彈性云/服務(wù)器系統(tǒng)安全設(shè)置建議

windows系統(tǒng)安全設(shè)置自動腳本下載。（注意：權(quán)限設(shè)置較嚴(yán)格，非web應(yīng)用請根據(jù)實際情況決定是否設(shè)置）

目前互聯(lián)網(wǎng)黑客入侵事件頻發(fā)，很多客戶安全意識不高，被黑客入侵非常普遍。黑客入侵可能帶來網(wǎng)站被掛病毒、木馬，數(shù)據(jù)被黑客刪除，黑客利用服務(wù)器對外攻擊別人，占用服務(wù)器的磁盤和帶寬等等。

為了提高您所使用主機(jī)的安全性，建議您做好系統(tǒng)安全，提升安全防護(hù)意識：

系統(tǒng)安全：
1.設(shè)置較為復(fù)雜的主機(jī)密碼，建議8位數(shù)以上，大小寫混合帶數(shù)字、特殊字符，不要使用123456、password等弱口令。
2.任何應(yīng)用服務(wù)都不應(yīng)使用system或者管理員賬戶運行，避免當(dāng)應(yīng)用服務(wù)出現(xiàn)漏洞時系統(tǒng)被入侵。查看幫助
3.如果是自主安裝純凈版的系統(tǒng)，建議修改遠(yuǎn)程管理3389、22等默認(rèn)端口，用其他非標(biāo)準(zhǔn)端口可以減少被黑的幾率。

4.系統(tǒng)防火墻中只開放需要用到的端口。

可以參考：http://www.shinetop.cn/faq/list.asp?unid=2281

windows系統(tǒng)安全:(純凈版本系統(tǒng)建議下載"自動安全腳本"執(zhí)行)

1.windows主機(jī)安裝安全狗,云鎖等防入侵的產(chǎn)品。
2.開啟系統(tǒng)自動更新功能，定期給系統(tǒng)打補(bǔ)丁，非常重要。
3.關(guān)閉不需要的服務(wù)，如server,worksation等服務(wù)一般用不上，建議禁用。
4.網(wǎng)卡屬性中卸載文件共享功能。
5.啟用TCP/IP篩選功能,關(guān)閉危險端口,防止遠(yuǎn)程掃描、蠕蟲和溢出攻擊。比如mssql數(shù)據(jù)庫的1433端口，一般用不上遠(yuǎn)程連接的話，建議封掉，只允許本機(jī)連接。
6.如果用于網(wǎng)站服務(wù)，建議安裝我們預(yù)裝“網(wǎng)站管理助手”的操作系統(tǒng)模板，該系統(tǒng)我們做過安全加固，比純凈版要更安全。新建網(wǎng)站強(qiáng)烈建議用網(wǎng)站管理助手創(chuàng)建，本系統(tǒng)創(chuàng)建的網(wǎng)站會相互隔離，避免一個網(wǎng)站被入侵就導(dǎo)致其他網(wǎng)站也受影響。
7.防火墻中禁用禁用445，禁用137 138 139端口
8.禁用seclogon服務(wù)，避免提權(quán)

net stop seclogon

sc config seclogon start= disabled
9.設(shè)置wpad，避免中間人攻擊提權(quán)

echo.>> C:\Windows\System32\drivers\etc\hosts

echo 1.1.1.1 wpad>> C:\Windows\System32\drivers\etc\hosts

10.2008、2012禁用wscript.shell防止asp執(zhí)行exe

takeown /f C:\Windows\System32\wshom.ocx /a

takeown /f C:\Windows\System32\shell32.dll /a

takeown /f C:\Windows\SysWOW64\wshom.ocx /a

takeown /f C:\Windows\SysWOW64\shell32.dll /a

cacls C:\Windows\System32\wshom.ocx /R users /e

cacls C:\Windows\SysWOW64\wshom.ocx /R users /e

cacls C:\Windows\System32\shell32.dll /R users /e

cacls C:\Windows\SysWOW64\shell32.dll /R users /e
11.2003 禁止wmi獲取iis信息，避免信息泄露

cacls C:\WINDOWS\system32\wbem\wbemprox.dll /D client /e

cacls C:\WINDOWS\system32\wbem\wmiprvse.exe /D client /e

cacls C:\WINDOWS\system32\wbem\wmiutils.dll /D client /e
12.合理使用軟件策略限制exe執(zhí)行，常見目錄為

