云服務器（阿里云）的安全組設置

安全組 是一個ECS的重要安全設置，但對小白用戶來說卻很難理解其中晦澀難懂的專業術語。websoft9在此介紹個人的理解：

成都創新互聯成立于2013年，我們提供高端重慶網站建設公司、成都網站制作、成都網站設計、網站定制、成都營銷網站建設、微信平臺小程序開發、微信公眾號開發、seo優化排名服務，提供專業營銷思路、內容策劃、視覺設計、程序開發來完成項目落地，為石涼亭企業提供源源不斷的流量和訂單咨詢。

阿里云官方解釋 ：安全組是一種虛擬防火墻，用于設置單臺或多臺云服務器的網絡訪問控制，它是重要的網絡安全隔離手段，用于在云端劃分安全域。每個實例至少屬于一個安全組，在創建的時候就需要指定。

注解：簡單理解：服務器什么端口（服務）可以被訪問，什么端口可以被封鎖

例子：服務器80端口是用來提供http服務，如果服務器部署了網站，而沒有開放80端口，這個網站肯定訪問不了，http: //ip 是打不開的。

這是很常見的問題，用戶第一感覺就是購買的服務器有問題或購買的鏡像用不了。

遠程連接（SSH）Linux 實例和遠程桌面連接 Windows 實例可能會失敗。

遠程 ping 該安全組下的 ECS 實例的公網 IP 和內網 IP 可能會失敗。

HTTP 訪問該安全組下的 ECS 實例暴漏的 Web 服務可能會失敗。

該安全組下 ECS 實例可能無法通過內網訪問同地域（或者同 VPC）下的其他安全組下的 ECS 實例。

該安全組下 ECS 實例可能無法通過內網訪問同地域下（或者同 VPC）的其他云服務。

該安全組下 ECS 實例可能無法訪問 Internet 服務。

當用戶購買一個新的服務器的時候，阿里云會提醒選擇安全組，對于一部分入門用戶來說，第一感覺就是選擇一個等級比較高的安全組，這樣更為保險。實際上，等級越高，開放的端口越少。甚至連80端口、21端口都被封鎖了，導致服務器ping不通、http打不開。這樣最常見的訪問都無法進行，用戶第一感覺就是購買的服務器有問題或購買的鏡像用不了。

在Websoft9客服工作中統計發現，96%的用戶瀏覽器http://公網IP 打不開首頁，都是因為安全組的設置關閉了80端口所導致。

第一，找到對應的實例，通過安全組配置選項進入設置。

第二，點擊“配置規則”，進入安全組規則設置。

服務器有哪些安全設置？

1)、系統安全基本設置

1.安裝說明：系統全部NTFS格式化，重新安裝系統（采用原版win2003）,安裝殺毒軟件(Mcafee)，并將殺毒軟件更新，安裝sp2補釘，安裝IIS（只安裝必須的組件）,安裝SQL2000，安裝點虐 2.0,開啟防火墻。并將服務器打上最新的補釘。

