1 中有两个用户 USER1、USER2，他们同时对某文 件或目录的访问权限权限分别为“读取”和“写入”，那么组 GROUP1 对该文件或目 录的访问权限权限就为 USER1 和 USER2 的访问权限权限之和，实际上是取其最大的那个， 即“读取”+“写入”=“写入”。又如一个用户 USER1 同属于组 GROUP1 和 GROUP2，而 GROUP1 对某一文件或目录的访问权限权限为“只读”型的，而 GROUP2 对这一文件或文件夹的访问权限权限为“完全控制”型