web服务器安全设置

web服务器安全设置

IIS的相关设置:
删除默认建立的站点的虚拟目录,停止默认Web站点,删除对应的文件目录c:inetpub,配置所有站点的公共设置,设置好相关的连接数限制,带宽设置以及性能设置等其他设置。配置应用程序映射,删除所有不必要的应用程序扩展,只保留asp,php,cgi,pl,aspx应用程序扩展。对于php和cgi,推荐使用isapi方式解析,用exe解析对安全和性能有所影响。用户程序调试设置发送文本错误信息给户。对于数据库,尽量采用mdb后缀,不需要更改为asp,可在IIS中设置一个mdb的扩展映射,将这个映射使用一个无关的dll文件如C:WINNTsystem32inetsrvssinc.dll来防止数据库被下载。设置IIS的日志保存目录,调整日志记录信息。设置为发送文本错误信息。修改403错误页面,将其转向到其他页,可防止一些扫描器的探测。另外为隐藏系统信息,防止telnet到80端口所泄露的系统版本信息可修改IIS的banner信息,可以使用winhex手工修改或者使用相关软件如banneredit修改。
对于用户站点所在的目录,在此说明一下,用户的ftp根目录下对应三个文件佳,wwwroot,database,logfiles,分别存放站点文件,数据库备份和该站点的日志。如果一旦发生入侵事件可对该用户站点所在目录设置具体的权限,图片所在的目录只给予列目录的权限,程序所在目录如果不需要生成文件(如生成html的程序)不给予写入权限。因为是虚拟主机平常对脚本安全没办法做到细致入微的地步,更多的只能在方法用户从脚本提升权限:
ASP的安全设置:
设置过权限和服务之后,防范asp木马还需要做以下工作,在cmd窗口运行以下命令:
regsvr32/u C:\WINNT\System32\wshom.ocx
del C:\WINNT\System32\wshom.ocx
regsvr32/u C:\WINNT\system32\shell32.dll
del C:\WINNT\system32\shell32.dll
即可将WScript.Shell, Shell.application, WScript.Network组件卸载,可有效防止asp木马通过wscript或shell.application执行命令以及使用木马查看一些系统敏感信息。另法:可取消以上文件的users用户的权限,重新启动IIS即可生效。但不推荐该方法。
另外,对于FSO由于用户程序需要使用,服务器上可以不注销掉该组件,这里只提一下FSO的防范,但并不需要在自动开通空间的虚拟商服务器上使用,只适合于手工开通的站点。可以针对需要FSO和不需要FSO的站点设置两个组,对于需要FSO的用户组给予c:winntsystem32scrrun.dll文件的执行权限,不需要的不给权限。重新启动服务器即可生效。
对于这样的设置结合上面的权限设置,你会发现海阳木马已经在这里失去了作用!
PHP的安全设置:
默认安装的php需要有以下几个注意的问题:
C:\winnt\php.ini只给予users读权限即可。在php.ini里需要做如下设置:
Safe_mode=on
register_globals = Off
allow_url_fopen = Off
display_errors = Off
magic_quotes_gpc = On [默认是on,但需检查一遍]
open_basedir =Web目录
disable_functions =passthru,exec,shell_exec,system,phpinfo,get_cfg_var,popen,chmod
默认设置com.allow_dcom = true修改为false[修改前要取消掉前面的;]
MySQL安全设置:
如果服务器上启用MySQL数据库,MySQL数据库需要注意的安全设置为:
删除mysql中的所有默认用户,只保留本地root帐户,为root用户加上一个复杂的密码。赋予普通用户updatedeletealertcreatedrop权限的时候,并限定到特定的数据库,尤其要避免普通客户拥有对mysql数据库操作的权限。检查mysql.user表,取消不必要用户的shutdown_priv,relo
ad_priv,process_priv和File_priv权限,这些权限可能泄漏更多的服务器信息包括非mysql的其它信息出去。可以为mysql设置一个启动用户,该用户只对mysql目录有权限。设置安装目录的data数据库的权限(此目录存放了mysql数据库的数据信息)。对于mysql安装目录给users加上读取、列目录和执行权限。
Serv-u安全问题:
安装程序尽量采用最新版本,避免采用默认安装目录,设置好serv-u目录所在的权限,设置一个复杂的管理员密码。修改serv-u的banner信息,设置被动模式端口范围(4001—4003)在本地服务器中设置中做好相关安全设置:包括检查匿名密码,禁用反超时调度,拦截“ftp bounce”攻击和FXP,对于在30秒内连接超过3次的用户拦截10分钟。域中的设置为:要求复杂密码,目录只使用小写字母,高级中设置取消允许使用MDTM命令更改文件的日期。
更改serv-u的启动用户:在系统中新建一个用户,设置一个复杂点的密码,不属于任何组。将servu的安装目录给予该用户完全控制权限。建立一个FTP根目录,需要给予这个用户该目录完全控制权限,因为所有的ftp用户上传,删除,更改文件都是继承了该用户的权限,否则无法操作文件。另外需要给该目录以上的上级目录给该用户的读取权限,否则会在连接的时候出现530 Not logged in, home directory does not exist.比如在测试的时候ftp根目录为d:soft,必须给d盘该用户的读取权限,为了安全取消d盘其他文件夹的继承权限。而一般的使用默认的system启动就没有这些问题,因为system一般都拥有这些权限的。

