FTP服务器-架设-配置-漏洞-管理-安全精通篇


该页做索引

WEB专用服务器的安全设置的实战技巧



IIS的相关设置：
    删除默认建立的站点的虚拟目录，停止默认web站点，删除对应的文件目录c：inetpub，配置所有站点的公共设置，设置好相关的连接数限制，带宽设置以及性能设置等其他设置。配置应用程序映射，删除所有不必要的应用程序扩展，只保留asp，php，cgi，pl，aspx应用程序扩展。对于php和cgi，推荐使用isapi方式解析，用exe解析对安全和性能有所影响。用户程序调试设置发送文本错误信息给户。对于数据库，尽量采用mdb后缀，不需要更改为asp，可在IIS中设置一个mdb的扩展映射，将这个映射使用一个无关的dll文件如C：WINNTsystem32inetsrvssinc.dll来防止数据库被下载。设置IIS的日志保存目录，调整日志记录信息。设置为发送文本错误信息。修改403错误页面，将其转向到其他页，可防止一些扫描器的探测。另外为隐藏系统信息，防止telnet到80端口所泄露的系统版本信息可修改IIS的banner信息，可以使用winhex手工修改或者使用相关软件如banneredit修改。
    对于用户站点所在的目录，在此说明一下，用户的FTP根目录下对应三个文件佳，wwwroot，database，logfiles，分别存放站点文件，数据库备份和该站点的日志。如果一旦发生入侵事件可对该用户站点所在目录设置具体的权限，图片所在的目录只给予列目录的权限，程序所在目录如果不需要生成文件（如生成html的程序）不给予写入权限。因为是虚拟主机平常对脚本安全没办法做到细致入微的地步，更多的只能在方法用户从脚本提升权限：
    ASP的安全设置：
    设置过权限和服务之后，防范asp木马还需要做以下工作，在cmd窗口运行以下命令：
    regsvr32/u C：\WINNT\System32\wshom.ocx
    del C：\WINNT\System32\wshom.ocx
    regsvr32/u C：\WINNT\system32\shell32.dll
    del C：\WINNT\system32\shell32.dll
    即可将WScript.Shell， Shell.application， WScript.Network组件卸载，可有效防止asp木马通过wscript或shell.application执行命令以及使用木马查看一些系统敏感信息。另法：可取消以上文件的users用户的权限，重新启动IIS即可生效。但不推荐该方法。
    另外，对于FSO由于用户程序需要使用，服务器上可以不注销掉该组件，这里只提一下FSO的防范，但并不需要在自动开通空间的虚拟商服务器上使用，只适合于手工开通的站点。可以针对需要FSO和不需要FSO的站点设置两个组，对于需要FSO的用户组给予c：winntsystem32scrrun.dll文件的执行权限，不需要的不给权限。重新启动服务器即可生效。
    对于这样的设置结合上面的权限设置，你会发现海阳木马已经在这里失去了作用！
    PHP的安全设置：
    默认安装的php需要有以下几个注意的问题：
    C：\winnt\php.ini只给予users读权限即可。在php.ini里需要做如下设置：
    Safe_mode=on
    register_globals = Off
    allow_url_fopen = Off
    display_errors = Off
    magic_quotes_gpc = On [默认是on，但需检查一遍]
    open_basedir =web目录
    disable_functions =passthru，exec，shell_exec，system，phpinfo，get_cfg_var，popen，chmod
    默认设置com.allow_dcom = true修改为false[修改前要取消掉前面的；]
    MySQL安全设置：
    如果服务器上启用MySQL数据库，MySQL数据库需要注意的安全设置为：
    删除mysql中的所有默认用户，只保留本地root帐户，为root用户加上一个复杂的密码。赋予普通用户updatedeletealertcreatedrop权限的时候，并限定到特定的数据库，尤其要避免普通客户拥有对mysql数据库操作的权限。检查mysql.user表，取消不必要用户的shutdown_priv，relo
    ad_priv，process_priv和File_priv权限，这些权限可能泄漏更多的服务器信息包括非mysql的其它信息出去。可以为mysql设置一个启动用户，该用户只对mysql目录有权限。设置安装目录的data数据库的权限（此目录存放了mysql数据库的数据信息）。对于mysql安装目录给users加上读取、列目录和执行权限。
    Serv-u安全问题：
    安装程序尽量采用最新版本，避免采用默认安装目录，设置好serv-u目录所在的权限，设置一个复杂的管理员密码。修改serv-u的banner信息，设置被动模式端口范围（4001—4003）在本地服务器中设置中做好相关安全设置：包括检查匿名密码，禁用反超时调度，拦截“FTP bounce”攻击和FXP，对于在30秒内连接超过3次的用户拦截10分钟。域中的设置为：要求复杂密码，目录只使用小写字母，高级中设置取消允许使用MDTM命令更改文件的日期。
    更改serv-u的启动用户：在系统中新建一个用户，设置一个复杂点的密码，不属于任何组。将servu的安装目录给予该用户完全控制权限。建立一个FTP根目录，需要给予这个用户该目录完全控制权限，因为所有的ftp用户上传，删除，更改文件都是继承了该用户的权限，否则无法操作文件。另外需要给该目录以上的上级目录给该用户的读取权限，否则会在连接的时候出现530 Not logged in， home directory does not exist.比如在测试的时候ftp根目录为d：soft，必须给d盘该用户的读取权限，为了安全取消d盘其他文件夹的继承权限。而一般的使用默认的system启动就没有这些问题，因为system一般都拥有这些权限的。

