mysql服务器端按照显示无权限安装_菜鸟完整配置服务器流程及权限设置

最新推荐文章于 2022-07-07 03:46:34 发布

weixin_39607240

最新推荐文章于 2022-07-07 03:46:34 发布

阅读量361

点赞数

文章标签： mysql服务器端按照显示无权限安装

本文链接：https://blog.csdn.net/weixin_39607240/article/details/113613699

版权

本人是一菜鸟，虽然刚刚接触网络，但是有点痴迷。最近因为网络环境允许自己搞台服务器，就选了WIN2003搭建服务器。

原以为网上教程还有落伍者的教程多的是，以为简单的很！哎，谁知道教程虽多，不是缺这个就是缺那个，有几个貌似很详细的(确实很详细)，竟然就漏拉那么一点点(比如PHP的一个文件)，到头来还是配置的出错，不知道是作者。。。还是其他原因，反正我在这上边耽误了很长时间，对咱们菜鸟们的成长造成了很坏的影响，呵呵，咱们可是未来胡联网的太阳呀！(有点远，不好意思)结果到今天整整7天了，才搞出点眉目，也许小弟过于愚笨，大家表笑话偶。

再就是本人写的虽然都是个人的肺腑之言，肯定也会引用一些高手的东东，请不要固执的以为有转贴或者是抄袭，因为已经有了的好东西咱们就得利用，咱们的目的是更完善，也希望斑竹给小的落个伍，小的敢有胆量发出来还不嘉奖下？不胜感激。

言归正传：本人以为，服务器的配置主要分两大块：1：底层环境的配置安装；2：组件安全、硬盘权限的分配、服务的处理等安全问题处理。

一、先来底层环境的安装吧：

注意事项：

1、大家一定注意下php配置的时候一定要将 php4ts.dll 文件复制到windows文件夹内，否则会出现 seaver ..的故障(本人耽误了好长时间，真郁闷)下面教程内没写这点，估计是漏了

对了，底层环境安装，小勤哥哥刚教的我，我就不再码字了咱们直接看他说的吧(非常全面，但大家要注意我上边提到的注意事项啊，找到的唯一缺点，叫咱们菜鸟不转都没理由)：; 引用一下(先谢谢小勤哥哥)

二、是安全设置，这是最重要的：

先分一下(1)、组件和服务安全(2)、硬盘权限(3)、IIS权限(4)、PHP、MYSQL、ZEND的安全和权限 ASP的防马

(一)、组件和服务安全：本地安全策略设置

开始菜单—>管理工具—>本地安全策略

A、本地策略——>审核策略

审核策略更改成功失败

审核登录事件成功失败

审核对象访问失败

审核过程跟踪无审核

审核目录服务访问失败

审核特权使用失败

审核系统事件成功失败

审核账户登录事件成功失败

审核账户管理成功失败

B、本地策略——>用户权限分配

关闭系统：只有Administrators组、其它全部删除。

通过终端服务允许登陆：只加入Administrators,Remote Desktop Users组，其他全部删除

C、本地策略——>安全选项

交互式登陆：不显示上次的用户名启用

网络访问：不允许SAM帐户和共享的匿名枚举启用

网络访问：不允许为网络身份验证储存凭证启用

网络访问：可匿名访问的共享全部删除

网络访问：可匿名访问的命全部删除

网络访问：可远程访问的注册表路径全部删除

网络访问：可远程访问的注册表路径和子路径全部删除

帐户：重命名来宾帐户重命名一个帐户 (可以停掉他)

帐户：重命名系统管理员帐户重命名一个帐户 (再建一个假的，无权限的，搞个超级密码，嘿嘿)

D、禁用不必要的服务开始-运行-services.msc

TCP/IPNetBIOS Helper提供 TCP/IP 服务上的 NetBIOS 和网络上客户端的 NetBIOS 名称解析的支持而使用户能够共享

文件、打印和登录到网络

Server支持此计算机通过网络的文件、打印、和命名管道共享

Computer Browser 维护网络上计算机的最新列表以及提供这个列表

Task scheduler 允许程序在指定时间运行

Messenger 传输客户端和服务器之间的 NET SEND 和警报器服务消息

Distributed File System: 局域网管理共享文件，不需要可禁用(我是不需要啊，呵呵禁了)

Distributed linktracking client：用于局域网更新连接信息，不需要可禁用 (我是不需要啊，呵呵禁了)

Error reporting service：禁止发送错误报告

Microsoft Serch：提供快速的单词搜索，不需要可禁用 (我是不需要啊，呵呵禁了)

NTLMSecuritysupportprovide：telnet服务和Microsoft Serch用的，不需要可禁用 (我是不需要啊，呵呵禁了)

PrintSpooler：如果没有打印机可禁用

Remote Registry：禁止远程修改注册表

Remote Desktop Help Session Manager：禁止远程协助

Workstation 关闭的话远程NET命令列不出用户组

以上是在Windows Server 2003 系统上面默认启动的服务中禁用的，默认禁用的服务如没特别需要的话不要启动。

E：组件安全

卸载不安全阻件，要不万一中了马儿，就。。。

在cmd窗口运行以下命令：

regsvr32/u d:\WINNT\System32\wshom.ocx

ren d:\WINNT\System32\wshom.ocx fu.ocx

regsvr32/u d:\WINNT\system32\shell32.dll

ren d:\WINNT\system32\shell32.dll fu.dll

即可将WScript.Shell, Shell.application, WScript.Network组件卸载，可有效防止asp木马通过wscript或shell.application执行命令以及使用木马查看一些系统敏感信息。