服务器用户安全设置

服务器用户安全设置

1、禁用Guest账号

在计算机管理的用户里面把Guest账号禁用。为了保险起见,最好给Guest加一个复杂的密码。你可以打开记事本,在里面输入一串包含特殊字符、数字、字母的长字符串,然后把它作为Guest用户的密码拷进去。

2、限制不必要的用户

去掉所有的Duplicate User用户、测试用户、共享用户等等。用户组策略设置相应权限,并且经常检查系统的用户,删除已经不再使用的用户。这些用户很多时候都是黑客们入侵系统的突破口。

3、创建两个管理员账号

创建一个一般权限用户用来收信以及处理一些日常事物,另一个拥有Administrators 权限的用户只在需要的时候使用。

4、把系统Administrator账号改名

大家都知道,windows 2000 的Administrator用户是不能被停用的,这意味着别人可以一遍又一遍地尝试这个用户的密码。尽量把它伪装成普通用户,比如改成Guesycludx。

5、创建一个陷阱用户

什么是陷阱用户?即创建一个名为“Administrator”的本地用户,把它的权限设置成最低,什么事也干不了的那种,并且加上一个超过10位的超级复杂密码。这样可以让那些 Hacker们忙上一段时间,借此发现它们的入侵企图。

6、把共享文件的权限从Everyone组改成授权用户

任何时候都不要把共享文件的用户设置成“Everyone”组,包括打印共享,默认的属性就是“Everyone”组的,一定不要忘了改。

7、开启用户策略

使用用户策略,分别设置复位用户锁定计数器时间为20分钟,用户锁定时间为20分钟,用户锁定阈值为3次。

8、不让系统显示上次登录的用户名

默认情况下,登录对话框中会显示上次登录的用户名。这使得别人可以很容易地得到系统的一些用户名,进而做密码猜测。修改注册表可以不让对话框里显示上次登录的用户名。方法为:打开注册表编辑器并找到注册表项“HKLMSoftwareMicrosoftwindows TCurrentVersionWinlogonDont-DisplayLastUserName”,把REG_SZ的键值改成1。

密码安全设置

1、使用安全密码

一些公司的管理员创建账号的时候往往用公司名、计算机名做用户名,然后又把这些用户的密码设置得太简单,比如“welcome”等等。因此,要注意密码的复杂性,还要记住经常改密码。

