在配置过iis服务器后发现,如果要做到安全系数相对较高且对性能影响较小有点困难。而且配置过程中会出现一系列的权限划分问题或者其它类似情况。遂决定投好于Apache服务器。
WAMP(windows+apache+mysql+php),其在安全配置及服务器性能相比iis优越(我个人认为)。下面是具体的配置方案:
服务器安全配置(独立主机或VPS主机)
1、硬盘分区格式NTFS;
2、新建系统用户,将administrator禁用,将其它一切不相关的账号禁用,包括IIS的账号;
3、本地策略的设置,包括账户策略、登录策略、IP策略等。
具体内容参见Windows主机操作系统加固规范.pdf。
Apache+Mysql+PHP安装与安全配置
版本:httpd-2.2.22-win32-x86-openssl-0.9.8t+mysql5.5.22+php 5.3
假定系统盘为C盘,网站目录盘为D盘:
Mysql的安装;
下载指定版本的mysql软件,自定义安装路径到c:\mysql\,点下一步至安装结束,启动配置向导。其中应注意几点,一、给root账户设置较复杂的密码。二、更改数据库查询言为utf-8,默认为latin1。
打开c:\mysql\下的my.ini文件进行编辑。为提高安全,可port更改为其它端口。将datadir的值更改为d:\data\data。默认地址为c:\Documents and Settings\all usrs\mysql\data。将这个data剪切到c:\data目录下。这里应注意,先停止mysql才能移动。
注意:如果之前服务器安装过mysql。没有卸载干净的话,mysql安装无法启动或者会出现很多错误。
解决方案:
1、卸载刚才安装的mysql。搜索C盘下所有mysql的文件夹,全部删除;
2、进入注册表,循环按F3,搜索mysql字样的键及键值,全部删除;
3、在运行里面输入sc delete mysql;
4、重启服务器,再交安装就不会出错了。
PHP的安装与配置:
下载指定版本的php,并将其解压到c:\php目录下。将文件php.ini-recommended复制并且改名为php.ini,将php5ts.dll和libmysql.dll复制到c:\windows\system32目录下。然后找开php.ini进行编辑如下配置,将前面的注释符去掉:
将register_globals更改为OFF;
allow_url_include=off;
allow_url_open=off;
Display_errors=off,
log_errors=on;
Magic_quotes_gpc=off;
Session.cookie_httponly=1;
Session.cookie_secure=1;
upload_tmp_dir =”d:/temp/upload”;(此处将前面的分号去掉)
session.save_path=”d:/temp/session”;
error_log=”d:/temp/php-errors.log”;
最后三条请在D盘下建立d:\temp\upload,d:\temp\session;d:\temp\errors三个文件夹。
关于Magic_quotes_gpc=off;此处关闭是因为,有绕过方法,且此服务影响性。
Apache的安装配置
下载指定版,并安装到:d:\apache目录下,图我就不截了。安装方法一直点下一步就行了。
Apache默认是以system权限启动,所以我们要更改登录方式。
首先,新建一个用户如paxmac。将其加入guests组。
然后在运行里面输入services.msc,打开服务功能,找到apache2.2服务,点击暂停。然后点右键,属性,切换到登录选项卡。登录身份,选择刚才新建的paxmac用户,输入密码,点确定。此时,服务还不能启动,会出现错误的提示。那是因为apache启动时的账户类型已经变更,无权限。接下来就是配置apache的权限。
在管理工具里面找到本地安全设置。在本地策略里面点用户权限全配,并找到“作为服务登录”这个项,在里面添加刚才新建的paxmac账户进去,允许本地启动。
将所有盘的权限,都设置为system及administrators。删除其它所有账户的权限。接着,在C盘的安全选项里面添加paxmac的读取和运行,列出文件夹目录及读取权限。无写入和修改权限。
在d:盘添加paxmac的完全控制权限。此时再次点apache2.2的服务就可以正常启动了,此时apache还是无法解析php的文件。
设置apache的httpd.conf文件。打开d:\apache\conf\目录下的httpd.conf文件。
在最下面添加:
LoadModule php5_module ”c:/php/php5apache2_2.dll”
AddType application/x-httpd-ph .php
此时就可以支持php的解析了。
Apache的其它安全配置,为防止apache的解析漏洞。我们需要在配置文件里面加入:
<Files ~ ”\.(php.|php3.)”>
Order Allow,Deny
Deny from all
</Files>
就不会解析几个后缀的文件为php文件了。防止php.文件攻击。
Apache的多网站设置:
在httpd.conf的最后面,加入以下代码:
NameVirtualHost *:80
<VirtualHost *:80>
ServerName www.baidu.org //此处为需要的域名
DocumentRoot ”d:/baidu”//此处为网站路径
<Directory ”d:/baidu”>
Options FollowSymLinks //此处为防止目录浏览
DirectoryIndex index.html index.htm default.htm index.php default.php //解析设置
AllowOverride None //此处为忽略.htaccess文件,以防自定义解析攻击
Order Deny,Allow //此处检查是否设置访问权限
allow from all
php_admin_value open_basedir ”d:/baidu;d:/temp/uploadtemp;d:/temp/sessiontmp” //此处为限制网站可操作的目录
php_admin_value safe_mode On //使用安全模式
</Directory>
