思途CMS系統(tǒng)客戶自有服務(wù)器安裝與指導(dǎo)手冊(cè)安裝幫助
windows server 2003是目前國(guó)內(nèi)比較主流的服務(wù)器操作系統(tǒng),其搭建php的環(huán)境也是多種多樣,其中IIS+Fastcgi+php+mysql安裝是最簡(jiǎn)單的。
1. 安裝IIS
IIS是windows平臺(tái)下比較成熟的web服務(wù),安裝方法也非常簡(jiǎn)單。
打開“開始”菜單,點(diǎn)擊“管理您的服務(wù)器”(如圖所示),點(diǎn)擊“添加或刪除角色”(如圖所示)。
進(jìn)入預(yù)備步驟后直接點(diǎn)下一步。到達(dá)了選擇角色的地方,選擇“應(yīng)用程序服務(wù)(IIS,ASP.net)”(如圖所示)
之后點(diǎn)擊下一步,出現(xiàn)附加組件的選擇,一個(gè)是FrontPage Server Extentions,另外一個(gè)是ASP.net,這兩項(xiàng)我們的環(huán)境中都不需要,不必選擇,如果有需要,可以選擇性安裝。進(jìn)入下一步,是選項(xiàng)總結(jié),再下一步,進(jìn)入安裝過程,此時(shí)提示需要插入windows 2003(R2)的安裝光盤,插入光盤后,選擇光驅(qū)所在驅(qū)動(dòng)器下的I386,點(diǎn)擊確定,安裝過程將會(huì)繼續(xù)一直到結(jié)束,并且出現(xiàn)成功提示(如圖所示)
完成后對(duì)IIS進(jìn)行測(cè)試,打開“開始”菜單,點(diǎn)擊“所有程序”,進(jìn)入“管理工具”,點(diǎn)擊“internet信息服務(wù)(IIS)管理器”
展開“網(wǎng)站”樹型節(jié)點(diǎn),刪除默認(rèn)網(wǎng)站,然后新建一個(gè)網(wǎng)站(如圖所示)
進(jìn)入向?qū)Ш?,進(jìn)入下一步,為網(wǎng)站添加描述,也就是IIS中顯示的網(wǎng)站標(biāo)示,可以隨便填寫,再進(jìn)入下一步,為網(wǎng)站配置主機(jī)頭,我們是用來配置本地測(cè)試環(huán)境,所以把主機(jī)頭配置為127.0.0.1(如圖所示)
進(jìn)入下一步,選擇目錄,目錄需要提前建立好,然后選擇即可。繼續(xù)下一步,需要選擇網(wǎng)站權(quán)限,這里只選擇讀取即可。之后便可完成網(wǎng)站新建向?qū)Я恕?o:p>
需要正常的瀏覽網(wǎng)站,還需要給網(wǎng)站的根目錄文件夾指定相應(yīng)的權(quán)限,首先在網(wǎng)站屬性中查看網(wǎng)站的匿名訪問賬戶是什么,然后將這個(gè)賬戶設(shè)置到網(wǎng)站的根目錄文件夾,并設(shè)置相應(yīng)的訪問權(quán)限(如圖所示)
網(wǎng)站的匿名訪問賬戶是:IUSR_CBLH-DDEF00B671,為文件夾設(shè)置用戶訪問權(quán)限(如圖所示)
權(quán)限配置好后,在目錄中新建一個(gè)index.html文件,隨意輸入一些文字或者h(yuǎn)tml代碼即可。
在網(wǎng)站名稱上右鍵,點(diǎn)擊屬性,進(jìn)入“屬性”后點(diǎn)擊“文檔”選項(xiàng)卡,在此添加一個(gè)index.html和index.php(index.php添加好是為了待會(huì)不必再做配置),然后點(diǎn)擊“確定”或者“應(yīng)用”保存配置。
然后在瀏覽器中的地址欄中輸入“http://localhost/”或者“http://127.0.0.1/”,即可看到剛才我們建立的index.html中的內(nèi)容。