数据库服务器的安全设置

    对于专用的MSSQL数据库服务器，按照上文所讲的设置TCP/IP筛选和IP策略，对外只开放1433和5631端口。对于MSSQL首先需要为sa设置一个强壮的密码，使用混合身份验证，加强数据库日志的记录，审核数据库登陆事件的“成功和失败”。删除一些不需要的和危险的OLE自动存储过程（会造成企业管理器中部分功能不能使用），这些过程包括如下：

    Sp_OACreate Sp_OADestroy Sp_OAGetErrorInfo Sp_OAGetProperty

    Sp_OAMethod Sp_OASetProperty Sp_OAStop

    去掉不需要的注册表访问过程，包括有：

    Xp_regaddmultistring Xp_regdeletekey Xp_regdeletevalue

    Xp_regenumvalues Xp_regread Xp_regremovemultistring

    Xp_regwrite

    去掉其他系统存储过程，如果认为还有威胁，当然要小心Drop这些过程，可以在测试机器上测试，保证正常的系统能完成工作，这些过程包括：

    xp_cmdshell xp_dirtree xp_dropwebtask sp_addsrvrolemember

    xp_makewebtask xp_runwebtask xp_subdirs sp_addlogin

    sp_addextendedproc

    在实例属性中选择TCP/IP协议的属性。选择隐藏 SQL Server 实例可防止对1434端口的探测，可修改默认使用的1433端口。除去数据库的guest账户把未经认可的使用者据之在外。 例外情况是master和 tempdb 数据库，因为对他们guest帐户是必需的。另外注意设置好各个数据库用户的权限，对于这些用户只给予所在数据库的一些权限。在程序中不要用sa用户去连接任何数据库。网络上有建议大家使用协议加密的，千万不要这么做，否则你只能重装MSSQL了。

    入侵检测和数据备份

    入侵检测工作

    作为服务器的日常管理，入侵检测是一项非常重要的工作，在平常的检测过程中，主要包含日常的服务器安全例行检查和遭到入侵时的入侵检查，也就是分为在入侵进行时的安全检查和在入侵前后的安全检查。系统的安全性遵循木桶原理，木桶原理指的是：一个木桶由许多块木板组成，如果组成木桶的这些木板长短不一，那么这个木桶的最大容量不取决于长的木板，而取决于最短的那块木板。应用到安全方面也就是说系统的安全性取决于系统中最脆弱的地方，这些地方是日常的安全检测的重点所在。

    日常的安全检测

    日常安全检测主要针对系统的安全性，工作主要按照以下步骤进行：

    1.查看服务器状态：

    打开进程管理器，查看服务器性能，观察CPU和内存使用状况。查看是否有CPU和内存占用过高等异常情况。

    2.检查当前进程情况

    切换“任务管理器”到进程，查找有无可疑的应用程序或后台进程在运行。用进程管理器查看进程时里面会有一项taskmgr，这个是进程管理器自身的进程。如果正在运行windows更新会有一项wuauclt.exe进程。对于拿不准的进程或者说不知道是服务器上哪个应用程序开启的进程，可以在网络上搜索一下该进程名加以确定[进程知识库：http://www.dofile.com/通常的后门如果有进程的话，一般会取一个与系统进程类似的名称，如svch0st.exe，此时要仔细辨别[通常迷惑手段是变字母o为数字0，变字母l为数字1]

    3.检查系统帐号

    打开计算机管理，展开本地用户和组选项，查看组选项，查看administrators组是否添加有新帐号，检查是否有克隆帐号。

    4.查看当前端口开放情况

    使用activeport，查看当前的端口连接情况，尤其是注意与外部连接着的端口情况，看是否有未经允许的端口与外界在通信。如有，立即关闭该端口并记录下该端口对应的程序并记录，将该程序转移到其他目录下存放以便后来分析。打开计算机管理==》软件环境==》正在运行任务[在此处可以查看进程管理器中看不到的隐藏进程]，查看当前运行的程序，如果有不明程序，记录下该程序的位置，打开任务管理器结束该进程，对于采用了守护进程的后门等程序可尝试结束进程树，如仍然无法结束，在注册表中搜索该程序名，删除掉相关键值，切换到安全模式下删除掉相关的程序文件。

    5.检查系统服务

    运行services.msc，检查处于已启动状态的服务，查看是否有新加的未知服务并确定服务的用途。对于不清楚的服务打开该服务的属性，查看该服务所对应的可执行文件是什么，如果确定该文件是系统内的正常使用的文件，可粗略放过。查看是否有其他正常开放服务依存在该服务上，如果有，可以粗略的放过。如果无法确定该执行文件是否是系统内正常文件并且没有其他正常开放服务依存在该服务上，可暂时停止掉该服务，然后测试下各种应用是否正常。对于一些后门由于采用了hook系统API技术，添加的服务项目在服务管理器中是无法看到的，这时需要打开注册表中的HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices项进行查找，通过查看各服务的名称、对应的执行文件来确定是否是后门、木马程序等。

