Discuz教程网

ASP,PHP,MYSQL的安全设置

[复制链接]
authicon 主编 发表于 2011-8-14 23:01:59 | 显示全部楼层 |阅读模式
ASP的安全设置:
  设置过权限和服务之后,防范asp木马还需要做以下工作,在cmd窗口运行以下命令:
  regsvr32/u C:WINNTSystem32wshom.ocx
  del C:WINNTSystem32wshom.ocx
  regsvr32/u C:WINNTsystem32shell32.dll
  del C:WINNTsystem32shell32.dll
  即可将WScript.Shell, Shell.application, WScript.Network组件卸载,可有效防止asp木马通过wscript或shell.application执行命令以及使用木马查看一些系统敏感信息。另法:可取消以上文件的users用户的权限,重新启动IIS即可生效。但不推荐该方法。
  另外,对于FSO由于用户程序需要使用,服务器上可以不注销掉该组件,这里只提一下FSO的防范,但并不需要在自动开通空间的虚拟商服务器上使用,只适合于手工开通的站点。可以针对需要FSO和不需要FSO的站点设置两个组,对于需要FSO的用户组给予c:winntsystem32scrrun.dll文件的执行权限,不需要的不给权限。重新启动服务器即可生效。
  对于这样的设置结合上面的权限设置,你会发现海阳木马已经在这里失去了作用!
  PHP的安全设置:
  默认安装的php需要有以下几个注意的问题:
  C:winntphp.ini只给予users读权限即可。在php.ini里需要做如下设置:
  Safe_mode=on
  register_globals = Off
  allow_url_fopen = Off
  display_errors = Off
  magic_quotes_gpc = On [默认是on,但需检查一遍]
  open_basedir =web目录
  disable_functions =passthru,exec,shell_exec,system,phpinfo,get_cfg_var,popen,chmod
  默认设置com.allow_dcom = true修改为false[修改前要取消掉前面的;]
  MySQL安全设置:
  如果服务器上启用MySQL数据库,MySQL数据库需要注意的安全设置为:
  删除mysql中的所有默认用户,只保留本地root帐户,为root用户加上一个复杂的密码。赋予普通用户updatedeletealertcreatedrop权限的时候,并限定到特定的数据库,尤其要避免普通客户拥有对mysql数据库操作的权限。检查mysql.user表,取消不必要用户的shutdown_priv,relo
  ad_priv,process_priv和File_priv权限,这些权限可能泄漏更多的服务器信息包括非mysql的其它信息出去。可以为mysql设置一个启动用户,该用户只对mysql目录有权限。设置安装目录的data数据库的权限(此目录存放了mysql数据库的数据信息)。对于mysql安装目录给users加上读取、列目录和执行权限。






上一篇:Discuz X2 论坛签名秀,微博同款签名(20110814附件已更新GBK版和无字体附件)
下一篇:1314现在用的等级图片
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

1314学习网 ( 浙ICP备10214163号 )

GMT+8, 2025-5-2 07:26

Powered by Discuz! X3.4

© 2001-2013 Comsenz Inc.

快速回复 返回顶部 返回列表