2. 安裝fastcgi
IIS調(diào)試好后,就可以安裝fastcgi了,首先需要下載IISfastcgi,下載地址是(http://www.iis.net/download/FastCGI),安裝fastcgi非常簡(jiǎn)單,只需要同意協(xié)議后連續(xù)點(diǎn)擊下一步即可,沒有任何選項(xiàng)。
3. 安裝php
首先下載php在windows的安裝包,下載地址http://windows.php.net/downloads/releases/archives/,這里選用php-5.3.4-nts-Win32-VC9-x86.msi做例子。下載好php-5.3.4-nts-Win32-VC9-x86.msi后,雙擊文件安裝,接受使用協(xié)議后,為php填寫安裝目錄,這個(gè)目錄是可以更換的,指向需要放置它的位置即可。之后需要選擇web服務(wù)器的安裝,這里選擇我們先前安裝的IIS fastcgi(如圖所示)
下一步需要配置安裝選項(xiàng),這里我們除了默認(rèn)的選項(xiàng)之外增加了pear install(如圖所示)
再進(jìn)入下一步,就可以確認(rèn)安裝了。
完成安裝后,還需要測(cè)試一下php是否可用。
首先打開IIS管理器,然后在先前測(cè)試IIS的網(wǎng)站上右鍵,進(jìn)入“屬性”,點(diǎn)擊主目錄選項(xiàng)卡,然后將“執(zhí)行權(quán)限”配置為“純腳本”,(如圖所示)
然后點(diǎn)擊旁邊的“配置”,查看是否有.php擴(kuò)展名,如果沒有的話,需要添加一個(gè)新項(xiàng),將可執(zhí)行文件指向“C:WINDOWSsystem32inetsrvfcgiext.dll”,擴(kuò)展名為“.php”(注意有個(gè)點(diǎn)),動(dòng)作限制為“GET,HEAD,POST,TRACE”,點(diǎn)擊確定即可(如圖所示)
做好了這些,就可以寫個(gè)小腳本來測(cè)試了,在網(wǎng)站的目錄中新建一個(gè)test.php文件,打開后輸入,保存后退出。在瀏覽器地址欄中輸入http://localhost/test.php,即可看到php信息了。
4. 安裝isapi_urlwriter ISAPI擴(kuò)展組件
isapi_urlwriter ISAPI擴(kuò)展組件主要用來做地址重寫,重寫后的虛擬靜態(tài)地址對(duì)搜索引擎更友好。先將ISAPI_Rewrite3安裝包解壓到指定的文件目錄中,然后進(jìn)入網(wǎng)站屬性窗口,選擇窗口中的ISAPI篩選器選項(xiàng)卡,點(diǎn)擊添加按鈕,在彈出的窗口中選擇ISAPI_Rewrite3解壓目錄中的ISAPI_Rewrite.dll文件為可執(zhí)行文件并確定。(如圖所示)
windows server 2008是基于NT6 平臺(tái)的新型操作系統(tǒng),其對(duì)硬件性能的發(fā)揮比起其它NT平臺(tái)來說有了質(zhì)的飛躍,已經(jīng)開始普及到了廣大用戶中,而且操作較2003來說更為直觀和簡(jiǎn)單,受到越來越多的好評(píng)。在這里我們要介紹windows server 2008中的php環(huán)境搭建。
1. 安裝IIS
windows server 2008的IIS版本為7.0,包括fastcgi,安裝十分方便。
打開“開始”菜單→“服務(wù)器管理”,出現(xiàn)服務(wù)器管理界面(如圖所示)
在圖中黃色框中填入服務(wù)器ip,點(diǎn)擊打開,之后提示輸入用戶名和密碼,驗(yàn)證成功后完成登錄服務(wù)器。