2、设置屏幕保护密码

这是一个很简单也很有必要的操作。设置屏幕保护密码也是防止内部人员破坏服务器的一个屏障。

3、开启密码策略

注意应用密码策略,如启用密码复杂性要求,设置密码长度最小值为6位 ,设置强制密码历史为5次,时间为42天。

4、考虑使用智能卡来代替密码

对于密码,总是使安全管理员进退两难,密码设置简单容易受到黑客的攻击,密码设置复杂又容易忘记。如果条件允许,用智能卡来代替复杂的密码是一个很好的解决方法。
 

windows 2003支持flv

windows 2003支持flv

有许多朋友在论坛上提到在windows server 2003上不能支持FLV格式的流式播放问题。

原因是由于windows server 2003上并没有.FLV的这种mime-type类型,对于这一点Adobe给出了它的解决方案。如下:

1.在2003服务器上,找开IIS管理器。
2.展开本地服务器名称,右击选择属性,在Internet信息服务标签上,点击最下方的计算机MIME映射下面的编辑按钮。
3. 点击”新类型”按钮,扩展名添上”.FLV”,内容类型(MIME)添上“flv-application/octet-stream”
4. 点击确定
5.重新启动www服务。

尽管adobe提供了这种解决方法可以让.FLV工作,但仍会在许多情况下会出现意想不到的结果,仍会有许多.FLV不能正常的工作。下面有一种解决方法:前几步是一样的。

1.在2003服务器上,找开IIS管理器。
2.展开本地服务器名称,右击选择属性,在Internet信息服务标签上点击最下方的计算机MIME映射下面的编辑按钮。
3. 点击”新类型”按钮,扩展名添上”.FLV”,内容类型(MIME)添上"video/x-flv"
4. 点击确定
5.重新启动www服务。

Ok.现在你可以正常在windows 2003 server 上使用你的流式的FLV了。

IIS死循环解决方案

IIS死循环解决方案

详细方法如下:
大家现在就跟着我来做,完成后保证你再也不怕恶意的死循环程序了。
开始----程序----管理工具-----Internet服务管理器-----展开左边的结点----选中你要设置的网站-----右击-----属性----“主目录”选项卡----“配置...”------“应用程序选项”选项卡-----将“ASP脚本超时”设成10秒-----然后,“应用程序调试”----将“调试标志”中的“启用ASP服务器端脚本调试”和“启用ASP客户端脚本调试”两项全选中-----确定-----“性能”选项卡------选中“启用进程限制”-----10%不用变----再选中“强制性限制“------确定。就OK了。
做好上述设置后,服务器再也不怕死循环之类的程序了。我已用如下程序做了试验:
<%
do while true
response.write "adhflahdlfjahdfjhaldjkh"
loop
%>
以前一运行这个程序,服务器的硬盘就会狂转不止,接着IIS失去响应,严重时整个服务器都会DOWN掉,最后必须重启IIS服务甚至重启服务器才行。现在什么事也没有。各位网友,你们也可试试。
Error: Can’t create/write to file

Error: Can’t create/write to file

别听网上那种说设置TEMP目录everyone读写权限,那是放屁,解决不了问题还犯了服务器安全的大忌

真正原因如下:
1, C:\WINDOWS\TEMP文件夹权限不够,至少也要给出USERS组的可读可写权限; (给出权限)
2, C:\WINDOWS\TEMP文件夹的磁盘满了,文件写不进去了;(清空TEMP文件夹)
3, 你的服务器装了MCAFEE杀毒软件,它的访问保护禁止了TEMP文件可写;(修改访问保护设置)
4, 还是MCAFEE杀毒软件的问题,解决步骤:按访问扫描属性-所有进程-检测项-扫描文件(在写入磁盘时)勾去掉,OK.

说明:
1, 有很多人说是1,2条的问题.难道大家这个都不知道吗?笑话!
2, 有很多人说删#sql_5ac_0.MYD' 这个文件就可以了,是啊.没错,当时是可以了.当你操作数据库后又会出现此问题,难道不是吗?所以删除#sql_5ac_0.MYD' 文件后根本没解决真正的问题;
3, 最终由本人一个晚上未睡觉,多次测试,找到了最终的原因就是第4条,MCAFEE杀毒软件的问题.
 

