注入漏洞、上傳漏洞、弱口令漏洞等問題隨處可見?？缯竟簦h程控制等等是再老套不過了的話題。有些虛擬主機管理員不知是為了方便還是不熟悉配置，干脆就將所有的網(wǎng)站都放在同一個目錄中，然后將上級目錄設(shè)置為站點根目錄。有些呢，則將所有的站點的目錄都設(shè)置為可執(zhí)行、可寫入、可修改。有些則為了方便，在服務(wù)器上掛起了QQ，也裝上了BT。更有甚者，竟然把Internet來賓帳號加入到Administrators組中！汗……！普通的用戶將自己的密碼設(shè)置為生日之類的6位純數(shù)字，這種情況還可以原諒，畢竟他們大部分都不是專門搞網(wǎng)絡(luò)研究的，中國國民的安全意識提高還需要一段時間嘛，但如果是網(wǎng)絡(luò)管理員也這樣，那就怎么也有點讓人想不通了。網(wǎng)絡(luò)安全問題日益突出，最近不又有人聲稱“萬網(wǎng)：我進來玩過兩次了！”。這么有名氣的網(wǎng)絡(luò)服務(wù)商，也難免一逃??！網(wǎng)站注入漏洞是最近還頻頻在報刊雜志上曝光的高校入侵……一句話，目前很大部分的網(wǎng)站安全狀況讓人擔憂！

這里就我個人過去的經(jīng)歷和大家一同來探討有關(guān)安全虛擬主機配置的問題。以下以建立一個站點cert.ecjtu.jx.cn為例，跟大家共同探討虛擬主機配置問題。

一、建立Windows用戶

為每個網(wǎng)站單獨設(shè)置windows用戶帳號cert，刪除帳號的User組，將cert加入Guest用戶組。將用戶不能更改密碼，密碼永不過期兩個選項選上。

二、設(shè)置文件夾權(quán)限

1、設(shè)置非站點相關(guān)目錄權(quán)限

Windows安裝好后，很多目錄和文件默認是everyone可以瀏覽、查看、運行甚至是可以修改 的。這給服務(wù)器安全帶來極大的隱患。這里就我個人的一些經(jīng)驗提一些在入侵中較常用的目錄。

C：\；D：\；……
C:\perl
C:\temp\
C:\Mysql\
c:\php\
C:\autorun.inf
C:\Documents and setting\
C:\Documents and Settings\All Users\「開始」菜單\程序\
C:\Documents and Settings\All Users\「開始」菜單\程序\啟動
C:\Documents and Settings\All Users\Documents\
C:\Documents and Settings\All Users\Application Data\Symantec\
C:\Documents and Settings\All Users\Application Data\Symantec\pcAnywhere
C:\WINNT\system32\config\
C:\winnt\system32\inetsrv\data\
C:\WINDOWS\system32\inetsrv\data\
C:\Program Files\
C:\Program Files\Serv-U\
c:\Program Files\KV2004\
c:\Program Files\Rising\RAV
C:\Program Files\RealServer\
C:\Program Files\Microsoft SQL server\
C:\Program Files\Java Web Start\

以上這些目錄或文件的權(quán)限應(yīng)該作適當?shù)南拗啤Ｈ缛∠鸊uests用戶的查看、修改和執(zhí)行等權(quán)限。由于篇幅關(guān)系，這里僅簡單提及。

2、設(shè)置站點相關(guān)目錄權(quán)限：

A、設(shè)置站點根目錄權(quán)限：將剛剛建立的用戶cert給對應(yīng)站點文件夾，假設(shè)為D：\cert設(shè)置相應(yīng)的權(quán)限：Adiministrators組為完全控制；cert有讀取及運行、列出文件夾目錄、讀取，取消其它所有權(quán)限。

B、設(shè)置可更新文件權(quán)限：經(jīng)過第1步站點根目錄文件夾權(quán)限的設(shè)置后，Guest用戶已經(jīng)沒有修改站點文件夾中任何內(nèi)容的權(quán)限了。這顯然對于一個有更新的站點是不夠的。這時就需要對單獨的需更新的文件進行權(quán)限設(shè)置。當然這個可能對虛擬主機提供商來說有些不方便。客戶的站點的需更新的文件內(nèi)容之類的可能都不一樣。這時，可以規(guī)定某個文件夾可寫、可改。如有些虛擬主機提供商就規(guī)定，站點根目錄中uploads為web可上傳文件夾，data或者database為數(shù)據(jù)庫文件夾。這樣虛擬主機服務(wù)商就可以為客戶定制這兩個文件夾的權(quán)限。當然也可以像有些做的比較好的虛擬主機提供商一樣，給客戶做一個程序，讓客戶自己設(shè)定?？赡芤龅竭@樣，服務(wù)商又得花不小的錢財和人力哦。

三、配置IIS

基本的配置應(yīng)該大家都會，這里就提幾個特殊之處或需要注意的地方。

1、主目錄權(quán)限設(shè)置：這里可以設(shè)置讀壬能安裝最少的軟件。這可以避免一些由軟件漏洞帶來的安全問題。有些網(wǎng)管在服務(wù)器上安裝QQ，利用服務(wù)器掛QQ，這種做法是極度錯誤的。

九、關(guān)注安全動態(tài)及時更新漏洞補丁

更新漏洞補丁對于一個網(wǎng)絡(luò)管理員來說是非常重要的。更新補丁，可以進一步保證系統(tǒng)的安全。