WEB+FTP+EMAIL的服务器的安全配置.docx
- 文档编号:23180508
- 上传时间:2023-05-15
- 格式:DOCX
- 页数:19
- 大小:831.10KB
WEB+FTP+EMAIL的服务器的安全配置.docx
《WEB+FTP+EMAIL的服务器的安全配置.docx》由会员分享,可在线阅读,更多相关《WEB+FTP+EMAIL的服务器的安全配置.docx(19页珍藏版)》请在冰豆网上搜索。
WEB+FTP+EMAIL的服务器的安全配置
WEB+FTP+EMAIL的服务器的安全配置
一、实验目的
a.掌握WEB服务器的安全配置
b.掌握FTP服务器的安全配置
c.掌握EMAIL服务器的安全配置
二、实验步骤
a、IIS和WEB站点文件夹权限配置
各种相关安全问题,实现各个虚拟主机目录有独立权限的访问机制,我们要给每个目录分配一个匿名访问的用户帐号。
依次右击桌面我的电脑----->管理------>本地用户与组,然后新建一个用户IISUSER_01,选中用户不能更改密码和密码永不过期,去掉其余两项复选。
如图
(1):
新建用户
新增用户后因为默认新增用户自动加入Users组内,要分别去除掉它们User组的
图
(2):
组权限设置
设置完成后,为了方便统一划分WEB站点匿名访问用户的权限,再新建一个用户组,例如为IISUSER_GROUP,把IISUSER_01用户添加到IISUSER_GROUP组内。
如图(3):
用户和组设置好后,我们再次打开d盘的wwwroot,右击website1文件夹在属性配置的安全选项里,添加IISUSER_01用户权限(如果是单纯的HTML站点可以只给读取权限即可,如果是ASP+ACESS数据库或需要进行FSO操作的站点,同时还需要加上"写入"权限或一般我们将“完__________全控制”权给IISUSER_01用户:
图(3):
文件夹属性
如果想进行更严密的安全配置,可以设置IISUSER_01用户在website1目录的权限为读取,在需要更新或写入操作的图片上传目录或数据库目录上才赋予写入权限,这样更为安全。
虽然跨站后没有权限修改,但比如用海洋顶端的文件夹打包功能,仍能进行跨站浏览系统磁盘及打包操作并下载!
解决的方法是,右击C和D盘符选择属性中的安全选项,添加刚才我们建立的用户组(包含有IISUSER_01或新增的其它WEB网站目录用户),禁止该组的所有操作权限。
(注意子目录继承权限的设置,WebSite1目录不要继承父目录的该权限。
)如图(4):
盘符属性
:
这样一来,每个站点的浏览者(匿名访问用户)也只能对该站目录内文件进行一定的权限操作,即使ASP木马上传到其中一个网站目录,不会对别的站点造成任何影响,更不会对服务器的安全有任何危险。
文件夹安全配置完后,我们下一步将进行IIS的配置。
首先打开IIS管理器—》主目录,为了方便统一管理,将默认站点重命名为WebSite1并将主目录指向D:
\wwwroot\WebSite1目录。
如图(5)
:
然后点击本窗口的配置按钮进入应用程序配置,在应用程序扩展栏中删除必须之外的任何无用映
射,如图(5):
:
应用程序配置,一般的WEB服务器应用有了其中两个映射就够了,其它的映射在以往的自由微软漏洞中都发生过太多的安全漏洞事件,在脚本错误的错误消息选项中,选中[向客户端发送下列文本错误消息]项。
如图(6):
应用程序配置-调试
否则ASP脚本出错时,出错信息很可能会向客户端显示你的数据库路径(即黑客常说的暴库),程序代码,结构,参数等重要信息。
为了避免cgi漏洞扫描器扫描到IIS漏洞的安全隐患,在IIS管理面板中将HTTP404ObjectNotFound出错页面通过URL重定向到一个定制HTM文件,我们可以更改C:
/WINDOWS/Help/iisHelp/common/404b.htm内容改为:
404错误页重定向
最后,我们还要把之前在为该站点建立的匿名用户帐号绑定到此站点的目录安全性中的访问权限来。
打开站点的属性页中的"目录安全性"选项卡,点身份验证和访问控制的"编辑",如图(7)IIS目录安全性
勾选启用匿名访问,并点击该栏的浏览按钮,选择我们之前为此站点(WebSite1)分配的匿名用户帐号IISUSER_01,如图(8)IIS匿名访问
输入该用户的口令,提示再次输入确认密码。
经过设置匿名访问帐号后,"WebSite1"网站的用户,使用ASP的FileSystemObject组件或其它木马程序入侵攻击服务器时,也只能访问“WebSite1”的网站目录:
d:
\wwwroot\WebSite1下的内容,当试图访问其他内容时,会出现诸如"没有权限"、"硬盘未准备好"、"500服务器内部错误"等出错提示了,如果WEB服务器需要放置多个WEB站点,在这里以建立两个网站分别为和为例。
首先将www.和两个域名的DNS解析到服务器的IP地址。
点击IP地址的高级按钮,修改IP地址的主机头为www.。
这样,第一个站点就设置成功了,接着我们可以继续添加第二个站点了,最后,备份IIS的配置,如图(27):
200K的大小是不能满足我们站点的需求的,解决的方法如下:
但要实现功能强大的应用于internet的服务器,单单仅WEB功能还是不够的,为了日常的文件上传下载及维护管
理,我们还要架设功能强大的FTP服务器!