2)、關閉不需要的服務

Computer Browser:維護網絡計算機更新，禁用

Distributed File System: 局域網管理共享文件，不需要禁用

Distributed linktracking client：用于局域網更新連接信息，不需要禁用

Error reporting service：禁止發送錯誤報告

Microsoft Serch：提供快速的單詞搜索，不需要可禁用

NTLMSecuritysupportprovide：telnet服務和Microsoft Serch用的，不需要禁用

PrintSpooler：如果沒有打印機可禁用

Remote Registry：禁止遠程修改注冊表

Remote Desktop Help Session Manager：禁止遠程協助 其他服務有待核查

3)、設置和管理賬戶

1、將Guest賬戶禁用并更改名稱和描述，然后輸入一個復雜的密碼

2、系統管理員賬戶最好少建，更改默認的管理員帳戶名(Administrator)和描述，密碼最好采用數字加大小寫字母加數字的上檔鍵組合，長度最好不少于10位

3、新建一個名為Administrator的陷阱帳號，為其設置最小的權限，然后隨便輸入組合的最好不低于20位的密碼

4、計算機配置-Windows設置-安全設置-賬戶策略-賬戶鎖定策略，將賬戶設為“三次登陸無效 時間為30分鐘

5、在安全設置-本地策略-安全選項中將“不顯示上次的用戶名”設為啟用

6、 在安全設置-本地策略-用戶權利分配中將“從網絡訪問此計算機”中只保留Internet來賓賬戶、啟動IIS進程賬戶,Aspnet賬戶

7、創建一個User賬戶，運行系統，如果要運行特權命令使用Runas命令。

4）、打開相應的審核策略

審核策略更改:成功

審核登錄事件:成功,失敗

審核對象訪問:失敗

審核對象追蹤:成功,失敗

審核目錄服務訪問:失敗

審核特權使用:失敗

審核系統事件:成功,失敗

審核賬戶登錄事件:成功,失敗

審核賬戶管理:成功,失敗

5）、 其它安全相關設置

1、禁止C$、D$、ADMIN$一類的缺省共享

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparameters，在右邊的 窗口中新建Dword值，名稱設為AutoShareServer值設為0

2、解除NetBios與TCP/IP協議的綁定

右擊網上鄰居-屬性-右擊本地連接-屬性-雙擊Internet協議-高級-Wins-禁用TCP/IP上的 NETBIOS

3、隱藏重要文件/目錄

可以修改注冊表實現完全隱藏： “HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrent-VersionExplorerAdvancedFol derHi-ddenSHOWALL”，鼠標右擊“CheckedValue”，選擇修改，把數值由1改為0

4、防止SYN洪水攻擊

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters 新建DWORD 值，名為SynAttackProtect，值為2

5、 禁止響應ICMP路由通告報文

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParametersInterfacesinterface 新建DWORD值，名為PerformRouterDiscovery 值為0

6. 防止ICMP重定向報文的攻擊

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters 將EnableICMPRedirects 值設為0

7、 不支持IGMP協議

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters 新建DWORD 值，名為IGMPLevel 值為0

8、禁用DCOM：運行中輸入 Dcomcnfg.exe。 回車， 單擊“控制臺根節點”下的“組件服務”。 打開“計算機”子 文件夾。

對于本地計算機，請以右鍵單擊“我的電腦”，然后選擇“屬 性”。選擇“默認屬性”選項卡。清除“在這臺計算機上啟用分布式 COM”復選框。

9、終端服務的默認端口為3389，可考慮修改為別的端口。

修改方法為： 服務器端：打開注冊表，在“HKLM\SYSTEM\Current ControlSet\Control\Terminal Server\Win Stations” 處找到類似RDP-TCP的子鍵，修改PortNumber值。 客戶端：按正常步驟建一個客戶端連接，選中這個連接，在“文件”菜單中選擇導出，在指定位置會 生成一個后綴為點吸煙 s的文件。打開該文件，修改“Server Port”值為與服務器端的PortNumber對應的 值。然后再導入該文件（方法：菜單→文件→導入），這樣客戶端就修改了端口。

6）、配置 IIS 服務

1、不使用默認的Web站點，如果使用也要將 將IIS目錄與系統磁盤分開。

2、刪除IIS默認創建的Inetpub目錄（在安裝系統的盤上）。

3、刪除系統盤下的虛擬目錄，如：_vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、 MSADC。

4、刪除不必要的IIS擴展名映射。 右鍵單擊“默認Web站點→屬性→主目錄→配置”，打開應用程序窗口，去掉不必要的應用程序映 射。主要為.shtml, .shtm, .stm

