来说说一下老生常谈的服务器安全问题吧——WindowsServer 安全
SoraneKazehana · 2016-12-31 17:25:07 +08:00 · 4651 次点击这是一个创建于 2874 天前的主题,其中的信息可能已经有所发展或是发生改变。
Linux 有 iptable,windows 有防火墙
不过一些网站渗透的我感觉这两个还是有点不大靠谱
没有 WAF 的要么就自己写规则,要么就下个安全狗,悬镜,云锁
我用测试服务器试了下,云锁和安全狗都把阿里云的压测给 BAN 了,说明还是有点用的?
但是占用资源的话, 1G 内存还是被吃的有点紧
如果带 WAF 我觉得 WAF 和安全狗之类的是一样的,所以我是 WAF+小红伞服务器版
占用资源还算少吧,但是用了小红伞一年,感觉也没啥大作为的样子(日志感觉和杀毒软件差不多)
我感觉对 WINDOWS 来说还是把权限做好吧(提权当我没说)
因为一年前的权限设置忘了,话说 V2EX 有小伙伴给支援一下 WINDOWS 的权限设置吗
我参考了下一些服务市场和傻瓜包设置的权限
有点搞不懂那个主机神的权限,创建了一个账号,给了三个不同的权限
文件夹删除拒绝,遍历读取属性读取权限,还有一个读取写入删除权限,我有点搞不懂为毛要设置三个权限=。=
话说 Creative Owner 需要保留给网站文件夹吗?有人说要保留有人说不要保留,如果保留的话,匿名用户上传的文件将会有全部权限,有点不懂这个
 |
1
daolin998 2016-12-31 17:40:11 +08:00 via iPhone
服务器自从装了安全狗就不能卸载,一旦卸载服务器就卡死,装回去啥事没有,在第一次装安全狗以前是不会卡的。
毕竟是独立服务器 8 核 16g 内存 |
 |
2
SoraneKazehana OP @daolin998 建议重装系统,备份好重要资料
应该是哪个和安全狗相关的服务停不了吧 |
 |
3
Technetiumer 2016-12-31 23:39:20 +08:00
服务器应该防的是从漏洞或者网站程序那里嘿进来吧?
安全狗是 WAF ,防从网站程序那里嘿进来,以及扫描网站程序的后门,但是似乎这玩意没有用? 小红伞是防病毒的吧?有病毒是已经被嘿进来了,并且获得了执行程序的权限。 |
|
4
SoraneKazehana OP @Technetiumer 一般是上传文件或者黑入权限修改文件,小红伞也自带防火墙的(电脑版有 server 版应该也有的吧,大概),杀毒软件能检测的出这些,腾讯云也推荐上了 WAF 最好再安装一个服务器用的杀毒软件
|
 |
5
SP00F 2017-01-01 04:02:45 +08:00
3389 的密码设随机,或用证书登录。
Web 环境相对应设置新建的用户,默认给 Guest 的用户组即可。文件权限一般无必要时只给只读的权限,不给写入。需要写入的权限禁止执行。 如果闲得蛋疼,可以试一下对 Windows 等相应的系统目录设置权限~ 注册表以及组策略做好设置。 防火墙限制出入口网络连接,该给的权限给,不该给的权限一概不给。 一般情况下非 GETSHELL 或者远程执行基本无视 0.0 对大型服务器群等等基本就累死人了,硬件设备以及定期的黑白盒测试是最好的建议。 (目前自己的服务器密码一个都不记得。只记得自己电脑里面的证书和密钥密码……服务器间互相白名单限制出入口 |
 |
6
q397064399 2017-01-01 06:02:50 +08:00
安全没有你想的那么难,也没这么多所谓的操作
绝大部分所谓的黑客,写 expolit poc 的很少,大多都是做黑产的兄弟,其实这群家伙 给你服务器打补丁 杀毒, 比网管还勤快,现在破坏个资料 盗取个什么的,真要涉及到比较大的经济利益,网警分分钟教你做人,大多都是挂个马 拿你服务器做个肉鸡 ddos 业务之类的, 真要碰到 0Day 老老实实加班打补丁,对服务器的口令进行保护,防止暴力破解,公网上尽可能暴露少的端口,服务器躲在 NAT 后面,比什么都安全 |
 |
7
j2001588 2017-01-01 18:59:44 +08:00
最好的办法是用硬件防火墙和 IPS ,总之就是多品牌互补,别用同一家的产品,万一哪家爆了 0DAY 还有另一家可以防护
|
Select Language