點(diǎn)擊“下一步”之后,需要選擇功能,這里需要比默認(rèn)選項(xiàng)多增加一個(gè)“cgi”(如圖所示)
點(diǎn)擊“下一步”,將會(huì)需要確認(rèn)一下安裝的內(nèi)容,此時(shí)點(diǎn)擊安裝,即可將IIS安裝在操作系統(tǒng)中。
安裝好IIS之后,需要進(jìn)行一個(gè)測(cè)試,在瀏覽器地址欄中輸入“http://localhost/”,如果出現(xiàn)IIS7的歡迎頁(yè)則說明正常。接下來需要配置一個(gè)新網(wǎng)站,首先打開IIS管理器(“開始”→“所有程序”→“管理工具”→“internet 信息服務(wù)(IIS)管理器”)。
然后刪除默認(rèn)網(wǎng)站,在主菜單中,展開網(wǎng)站菜單,然后再網(wǎng)站名稱上右鍵,點(diǎn)擊刪除即可(如圖所示)
再新建一個(gè)網(wǎng)站,在“網(wǎng)站”上右擊,點(diǎn)擊添加網(wǎng)站,會(huì)出現(xiàn)信息網(wǎng)站添加的表單,首先輸入網(wǎng)站名稱,例如“stourwebcms”,路徑選擇為網(wǎng)站存放的路徑,單IP的服務(wù)器可以不必選擇IP,主機(jī)頭填寫為localhost,然后點(diǎn)擊確定。
添加好網(wǎng)站后,需要為網(wǎng)站設(shè)置用戶訪問權(quán)限。在iis管理器左邊的網(wǎng)站列表中選中網(wǎng)站,在右邊的操作列表中點(diǎn)擊“基本設(shè)置”,在彈出窗口中點(diǎn)擊“連接為”,彈出的窗口中會(huì)出現(xiàn)網(wǎng)站的默認(rèn)用戶賬戶,也可以更改為其它的用戶。確定網(wǎng)站的用戶賬戶后,將此賬戶的訪問權(quán)限設(shè)置到網(wǎng)站的根目錄文件夾上(如圖所示)
打開網(wǎng)站目錄,新建一個(gè)index.html,然后用記事本打開,輸入“hello stourweb”后保存,并訪問本地地址“http://127.0.0.1”進(jìn)行測(cè)試,網(wǎng)頁(yè)上顯示出了“hello stourweb”,說明配置成功。
2. 安裝php
在前面已經(jīng)提過,IIS7中不必單獨(dú)安裝fastcgi,所以,我們只需要下載php安裝包進(jìn)行安裝即可,下載地址:http://windows.php.net/downloads/releases/archives/ 下載好后,打開安裝程序,經(jīng)過引導(dǎo),配置好路徑,來到選擇“web server setup”的地方,在這里我們選擇“IIS fastcgi”(如圖所示)
然后點(diǎn)擊“next”按鈕,到了選擇安裝選項(xiàng)的步驟,一般安裝默認(rèn)的就可以了,如果要添加的話需要點(diǎn)擊一下前面的磁盤小圖標(biāo),然后選擇安裝,第一項(xiàng)是只安裝選中的項(xiàng)目,第二項(xiàng)是安裝所有該項(xiàng)目的子項(xiàng)目。配置好后進(jìn)入下一步(如圖所示)
配置好后,點(diǎn)擊“next”然后點(diǎn)擊“install”即可安裝php。
當(dāng)php安裝完成后會(huì)自動(dòng)在iis的處理程序映射中增加一條fastcgi到php的映射關(guān)系(如圖所示)
安裝完成后,我們還是需要測(cè)試一下,打開剛才新建的網(wǎng)站目錄,新建一個(gè)test.php文件,用記事本打開,輸入
<?php
echo phpinfo();
?>
保存退出,再?gòu)臑g覽器中訪問http://127.0.0.1/test.php