</VirtualHost>
WAMP(windows+apache+mysql+php),其在安全配置及服务器性能相比iis优越(我个人认为)。下面是具体的配置方案:
服务器安全配置(独立主机或VPS主机)
1、硬盘分区格式NTFS;
2、新建系统用户,将administrator禁用,将其它一切不相关的账号禁用,包括IIS的账号;
3、本地策略的设置,包括账户策略、登录策略、IP策略等。
具体内容参见Windows主机操作系统加固规范.pdf。
Apache+Mysql+PHP安装与安全配置
版本:httpd-2.2.22-win32-x86-openssl-0.9.8t+mysql5.5.22+php 5.3
假定系统盘为C盘,网站目录盘为D盘:
Mysql的安装;
下载指定版本的mysql软件,自定义安装路径到c:\mysql\,点下一步至安装结束,启动配置向导。其中应注意几点,一、给root账户设置较复杂的密码。二、更改数据库查询言为utf-8,默认为latin1。
打开c:\mysql\下的my.ini文件进行编辑。为提高安全,可port更改为其它端口。将datadir的值更改为d:\data\data。默认地址为c:\Documents and Settings\all usrs\mysql\data。将这个data剪切到c:\data目录下。这里应注意,先停止mysql才能移动。
注意:如果之前服务器安装过mysql。没有卸载干净的话,mysql安装无法启动或者会出现很多错误。
解决方案:
1、卸载刚才安装的mysql。搜索C盘下所有mysql的文件夹,全部删除;
2、进入注册表,循环按F3,搜索mysql字样的键及键值,全部删除;
3、在运行里面输入sc delete mysql;
4、重启服务器,再交安装就不会出错了。
PHP的安装与配置:
下载指定版本的php,并将其解压到c:\php目录下。将文件php.ini-recommended复制并且改名为php.ini,将php5ts.dll和libmysql.dll复制到c:\windows\system32目录下。然后找开php.ini进行编辑如下配置,将前面的注释符去掉:
将register_globals更改为OFF;
allow_url_include=off;
allow_url_open=off;
Display_errors=off,
log_errors=on;
Magic_quotes_gpc=off;
Session.cookie_httponly=1;
Session.cookie_secure=1;
upload_tmp_dir =”d:/temp/upload”;(此处将前面的分号去掉)
session.save_path=”d:/temp/session”;
error_log=”d:/temp/php-errors.log”;
最后三条请在D盘下建立d:\temp\upload,d:\temp\session;d:\temp\errors三个文件夹。
关于Magic_quotes_gpc=off;此处关闭是因为,有绕过方法,且此服务影响性。
Apache的安装配置
下载指定版,并安装到:d:\apache目录下,图我就不截了。安装方法一直点下一步就行了。
Apache默认是以system权限启动,所以我们要更改登录方式。
首先,新建一个用户如paxmac。将其加入guests组。
然后在运行里面输入services.msc,打开服务功能,找到apache2.2服务,点击暂停。然后点右键,属性,切换到登录选项卡。登录身份,选择刚才新建的paxmac用户,输入密码,点确定。此时,服务还不能启动,会出现错误的提示。那是因为apache启动时的账户类型已经变更,无权限。接下来就是配置apache的权限。
在管理工具里面找到本地安全设置。在本地策略里面点用户权限全配,并找到“作为服务登录”这个项,在里面添加刚才新建的paxmac账户进去,允许本地启动。
将所有盘的权限,都设置为system及administrators。删除其它所有账户的权限。接着,在C盘的安全选项里面添加paxmac的读取和运行,列出文件夹目录及读取权限。无写入和修改权限。
在d:盘添加paxmac的完全控制权限。此时再次点apache2.2的服务就可以正常启动了,此时apache还是无法解析php的文件。
设置apache的httpd.conf文件。打开d:\apache\conf\目录下的httpd.conf文件。
在最下面添加:
LoadModule php5_module ”c:/php/php5apache2_2.dll”
AddType application/x-httpd-ph .php
此时就可以支持php的解析了。
Apache的其它安全配置,为防止apache的解析漏洞。我们需要在配置文件里面加入:
<Files ~ ”\.(php.|php3.)”>
Order Allow,Deny
Deny from all
</Files>
就不会解析几个后缀的文件为php文件了。防止php.文件攻击。
Apache的多网站设置:
在httpd.conf的最后面,加入以下代码:
NameVirtualHost *:80
<VirtualHost *:80>
ServerName www.baidu.org //此处为需要的域名
DocumentRoot ”d:/baidu”//此处为网站路径
<Directory ”d:/baidu”>
Options FollowSymLinks //此处为防止目录浏览
DirectoryIndex index.html index.htm default.htm index.php default.php //解析设置
AllowOverride None //此处为忽略.htaccess文件,以防自定义解析攻击
Order Deny,Allow //此处检查是否设置访问权限
allow from all
php_admin_value open_basedir ”d:/baidu;d:/temp/uploadtemp;d:/temp/sessiontmp” //此处为限制网站可操作的目录
php_admin_value safe_mode On //使用安全模式
</Directory>
</VirtualHost>
扫一扫
115
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