(b)、FTP服务器安全权限配置
FTP服务器端软件采用SERV-U6.0.2软件,安装并进行汉化
SERV-U默认是安装在C:
\ProgramFiles\Serv-U目录下的,我们最好做一下变动。
安装并汉化完成后,启动主界面。
图(11):
SERV-U主界面
点击“设置/更改密码”,因为是第一次使用,所以是没有密码的,也就是说原来的密码为空。
如图(22):
设置更改管理员密码
不用在旧密码里输入字符,直接在下面的新密码和重复新密码里输入同样的密码再点OK就可以了。
这里建议设置一个足够复杂的密码,以防止别人暴力破解。
自己记不得也没有关系,只要把ServUDaemon.ini里的LocalSetupPassword=这一行清除并保存,再次运行ServUAdmin.exe就不会提示你输入密码登录了。
serv-u默认管理账号是LocalAdministrator,默认密码是"#l@$ak#.lk;0@P",这个密码在同一个版本中是固定的,也许在不同的版本中也是固定的。
LocalAdministrator,把默认的管理员帐号改成其它同长度的字符串就可以了。
#l@$ak#.lk;0@P的意思是指空密码,这个可以不用改动,ServUAdmin.exe也一样处理即可。
做完上面这一步,同时还要注意设置Serv-U安装目录的权限限时还图(33):
新增FTP访问帐号
建好账号以后,双击建好的用户编辑用户属性,从“隶属于”里删除USERS组。
图(44):
FTP组权限设置
这里我们已经建好了账号。
现在就要用到刚才建立的这个账号。
打开管理工具中的服务。
在“Serv-UFTPServer服务”上右击选择属性继续。
图(55):
服务启动权限
然后点击“登录”进入登录账号选择界面。
选择刚才建立的系统账号名,并在下面重复输入2次该账号的密码,然后点“应用”,再次点确定,完成服务的设置。
图(55):
服务启动帐号
接下来要先使用FTP管理工具建立一个域,再建立一个账号,建好后选择保存在注册表。
图(66):
FTP帐号设置
接着,打开注册表来设置相应的权限,否则SERV-U是没办法启动的。
在开始->运行里
输入regedt32点“确定”继续。
找到[HKEY_LOCAL_MACHINE\SOFTWARE\CatSoft]分
支。
在上面点右键,选择权限,然后点高级,取消[允许父项的继承权限传播到该对象和所有子对
象,包括那些在此明确定义的项目]选项,点击“应用”继续,接着删除所有的账号。
接着点击添
加按钮增加系统管理员Administrator帐号和我们建立的ServFTP账号到该子键的权限列表里,
并给予完全控制权限。
图(77):
注册表权限
到这里注册表已经设置完了。
接着再进行安装目录的权限设置。
现在就来设置一下,只保留你的系统管理员账号和ServFTP账号,并给予ServFTP帐号除
了完全控制外的所有权限。
图(88):
安装目录权限
FTP服务器设置全部结束.
(c)、Email服务器安全权限配置
(一)安装MDaemon
下载后,关闭机器上其它应用程序,运行installation直到注册信息界面。
注册信息,如图(A):
注册信息
在这里,键入用户名称、公司名字和系列号,如果没有系列号可以不填,安装程序会自动生成一个30天有效的验证码,然后点击“Next”。
(二)准备安装!