顯示出php信息,說明php環(huán)境安裝成功。
3. 安裝isapi_urlwriter ISAPI擴(kuò)展組件
isapi_urlwriter ISAPI擴(kuò)展組件主要用來做地址重寫,重寫后的虛擬靜態(tài)地址對(duì)搜索引擎更友好。先將ISAPI_Rewrite3安裝包解壓到指定的文件目錄中,然后雙擊iis的ISAPI篩選器配置項(xiàng),進(jìn)入網(wǎng)站ISAPI組件配置窗口,點(diǎn)擊添加按鈕,在彈出的窗口中選擇ISAPI_Rewrite3解壓目錄中的ISAPI_Rewrite.dll文件為可執(zhí)行文件并確定。(如圖所示)
ISAPI_Rewrite3組件是一個(gè)32位的程序,因此在64位操作系統(tǒng)應(yīng)用池進(jìn)程下默認(rèn)不工作,因此需要在網(wǎng)站所屬應(yīng)用進(jìn)程池的高級(jí)設(shè)置中將進(jìn)程池設(shè)置為32位兼容(如圖所示)
下載mysql(http://www.mysql.com),安裝過程比較簡(jiǎn)單,首先配置路徑,然后選擇安裝選項(xiàng),一般采用默認(rèn)安裝的方式,之后會(huì)進(jìn)入一個(gè)配置向?qū)Ы缑妫ㄈ鐖D所示)
連續(xù)下一步,需要選擇配置方式,這里選擇配置方式,我們需要手動(dòng)配置,所以選擇detailed configuration,然后點(diǎn)擊“下一步”(如圖所示)
這里需要選擇服務(wù)器類型,如果是開發(fā)用的測(cè)試環(huán)境,選擇developer Machine ,如果是服務(wù)器用,則選擇Server Machine,當(dāng)然單一用途的服務(wù)器還可以選擇dedicated mysql server machine。選擇好后進(jìn)入下一步(如圖所示)
接下來是選擇服務(wù)器使用,第一個(gè)是多功能數(shù)據(jù)庫(kù),可以使用 InnoDB engine和MyISAM engine。第二個(gè)選項(xiàng),它的性能偏向于InnoDB,但是同時(shí)支持MyISAM engine。第三個(gè)選項(xiàng)是偏向于分析功能的MyISAM。至于這三個(gè)選項(xiàng)有什么區(qū)別,其實(shí)只要知道,MyISAM類型的數(shù)據(jù)庫(kù)引擎可以為php提供強(qiáng)大的檢索和分析功能。InnoDB的性能則偏重于存儲(chǔ)。
所以如果只做web服務(wù)器的話選擇第三項(xiàng)即可,如果是有其它用途,建議選擇第一項(xiàng)。
下一步需要選擇服務(wù)器上的連接數(shù)量,這里如果是測(cè)試用的小服務(wù)器可以選擇最少的第一項(xiàng),如果是流量巨大的網(wǎng)站,需要選擇第二項(xiàng),或者第三項(xiàng)自行填寫。
之后是網(wǎng)絡(luò)連接的選項(xiàng),“enable TCP/IP Networking”可以按照需求來選擇,如果不做集群的話可以把勾去掉,如果是在內(nèi)網(wǎng)環(huán)境,不為mysql做路由規(guī)則是完全可以打開此項(xiàng)的。可以直接添加一個(gè)防火墻例外給3306端口。端口號(hào)可以選擇,但是推薦默認(rèn)的3306。
還有一項(xiàng)是是否開啟嚴(yán)謹(jǐn)模式,此項(xiàng)推薦勾選(如圖所示)
點(diǎn)擊下一步,選擇默認(rèn)字符集,這里選擇自定義的utf8字符集(如圖所示)