5、更改IIS日志的路徑 右鍵單擊“默認Web站點→屬性-網站-在啟用日志記錄下點擊屬性

6、如果使用的是2000可以使用iislockdown來保護IIS，在2003運行的IE6.0的版本不需要。

7、使用UrlScan

UrlScan是一個ISAPI篩選器，它對傳入的HTTP數據包進行分析并可以拒絕任何可疑的通信量。 目前最新的版本是2.5，如果是2000Server需要先安裝1.0或2.0的版本。 如果沒有特殊的要求采用UrlScan默認配置就可以了。 但如果你在服務器運行ASP.NET程序，并要進行調試你需打開要 %WINDIR%System32InetsrvURLscan，文件夾中的URLScan.ini 文件，然后在UserAllowVerbs節添 加debug謂詞，注意此節是區分大小寫的。 如果你的網頁是.asp網頁你需要在DenyExtensions刪除.asp相關的內容。 如果你的網頁使用了非ASCII代碼，你需要在Option節中將AllowHighBitCharacters的值設為1 在對URLScan.ini 文件做了更改后，你需要重啟IIS服務才能生效，快速方法運行中輸入iisreset 如果你在配置后出現什么問題，你可以通過添加/刪除程序刪除UrlScan。

8、利用WIS (Web Injection Scanner)工具對整個網站進行SQL Injection 脆弱性掃描.

7）、配置Sql服務器

1、System Administrators 角色最好不要超過兩個

3、不要使用Sa賬戶，為其配置一個超級復雜的密碼

4、刪除以下的擴展存儲過程格式為：

use master sp_dropextendedproc '擴展存儲過程名'

xp_cmdshell：是進入操作系統的最佳捷徑，刪除 訪問注冊表的存儲過程，

刪除

Xp_regaddmultistring Xp_regdeletekey Xp_regdeletevalue Xp_regenumvalues Xp_regread Xp_regwrite Xp_regremovemultistring

OLE自動存儲過程，不需要刪除

Sp_OACreate Sp_OADestroy Sp_OAGetErrorInfo Sp_OAGetProperty Sp_OAMethod Sp_OASetProperty Sp_OAStop

5、隱藏 SQL Server、更改默認的1433端口

右擊實例選屬性-常規-網絡配置中選擇TCP/IP協議的屬性，選擇隱藏 SQL Server 實例，并改原默 認的1433端口。

8）、修改系統日志保存地址 默認位置為 應用程序日志、安全日志、系統日志、DNS日志默認位置：%systemroot%\system32\config，默認 文件大小512KB，管理員都會改變這個默認大小。

安全日志文件：%systemroot%\system32\config\SecEvent.EVT 系統日志文件：%systemroot%\system32\config\SysEvent.EVT 應用程序日志文件：%systemroot%\system32\config\AppEvent.EVT Internet信息服務FTP日志默認位置：%systemroot%\system32\logfiles\msftpsvc1\，默認每天一個日 志 Internet信息服務WWW日志默認位置：%systemroot%\system32\logfiles\w3svc1\，默認每天一個日 志 Scheduler(任務計劃)服務日志默認位置：%systemroot%\schedlgu.txt 應用程序日志，安全日志，系統日志，DNS服務器日志，它們這些LOG文件在注冊表中的： HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eventlog Schedluler(任務計劃)服務日志在注冊表中 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SchedulingAgent SQL 刪掉或改名xplog70.dll [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters] "AutoShareServer"=dword:00000000 "AutoShareWks"=dword:00000000 // AutoShareWks 對pro版本 // AutoShareServer 對server版本 // 0

禁止管理共享admin$,c$,d$之類默認共享 [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA] "restrictanonymous"=dword:00000001 //0x1 匿名用戶無法列舉本機用戶列表 //0x2 匿名用戶無法連接本機IPC$共享(可能sql server不能夠啟動