电脑右键没有新建记事本

电脑右键没有新建记事本

使用超级兔子优化新建菜单后,发现右键新建"记事本"菜单没有了,用兔子恢复,发现兔子里新建选项里"记事本"根本就没有删除,仍然显示有这个选项,反复删除再选中还是不行.但是其他的新建菜单反复删除选中,刷新后就会消失或出现.为什么单单这个不行.上网查,多说修改注册表,但打开注册表按说的那样操作添加新建菜单里的"记事本"还是不行.C:\WINDOWS\system32目录下的notepad.exe文件也正常.就是不能出现新建"文本文档".

把以下内容存入记事本:

Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\.txt]
@="txtfile"
"Content Type"="text/plain"

[HKEY_CLASSES_ROOT\.txt\ShellNew]
"NullFile"=""

[HKEY_CLASSES_ROOT\txtfile]
@="文本文档"

[HKEY_CLASSES_ROOT\txtfile\shell]

[HKEY_CLASSES_ROOT\txtfile\shell\open]

[HKEY_CLASSES_ROOT\txtfile\shell\open\command]
@="NOTEPAD.EXE %1"

然后保存好,修改后缀名,把.txt改成.reg。双击导入到注册表中或者打开注册表点击导入,就可以了。

十类订单不能接

十类订单不能接

一、对方要求你免费提供样品的不能接,因为对方以各种理由要求你寄样品,寄了说不行,又再叫你寄,或者就没有了下文,或者说你的衣服报价高了,对方拿到你的样品却叫别的公司来低价做。所以,没有付费的样品一定不要寄,除了你们是老客户和相熟的伙伴关系。
二、以卖单的形式抽取佣金,而不付定金的不要随便接。
三、叫你带样品到对方去签合同的,请不要随便去。
四、对方叫你报价,没有详细的要求说明,图纸,或详细的规则要求不要随便接。
五、对方发来的传真资料,邮件没有具体的联系方式,只提供了一个电话的不要轻易去接。
六、说单子很大很大,叫你马上到某某酒店里谈,但对方对这方面一点都不专业的。。不要随便去接。
七、做外单的话,据我的经验,只承接沿海地带广东,北京,上海,福建,浙江的单子。其它地方的一定要考虑清楚。
八、对方说单子很大很大,价格很高,对方的来头比较大,发来相关要求你提供产品资料,公司情况。你要小心。
九、对方手里有单子,说可以给你做,但要回扣。这些都是骗人的把戏。
十、没聊几句就说我们可以下单给你做,不过你要表示表示,请客啦什么不要接。

一个网站策划师应该具备的能力!

一个网站策划师应该具备的能力!

  网站策划是一个系统的工程,虽然国内大多数企业以及各大互联网企业还没有把网站策划摆到一个重要的位置。但是,网站策划的重要性是不可置否的,目前国内比较专业的网站策划师并不多,有的是从网站设计师转行过来的,有的是从网络营销人员转化过来的,有的是从互联网产业分析师转化过来的。总的来说,网站策划师需要掌握的知识比较多,而且要用高瞻远瞩的观点来看问题,特别是对从事互联网产业的公司,网站策划的工作更加重要,因为更多的牵扯网站的战略研究和发展方向。企业网站相对来说,对策划师互联网经济的把握这方面的知识要求相对少些。

  孙子兵法云:“夫未戰而廟算勝者, 得算多也; 未戰而廟算不勝者, 得算少也。 多算勝, 少算不勝 ,而況于無算乎? 吾以此觀之,勝負見矣。”

  因此,策划对一个网站的制作乃至今后的发展起着关键性的作用……那么,你想成为一名出色的网站策划师吗?