進(jìn)入下一步,需要設(shè)定windows選項(xiàng),這里推薦安裝windows服務(wù),并且自動(dòng)啟動(dòng)。第二個(gè)選項(xiàng),如果有必要,可以選擇添加一個(gè)環(huán)境變量,可以方便命令行指向。(如圖所示)
配置好后,進(jìn)入下一步,需要為root用戶設(shè)定密碼,請(qǐng)?jiān)O(shè)置一個(gè)比較復(fù)雜的密碼以增加安全性,另外請(qǐng)牢記自己設(shè)置的密碼,否則遺忘了后需要重置密碼十分麻煩。還有一個(gè)是否允許root用戶從遠(yuǎn)程登錄的選項(xiàng),此處最好不勾選,否則安全性將會(huì)降低。
到此配置就全部結(jié)束了,點(diǎn)擊下一步,會(huì)出現(xiàn)安裝總結(jié),點(diǎn)擊“execute”執(zhí)行安裝即可。
安裝成功后,我們依然需要對(duì)此進(jìn)行測(cè)試。
在網(wǎng)站中新建一個(gè)測(cè)試php文件test.php,我們使用pdo鏈接mysql作為測(cè)試。
輸入
<?php
$db=new PDO("mysql:host=localhost;dbname=test","root","剛才設(shè)置的密碼");
if ($db)
{
echo "ok";
}
?>
訪問http://localhost/test.php,如果屏幕上打印出了ok,表示mysql安裝成功。
1. 安全軟件
一款好的安全軟件能有效防御來自計(jì)算機(jī)病毒、惡意軟件和木馬的威脅,但能用于服務(wù)器的安全軟件并不多,其中大部分都是收費(fèi)的,平常個(gè)人所用的金山毒霸和360等不能安裝到windows server系列的服務(wù)器操作系統(tǒng)上,但他們都有相應(yīng)的服務(wù)器版本并且提供免費(fèi)升級(jí),在他們的官網(wǎng)上面都能夠找到。
2. 防火墻
合理的配置好防火墻能有效的阻止各種惡意入侵,因?yàn)楦鞣N網(wǎng)絡(luò)入侵都是通過相應(yīng)的網(wǎng)絡(luò)端口完成的。網(wǎng)絡(luò)端口是服務(wù)器上的各種網(wǎng)絡(luò)服務(wù)開啟的,他們對(duì)外提供各種網(wǎng)絡(luò)服務(wù),如http、ftp、smtp等。自己的服務(wù)器上需要提供哪些網(wǎng)絡(luò)服務(wù)就只開啟這些服務(wù)的相應(yīng)端口,如服務(wù)器上提供網(wǎng)站服務(wù),就需要開啟http的80端口,如需要提供ftp服務(wù)就要開啟21端口;有些網(wǎng)絡(luò)服務(wù)不需要對(duì)外提供服務(wù)就不應(yīng)該開啟,如sql server數(shù)據(jù)庫(kù)不需要對(duì)外提供服務(wù),就應(yīng)該在防火墻中關(guān)閉掉1433端口。
Windows sever 2003和2008都自帶防火墻,其實(shí)能簡(jiǎn)單有效的利用這些自帶的防火墻就能有效的完成端口的開閉管理。
l Windows server 2003服務(wù)器防火墻配置
1) 鼠標(biāo)右鍵單擊“網(wǎng)上鄰居”,選擇“屬性”。
2) 然后鼠標(biāo)右鍵單擊“本地連接”,選擇“屬性”。如圖選擇“高級(jí)”選項(xiàng),選中“Internet連接防火墻”,確定后防火墻即起了作用。
3) 點(diǎn)擊“設(shè)置(G)...”按鈕可進(jìn)行高級(jí)設(shè)置。其中列出了可用的網(wǎng)絡(luò)服務(wù),選中后允許其打開網(wǎng)絡(luò)端口并通信,反之則關(guān)閉其網(wǎng)絡(luò)通信;單擊“添加”則可以增加網(wǎng)絡(luò)服務(wù)或打開指定的網(wǎng)絡(luò)端口