C:\Documents and Settings\westmssql

C:\Documents and Settings\servu

C:\Documents and Settings\mysql

D:\SOFT_PHP_PACKAGE\phptmp

d:\wwwroot

C:\Windows\Temp

C:\Windows\Microsoft.NET\Framework\v2.0.50727\Temporary ASP.NET Files

C:\Windows\Microsoft.NET\Framework\v4.0.30319\Temporary ASP.NET Files

C:\Windows\Microsoft.NET\Framework64\v2.0.50727\Temporary ASP.NET Files

C:\Windows\Microsoft.NET\Framework64\v4.0.30319\Temporary ASP.NET Files

linux系統(tǒng)安全:
1.如果使用php請在php.ini中禁用危險函數(shù) disable_functions = passthru,exec,system,shell_exec,proc_open,popen

2.定期升級 base openssl-devel curl-devel openssh-server

3.內(nèi)部服務(wù)盡量監(jiān)聽127.0.0.1

4.如果有使用第三方面板，應(yīng)隨時關(guān)注升級動態(tài)

5.也可以嘗試使用安全軟件，如云鎖等

服務(wù)安全:

1.MYSQL

使用普通用戶運行，root設(shè)置復(fù)雜密碼，禁止root遠(yuǎn)程鏈接，程序中避免使用root

2.MSSQL

使用普通用戶運行，sa設(shè)置復(fù)雜密碼,程序中避免使用sa，最好是sa改名

3.JAVA

使用普通用戶運行，關(guān)注struts2/tomcat等相關(guān)漏洞

網(wǎng)站程序/目錄安全:
1.做好網(wǎng)站的注入漏洞檢查，做好網(wǎng)站目錄訪問權(quán)限控制。(建議將網(wǎng)站設(shè)置為只讀狀態(tài)，對需要上傳附件等目錄單獨開通寫權(quán)限功能，對上傳文件目錄設(shè)置為禁止腳本執(zhí)行權(quán)限)

若是一些官方源碼,及時跟隨官方版本升級更新補(bǔ)丁,若是一些網(wǎng)絡(luò)公司/自行開發(fā)的程序,注意一些上傳功能,提交留言等要進(jìn)行嚴(yán)格的程序判斷限制

2.網(wǎng)站所在目錄可增加一些權(quán)限設(shè)置來增強(qiáng)安全

3.右擊網(wǎng)站目錄,如wwwroot,屬性-安全,取消掉對應(yīng)用戶的完全控制控制權(quán)限,只保留讀取運行權(quán)限

4.個別目錄,如data/session caches uploads databases 等需要寫入權(quán)限的目錄,單獨右擊屬性安全中設(shè)置為完全控制

5.upload,images等靜態(tài)文件,圖片文件等目錄,取消執(zhí)行權(quán)限

6.不常更新的程序文件,如index.php,index.asp等右擊屬性,把只讀屬性勾選上以防止被篡

7.最佳目錄權(quán)限為，只要不涉及寫入的目錄或者文件都不要給寫入權(quán)限，需要寫入權(quán)限的目錄，應(yīng)當(dāng)禁止腳本和exe執(zhí)行

數(shù)據(jù)安全：
建議定期把數(shù)據(jù)庫等重要數(shù)據(jù)進(jìn)行本機(jī)或異機(jī)備份！

安全組:

安全組是我司上線的一項公共網(wǎng)絡(luò)安全防火墻。對一組云主機(jī)的流入流量進(jìn)行數(shù)據(jù)包過濾。安全組僅適用于云主機(jī)公網(wǎng)IP的流入方向流量。不限制流出流量。

彈性云主機(jī)安全組使用說明

安全組端口設(shè)置注意事項