为您找到与linux服务器安全设置相关的共200个结果:
Linux系统进程在一定条件下可以对任何文件、数据库等进行操作。如果此进程被不法分子用作其他不法用途,将会给系统带来重大危害。那么下面跟着读文网小编来一起了解下Linux系统怎么设置安全管理吧。
1.引导程序安全
Linux系统的root密码是很容易破解的,当然前提是你没有设置引导程序密码,如GRUB或LILO,为了防止通过引导程序破译root密码,强烈建议设置GRUB或LILO的引导密码,可以编辑其配置文件/etc/grub.conf或/etc/lilo.conf,设置password参数。
2.不安全权限设置
大家常见的Linux下文件权限是r w x,其实还有一种权限叫s,如果给某个文件赋予的s权限,那么这个文件在执行的时候就会拥有相应宿主用户或宿主组用户的权限,例如:
#chmod u+s testfile
#ls -la testfile
rwsr----- root root 10 testfile
这样,当这个文件被其它用户执行的时候,此用户就具有了此文件宿主用户root的对testfile的执行权限。类似,当文件的宿主组具有s权限后,执行此文件的用户就具有了此文件宿主组用户对此文件的权限,这是相当危险的。
大家可以试想下,如果命令chmod的文件被赋予了s权限,那么其它用户还有什么事情是不能做的呢?那它就可以更改任何文件的权限了,当然,s权限需要和x权限结合使用,没有x权限的s权限是没有任何意义的。
3.自动注销
当某个用户使用服务器后忘记注销,也是很危险的事情,此时,管理员可以设置/etc/profile文件的timeout参数,当用户一段时间不做任何操作时,系统自动注销此用户。
4. 设置口令复杂度
为了防止系统用户口令过于简单而被破译,可以编辑/etc/login.defs文件,设置系统用户口令复杂度,例如口令最长,最短,过期时间等。
5.禁止不必要用户登陆系统
为了防止其它非系统用户登陆系统,可以在添加用户时,赋予此用户不存在的主目录和不存在的shell环境,当然,最好还更改/etc/passwd和/etc/shadow两个文件的访问权限,使之后root用户可以访问。
Linux系统特点就是因为它是一款免费传播类操作系统,使其具有服务器应有的天然特性,但也正是因为有这些特性,所以在管理不当的情况下,也会造成很严重的安全性问题,所以我们的好好使用它,保护它!
看过“Linux系统怎么设置安全管理”
浏览量:4
下载量:0
时间:
当用户在使用虚拟主机的时候,Linux系统的安全问题就成为了使用者最为关心的问题,那么Linux虚拟主机怎么进行安全设置呢?接下来大家跟着读文网小编一起来了解一下Linux虚拟主机进行安全设置的解决方法吧。
什么是Linux呢?Liunx的官方定义:“Linux是一种UNIX操作系统的克隆,它(的内核)由Linux Torvalds以及网络上组织松散的黑客队伍一起从零开始编写而成。LINUX的目标是保持和POSIX的兼容。”众所周知,Linux是一种开放源代码的操作系统,由于它的自由开放性和技术先进性,顺应了广大软件开发商及用户日益高涨的对信息系统知情权的要求,从而迅速赢得了普遍的支持和认同,并得以迅速传播。
美国虚拟主机Linux系统下的安全设置需要从三个方面去考虑:
首先,Linux系统本身的安全优势:
1、Open的思想,开放源代码,自主改进或定制
2、Free的精神,自由使用
3、完善的网络功能,内置TCP/IP协议
4、真正意义上的多任务、多用户操作系统
5、完全运行于保护模式,充分利用了CUP性能
6、先进的内存管理机制,更加有效地利用物理内存
7、稳定性,安全性,高效性
8、与UNIX系统在源代码级兼容,符合IEEE POSIX标准
9、支持数十种文件系统格式
10、设备独立性,良好的可移植性
11、无昂贵的版权费,低成本
正是因为Linux的安全特性,使得它在市场中保持了一定的占有率,且市场占有率有扩大的趋势。全球专家预测,Linux在未来几年内将以每年25%的速度增长,中国的Linux和Linux虚拟主机市场更将保持40%。
其次,当你使用Linux操作系统处理安全问题时,下面的一些规则和技巧也许会派上用场。
1.在以root身份登录时,避免做一些常规工作。这会减少你感染病毒的风险,并且可以防止你犯一些错误。
2.如果可能的话,在一台远程机器上工作时,尽量使用加密连接。使用SSH来代替telnet、ftp、rsh、rlogin应当成为标准的操作规范。因为SSH的安全性众所周知。
3.尽量保持与网络有关的最重要的程序包的最新,最好订阅一些相应的邮件列表以获得bind、postfix、ssh等程序的最新版本的公告。同样的原则也适用于与本地安全相关的软件。
4.禁用你并不绝对需要的任何用于服务器正常工作的任何网络服务。这会使你的系统更加安全。可以用netstat程序发现套接字状态为LISTEN的开放端口。