l Windows server 2008服務(wù)器防火墻配置
1) 在控制面板中打開網(wǎng)絡(luò)和共享中心
2) 點(diǎn)擊“windows防火墻”彈出防火墻配置窗口,在此窗口中要確認(rèn)防火墻服務(wù)已經(jīng)開啟
3) 單擊“允許程序或功能通過Windows防火墻”彈出網(wǎng)絡(luò)服務(wù)端口配置窗口,在此窗口中可以選擇允許打開端口并通信的網(wǎng)絡(luò)服務(wù),單擊“允許運(yùn)行另一程序”來自定義開啟某一網(wǎng)絡(luò)服務(wù)或端口
3. 用戶管理
系統(tǒng)中用戶的數(shù)量能越少越好,并且每個(gè)用戶都被用于特定的功能,如可以新建一個(gè)專門用于對(duì)網(wǎng)站進(jìn)行匿名授權(quán)的賬戶(如條件允許,可以為每個(gè)網(wǎng)站新建一個(gè)獨(dú)立的賬戶進(jìn)行分別授權(quán),這些能夠隔離開各網(wǎng)站的授權(quán),提高各網(wǎng)站的安全性,不至于一個(gè)網(wǎng)站被入侵后能夠有權(quán)限訪問到其它網(wǎng)站的文件目錄)。另外最重要的一點(diǎn)是要為每個(gè)賬戶設(shè)置一個(gè)獨(dú)立且復(fù)雜的密碼,防止賬戶密碼被猜解和窮舉。
4. 文件系統(tǒng)權(quán)限管理
l C盤只給administrators 和system權(quán)限,其他的權(quán)限不給,其他的盤也可以這樣設(shè)置,這里給的system權(quán)限也不一定需要給,只是由于某些第三方應(yīng)用程序是以服務(wù)形式啟動(dòng)的,需要加上這個(gè)用戶,否則造成啟動(dòng)不了。
l Windows目錄要加上給users的默認(rèn)權(quán)限,否則ASP和ASPX等應(yīng)用程序就無法運(yùn)行。其實(shí)沒有必要單獨(dú)設(shè)置Instsrv和temp等目錄權(quán)限。
l 另外在c:/Documents and Settings/這里相當(dāng)重要,后面的目錄里的權(quán)限根本不會(huì)繼承從前的設(shè)置,如果僅僅只是設(shè)置了C盤給administrators權(quán)限,而在All Users/Application Data目錄下會(huì) 出現(xiàn)everyone用戶有完全控制權(quán)限,這樣入侵這可以跳轉(zhuǎn)到這個(gè)目錄,寫入腳本或只文件,再結(jié)合其他漏洞來提升權(quán)限;
譬如利用serv-u的本地溢出提升權(quán)限,或系統(tǒng)遺漏有補(bǔ)丁,數(shù)據(jù)庫(kù)的弱點(diǎn),甚至社會(huì)工程學(xué)等等N多方法,在用做web/ftp服務(wù)器的系統(tǒng)里,建議是將這些目錄都設(shè)置的鎖死。其他每個(gè)盤的目錄都按照這樣設(shè)置,每個(gè)盤都只給adinistrators權(quán)限。
另外,還將:
net.exe
cmd.exe
tftp.exe
netstat.exe
regedit.exe
at.exe
attrib.exe
cacls.exe
format.exe
這些文件都設(shè)置只允許administrators訪問。
l 網(wǎng)站的目錄最好獨(dú)立到一個(gè)磁盤中,新建一個(gè)為網(wǎng)站匿名訪問而獨(dú)立授權(quán)的賬戶,讓此賬戶可以訪問和編輯此目錄,移除其它不必要的賬戶對(duì)此目錄的訪問權(quán)限,能有效防止網(wǎng)站被入侵后從而涉及到整個(gè)系統(tǒng)被控制