    6.查看相关日志

    运行eventvwr.msc，粗略检查系统中的相关日志记录。在查看时在对应的日志记录上点右键选“属性”，在“筛选器”中设置一个日志筛选器，只选择错误、警告，查看日志的来源和具体描述信息。对于出现的错误如能在服务器常见故障排除中找到解决办法则依照该办法处理该问题，如果无解决办法则记录下该问题，详细记录下事件来源、ID号和具体描述信息，以便找到问题解决的办法。

    7.检查系统文件

    主要检查系统盘的exe和dll文件，建议系统安装完毕之后用dir *.exe /s >1.txt将C盘所有的exe文件列表保存下来，然后每次检查的时候再用该命令生成一份当时的列表，用fc比较两个文件，同样如此针对dll文件做相关检查。需要注意的是打补丁或者安装软件后重新生成一次原始列表。检查相关系统文件是否被替换或系统中是否被安装了木马后门等恶意程序。必要时可运行一次杀毒程序对系统盘进行一次扫描处理。






8.检查安全策略是否更改


    打开本地连接的属性，查看“常规”中是否只勾选了“TCP/IP协议”，打开“TCP/IP”协议设置，点“高级”==》“选项”，查看“IP安全机制”是否是设定的IP策略，查看“TCP/IP”筛选允许的端口有没有被更改。打开“管理工具”=》“本地安全策略”，查看目前使用的IP安全策略是否发生更改。

    9.检查目录权限

    重点查看系统目录和重要的应用程序权限是否被更改。需要查看的目录有c：；c：winnt；

    C：winntsystem32；c：winntsystem32inetsrv；c：winntsystem32inetsrvdata；c：documents and

    Settings；然后再检查serv-u安装目录，查看这些目录的权限是否做过变动。检查system32下的一些重要文件是否更改过权限，包括：cmd，net，ftp，tftp，cacls等文件。

    10.检查启动项

    主要检查当前的开机自启动程序。可以使用AReporter来检查开机自启动的程序。

    发现入侵时的应对措施

    对于即时发现的入侵事件，以下情况针对系统已遭受到破坏情况下的处理，系统未遭受到破坏或暂时无法察觉到破坏先按照上述的检查步骤检查一遍后再酌情考虑以下措施。系统遭受到破坏后应立即采取以下措施：

    视情况严重决定处理的方式，是通过远程处理还是通过实地处理。如情况严重建议采用实地处理。如采用实地处理，在发现入侵的第一时间通知机房关闭服务器，待处理人员赶到机房时断开网线，再进入系统进行检查。如采用远程处理，如情况严重第一时间停止所有应用服务，更改IP策略为只允许远程管理端口进行连接然后重新启动服务器，重新启动之后再远程连接上去进行处理，重启前先用AReporter检查开机自启动的程序。然后再进行安全检查。

    以下处理措施针对用户站点被入侵但未危及系统的情况，如果用户要求加强自己站点的安全性，可按如下方式加固用户站点的安全：

    站点根目录——只给administrator读取权限，权限继承下去。

    wwwroot ——给web用户读取、写入权限。高级里面有删除子文件夹和文件权限

    logfiles——给system写入权限。

    database——给web用户读取、写入权限。高级里面没有删除子文件夹和文件权限

    如需要进一步修改，可针对用户站点的特性对于普通文件存放目录如html、js、图片文件夹只给读取权限，对asp等脚本文件给予上表中的权限。另外查看该用户站点对应的安全日志，找出漏洞原因，协助用户修补程序漏洞。

    数据备份和数据恢复

    数据备份工作大致如下：

    1. 每月备份一次系统数据。

    2. 备份系统后的两周单独备份一次应用程序数据，主要包括IIS、serv-u、数据库等数据。

    3. 确保备份数据的安全，并分类放置这些数据备份。因基本上采用的都是全备份方法，对于数据的保留周期可以只保留该次备份和上次备份数据两份即可。

    数据恢复工作：

    1.系统崩溃或遇到其他不可恢复系统正常状态情况时，先对上次系统备份后发生的一些更改事件如应用程序、安全策略等的设置做好备份，恢复完系统后再恢复这些更改。

    2.应用程序等出错采用最近一次的备份数据恢复相关内容。

    服务器性能优化

    1 服务器性能优化

    系统性能优化

    整理系统空间：

    删除系统备份文件，删除驱动备份，刪除不用的輸入法，刪除系统的帮助文件，卸载不常用的组件。最小化C盘文件。

    性能优化：

    删除多余的开机自动运行程序；减少预读取，减少进度条等待时间；让系统自动关闭停止响应的程序；禁用错误报告，但在发生严重错误时通知；关闭自动更新，改为手动更新计算机；启用硬件和DirectX加速；禁用关机事件跟踪；禁用配置服务器向导； 减少开机磁盘扫描等待时间；将处理器计划和内存使用都调到应用程序上；调整虚拟内存；内存优化；修改cpu的二级缓存；修改磁盘缓存。

IIS性能优化

    1、调整IIS高速缓存

    HKEY_LOCAL_MACHINE\ System\CurrentControlSet\Services\InetInfoParametersMemoryCacheSize