5.来自SUSE的RPM程序包都进行了数字签名。你可以在控制台上输入下面的内容来验证任何SUSE RPM程序包的完整性:rpm — chechsig package.rpm。所需要的公共gpg-key要在安装时要复制到root的主目录。
6.经常检查用户和系统文件的备份。请记住:如果你没有测试备份是否正常工作,它就形同虚设,毫无价值。
7.检查你的日志文件。在可能的情况下,编写小型的脚本程序来搜索可疑的项目。
8.设置安全措施要保证其冗余性。多看到一些安全消息总比没有消息要好得多。
最后,在选择美国虚拟主机的时候,一个好的运营商能为用户省却许多麻烦,这包括主机投放机房的位置和质量,运营商的服务质量等等,都是用户必须考虑的因素。而全球电子商务专家中国诺网的美国虚拟主机正是迎合了Linux虚拟主机这个潮流,提供目前市场上最稳定可靠的美国虚拟主机,为什么这样说呢?因为中国诺网在2007年投资180万美金和世界排名第一的达拉斯机房合资增建了中诺美国机房,机房面积约1200平方公尺,可容纳机器约10000台。可以说中诺美国机房继承了达拉斯机房的优质管理及先进的机房管理系统,针对亚洲客户(特别是中国大陆地区)制订出并提供最佳的美国虚拟主机提供方案,特别值得推荐的是以下几款Linux美国虚拟主机:
专业个人型Linux美国虚拟主机:
·支持全球快速浏览—全球客户可以快速打开您的网 站,使您真正实现全球服务
·150M+5个邮箱空间+50人在线
·支持ASP、CGI、PHP
·不支持论坛
·无流量限制,操作系统,用户自行选择
·邮局功能:5个邮箱,总空间50M
·¥480.00元/1年
·五年单价380元 ¥1900.00元/5年
标准企业A型Linux美国虚拟主机:
·支持全球快速浏览—全球客户可以快速打开您的网 站,使您真正实现全球服务
·250M空间+10个企业邮箱+100人在线+100M Mysql数据库
·支持ASP、CGI、PHP
·不支持论坛
·无流量限制,操作系统,用户自行选择
·邮局功能:10个邮箱,总空间100M
·MYSQL数据库:1个数据库,100M总空间
·¥800.00元/1年
·五年单价640元¥3200.00元/5年
专业企业型Linux美国虚拟主机:
·支持全球快速浏览—全球客户可以快速打开您的网站,使您真正实现全球服务
·800M空间+50个企业邮箱+800人在线+50M Mssql或100MMysql
·支持ASP、ASP.NET、CGI、PHP
·无流量限制,操作系统,用户自行选择
·邮局功能:50个邮箱,总空间500M
·MSSQL数据库:1个数据库,50M总空间,或者,MYSQL数据库:1个数据库,100M总空间
·¥2800.00元/1年
·五年单价2280元 ¥11400.00元/5年
看过“Linux虚拟主机怎么进行安全设置”
浏览量:2
下载量:0
时间:
win2003 虽然以出来很多年了,但还是有很大的用户群,那么Windows2003服务器怎么做好安全设置呢?今天读文网小编与大家分享下Windows2003服务器做好安全设置的具体操作步骤,有需要的朋友不妨了解下。
正确划分文件系统格式,选择稳定的操作系统安装盘
为了提高安全性,服务器的文件系统格式一定要划分成NTFS(新技术文件系统)格式,它比FAT16、FAT32的安全性、空间利用率都大大的提高,我们可以通过它来配置文件的安全性,磁盘配额、EPS文件加密等。如果你已经分成FAT32的格式了,可以用CONVERT 盘符 /FS:NTFS /V 来把FAT32转换成NTFS格式。正确安装windows 2003 server,在网安联盟http://cqhk.14023.com/Soft/yyrj/bigsoft/200504/502.asp>有windows 2003的企业可升级版,这个一个完全破解了的版本,可以直接网上升级,我们安装时尽量只安装我们必须要用的组件,安装完后打上最新的补丁,到网上升级到最新版本!保证操作系统本身无漏洞。
正确设置磁盘的安全性,具体如下(虚拟机的安全设置,我们以asp程序为例子)重点:
1、系统盘权限设置
C:分区部分:
c:
administrators 全部(该文件夹,子文件夹及文件)
CREATOR OWNER 全部(只有子文件来及文件)
system 全部(该文件夹,子文件夹及文件)
IIS_WPG 创建文件/写入数据(只有该文件夹)
IIS_WPG(该文件夹,子文件夹及文件)
遍历文件夹/运行文件
列出文件夹/读取数据
读取属性
创建文件夹/附加数据
读取权限
c:Documents and Settings
administrators 全部(该文件夹,子文件夹及文件)
Power Users (该文件夹,子文件夹及文件)
读取和运行
列出文件夹目录
读取
SYSTEM全部(该文件夹,子文件夹及文件)
C:Program Files
administrators 全部(该文件夹,子文件夹及文件)
CREATOR OWNER全部(只有子文件来及文件)
IIS_WPG (该文件夹,子文件夹及文件)
读取和运行
列出文件夹目录
读取
