VPS安全使用.docx

VPS安全使用.docx

《VPS安全使用.docx》由会员分享，可在线阅读，更多相关《VPS安全使用.docx（18页珍藏版）》请在冰豆网上搜索。

VPS安全使用

一．IPSEC使用

Internet协议安全（IPSec）筛选规则可用于帮助保护基于Windows2000、WindowsXP和WindowsServer2003的计算机免遭病毒及蠕虫病毒等威胁带来的基于网络的攻击。

一般会有以下需求：

（1）使用特定IP地址管理服务器

（2）拒绝其他IP的登录

（3）开启特定端口

（4）关闭其他端口

使用方法：

开始-运行中输入secpol.msc打开本地安全策略

1．定义安全访问连接。

（创建安全策略）

（添加策略名称）

（保留规则）

（完成策略）

（配置策略选项）

（不使用隧道连接）

（选择所有网络）

（添加规则）

（添加一条或多条不受限制的IP）

（选择“一个特定的IP地址”）

（填写你需要管理的IP地址，如公司地址）

（添加目标IP为本台计算机）

（选择协议类型为“任意”）

（完成该筛选器配置）

（配置成功的筛选器）

（选择该筛选器，点击下一步）

（选择许可）

（完成该规则的所有配置）

（将该策略指派，及使其生效）

2．创建拒绝访问策略

方法类似，添加所有IP至该服务器的访问，将其设为拒绝。

（此策略运行后，服务器上的所有网站其他IP均无法打开，因此需要开放特定端口给所有用户）

3．开放特定端口

其他方法均一样，只是在选择协议时选择TCP即可。

（选择TCP协议）

（开放80端口）

配置完成后，将其设为允许。

所有配置完毕。

（注意，该操作有一定危险性，请找相关专业人员操作。

否则可能会导致VPS彻底无法管理。

）

二．将某服务设为自动/手动运行

如将某服务设为自动运行，则服务器在重启时会自动运行，避免每次都需手动开启。

（我司www服务默认为手动运行，因此在每次重启后均需重新开启）。

1.开始运行中输入services.msc打开服务管理

（选择IIS网站服务，将其设为手动运行）

（将其设为手动，应用即可）

三：

web服务器安全

可以为每个网站创建单独用户访问，达到多网站多用户之间的隔离，能够大大提高服务器的安全，避免某网站挂马导致全部被入侵。

举例：

1.创建三个测试网站web1、web2、web3，分别存放于对应文件夹。

并创建三个用户。

2.为每个网站指定访问用户。

为对应网站文件夹设置安全属性，否则是无法访问的。

（权限不正确则无法访问）

四Serv-u注意事项

1.创建运行服务的单独账号

创建用户，如IUSER_PRIMA，不要隶属于任何组，给其最低权限。

选择serv-u服务，打开属性，在登录身份中填写此账户，并填写密码。

2.防范大容量文件攻击

为了防范大容量文件攻击，提醒大家需要限制最大速度。

切换到“常规”标签，我们可以看到默认状态下“最大上传速度”和“最大下载速度”都是空白一片，则表示没有限制，这样一些黑客就会这个漏洞传送大容量的文件，从而导致FTP处理不过来使程序停止响应或自动关闭。

因此，用户可以根据需要填写一个限制的速度，单位是KB/秒，一般填写1000KB/秒左右为宜。

另外“空闲超时”和“会话超时”也建议设置一个数值，通常的10分钟左右即可。

3.目录访问权限

一般来说，我们不需要将多余的权限授予用户。

因此，需要根据其账户类型，在“目录访问”标签中选择相应的操作类型即可。

但是有一点需要注意的是，不管是什么用户，建议都不要授予其“运行”权限，因为在取得webshell后就可以很容易的运行攻击程序来破坏Serv-U的正常工作。

4.限制访问来源

通常情况下，用户登录FTP时的IP地址都相对固定，即使是使用ADSL这类拨号上网动态IP地址用户，其用于自动分配的IP地址都是有一个相对固定的范围的。

对此，我们可以切换到“IP访问”标签，将“编辑规则”设为“允许访问”，然后在“规则”中输入允许访问的IP地址或IP地址段，输入之后单击“添加”按钮，可以添加多条规则。

4．认真查阅日志

用户访问FTP服务器，Serv-U都会忠诚的做下详实的记录，这些记录中包括用户访问的IP地址、连接时间、断开时间、上传下载的文件等。

在管理窗口左侧选择要查看的域，然后再选择“活动”项，在右侧选择“域日志”，这样在这里即可显示详细的日志信息了。

通过这些日志信息可以判断是否有恶意攻击。

5.如不需使用serv-u时，建议停止服务。