  一般来说网站策划需要具备的知识包括以下几点:

    1、良好的文案写做能力想法再好,观点再新颖,如果无法用文字很好的表达出来,那么将是一件很可惜的事……文案写做能力是一个策划师最基本的素质要求。所以一定要加强这方面的锻炼。

  2、熟悉互联网经济无论是企业网站还是专业的互联网企业,在一定程度上对需要对互联网经济有一定的把握。可能企业网站对这方面的要求稍微底点……但是如果你所从事的是纯粹的互联网企业,比如web2.0网站,网络媒体,无线增值,等等。那么一定需要深韵互联网经济的内涵,因为互联网经济的特殊性,任何一种新技术乃至新观念的推出,都能引出火山爆发的效应,能成立一批优秀的网站,也能倒下一大批网站,所以,作为一个吹泡末的人,策划师一定要慎重,因为战略方向的确立乃至赢利模式的探讨都是在对互联网经济有深刻把握的基础上……如果你对这不了解,那么你策划的网站是徒具型而无肉,没有任何的挑战力和发展潜力。

  3、具有良好的分析能力和逻辑思维能力网站策划中,我们可以用5个“W”来对网站进行全面的思考,网站功能定位,赢利模式分析,网站目的定位,虽然是很主观的东西,看不见,摸不着,但是确实一切后续工作的重要参考依据,而对网站功能定位,赢利模式分析,网站目的定位需要对同行业的市场经济进行分析,包括整个行业市场分析,竞争对手分析,以及企业自身的S.W.O.T分析……从宏观上把握企业的发展方向和整个网站的定位……网站功能和发展方向的分析需要在客观数据的基础上,融合对互联网经济的把握进行分析。调查包括网站用户的年龄,行为特征,文化程度,等等……这些都需要较强的分析能力和逻辑思维能力。

  4、具有一定的美工基础网站的栏目及整体网站风格的把握,网站VI设计和企业CI设计的结合都需要网站策划具有一定的美工基础,这样也便于和美工进行沟通。

  5、具有一定的程序设计基础不要求对网站程序设计的具体细节了解很多…但是基础型的东西还是了解…这样有利于和技术部进行沟通,同时对网站一些功能的要求也需要知道一些程序设计的知识………比如基础的HTML言。ASP.ASP.net至少知道他的工作原理和基础知识……W3C标准…XML.Ajax等等……举个例子……如果你对XML+CSS一点不知道的话…。那么你肯定不会在网站策划中建议技术部按WC3标准进行设计…如果你对AJAX不了解的话……你就不知道在有些地方使用AJAX能实现你需要的人性化设计………如果你对XML RSS不了解的话。你就不会知道 需要在网站中提供RSS FEED 供大家聚合…

  6、具备网络营销的知识网站营销对网站的重要性我想大家都知道,特别是网站推广对一个网站的重要性………网站的推广不是在制作好后才需要的,网站的推广应该贯穿在网站发展的整个过程…所以在策划阶段就需要考虑在内……比如网站的功能是否更需要人性化。网站的设计制作更利于开展在线网络销售,网站制作过程中,要注意网页的优化,网站结构的优化,以及关键的分布,等等…网站的人性化设计属于看不见的营销策划,当然也是很重要的……

  个人认为网站策划师应该具备网络营销与策划的双重能力,首先:网络发展的分析能力。明白互联网发展的大方向,了解自己网站所定位的行业最新的动态,第一点的要求是“做不到不是你的错,知不道就是你不可犯的错”。

  其次:网络经济的的模式制定。千万别说什么B2B,B2C什么的,那不是网站策划说的,是老总们说的,你所能做的就是告诉你的老总“怎么去赚钱”。

  第三:活动策划能力。现在网站的推广以地面或活动推广为主,所以你得有活动组织能力。

  第四:沟通、说服能力。你再好的方案也要人的支持,特别是公司老总以及领导的支持,领导凭什么支持你啊,你得说服人家,另外还能说服活动的出资者,这才是最主要的。

IE下让网站变成灰色调

IE下让网站变成灰色调

这里有个方法可以迅速把你的网站变成灰调,就是给body加个css滤镜。
body {filter:gray;}
既然说了是css滤镜,那么只能是在IE下支持了。firefox下浏览照样还是彩色的。并且有一点,flash里的图片不会变灰。