    MemoryCacheSize的范围是从0道4GB，缺省值为3072000（3MB）。一般来说此值最小应设为服务器内存的10%.IIS通过高速缓存系统句柄、目录列表以及其他常用数据的值来提高系统的性能。这个参数指明了分配给高速缓存的内存大小。如果该值为0，那就意味着“不进行任何高速缓存”。在这种情况下系统的性能可能会降低。如果你的服务器网络通讯繁忙，并且有足够的内存空间，可以考虑增大该值。必须注意的是修改注册表后，需要重新启动才能使新值生效。

    2.不要关闭系统服务： “Protected Storage”

    3.对访问流量进行限制

    A.对站点访问人数进行限制

    B.站点带宽限制。保持HTTP连接。

    C.进程限制， 输入CPU的耗用百分比

    4.提高IIS的处理效率

    应用程序设置“处的”应用程序保护“下拉按钮，从弹出的下拉列表中，选中”低（IIS进程）“选项，IIS服务器处理程序的效率可以提高20%左右。但此设置会带来严重的安全问题，不值得推荐。

    5.将IIS服务器设置为独立的服务器

    A.提高硬件配置来优化IIS性能硬盘：硬盘空间被NT和IIS服务以如下两种方式使用：一种是简单地存储数据；另一种是作为虚拟内存使用。如果使用Ultra2的SCSI硬盘，可以显著提高IIS的性能。

    B.可以把NT服务器的页交换文件分布到多个物理磁盘上，注意是多个“物理磁盘”，分布在多个分区上是无效的。另外，不要将页交换文件放在与WIndows NT引导区相同的分区中。

    C.使用磁盘镜像或磁盘带区集可以提高磁盘的读取性能。

    D.最好把所有的数据都储存在一个单独的分区里。然后定期运行磁盘碎片整理程序以保证在存储Web服务器数据的分区中没有碎片。使用NTFS有助于减少碎片。推荐使用Norton的Speeddisk，可以很快的整理NTFS分区。

    6.起用HTTP压缩

    HTTP压缩是在Web服务器和浏览器间传输压缩文本内容的方法。HTTP压缩采用通用的压缩算法如gzip等压缩HTML、JavaScript或CSS文件。可使用pipeboost进行设置。

    7.起用资源回收

    使用IIS5Recycle定时回收进程资源。

    服务器常见故障排除

    1. ASP“请求的资源正在使用中”的解决办法：

    该问题一般与杀毒软件有关，在服务器上安装个人版杀毒软件所致。出现这种错误可以通过卸载杀毒软件解决，也可尝试重新注册vbscript.dll和jscript.dll来解决，在命令行下运行：regsvr32 vbscript.dll 和regsvr32 jscript.dll即可。

    2.ASP500错误解决办法：

    首先确定该问题是否是单一站点存在还是所有站点存在，如果是单一站点存在该问题，则是网站程序的问题，可打开该站点的错误提示，把IE的“显示友好HTTP错误”信息取消，查看具体错误信息，然后对应修改相关程序。如是所有站点存在该问题，并且HTML页面没有出现该问题，相关日志出现“服务器无法加载应用程序‘/LM/W3SVC/1/ROOT’。错误是 ‘不支持此接口’”。那十有八九是服务器系统中的ASP相关组件出现了问题，重新启动IIS服务，尝试是否可以解决该问题，无法解决重新启动系统尝试是否可解决该问题，如无法解决可重新修复一下ASP组件：

    首先删除com组件中的关于IIS的三个东西，需要先将属性里的高级中“禁止删除”的勾选取消。

    命令行中，输入“cd winnt\system32\inetsrv”字符串命令，单击回车键后，再执行“rundll32 wamreg.dll，CreateIISPackage”命令，接着再依次执行“regsvr32 asptxn.dll”命令、“iisreset”命令，最后重新启动一下计算机操作系统，这样IIS服务器就能重新正确响应ASP脚本页面了。

    3. IIS出现105错误：

    在系统日志中“服务器无法注册管理工具发现信息。管理工具可能无法看到此服务器” 来源：w3svc ID：105解决办法：

    在网络连接中重新安装netbios协议即可，安装完成之后取消掉勾选。

    4.MySQL服务无法启动「错误代码1067」的解决方法

    启动MySQL服务时都会在中途报错！内容为：在 本地计算机 无法启动MySQL服务 错误1067：进程意外中止。

解决方法：查找Windows目录下的my.ini文件，编辑内容（如果没有该文件，则新建一个），至少包含

    basedir，datadir这两个基本的配置。

    [mysqld]

    # set basedir to installation path， e.g.， c：/mysql

    # 设置为MYSQL的安装目录

    basedir=D：/www/WebServer/MySQL

    # set datadir to location of data directory，

    # e.g.， c：/mysql/data or d：/mydata/data

    # 设置为MYSQL的数据目录

    datadir=D：/www/WebServer/MySQL/data

    注意，我在更改系统的temp目录之后没有对更改后的目录给予system用户的权限也出现过该问题。

    5.DllHotst进程消耗cpu 100%的问题

    服务器正常CPU消耗应该在75%以下，而且CPU消耗应该是上下起伏的，出现这种问题的服务器，CPU会突然一直处100%的水平，而且不会下降。

    查看任务管理器，可以发现是DLLHOST.EXE消耗了所有的CPU空闲时间，管理员在这种情况下，只好重新启动IIS服务，奇怪的是，重新启动IIS服务后一切正常，但可能过了一段时间后，问题又再次出现了。

