查看: 4078|回复: 3
收起左侧

[技术原创] 打造安全高效的WEB服务器

[复制链接]
yjg18com
发表于 2013-6-27 17:08:03 | 显示全部楼层 |阅读模式
本帖最后由 yjg18com 于 2013-6-27 17:16 编辑

简介:
现在WEB的服务器最来最重要,现在很网上都流行马马,如果WEB服务器一马的话,那么终端浏览的用户有多少呢?特别是政府及大型企业!如果服务器被提权了,那么服务器就成了别人的肉鸡了!


我的WEB服务器安装有环境及软件如下:
FileZilla  FTP (21端口); nginx WEB环境(80端口) mysql 数据库(3306端口)  PHP 环境 (我配置是9000端口)

所以怎么打造一台安全高效的WEB服务器呢?



经过我这几天的研究如下规则:


一、端口入出站管理配置
1、规则名称:【禁止入站端口】 1-79
要包含的进程:*
要排除的进程:FileZilla Server Interface.exe   
要阻止的端口:开始端口:1     结束端口:79
方向:入站-禁止网格中的系统访问这些本地端口

2、规则名称:【禁止入站端口】 80
要包含的进程:*
要排除的进程:nginx.exe
要阻止的端口:开始端口:80     结束端口:
方向:入站-禁止网格中的系统访问这些本地端口

3、规则名称:【禁止入站端口】 81-135
要包含的进程:*
要排除的进程:
要阻止的端口:开始端口:81     结束端口:135
方向:入站-禁止网格中的系统访问这些本地端口

4、规则名称:【禁止入站端口】 136-139 (注意,里面的137、138、139端口为共享端口,所以建议此条规则不开报告,否则报告几秒种就一条报告,看到你看的也累)
要包含的进程:*
要排除的进程:
要阻止的端口:开始端口:136     结束端口:139
方向:入站-禁止网格中的系统访问这些本地端口

5、规则名称:【禁止入站端口】 140-1000
要包含的进程:*
要排除的进程:
要阻止的端口:开始端口:140     结束端口:1000
方向:入站-禁止网格中的系统访问这些本地端口

6、规则名称:【禁止入站端口】1001-2000
要包含的进程:*
要排除的进程:
要阻止的端口:开始端口:1001     结束端口:2000
方向:入站-禁止网格中的系统访问这些本地端口

7、规则名称:【禁止入站端口】2001-3000
要包含的进程:*
要排除的进程:
要阻止的端口:开始端口:2001     结束端口:3000
方向:入站-禁止网格中的系统访问这些本地端口

8、规则名称:【禁止入站端口】3001-4000 (排除数据库端口及远程3389端口)
要包含的进程:*
要排除的进程:mysqld.exe, svchost.exe
要阻止的端口:开始端口:3001     结束端口:4000
方向:入站-禁止网格中的系统访问这些本地端口

9、规则名称:【禁止入站端口】4001-5000
要包含的进程:*
要排除的进程:
要阻止的端口:开始端口:4001     结束端口:5000
方向:入站-禁止网格中的系统访问这些本地端口

10、规则名称:【禁止入站端口】5001-6000
要包含的进程:*
要排除的进程:
要阻止的端口:开始端口:5001     结束端口:6000
方向:入站-禁止网格中的系统访问这些本地端口

11、规则名称:【禁止入站端口】6001-7000
要包含的进程:*
要排除的进程:
要阻止的端口:开始端口:6001     结束端口:7000
方向:入站-禁止网格中的系统访问这些本地端口

12、规则名称:【禁止入站端口】7001-8000
要包含的进程:*
要排除的进程:
要阻止的端口:开始端口:7001     结束端口:8000
方向:入站-禁止网格中的系统访问这些本地端口

13、规则名称:【禁止入站端口】8001-65535
要包含的进程:*
要排除的进程:phpfpm.exe
要阻止的端口:开始端口:8001     结束端口:65535
方向:入站-禁止网格中的系统访问这些本地端口

----------------------------------- 【禁止出站端口】 ----------------------------

14、规则名称:【禁止出站端口】 1-52
要包含的进程:*
要排除的进程:FileZilla Server Interface.exe   
要阻止的端口:开始端口:1     结束端口:52
方向:出站-禁止本地进程访问这些网络端口

15、规则名称:【禁止出站端口】 53
要包含的进程:*
要排除的进程:  (这一个要根据自己的实际情况来做规则,如有的WEB服务器需要升级或是自动发邮件功能,53端口是DNS端口)
要阻止的端口:开始端口:53     结束端口:
方向:出站-禁止本地进程访问这些网络端口

16、规则名称:【禁止出站端口】 54-136
要包含的进程:*
要排除的进程:nginx.exe  
要阻止的端口:开始端口:54     结束端口:136
方向:出站-禁止本地进程访问这些网络端口

