新服务器安装好后安全加固 怎么进行服务器安全加固

Windows 的服务器安全加固方案

因为IIS(即Internet Information Server)的方便性和易用性，使它成为最受欢迎的Web服务器软件之一。但是，IIS的安全性却一直令人担忧。如何利用IIS建立一个安全的Web服务器，是很多人关心的话题。要创建一个安全可靠的Web服务器，必须要实现Windows 2003和IIS的双重安全，因为IIS的用户同时也是Windows 2003的用户，并且IIS目录的权限依赖Windows的NTFS文件系统的权限控制，所以保护IIS安全的`第一步就是确保Windows 2000操作系统的安全，所以要对服务器进行安全加固，以免遭到黑客的攻击，造成严重的后果。

为高州等地区用户提供了全套网页设计制作服务，及高州网站建设行业解决方案。主营业务为成都网站建设、成都网站设计、高州网站设计，以传统方式定制建设网站，并提供域名空间备案等一条龙服务，秉承以专业、用心的态度为用户提供真诚的服务。我们深信只要达到每一位用户的要求，就会得到认可，从而选择与我们长期合作。这样，我们也可以走得更远！

我们通过以下几个方面对您的系统进行安全加固：

1. 系统的安全加固：我们通过配置目录权限，系统安全策略，协议栈加强，系统服务和访问控制加固您的系统，整体提高服务器的安全性。

2. IIS手工加固：手工加固iis可以有效的提高iweb站点的安全性，合理分配用户权限，配置相应的安全策略，有效的防止iis用户溢出提权。

3. 系统应用程序加固，提供应用程序的安全性，例如sql的安全配置以及服务器应用软件的安全加固。

系统的安全加固：

1.目录权限的配置：

1.1 除系统所在分区之外的所有分区都赋予Administrators和SYSTEM有完全控制权，之后再对其下的子目录作单独的目录权限，如果WEB站点目录，你要为其目录权限分配一个与之对应的匿名访问帐号并赋予它有修改权限，如果想使网站更加坚固，可以分配只读权限并对特殊的目录作可写权限。

1.2 系统所在分区下的根目录都要设置为不继承父权限，之后为该分区只赋予Administrators和SYSTEM有完全控制权。

1.3 因为服务器只有管理员有本地登录权限，所在要配置Documents and Settings这个目录权限只保留Administrators和SYSTEM有完全控制权，其下的子目录同样。另外还有一个隐藏目录也需要同样操作。因为如果你安装有PCAnyWhere那么他的的配置信息都保存在其下，使用webshell或FSO可以轻松的调取这个配置文件。

1.4 配置Program files目录，为Common Files目录之外的所有目录赋予Administrators和SYSTEM有完全控制权。

1.5 配置Windows目录，其实这一块主要是根据自身的情况如果使用默认的安全设置也是可行的，不过还是应该进入SYSTEM32目录下，将 cmd.exe、、net.exe、scrrun.dll、shell.dll这些杀手锏程序赋予匿名帐号拒绝访问。

1.6审核MetBase.bin，C:WINNTsystem32inetsrv目录只有administrator只允许Administrator用户读写。

2.组策略配置:

在用户权利指派下，从通过网络访问此计算机中删除Power Users和Backup Operators;

启用不允许匿名访问SAM帐号和共享;

启用不允许为网络验证存储凭据或Passport;

从文件共享中删除允许匿名登录的DFS$和COMCFG;

启用交互登录：不显示上次的用户名;

启用在下一次密码变更时不存储LANMAN哈希值;

禁止IIS匿名用户在本地登录;

3.本地安全策略设置:

开始菜单—管理工具—本地安全策略

A、本地策略——审核策略

审核策略更改 成功 失败

审核登录事件 成功 失败

审核对象访问失败

审核过程跟踪 无审核

审核目录服务访问失败

审核特权使用失败

审核系统事件 成功 失败

审核账户登录事件 成功 失败

审核账户管理 成功 失败

注：在设置审核登陆事件时选择记失败，这样在事件查看器里的安全日志就会记录登陆失败的信息。

为保证服务器的安全，应从哪些方面对自己的系统进行加固

1、明确加固目标

明确加固和优化后的系统所要达到的安全级别。

2、明确系统运行状况

系统运行的用途，系统正常运行所需要的服务，从网络扫描和人工评估中收集系统运行状况。

3、明确加固风险

风险包括停机、应用不能正常使用、系统被破坏无法使用。

4、系统备份

备份包括文件系统、关键数据、配置信息、口令、用户权限等内容。

如何对主机加固，服务器安全？

主机加固是给服务器上一把锁，业务系统的服务器都很脆弱，即使装了杀毒软件，部署了防火墙，并定时打补丁，但仍然会有各种风险，各种中毒，各种被入侵，核心数据还是会被偷窥、被破坏、被篡改、被偷走。所以要对服务器加固。

推荐使用MCK云私钥，服务器安全加固系统，重新定义操作系统各模块的功能，构建独立的身份鉴别体系，在当杀毒软件、防火墙都不起作用时，仍然能顽强的对核心数据进行保护，防止木马病毒入侵，防止核心数据被偷窥、被破坏、被篡改、被偷走！

服务器安全加固 - Linux

查看 /etc/passwd 文件查看是否有无用的账号，如果存在则删除，降低安全风险。

操作步骤：

操作步骤：

操作步骤

操作步骤

使用命令 vim /etc/pam.d/su 修改配置文件，在配置文件中添加行。

例如，只允许admin组用户su到root，则添加 auth required pam_wheel.so group=admin 。

【可选】为了方便操作，可配置admin支持免密sudo：在 /etc/sudoers 文件中添加 admin ALL=(ALL) NOPASSWD:ALL

为了防止使用"su"命令将当前用户环境变量带入其它用户，修改/etc/login.defs添加ALWAYS_SET_PATH=yes并保存。

操作步骤

操作步骤：

查看所有服务列表 systemctl list-units --type=service

操作步骤

使用命令 vim /etc/ssh/sshd_config 编辑配置文件。

配置文件修改完成后，重启sshd服务生效（systemctl restart sshd）。

操作步骤

修改/etc/profile 配置文件，添加行 umask 027 ， 即新创建的文件属主拥有读写执行权限，同组用户拥有读和执行权限，其他用户无权限。

操作步骤

修改 /etc/profile 配置文件，设置为 TMOUT=600， 表示超时10分钟无操作自动退出登录。

操作步骤

Linux系统默认启用以下类型日志，配置文件为 /etc/rsyslog.conf：

通过上述步骤，可以在 /var/log/history 目录下以每个用户为名新建一个文件夹，每次用户退出后都会产生以用户名、登录IP、时间的日志文件，包含此用户本次的所有操作（root用户除外）

服务器安全加固 - Linux - wubolive - 博客园