    直接原因：

    有一个或多个ACCESS数据库在多次读写过程中损坏， MDAC系统在写入这个损坏的ACCESS文件时，ASP线程处于BLOCK状态，结果其他线程只能等待，IIS被死锁了，全部的CPU时间都消耗在DLLHOST中。

    解决办法：

    把数据库下载到本地，然后用ACCESS打开，进行修复操作。再上传到网站。如果还不行，只有新建一个ACCESS数据库，再从原来的数据库中导入所有表和记录。然后把新数据库上传到服务器上。

    6.Windows installer出错：

    在安装软件的时候出现“不能访问windows installer 服务。可能你在安全模式下运行 windows ，或者windows installer 没有正确的安装。请和你的支持人员联系以获得帮助” 如果试图重新安装InstMsiW.exe，提示：“指定的服务已存在”。

    解决办法：

    关于installer的错误，可能还有其他错误提示，可尝试以下解决办法：

    首先确认是否是权限方面的问题，提示信息会提供相关信息，如果是权限问题，给予winnt目录everyone权限即可[安装完把权限改回来即可].如果提示的是上述信息，可以尝试以下解决方法：运行“msiexec /unregserver”卸载Windows Installer服务，如果无法卸载可使用SRVINSTW进行卸载，然后下载windows installer的安装程序[地址：http://www.newhua.com/cfan/200410/instmsiw.exe，用winrar解压该文件，在解压缩出来的文件夹里面找到msi.inf文件，右键单击选择“安装”，重新启动系统后运行“msiexec /regserver”重新注册Windows Installer服务。

    服务器管理

    服务器日常管理安排

    服务器管理工作必须规范严谨，尤其在不是只有一位管理员的时候，日常管理工作包括：

    1.服务器的定时重启。每台服务器保证每周重新启动一次。重新启动之后要进行复查，确认服务器已经启动了，确认服务器上的各项服务均恢复正常。对于没有启动起来或服务未能及时恢复的情况要采取相应措施。前者可请求托管商的相关工作人员帮忙手工重新启动，必要时可要求让连接上显示器确认是否已启动起来；后者需要远程登陆上服务器进行原因查找并根据原因尝试恢复服务。

    2.服务器的安全、性能检查，每服务器至少保证每周登陆两次粗略检查两次。每次检查的结果要求进行登记在册。如需要使用一些工具进行检查，可直接在e：tools中查找到相关工具。对于临时需要从网络上找的工具，首先将IE的安全级别调整到高，然后在网络上进行查找，不要去任何不明站点下载，尽量选择如华军、天空等大型网站进行下载，下载后确保当前杀毒软件已升级到最新版本，升级完毕后对下载的软件进行一次杀毒，确认正常后方能使用。对于下载的新工具对以后维护需要使用的话，将该工具保存到e：tools下，并在该目录中的readme.txt文件中做好相应记录，记录该工具的名称，功能，使用方法。并且在该文件夹中的rar文件夹中保留一份该工具的winrar压缩文件备份，设置解压密码。

    3.服务器的数据备份工作，每服务器至少保证每月备份一次系统数据，系统备份采用ghost方式，对于ghost文件固定存放在e：ghost文件目录下，文件名以备份的日期命名，如0824.gho，每服务器至少保证每两周备份一次应用程序数据，每服务器至少保证每月备份一次用户数据，备份的数据固定存放在e：databak文件夹，针对各种数据再建立对应的子文件夹，如serv-u用户数据放在该文件夹下的servu文件夹下，iis站点数据存放在该文件夹下的iis文件夹下。

    4.服务器的监控工作，每天正常工作期间必须保证监视所有服务器状态，一旦发现服务停止要及时采取相应措施。对于发现服务停止，首先检查该服务器上同类型的服务是否中断，如所有同类型的服务都已中断及时登陆服务器查看相关原因并针对该原因尝试重新开启对应服务。







5.服务器的相关日志操作，每服务器保证每月对相关日志进行一次清理，清理前对应的各项日志如应用程序日志、安全日志、系统日志等都应选择“保存日志”。

所有的日志文件统一保存在e：logs下，应用程序日志保存在e：logsapp中，系统程序日志保存在e：logssys中，安全日志保存在e：logssec中。对于另外其他一些应用程序的日志，也按照这个方式进行处理，如ftp的日志保存在e：logsftp中。所有的备份日志文件都以备份的日期命名，如20050824.evt.对于不是单文件形式的日志，在对应的记录位置下建立一个以日期命名的文件夹，将这些文件存放在该文件夹中。

    6.服务器的补丁修补、应用程序更新工作，对于新出的漏洞补丁，应用程序方面的安全更新一定要在发现的第一时间给每服务器打上应用程序的补丁。

    7.服务器的隐患检查工作，主要包括安全隐患、性能等方面。每服务器必须保证每月重点的单独检查一次。每次的检查结果必须做好记录。

    8.不定时的相关工作，每服务器由于应用软件更改或其他某原因需要安装新的应用程序或卸载应用程序等操作必须知会所有管理员。

    9.定期的管理密码更改工作，每服务器保证至少每两个月更改一次密码，对于SQL服务器由于如果SQL采用混合验证更改系统管理员密码会影响数据库的使用则不予修改。

    相关建议：对每服务器设立一个服务器管理记载，管理员每次登陆系统都应该在此中进行详细的记录，共需要记录以下几项：登入时间，退出时间，登入时服务器状态[包含不明进程记录，端口连接状态，系统帐号状态，内存/CPU状态]，详细操作情况记录[详细记录下管理员登陆系统后的每一步操作].无论是远程登陆操作还是物理接触操作都要进行记录，然后将这些记录按照各服务器归档，按时间顺序整理好文档。