这里没有选项,只要点击“Next”,MDaemon文件将copy到你的硬盘上,将占用几分钟
时间。
输入你的域名,如图(B):
输入域名
在这里要填写你的主域名,当然,安装完成后你还可以继续添加多个域名。
在这里,我输入(不要输入www前缀),然后点击“Next”。
接着建立第一个帐户,图(C):
建立帐户
这一步建议你输入一个负责管理MDaemon服务器的帐户名,这个账户将成为
“postmaster”具有所有管理权限。
注意,密码是强密码方式,必须包括大小写字母和数字、长度至少为6位。
进入到DNS配置,图(D):
DNS配置
选择“UseWindowsDNSsettings”,但是如果你有自己的ISP的DNS,在这里输入它的IP地址。
假如只有一个主DNS设置,它也可以正常使用,如果有备份DNS,最好也要填写。
接着是操作界面模式选择,如图(E):
操作界面模式
建议在服务器运行前选择“RunMDaemonin‘Easy’mode”,运行MDaemon之后,改变模式是很简单的,当然,如果你想全面的体验MDzemon强大的管理功能,也可以选择Adv高级模式,这里点击“Next”。
建立系统服务,让邮件服务在系统启动时自动运行,图(47):
系统服务方式运行激活这个选项。
作为服务器,MDaemon即使没有用户登录在也要在后台运行。
这非常重要,因为你的MDaemon始终保持运行,你的用户才能在他们需要的时候接收到邮件,点击“Next”安装完成!
如图(F):
安装完成点击“Finish”完成安装,
然后启动MDaemon,假如需要重启,你将被提示。
(三)安装MDaemon服务器后的配置
完成了MDaemon的安装,你的MDaemon服务器会自动启动,然后最小化,在时钟边上出现一个白色信封标志。
(四)打开并设置MDaemon邮件系统
1、用户建立新的账号
2、配置拨号ISP(使用路由则不需要)
3、配置邮件系统的DomainPOP
4、配置用户的客户端PC使用MDaemon收发邮件
先建立新帐户,图(G):
新增邮件帐户
对于每一个email用户,都需要在MDaemon上建立账户。
选择“Account”菜单下“AccountManager”,可以看到两个账户列表。
一个是MDaemon系统账户,你可以忽略。
另一个是你在安装时建立的账户。
添加新的账户,点击“New”按钮后将看到下面的界面:
输入用户的“Fullname”、“Mailboxname”和他们的“Accountpassword”。
默认情况下密码需要强密码,包括大小写字母和数字,至少6位。
你将注意到当你键入你的名字时,MDaemon将会自动使用你的名字建立,你也可以在你建立账户的时候直接输入你的邮箱名。
(四)安装配置MDaemon完成
你现在拥有一个配置完整的MDaemon邮件服务器。
下一步需要在你的用户主机上配置和测试一个邮件用户。
(五)MDaemon其它技巧
1、多域名邮箱设置确保已建立好了第一个邮件服务器然后照以下步骤设置。
1)进入MD管理器(即MD的MessageRouter)
2)选SETUP菜单中的SecondaryDomain
3)在相应文字框中输入域名和IP地址(同主IP一样)
4)在左边框架中即可看到新建立好的邮件服务器,再添加帐号
2、让WorldClient运行在IIS6上
许匿名访问网站,这样,我们的EMAIL系统相对来说,就安全多了。
最后,我们打开MDaemon的高级管理界面,Setup菜单中WorldClient..项,勾选中WorldClientisrunningunderIIS即可,重启一下MDaemon和IIS系统。
这时,我们可以直接在IE地址栏输入
就可以访问到MDaemon邮局的首页了,到这里,我们的EMAIL服务系统就配置完成
三、实验遇到的问题
在做这个的实验,没有遇到什么问题,感觉这次的实验不怎么难,课前预习了。
四、实验小结
通过这次的实验,我掌握WEB+FTP+EMAIL服务器的安全配置,进一步的去掌握了,在课前认真的复习,是很有帮助的,这样的话,就不会对这个实验感到无从下手了,所以说,课前预习很重要的,正是因为课前的预习,让我在做实验的时候更加的有信心了。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- WEB FTP EMAIL 服务器 安全 配置