由于Apache在Windows平台的广泛运用,我们不得不注重其安全设置。很多粗心的webmaster在自己管理的服务器上用apache搭建生产环境以默认方式安装。APACHE默认是以SYSTEM身份启动的,所以继承了SYSTEM的权限 。Apache本身是安全的。但是扩展其他运用后会导致安全隐患出现。
为此,我们需要做的就是给apache降权!何为“降权”?顾名思义,也就是降低apache服务的运行权限。
第一步:创建低权限用户
net user users tester/add
net localgroup users tester /del
net localgroup low_privilege /add
net localgroup low_privilege tester /add
ok.我们建立了一个属于低权限组low_privilege 的用户tester
第二步:低权限启动apache mysql(分两种配置时机:创建服务前,创建服务后)
先说后一种吧:创建服务前低权限启动
运行secpol.msc命令打开“本地安全策略”选择“用户权限分配”在右侧选择“作为服务登陆”然后添加apache用户。使新建的用户用作服务登陆
更改Apache服务器启动账户:运行services.msc命令打开服务管理器,打开Apache服务,找到登陆选项卡,在登陆身份中选择“此账户”然后输入上部所建立的apache账户和密码。为Apache服务指定用户运行
接下来为作为Apache服务登陆的账户apache设置访问权限,不然Apache是无法启动,具体操作也就是,赋予apache,mysql目录的读权限给low_privilege组,apache的logs目录,mysql的data目录的读写权限给low_privilege组,
再说后一种吧:创建服务后低权限启动
首先:假设apache的安装目录是E:/Program Files/Apache2.2 ,mysql的安装目录是E:/Program Files/mysql5.5
@sc create Apache2.2 binpath= "E:/Program Files/Apache2.2/bin/httpd.exe -k runservice" type= own start= demand depend= "Tcpip/Afd" error= normal displayname= Apache2.2.14 obj= ./tester password= fuckmicrosoft
@sc description Apache2.2 "Apache/2.2.14 (Win32)"
@sc create MySQL5.5 binpath= "E:/Program Files/mysql5.5/bin/mysqld --defaults-file=E:/AppServ/mysql-5.5.1-m2-win32/my.ini MySQL5.5" type= own start= demand error= normal displayname= MySQL5.5 obj= ./tester password= fuckmicrosoft
@sc description MySQL5.5 "MySQL5.5 (Win32)"
打开控制台(“开始”|“运行”中输入:MMC),“文件”菜单|“添加删除管理单元”|“添加...”|选“安全模板”|“关闭”。在“C:/Windows/Security/templates”节点上,右键“新建模板...”,在弹出的对话框中“模板名”中输入:new,确定。
打开“New|本地策略|用户权利指派”节点,在右侧的“作为服务器登录”中添加要赋予low_privilege组。打开“系统服务”节点,选择右面列表中的apache服务双击打开,打钩“在模板中定义次策略设置”,选择自动启动(或者手动),重要的是点击“编辑安全设置”,把apache服务的读写修改权限(除了删除权限)赋予low_privilege组。具体设置,见下图
然后,在“New”节点上单击右键,选“另存为...”保存到“C:/Sec.inf”。
建立批处理文档中输入:
@secedit configure /db secedit.sdb /cfg c:/Sec.inf
@RunDll32.exe USER32.DLL,UpdatePerUserSystemParameters
@gpupdate /force
ok,搞定。
333
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