9）、本地安全策略

1．只開放服務需要的端口與協議。 具體方法為：按順序打開“網上鄰居→屬性→本地連接→屬性→Internet 協議→屬性→高級→選項→ TCP/IP篩選→屬性”，添加需要的TCP、UDP端口以及IP協議即可。根據服務開設口，常用的TCP 口有：80口用于Web服務；21用于FTP服務；25口用于SMTP；23口用于Telnet服務；110口 用于POP3。常用的UDP端口有：53口－DNS域名解析服務；161口－snmp簡單的網絡管理協議。 8000、4000用于OICQ，服務器用8000來接收信息，客戶端用4000發送信息。 封TCP端口: 21(FTP,換FTP端口)23(TELNET),53(DNS),135,136,137,138,139,443,445,1028,1433,3389 可封TCP端口:1080,3128,6588,8080(以上為代理端口).25(SMTP),161(SNMP),67(引導) 封UDP端口:1434(這個就不用說了吧) 封所有ICMP,即封PING 以上是最常被掃的端口,有別的同樣也封,當然因為80是做WEB用的

2、禁止建立空連接 默認情況下，任何用戶可通過空連接連上服務器，枚舉賬號并猜測密碼。空連接用的端口是139， 通過空連接，可以復制文件到遠端服務器，計劃執行一個任務，這就是一個漏洞。可以通過以下兩 種方法禁止建立空連接：

（1） 修改注冊表中 Local_Machine\System\ CurrentControlSet\Control\LSA-RestrictAnonymous 的值為1。

（2） 修改Windows 2000的本地安全策略。設置“本地安全策略→本地策略→選項”中的 RestrictAnonymous（匿名連接的額外限制）為“不容許枚舉SAM賬號和共享”。 首先，Windows 2000的默認安裝允許任何用戶通過空連接得到系統所有賬號和共享列表，這本來 是為了方便局域網用戶共享資源和文件的，但是，同時任何一個遠程用戶也可以通過同樣的方法得 到您的用戶列表，并可能使用暴力法破解用戶密碼給整個網絡帶來破壞。很多人都只知道更改注冊 表Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous = 1來禁止空用戶連接， 實際上Windows 2000的本地安全策略里（如果是域服務器就是在域服務器安全和域安全策略里） 就有RestrictAnonymous選項，其中有三個值：“0”這個值是系統默認的，沒有任何限制，遠程用戶 可以知道您機器上所有的賬號、組信息、共享目錄、網絡傳輸列表(NetServerTransportEnum)等；“1” 這個值是只允許非NULL用戶存取SAM賬號信息和共享信息；“2”這個值只有Windows 2000才支 持，需要注意的是，如果使用了這個值，就不能再共享資源了，所以還是推薦把數值設為“1”比較 好。

10)、防止asp木馬

1、基于FileSystemObject組件的asp木馬

cacls %systemroot%\system32\scrrun.dll /e /d guests //禁止guests使用 regsvr32 scrrun.dll /u /s //刪除

2．基于shell.application組件的asp木馬

cacls %systemroot%\system32\shell32.dll /e /d guests //禁止guests使用 regsvr32 shell32.dll /u /s //刪除

3．將圖片文件夾的權限設置為不允許運行。

4.如果網站中不存在有asp的話，禁用asp

11）、防止SQL注入

1．盡量使用參數化語句

2．無法使用參數化的SQL使用過濾。

3．網站設置為不顯示詳細錯誤信息，頁面出錯時一律跳轉到錯誤頁面。

4.不要使用sa用戶連接數據庫

5、新建一個public權限數據庫用戶，并用這個用戶訪問數據庫 6、[角色]去掉角色public對sysobjects與syscolumns對象的select訪問權限