1. 定期運(yùn)行安全軟件進(jìn)行快速掃描
定期運(yùn)行一下安全軟件,可以看到安全軟件的引擎或病毒庫(kù)是否已經(jīng)更新到了最新版本,如果沒有可以即時(shí)查找原因,看是否是安全軟件未運(yùn)行、升級(jí)端口被禁用或其它原因,雖然安全軟件可以在后臺(tái)即時(shí)掃描各種文件操作,以防止病毒入侵,但有些惡意軟件、流氓軟件或插件則不是實(shí)時(shí)防護(hù)的,雖然這些軟件不會(huì)造成服務(wù)器宕機(jī),但也會(huì)影響服務(wù)器性能。
2. 定期檢查防火墻端口配置
隨著服務(wù)器上的網(wǎng)絡(luò)服務(wù)越來越多,需要打開的網(wǎng)絡(luò)端口也越來越多,但有些端口是不需要開放的,例如你安裝了一個(gè)數(shù)據(jù)庫(kù)軟件(mysql、oracle等),這些數(shù)據(jù)庫(kù)服務(wù)很可能只需要在你服務(wù)器的內(nèi)部訪問,就完全沒有必要讓其通過防火墻,這樣能夠提高服務(wù)器的安全,服務(wù)器對(duì)外提供的端口越少越好;
雖然在安裝網(wǎng)絡(luò)服務(wù)的過程中,防火墻會(huì)提示你有網(wǎng)絡(luò)端口正在打開,是否允許通過防火墻,但有些管理員沒有細(xì)心看提示,直接就同意了,造成了大量沒有必要打開的網(wǎng)絡(luò)端口被打開了,特別是一些木馬或惡意軟件會(huì)混水摸魚,偽裝提示信息來誘騙管理員打開網(wǎng)絡(luò)端口,造成大量的安全隱患。進(jìn)入防火墻配置界面,選擇相應(yīng)的端口或網(wǎng)絡(luò)服務(wù),點(diǎn)擊“詳細(xì)信息”則可以看到此項(xiàng)應(yīng)用的詳細(xì)信息,根據(jù)這些信息來判斷其是否應(yīng)該開啟這個(gè)端口。
3. 任務(wù)管理器中觀察有無可疑進(jìn)程,了解系統(tǒng)資源使用情況
任務(wù)管理器可以簡(jiǎn)單并快速的了解服務(wù)系統(tǒng)資源的使用情況,并即時(shí)查看系統(tǒng)運(yùn)行的進(jìn)程和他們占用的系統(tǒng)資源,根據(jù)服務(wù)器上已開啟的各種應(yīng)用的服務(wù)來判斷哪些進(jìn)程是非法的,哪些進(jìn)程占用的系統(tǒng)資源過多。了解到這些信息后就可以即時(shí)的對(duì)服務(wù)器進(jìn)行調(diào)整,特別是占用資源過多的進(jìn)程進(jìn)行分析,看是否有什么異常并即時(shí)進(jìn)行調(diào)整。
l 觀察系統(tǒng)進(jìn)程,并自定義進(jìn)程屬性
l 查看網(wǎng)絡(luò)使用情況
l 查看系統(tǒng)資源使用情況
4. 檢查IIS,了解網(wǎng)站安裝情況
隨時(shí)了解服務(wù)器上網(wǎng)站的安裝狀況,并做以下檢查:
l 看各個(gè)網(wǎng)站定義的主機(jī)頭是否異常
l 綁定的域名是否完整
l 主目錄設(shè)置是正確
l 用戶權(quán)限設(shè)置是否合理
l 查看IIS的應(yīng)用程序池設(shè)置是否合理,每個(gè)池下面托管的網(wǎng)站是否過多,是否需要設(shè)置新的應(yīng)用池,是否有多余的應(yīng)用池可以刪除。
5. 查看系統(tǒng)日志,仔細(xì)檢查錯(cuò)誤、警告日志發(fā)生的原因,并急時(shí)修復(fù)相應(yīng)的問題。