    对于数据备份、服务器定时重启等操作建议将服务器分组，例如分成四组，每月的周六晚备份一组服务器的数据，每周的某一天定时去重启一组的服务器，这样对于工作的开展比较方便，这些属于固定性的工作。另外有些工作可以同步进行，如每月一次的数据备份、安全检查和管理员密码修改工作，先进行数据备份，然后进行安全检查，再修改密码。对于需要的即时操作如服务器补丁程序的安装、服务器不定时的故障维护等工作，这些属于即时性的工作，但是原则上即时性的工作不能影响固定工作的安排。

    管理员日常注意事项

    在服务器管理过程中，管理员需要注意以下事项：

    1.对自己的每一次操作应做好详细记录，具体见上述建议，以便于后来检查。

    2.努力提高自身水平，加强学习。

巧用花生壳玩转个人服务器



许多新手问到的问题，许多也许都太简单，大家都不愿意回答，或者是懒得回答，因为越是简单的问题就越难解释清楚。写这篇东东的原因是想让刚刚接触WINDOWS服务器的人或者是虽然使用了一段时间但仍然百思不得其解的朋友能对花生、对WIN SERVER、对DNS、对域名、对IP、对端口及其映射、对IIS、对邮件服务器、对防火墙、对……，怎么要写那么多啊>>@_@<< 如果你还是有部分地方不懂，请先别急者上论坛提问，自己先仔细从自己过去学到的、听到的知识里头去想想。你每解答出一个难题，就代表你对这部分知识的了解越加深入，而你成为高手的日子也越将来到。
　　一、从操作系统开始
　　1、选择Server家族的系统
　　如果我们要建立一个稳定而强大的网络服务器的话就必须使用一个支持网络服务的系统。在WINDOWS系统集合里面作为服务器的系统有以前的 NT Server系列、有现在比较流行的2000 Server、2000 Advanced Server 、还有将来的 .net Server 系列。而对于花生的使用者来说，作为个人网站或者小规模公司网站的建立，无论从速度和性能方面比较使用Windows 2000 Server是比较合适的。以后的介绍都会以这个系统为基础展开。
　　另外提醒一句，现在D版市场上买的WIN2000大都是补丁过的，也就是所谓的SP版。微软现在最新的补丁是SP3。大家选择的时候最好买SP3的版本，可以省下上网补丁的不少时间哦：）
　　
　　2、安装系统和软件
　　缺省模式安装WIN2000 SERVER系统就可以了。大多我们要用到的功能都有了。安装完成以后我们 还要安装拨号软件，我个人推荐RASPPPOE和NetVoyager，前一个安装起来比较复杂，对于新手的我们来说还是选个简单的好了：）NetVoyager是韩国人编的一个拨号软件，原理和RASPPPOE一样，在网卡上绑定一个协议，用ISDN的方式拨号，还支持自动拨号，不错吧：）
　　这个软件的安装也是很简单的，不停的NEXT就OK了。安装完成以后运行他在桌面新建的图标，输入你的帐号和密码，就可以连接到INTERNET也就是我们说的公网了。（如果你找不到这个软件，当然也可以使用网络服务商提供给你的软件上网）
　　连接到公网以后，第一件事情是上微软的Windows Update网站。就是点击“开始”在开始菜单最上面的那个"Windows Update"。他会弹出一系列的安装插件的窗口，统统点击“是”搞定。然后根据他的提示做，之中可能会让你从新启动只类的，所以你可能要重复好几次这一步直到把所有的“系统关键更新”全部更新完。记住，这段时间你最好不要登陆到任何其他网站，不要安装任何软件和其他插件。乖乖的等待他把全部更新下载、安装完毕。
　　然后是安装网络防火墙，我的推荐是Norton 的个人防火墙安全好用，还有自动更新功能。同样是一轮冲锋“NEXT”搞定，安装完成后，运行它的“live Update"更新。
　　有了网络防火墙还得有病毒防火墙，哎怎么哪么多堵墙啊。推荐是 Norton Antivirus 8.0中文企业版完成后同样要运行“live Update”更新到最新版本哦。