最后強調一下，以上設置可能會影響到有些應用服務，例如導至不能連接上遠程服務器，

因此強烈建議，以上設置首先在本地機器或虛擬機(VMware Workstation)上做好設置，確定沒事之后然后再在服務器上做。

web服務器安全設置

Web服務器攻擊常利用Web服務器軟件和配置中的漏洞，web服務器安全也是我們現在很多人關注的一點，那么你知道web服務器安全設置嗎?下面是我整理的一些關于web服務器安全設置的相關資料，供你參考。

web服務器安全設置一、IIS的相關設置

刪除默認建立的站點的虛擬目錄，停止默認web站點，刪除對應的文件目錄c:inetpub，配置所有站點的公共設置，設置好相關的連接數限制， 帶寬設置以及性能設置等其他設置。配置應用程序映射，刪除所有不必要的應用程序擴展，只保留asp，php，cgi，pl，aspx應用程序擴展。對于php和cgi，推薦使用isapi方式解析，用exe解析對安全和性能有所影響。用戶程序調試設置發送文本錯誤信息給客戶。

對于數據庫，盡量采用mdb后綴，不需要更改為asp，可在IIS中設置一個mdb的擴展映射，將這個映射使用一個無關的dll文件如C:WINNTsystem32inetsrvssinc.dll來防止數據庫被下載。設置IIS的日志保存目錄，調整日志記錄信息。設置為發送文本錯誤信息。修改403錯誤頁面，將其轉向到其他頁，可防止一些掃描器的探測。另外為隱藏系統信息，防止telnet到80端口所泄露的系統版本信息可修改IIS的banner信息，可以使用winhex手工修改或者使用相關軟件如banneredit修改。

對于用戶站點所在的目錄，在此說明一下，用戶的FTP根目錄下對應三個文件佳，wwwroot，database，logfiles，分別存放站點文件，數據庫備份和該站點的日志。如果一旦發生入侵事件可對該用戶站點所在目錄設置具體的權限，圖片所在的目錄只給予列目錄的權限，程序所在目錄如果不需要生成文件(如生成html的程序)不給予寫入權限。因為是虛擬主機平常對腳本安全沒辦法做到細致入微的地步。

方法

用戶從腳本提升權限：

web服務器安全設置二、ASP的安全設置

設置過權限和服務之后，防范asp木馬還需要做以下工作，在cmd窗口運行以下命令：

regsvr32/u C:\WINNT\System32\wshom.ocx

del C:\WINNT\System32\wshom.ocx

regsvr32/u C:\WINNT\system32\shell32.dll

del C:\WINNT\system32\shell32.dll

即可將WScript.Shell, Shell.application, WScript.Network組件卸載，可有效防止asp木馬通過wscript或shell.application執行命令以及使用木馬查看一些系統敏感信息。另法：可取消以上文件的users用戶的權限，重新啟動IIS即可生效。但不推薦該方法。

另外，對于FSO由于用戶程序需要使用，服務器上可以不注銷掉該組件，這里只提一下FSO的防范，但并不需要在自動開通空間的虛擬商服務器上使用，只適合于手工開通的站點。可以針對需要FSO和不需要FSO的站點設置兩個組，對于需要FSO的用戶組給予c:winntsystem32scrrun.dll文件的執行權限，不需要的不給權限。重新啟動服務器即可生效。

對于這樣的設置結合上面的權限設置，你會發現海陽木馬已經在這里失去了作用!

web服務器安全設置三、PHP的安全設置

默認安裝的php需要有以下幾個注意的問題：

C:\winnt\php.ini只給予users讀權限即可。在php.ini里需要做如下設置：

Safe_mode=on

register_globals = Off

allow_url_fopen = Off

display_errors = Off

magic_quotes_gpc = On [默認是on，但需檢查一遍]

open_basedir =web目錄

disable_functions =passthru,exec,shell_exec,system,phpinfo,get_cfg_var,popen,chmod