17、规则名称:【禁止出站端口】 137-139   (注意,里面的137、138、139端口为共享端口,所以建议此条规则不开报告,否则报告几秒种就一条报告,看到你看的也累)
要包含的进程:*
要排除的进程:
要阻止的端口:开始端口:137     结束端口:139
方向:出站-禁止本地进程访问这些网络端口

18、规则名称:【禁止出站端口】 140-65535
要包含的进程:*
要排除的进程:nginx.exe, php-cgi.exe
要阻止的端口:开始端口:140     结束端口:65535
方向:出站-禁止本地进程访问这些网络端口

---------------------------------------------------------------

当然如果有时间的话,入出站的规则做越细就最好,这样就可以分清楚那些要走什么端口,这样好处理一点

-----------------------------------------------------------------

二、WEB文件保护规则
简介:
如果你的WEB文件有BUG,别写入后门那么会怎么办?所以我们要做到不要记人家把自己程序写入后门了!
如我的公司的网站程序有:data(放缓冲文件,这样打开网站会快很多)   include(网站核心文件都放在这里) templets (不用我多说了吧,这一个是放模板的)   uploads(这里是后台上传的所有的图片及文档)

因公司的网站是动态生成静态的,所有会生成很多缓冲文件及生成后的文件现在做的规则如下:(注意,我没有架设IIS,所以就不用管ASP或是ASP.NET)


1、规则名称:不让php写入 uploads
要包含的进程:*
要排除的进程:
要阻止的文件或文件夹名:**\web\uploads\**\*.php
要禁止的文件操作:对文件进行读访问、对文件进行写访问、正在执行的文件、正在创建的新文件、正在删除的文件

2、规则名称:不让js写入 uploads
要包含的进程:*
要排除的进程:
要阻止的文件或文件夹名:**\web\uploads\**\*.js
要禁止的文件操作:对文件进行读访问、对文件进行写访问、正在执行的文件、正在创建的新文件、正在删除的文件

3、规则名称:不让html写入 uploads
要包含的进程:*
要排除的进程:
要阻止的文件或文件夹名:**\web\uploads\**\*.html,**\web\uploads\**\*.html
要禁止的文件操作:对文件进行写访问、正在执行的文件、正在创建的新文件、正在删除的文件

4、规则名称:不让写入 templets
要包含的进程:*
要排除的进程:
要阻止的文件或文件夹名:**\web\templets\**
要禁止的文件操作:对文件进行写访问、正在执行的文件、正在创建的新文件、正在删除的文件

5、规则名称:不让写入 include
要包含的进程:*
要排除的进程:
要阻止的文件或文件夹名:**\web\include\**
要禁止的文件操作:对文件进行写访问、正在执行的文件、正在创建的新文件、正在删除的文件

6、规则名称:web文件夹不让可执行文件
要包含的进程:*
要排除的进程:
要阻止的文件或文件夹名:**\web\**\*.exe,**\web\**\*.dll,**\web\**\*.bat
要禁止的文件操作:对文件进行读访问、对文件进行写访问、正在执行的文件、正在创建的新文件、正在删除的文件



三、防PHP后门提权保护规则

1、规则名称:防PHP后门提权
要包含的进程:nginx.exe, php-cgi.exe
要排除的进程:
要阻止的文件或文件夹名:C:\**\*.exe,C:\**\*.dll,C:\**\*.bat
要禁止的文件操作:对文件进行写访问、正在执行的文件、正在创建的新文件、正在删除的文件



评分

参与人数 2经验 +20 人气 +2 收起 理由
心跳回忆 + 20 感谢提供分享
shiyuelaohu + 2 版区有你更精彩: )

查看全部评分

shiyuelaohu
发表于 2013-6-27 17:21:40 | 显示全部楼层
2、PHP会自己生成缓冲文件也是PHP的
,前面的帖子中你提到了这一点,
1、规则名称:不让php写入 uploads
要包含的进程:*
要排除的进程:
要阻止的文件或文件夹名:**\web\uploads\**\*.php
要禁止的文件操作:对文件进行读访问、对文件进行写访问、正在执行的文件、正在创建的新文件、正在删除的文件

这条规则需要排除吗?
yjg18com
 楼主| 发表于 2013-6-27 17:46:36 | 显示全部楼层
shiyuelaohu 发表于 2013-6-27 17:21
,前面的帖子中你提到了这一点,

这条规则需要排除吗?

我说的缓冲文件都是放到data这一个文件夹的,uploads只是上传图片及文档或是PDF用的,也就是说是后台上传的东西都是放到uploads里面
Savoor
发表于 2013-6-27 19:50:15 | 显示全部楼层
这个用防火墙更方便吧
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-25 21:22 , Processed in 0.140227 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表