二、软件的设置
　　1、设置花生壳
　　要使用花生，必须要有一个帐户（护照），进入花生帐户的申请网页（ http://8008.oray.net:8008/Workstation/） 申请一个网域护照，注册你的花生壳，申请一个免费域名。（至于顶级域名，我们后面会讲到）
　　完成了么？打开你的花生壳，就是系统右下脚，时间旁边的一个小盒子。顺便说明一下，这个小盒子在网络连通而又登陆花生服务器的时候是彩色的，一旦花生服务器或者你的网络出现故障，他会变成灰色。我们现在还没登陆，所以现在小盒子应该是灰色的。我们现在就来登陆服务器，双击小盒子，会弹出一个窗口，在“状态”页里，填入你刚才申请的帐号和密码，然后点“刷新列表”。（这时你的防火墙会告诉你花生壳要访问公网。你必须同意这个请求，我们选同意）如果能看到你刚才申请的域名，就代表你成功了！而花生现在应该会变成彩色的了。
　　2、设置IIS
　　各位，关键内容终于来了。IIS 5.0 是WIN2000自带的HTTP/FTP/SMTP/FRONTPAGE SERVER服务，它结合了ASP动态页面技术、FTP服务器、SMTP邮件服务器、frontpage 服务器，是一个非常强大的服务群组。
　　我们用右键单击“我的电脑”选“管理”，在“计算机管理”窗口里展开“服务和应用程序”然后点选“Internet信息服务”在窗口右边，我们可以看到“默认 Web站点”并且其“状况”是“正在运行”；“主机头名”是空的“IP地址”为“全部未分配” ；“端口”是“80”，大家不要让这些太多的概念打乱阵脚，待会你就会明白，其实他们都不重要（这里说的不重要并不是他们真的不重要，而是对于我们来说，我们暂时不会因为需要改变他们而了解他们） 在“默认 Web站点”点击右键，选“属性”。又弹出一个“默认 Web站点 属性”的窗口。在这里你必须小心，不要乱修改里面的任何属性，除非你有把握修改是对你有益的。我们先把“Web站点”页的“说明”改掉，原来是“默认 Web站点”的说明改成你自己的站点的名称。然后我们点选“主目录”页，把“本地路径”也修改掉，点“浏览”，然后选择你网站所在的目录。比如 你想把网站文件保存在D盘的“MYWEBSITE”的目录下，你就可以点选“浏览”然后选定D盘的“MYWEBSITE”目录，然后确定。你就能看到“本地路径”一栏的地址变成"D:\MYWEBSITE"了。
　　好了，最后一步是改变网站接入的文档。就是说，当人家在浏览器键入你的域名以后，服务器怎么知道该从你网站目录中那么多文件里打开其中一个给大家看呢？就是要看这里啦！我们选到“文档”页，看到“启用默认文档”中有三个文档，还有上下两个箭头和“添加”“删除”两个按钮。当IIS接到服务请求的时候它会在你的网站目录里头寻找，这三个文件的第一个，就是第一行的那个，如果找到，就打开这个文件以回应服务请求，如果找不到，就会寻找第二个，也就是第二行的那个，以此类推。所以，你要是想你的网站的效率更高一点，就必须把你的首页文件放在第一行。我们点选“添加”填入文件名，比如“index.asp”然后确定，然后你一看，怎么在最后一行啊？别急，你先点选刚才你填入的文件“index.asp”然后再点那个向上的箭头，就可以看见文件一点一点的上去啦：）
3、设置自己的论坛、留言版、聊天室
　　如果你只是使用了HTML的静态页面，那你只是使用了IIS不到10分之一的功能。有没有想过做一个想花生这样的论坛？可以么？当然可以！不过你必须先了解一些关于ASP、数据库等等的知识。不会很难的哟：）
　　ASP全称是Active Server Pages 既是“动态服务页面”是微软的一种用于代替CGI（一种早期的动态服务及其其他服务的标准）的一种技术。现在最新的版本是asp .net 不过IIS 5是不能解释用ASP.NET写的页面的，我们还是用ASP吧。和ASP具有相同性质的有JSP、PHP、CRML……等等。大家性能和其他方面都各有千秋。对于我们这些新手来说不大可能自己遍出一套论坛或留言版之类的程序来，所以我们只能——他山之石，嘿嘿。
dvbbs5_final.rar (1.1 MB)

