Wamp安全设置

在配置过iis服务器后发现,如果要做到安全系数相对较高且对性能影响较小有点困难。而且配置过程中会出现一系列的权限划分问题或者其它类似情况。遂决定投好于Apache服务器。
 
WAMP(windows+apache+mysql+php),其在安全配置及服务器性能相比iis优越(我个人认为)。下面是具体的配置方案:
 
 
 
服务器安全配置(独立主机或VPS主机)
 
1、硬盘分区格式NTFS;
 
2、新建系统用户,将administrator禁用,将其它一切不相关的账号禁用,包括IIS的账号;
 
3、本地策略的设置,包括账户策略、登录策略、IP策略等。
具体内容参见Windows主机操作系统加固规范.pdf。
 
Apache+Mysql+PHP安装与安全配置
 
版本:httpd-2.2.22-win32-x86-openssl-0.9.8t+mysql5.5.22+php 5.3
 
假定系统盘为C盘,网站目录盘为D盘:
 
Mysql的安装;
 
下载指定版本的mysql软件,自定义安装路径到c:\mysql\,点下一步至安装结束,启动配置向导。其中应注意几点,一、给root账户设置较复杂的密码。二、更改数据库查询言为utf-8,默认为latin1。
 
打开c:\mysql\下的my.ini文件进行编辑。为提高安全,可port更改为其它端口。将datadir的值更改为d:\data\data。默认地址为c:\Documents and Settings\all usrs\mysql\data。将这个data剪切到c:\data目录下。这里应注意,先停止mysql才能移动。
 
注意:如果之前服务器安装过mysql。没有卸载干净的话,mysql安装无法启动或者会出现很多错误。
 
解决方案:
 
1、卸载刚才安装的mysql。搜索C盘下所有mysql的文件夹,全部删除;
 
2、进入注册表,循环按F3,搜索mysql字样的键及键值,全部删除;
 
3、在运行里面输入sc delete mysql;
 
4、重启服务器,再交安装就不会出错了。
 
PHP的安装与配置:
 
下载指定版本的php,并将其解压到c:\php目录下。将文件php.ini-recommended复制并且改名为php.ini,将php5ts.dll和libmysql.dll复制到c:\windows\system32目录下。然后找开php.ini进行编辑如下配置,将前面的注释符去掉:
 
将register_globals更改为OFF;
 
allow_url_include=off;
 
allow_url_open=off;
 
Display_errors=off,
 
log_errors=on;
 
Magic_quotes_gpc=off;
 
Session.cookie_httponly=1;
 
Session.cookie_secure=1;
 
upload_tmp_dir =”d:/temp/upload”;(此处将前面的分号去掉)
 
session.save_path=”d:/temp/session”;
 
error_log=”d:/temp/php-errors.log”;
 
最后三条请在D盘下建立d:\temp\upload,d:\temp\session;d:\temp\errors三个文件夹。
 
关于Magic_quotes_gpc=off;此处关闭是因为,有绕过方法,且此服务影响性。
 
 
 
Apache的安装配置
 
下载指定版,并安装到:d:\apache目录下,图我就不截了。安装方法一直点下一步就行了。
 
Apache默认是以system权限启动,所以我们要更改登录方式。
 
首先,新建一个用户如paxmac。将其加入guests组。
 
然后在运行里面输入services.msc,打开服务功能,找到apache2.2服务,点击暂停。然后点右键,属性,切换到登录选项卡。登录身份,选择刚才新建的paxmac用户,输入密码,点确定。此时,服务还不能启动,会出现错误的提示。那是因为apache启动时的账户类型已经变更,无权限。接下来就是配置apache的权限。
 
在管理工具里面找到本地安全设置。在本地策略里面点用户权限全配,并找到“作为服务登录”这个项,在里面添加刚才新建的paxmac账户进去,允许本地启动。
 
将所有盘的权限,都设置为system及administrators。删除其它所有账户的权限。接着,在C盘的安全选项里面添加paxmac的读取和运行,列出文件夹目录及读取权限。无写入和修改权限。
 
在d:盘添加paxmac的完全控制权限。此时再次点apache2.2的服务就可以正常启动了,此时apache还是无法解析php的文件。
 
 
 
设置apache的httpd.conf文件。打开d:\apache\conf\目录下的httpd.conf文件。
 
在最下面添加:
 
LoadModule php5_module ”c:/php/php5apache2_2.dll”
 
AddType application/x-httpd-ph .php
 
此时就可以支持php的解析了。
 
 
 
Apache的其它安全配置,为防止apache的解析漏洞。我们需要在配置文件里面加入:
 
<Files ~ ”\.(php.|php3.)”>
 
        Order Allow,Deny
 
        Deny from all
 
</Files>
 
就不会解析几个后缀的文件为php文件了。防止php.文件攻击。
 
 
 
Apache的多网站设置:
 
在httpd.conf的最后面,加入以下代码:
 
NameVirtualHost *:80
 
 
 
<VirtualHost *:80>
 
     ServerName www.baidu.org //此处为需要的域名
 
     DocumentRoot ”d:/baidu”//此处为网站路径
 
 <Directory ”d:/baidu”>
 
Options FollowSymLinks //此处为防止目录浏览
 
DirectoryIndex index.html index.htm default.htm index.php default.php //解析设置
 
AllowOverride None //此处为忽略.htaccess文件,以防自定义解析攻击
 
Order Deny,Allow //此处检查是否设置访问权限
 
allow from all
 
php_admin_value open_basedir ”d:/baidu;d:/temp/uploadtemp;d:/temp/sessiontmp” //此处为限制网站可操作的目录
 
php_admin_value safe_mode On //使用安全模式
 
 </Directory>
 
</VirtualHost>
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值