F、其他

1、Serv-u安全问题：

Serv-U安全配置

A、首先请保持合用Serv-U的最新版本。然后在安装Serv-U的时候尽量不要选择默认的安装目录，比如俺将Serv-U 安装在D:\Pro_LeeBolin^_^\Serv-U#$2008$\...(因为这样复杂的目录名可防止Hacker的猜解)

B、然后将Serv-U取消MDTM命令的执行，修改Serv-U FTP Banner并开启好Serv-U的FTP日志保存到非系统盘，日志选择记录好Serv-U命名用了那些命令与DLL，并为Serv-U设置一个强壮的本地管理密码(因提权多是因为Serv-U的默认管理员：LocalAdministrator，默认密码：#l@$ak#.lk;0@P所造成的，呵呵 $_$)，你还可以选择将Serv-U的FTP账户信息保存到注册表，不要存在Serv-U目录下的ini文中，这样更加安全。

C、我们再开启"计算机管理"新建一个用户Serv-UAdmin,设置好密码。将用户退出Users组，不加入任何组。并在用户的“终端服务配置文件”选项里取消“允许登录到终端服务器。并且禁止Serv-UAdmin用户的本地登陆。进入控制面板 -> 管理工具 -> 本地安全策略 -> 本地策略 -> 用户权利指派 -> 拒绝本地登陆。(备注：这个用户我们将它来作为俺们Serv-U的服务运行账号，嘿嘿)

D、开始运行"Services.msc"打开win的服务管理器，找开Serv-U Ftp Server的Serv-U服务;打开“登陆”对话框。当前默认的为“本地系统帐户”。我们将其修改为我们在3中新建的Serv-UAdmin用户，并输入密码。

E、下面的工作就是设置Serv-U的运行与FTP目录的ACLs权限了:

①C:\Documents and Settings\Serv-UAdmin 目录加入Serv-UAdmin的权限，允许读取与写入..

②D:\Pro_LeeBolin^_^\Serv-U#$2008$\Serv-U的安装目录加入Serv-UAdmin的权限，允许读取与运行。(如果选择了账户保存在ini文件的话，这里就需要增加修改与删除权限，因增删FTP账户时需要删改权才成，否则不能增删FTP账户哟^_^)

③如果Serv-U账户选择存在注册表的话。运行regedt32.exe,打开注册表编辑器。找到[HKEY_LOCAL_MACHINE\ SOFTWARE\Cat Soft]分支。在上面点右键，选择权限，然后点高级，取消允许父项的继承权限传播到该对象和所有子对象，删除除admins外的所有的账号。仅添加 Serv-UAdmin账号到该子键的权限列表，并给予完全控制权限。(如果选择了账户信息保存在ini文件中的话可略过此步。)

④现在就来设置WEB目录的ACLs了，比如我的虚拟主机总目录为E:\Leebolin$(%\wwwroot;那么我们将此WEB目录加入 Serv-UAdmin账号的权限即可，这样FTP就可以访问我们的WEB目录进行上传下载了，呵.(由于Serv-U并没有以system运行，所以这里只存留admins与serv-uadmin的权限就OK了。)

⑥如果是asp/php/html脚本的话，WEB目录只需要admins & serv-uadmin & IUSR_XX即可(这里的IUSR_XX是指站点的匿名单用户账号...

F、到目前为止，我们的Serv-U已经简单的做到了防提权，防溢出了。为什么呢？因为能常远程溢出overflow的话，都是通过得一shell 而进行进一步的hacking，而我们现在的Serv-U不是以system运行，所以即使执行了overflow指命，也并不能得到什么...防提权就不用我解释了：因为我们的Serv-Uadmin没有任何系统级的ACLs访问权限..

G、修改3389远程连接端口

修改注册表.

开始--运行--regedit

依次展开 HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/

TERMINAL SERVER/WDS/RDPWD/TDS/TCP

右边键值中 PortNumber 改为你想用的端口号.注意使用十进制(例 10000 )

HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/TERMINAL SERVER/

WINSTATIONS/RDP-TCP/

右边键值中 PortNumber 改为你想用的端口号.注意使用十进制(例 10000 )

注意：别忘了在WINDOWS2003自带的防火墙给+上修改后端口号

修改完毕.重新启动服务器.设置生效.

2、禁止C$、D$一类的缺省共享

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters

AutoShareServer、REG_DWORD、0x0

3、禁止ADMIN$缺省共享

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters

AutoShareWks、REG_DWORD、0x0

4、限制IPC$缺省共享

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

restrictanonymous REG_DWORD 0 缺省

1 匿名用户无法列举本机用户列表

2 匿名用户无法连接本机IPC$共享

说明:不建议使用2，否则可能会造成你的一些服务无法启动，如SQL Server

5、在Terminal Service Configration(远程服务配置)-权限-高级中配置安全审核，一般来说只要记录登录、注销事件就可以了。

6、解除NetBios与TCP/IP协议的绑定

控制面版——网络——绑定——NetBios接口——禁用 2000：控制面版——网络和拨号连接——本地网络——属性——TCP/IP——属性——高级——WINS——禁用TCP/IP上的NETBIOS

7、在网络连接的协议里启用TCP/IP筛选，仅开放必要的端口(如80)

8、通过更改注册表Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous = 1来禁止139空连接

9、修改数据包的生存时间(TTL)值