6. 檢查系統(tǒng)用戶,查看有無多余,可疑用戶賬戶,查看每個(gè)賬戶所屬的用戶組,特別是administrators組下面的用戶。服務(wù)器被入侵時(shí)會(huì)出現(xiàn)一些欺騙性的賬戶并被加入到administrators組中,特別留心新建的多余賬戶,弄清這些賬戶的用途,如果發(fā)現(xiàn)是入侵者建立的賬戶,要即時(shí)查找賬戶是被創(chuàng)建的原因,并修復(fù)相應(yīng)的漏洞。
7. 檢查文件系統(tǒng),確保磁盤被合理分區(qū),各個(gè)分區(qū)應(yīng)該有各自的功能,如系統(tǒng)、數(shù)據(jù)庫(kù)、網(wǎng)站、備份等。各個(gè)分區(qū)的用戶授權(quán)是不相同的,如系統(tǒng)、備份等不需要網(wǎng)站的專門授權(quán)賬戶訪問,數(shù)據(jù)庫(kù)分區(qū)需要對(duì)數(shù)據(jù)庫(kù)賬戶進(jìn)行單獨(dú)的授權(quán)等。既然規(guī)劃好了文件分區(qū)和功能,并進(jìn)行了相應(yīng)的授權(quán),就要防止文件被亂放,以免造成安全隱患。
還要經(jīng)常檢查各種新建的文件夾和文件(特別是來歷不明,名稱畸形的隱藏文件夾和文件)這些都有可能是入侵者留下的入侵痕跡。
8. 清除垃圾文件,隨時(shí)系統(tǒng)運(yùn)行時(shí)間的增加,會(huì)產(chǎn)生很多的臨時(shí)文件和日志文件,占用寶貴的磁盤資源,如果磁盤的可用空間過?。ㄌ貏e是系統(tǒng)盤)還會(huì)影響服務(wù)器性能。
l 臨時(shí)文件(安裝程序、系統(tǒng)升級(jí)、應(yīng)用程序等產(chǎn)生的)產(chǎn)生的,主要在系統(tǒng)盤,可以看哪些文件夾的體積異常大,可分析其內(nèi)部文件,確認(rèn)是臨時(shí)文件后將其刪除
l 日志文件,主要是IIS產(chǎn)生的,這些日志文件對(duì)于查看網(wǎng)站運(yùn)行狀態(tài)、訪問歷史很有用,但日志有時(shí)效性,如果超過其三個(gè)月就沒有什么用處了,但它會(huì)占用大量的磁盤空間,所以需要定期將其刪除。
9. 定期檢查磁盤狀態(tài)并進(jìn)行碎片整理,隨著系統(tǒng)運(yùn)行時(shí)間的增長(zhǎng),特別是大量的IO操作后,磁盤上會(huì)產(chǎn)生大量的文件碎片,這些碎片過多則會(huì)嚴(yán)重影響服務(wù)器性能,所以定期(建議一個(gè)月)進(jìn)行磁盤碎片檢查,如果系統(tǒng)提醒需要進(jìn)行碎片整理,則進(jìn)行整理。
10. 及時(shí)升級(jí)操作系統(tǒng)補(bǔ)丁,操作系統(tǒng)有各種大量的補(bǔ)丁,特別是一些重要的安全補(bǔ)丁需要即時(shí)升級(jí),這樣會(huì)有效防止黑客和病毒入侵。
11. 及時(shí)備份重要的文件、應(yīng)用、數(shù)據(jù)庫(kù)。備份分為本地備份和異地備份,有條件的可以進(jìn)行異地備份,備份是為了以防萬一,當(dāng)數(shù)據(jù)丟失或應(yīng)用損壞時(shí),備份就是救命稻草,因此合理的備份計(jì)劃是非常有必要的。
12. 不要隨意下載安裝來歷不明的軟件,特別是需要連接網(wǎng)絡(luò)或需要打開端口的。現(xiàn)在網(wǎng)上許多的程序都內(nèi)置有木馬或惡意程序,所以不要下載和安裝網(wǎng)上的不明軟件,特別是一些小網(wǎng)站的。
贊
10
有一點(diǎn)幫助
0
沒有幫助
參與評(píng)論