人说,一朝被蛇咬,十年怕.....。就是这样。2000年初,当我终于摆脱winnt 4.0 server那可怕的补
丁之旅,迈向win2000 server时。我终于可以比较放心我的服务器了。但随着sp1的补丁出现。我知道,
与微软的补丁因缘又开始轮回了。但还好。win2000自动化的管理还是让我放心好多,而以前管理winnt后
的失眠症状也逐渐消失了。偶尔还能见到我的“梦”老弟。但这一切都伴随者同bigeagle的一次知心交谈
中付之东流了。一次。bigeagle发来qq。给我看了一段代码。我一看就知道这不是bigeagle写的代码,那
么烂,不过有点熟悉。再一看。啊?!这不是我的数据库连接字符串吗!!GOD。顿时觉得有一种不祥的
预兆。不过还好,这个只是个access的,我还用了一些手段防止他被下载。但这足以让我长时间的失眠又
来了。(再次说明,bigeagle不是蛇,他是鹰)
二:安装过程中的IIS 与 asp安全防护。(这里只考虑是web服务器,而不是本地机子上的web开发平台。
)
接下来的几天有是几个难熬的日子。我开始重新部署win2000 web服务器的安全策略。
找到asp代码被泄漏的原因,原来。我的补丁每次打得都比较及时的。但一次因为卸载FTP时,重装了
IIS,而这之后,我并没有再打补丁而导致最新的漏洞web解析出错。(就是那个较新的漏洞 Translate
:f 用这个加上一些工具就可以看到asp的代码了。)
首先,开始重装IIS。
这次安装的策略就是安全,够用。去掉一些多余的东西。
一:FTP不要安装了,功能不好,还容易出错,并且漏洞很大。Ftp缺省传输密码的过程可是明文传送
,很容易被人截获。(可以考虑用第三方工具。)
二:一切实例、文档也不要安装了。这是在web服务器上,最好不要这些例子,事实证明可以从这些例
子站点突破IIS的防线的。
三:安装时选择站点目录,建议不要用缺省目录c:\inetpub,最好安装道不是系统盘的盘上。如:
d:\IISWEB,可以考虑自建目录。这样即使IIS被突破,也能尽可能的保护好系统文件了。 (未完待续)
|