默認設置com.allow_dcom = true修改為false[修改前要取消掉前面的;]

web服務器安全設置四、MySQL安全設置

如果服務器上啟用MySQL數據庫，MySQL數據庫需要注意的安全設置為：

刪除mysql中的所有默認用戶，只保留本地root帳戶，為root用戶加上一個復雜的密碼。賦予普通用戶updatedeletealertcreatedrop權限的時候，并限定到特定的數據庫，尤其要避免普通客戶擁有對mysql數據庫操作的權限。檢查mysql.user表，取消不必要用戶的shutdown_priv,reload_priv,process_priv和File_priv權限，這些權限可能泄漏更多的服務器信息包括非mysql的 其它 信息出去。可以為mysql設置一個啟動用戶，該用戶只對mysql目錄有權限。設置安裝目錄的data數據庫的權限(此目錄存放了mysql數據庫的數據信息)。對于mysql安裝目錄給users加上讀取、列目錄和執行權限。

Serv-u安全問題：

安裝程序盡量采用最新版本，避免采用默認安裝目錄，設置好serv-u目錄所在的權限，設置一個復雜的管理員密碼。修改serv-u的banner信息，設置被動模式端口范圍(4001—4003)在本地服務器中設置中做好相關安全設置：包括檢查匿名密碼，禁用反超時調度，攔截“FTP bounce”攻擊和FXP，對于在30秒內連接超過3次的用戶攔截10分鐘。域中的設置為：要求復雜密碼，目錄只使用小寫字母，高級中設置取消允許使用MDTM命令更改文件的日期。

更改serv-u的啟動用戶：在系統中新建一個用戶，設置一個復雜點的密碼，不屬于任何組。將servu的安裝目錄給予該用戶完全控制權限。建立一個FTP根目錄，需要給予這個用戶該目錄完全控制權限，因為所有的ftp用戶上傳，刪除，更改文件都是繼承了該用戶的權限，否則無法操 作文 件。另外需要給該目錄以上的上級目錄給該用戶的讀取權限，否則會在連接的時候出現530 Not logged in, home directory does not exist。比如在測試的時候ftp根目錄為d:soft，必須給d盤該用戶的讀取權限，為了安全取消d盤其他文件夾的繼承權限。而一般的使用默認的system啟動就沒有這些問題，因為system一般都擁有這些權限的。

web服務器安全設置五、數據庫服務器的安全設置

對于專用的MSSQL數據庫服務器，按照上文所講的設置TCP/IP篩選和IP策略，對外只開放1433和5631端口。對于MSSQL首先需要為sa設置一個強壯的密碼，使用混合身份驗證,加強數據庫日志的記錄,審核數據庫登陸事件的”成功和失敗”.刪除一些不需要的和危險的OLE自動存儲過程(會造成 企業管理 器中部分功能不能使用),這些過程包括如下:

Sp_OAcreate Sp_OADestroy Sp_OAGetErrorInfo Sp_OAGetProperty

Sp_OAMethod Sp_OASetProperty Sp_OAStop

去掉不需要的注冊表訪問過程,包括有:

Xp_regaddmultistring Xp_regdeletekey Xp_regdeletevalue

Xp_regenumvalues Xp_regread Xp_regremovemultistring

Xp_regwrite

去掉其他系統存儲過程，如果認為還有威脅，當然要小心drop這些過程，可以在測試機器上測試，保證正常的系統能完成工作，這些過程包括：

xp_cmdshell xp_dirtree xp_dropwebtask sp_addsrvrolemember

xp_makewebtask xp_runwebtask xp_subdirs sp_addlogin

sp_addextendedproc

在實例屬性中選擇TCP/IP協議的屬性。選擇隱藏 SQL Server 實例可防止對1434端口的探測,可修改默認使用的1433端口。除去數據庫的guest賬戶把未經認可的使用者據之在外。 例外情況是master和 tempdb 數據庫,因為對他們guest帳戶是必需的。另外注意設置好各個數據庫用戶的權限，對于這些用戶只給予所在數據庫的一些權限。在程序中不要用sa用戶去連接任何數據庫。網絡上有建議大家使用協議加密的，千萬不要這么做，否則你只能重裝MSSQL了。