dvbbs5_final.rar (1.1 MB)
对新手来说是再好不过的啦。（对于我的手来说也非常不错哦，好酸啊~~）
下载次数: 25

2007-12-26 22:50

——各式各样的插件安装，最关键的是他有详细的安装说明。

下载以后，安装（自解压文件）到你的网站目录下比如“D:\mywebsite\”他会新建一个目录“dvbbs”。完成后，访问你的域名http://***X.vicp.net/dvbbs 看看。已经进入论坛啦~~哈哈。
　　然后我们来设置论坛的颜色和一些配置。在浏览器键入http://***X.vicp.net/dvbbs 打开你的论坛用admin登陆，用户名是admin，密码是admin888，然后选“管理”为了安全起见，程序会让你再次输入用户名、密码，还多了一个附加码，主要是保证你的论坛的安全。进入管理页面后可以看到好多好多的选项。嘿嘿，这些让各位自己研究咯。
　　至于，留言版和聊天室的安装，和上面的基本类似，大家可以先试试。
4、FTP的架设
　　哇，原来大家都希望建立自己的站点也~~。今天，我们就来看看FTP站的架设。
　　和前面的HTTP服务器一样，要建立一个FTP站点必须要有相应的软件。网上现在有好多好多FTP的建站软件比如现在很热门的Serv-U、还有速度至上的RaidenFTPD、还有老牌FTP服务器软件WS-FTP、当然有我们刚才说到的IIS自带的FTP。
　　作为新手，程序界面的简单易懂就很重要。所以还是选择了Serv-U 给大家讲。
(有个连接失败——以后找到了补充给大家)
然后问你"Enable small images with the menu items?"要不要小图标？这个随你的便啦（好象很废的样子）NEXT！
　　然后要你点击“next”开始运行本地FTP服务器，并连接它，next!
　　然后是硬盘的一阵狂响，又出来一个窗口"IP address(leave blank for dynamic or unknow IP)"问你所在的IP地址（不知道或者是动态IP的不用填）我们用花生的都不用理它啦，照点“next”了事。
　　在下来这个窗口填入你的域名，输入你在花生里申请的域名或者独立域名，继续下一步。
　　"Allow anonymous access?"要允许匿名登陆吗（登陆名为：anonymous）如果你打算把这个站点公开给大家使用，那就可以选YES，然后下一步；要是只想给自己人用（独食难肥啊！！），就选NO。
　　我们那么大方，当然选YES啦，于是它问你FTP的主目录的路径，比如是D盘的FTPSITE目录，就可以填f:\ftpsite，当然也可以点那个文件柜在系统目录里中选啦。下一步！
　　程序询问你是否要锁定这个目录，如果锁定，匿名登录的用户就只能访问你所刚才指定的目录，就是说他只能访问这个目录下的文件和文件夹，其他目录如（D:\abc）就不能访问。哈，我的秘密怎么能让别人知道？
　　然后问你要不要建立一个用户？（不是匿名的那种）大家要是刚才禁止了匿名用户这里就要建立一个或以上的用户咯，要不是你的FTP就没人能够访问咯：）YES 。我们就建一个管理员的用户，填入van(这里自己随遍填哦，自己记得就行)，下一步密码……　不用说了吧？登陆目录是什么？和刚才一样就可以了。又问你要不要锁定，自己就算了，NO，NEXT！你给自己（ van ）什么权限呢？自己嘛，当然是权力越大越好啦（可要注意密码的复杂性以保安全哦） 选system administrator 然后NEXT，点FINISH就完成啦！哈哈！自己的FTP服务器就这样建成了，用自己的FTP客户端软件登陆上去试试吧：)
　　5、邮件服务器的建立
　
　　有了自己的HTTP、FTP站点后，是不是想有一个自己的邮件系统？完全免费还要无限空间？，还要提供SMTP和POP3服务让大家可以从OUTLOOK、FOXMAIL下载自己的邮件？还要有WEB界面？还要能在线申请？？！！哇，这个……你也太贪心了吧。忽忽，都没问题。我们来看看网上有什么邮件服务器软件可以帮我们做到这一点。网上流行的邮件服务器有权威的IMAIL、有MD、有Magic Winmail、有CMailServer。前面三个都是老外的产品，CMailServer却是我们中国人自己做的啦，而且功能一点都不比老外的差哦

2

3

在邮箱域名设置的地方选择“单域名”（如果你想做多域名当然也可以，不过有点复杂，我们以后再说）然后在后面的输入栏里填入你的域名如(***X.vicp.net)哈当然如果你是独立域名也可以设为(***X.com之类)。注意如果你在此填写的域名是***X.vip.net那你的邮箱全名就是name@***X.vicp.net,又如果你填入的是***X.com那你的邮箱名就是name@***X.com。嘿嘿，一些投机的朋友可能会把域名设为263.net等等之类的名字，但很快就发现收不了信（可以发）这样是违背道德的哦：）我们还是规矩点好。

　　还没完，接着我们选“高级”不要乱改这窗口里面的东西，我们看“帐号”这个选项卡，里面的内容我来解释一下：

　　“帐号申请时需要授权”这主要是用来管理用户帐号申请的。如果选择了这项设置，用户虽然可以申请帐号，但是并不能马上开通。需要管理员修改帐号设置，才能开通该邮箱帐号。#####我们不选。

　　“默认邮箱大小”用来设置新用户邮箱缺省大小。#####个人喜欢，建议不要太大改为2M。

　　“本地邮件地址可以简写”如果选择了这项设置，向本地用户发送邮件，可以只填写用户帐号，不需要写域名。#####钩上，这样可以方便一点。

　　“允许通过网页申请帐号”用来设置是否开放WEB界面（上面有申请新用户、登陆邮箱、收发信件等内容）#####视忽你的需要咯，我们也选上。

　　“所有邮件都抄送到此邮件地址”用来设置是否将所有通过CMailServer发送和接收的邮件保存到指定的本地邮箱。可用于邮件备份。#####算了，懒得。当然也可以钩。

　　“自动收取POP3邮件”可以设置服务器是否自动收取用户设置的POP3邮件以及收取邮件的时间间隔。#####不钩，或者时间长一点。

　　然后来到“其他”选项页。语言选择……不用多说了吧，当WINDOWS启动时，我们选最小化，那当WIN启动的时候服务器就会启动，并最小化在系统栏的小图标里。其他都不改，确定再确定。

　　然后就可以添加新帐户咯，点“新帐号”。帐号：填入你邮箱的名字如van(你的邮箱就是van@***X.vicp.net)，密码，姓名：可以随便填（会作为发信人，让收信人看到），说明：可以不填。

　　由于是自己的邮箱，当然是改为无限空间咯。选“不限大小”，如果是其他人的邮箱，也可以修改邮箱大小或者不限大小。

　　要是你愿意用这个邮箱接收你另外邮箱的邮件，可以在其他POP邮箱一拦里填入相应信息，这里就不讲了。

　　全部填好后，确定。

　　最后一步，在“工具”里选“设置虚拟目录”（时间有点长，不是死机）

　　可以到浏览器去看你的信啦，打入http://***x.vicp.net/mail

　　登陆看看：）