Power Users(该文件夹,子文件夹及文件)
修改权限
SYSTEM全部(该文件夹,子文件夹及文件)
TERMINAL SERVER USER (该文件夹,子文件夹及文件)
修改权限
2、网站及虚拟机权限设置(比如网站在E盘)
说明:我们假设网站全部在E盘wwwsite目录下,并且为每一个虚拟机创建了一个guest用户,用户名为vhost1...vhostn并且创建了一个webuser组,把所有的vhost用户全部加入这个webuser组里面方便管理
E:
Administrators全部(该文件夹,子文件夹及文件)
E:wwwsite
Administrators全部(该文件夹,子文件夹及文件)
system全部(该文件夹,子文件夹及文件)
service全部(该文件夹,子文件夹及文件)
E:wwwsitevhost1
Administrators全部(该文件夹,子文件夹及文件)
system全部(该文件夹,子文件夹及文件)
vhost1全部(该文件夹,子文件夹及文件)
3、数据备份盘
数据备份盘最好只指定一个特定的用户对它有完全操作的权限
比如F盘为数据备份盘,我们只指定一个管理员对它有完全操作的权限
4、其它地方的权限设置
请找到c盘的这些文件,把安全性设置只有特定的管理员有完全操作权限
下列这些文件只允许administrators访问
net.exe
net1.exet
cmd.exe
tftp.exe
netstat.exe
regedit.exe
at.exe
attrib.exe
cacls.exe
format.com
5.删除c:inetpub目录,删除iis不必要的映射,建立陷阱帐号,更改描述
第三招:禁用不必要的服务,提高安全性和系统效率
Computer Browser 维护网络上计算机的最新列表以及提供这个列表
??Task scheduler 允许程序在指定时间运行
??Routing and Remote Access 在局域网以及广域网环境中为企业提供路由服务
??Removable storage 管理可移动媒体、驱动程序和库
??Remote Registry Service 允许远程注册表操作
??Print Spooler 将文件加载到内存中以便以后打印。要用打印机的朋友不能禁用这项
??IPSEC Policy Agent 管理IP安全策略以及启动ISAKMP/OakleyIKE)和IP安全驱动程序
??Distributed Link Tracking Client 当文件在网络域的NTFS卷中移动时发送通知
??Com+ Event System 提供事件的自动发布到订阅COM组件
Alerter 通知选定的用户和计算机管理警报
Error Reporting Service 收集、存储和向 Microsoft 报告异常应用程序
Messenger 传输客户端和服务器之间的 NET SEND 和 警报器服务消息
Telnet 允许远程用户登录到此计算机并运行程序#p#副标题#e#
第四招:修改注册表,让系统更强壮
1、隐藏重要文件/目录可以修改注册表实现完全隐藏:HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows Current-VersionExplorerAdvancedFolderHi-ddenSHOWALL”,鼠标右击 “CheckedValue”,选择修改,把数值由1改为0
2、启动系统自带的Internet连接_blank">防火墙,在设置服务选项中勾选Web服务器。
3、防止SYN洪水攻击
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters
新建DWORD值,名为SynAttackProtect,值为2
EnablePMTUDiscovery REG_DWORD 0
NoNameReleaseOnDemand REG_DWORD 1
EnableDeadGWDetect REG_DWORD 0
KeepAliveTime REG_DWORD 300,000
PerformRouterDiscovery REG_DWORD 0
EnableICMPRedirects REG_DWORD 0
4. 禁止响应ICMP路由通告报文
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParametersInterfacesinterface
新建DWORD值,名为PerformRouterDiscovery 值为0
5. 防止ICMP重定向报文的攻击
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters
将EnableICMPRedirects 值设为0
6. 不支持IGMP协议
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters
新建DWORD值,名为IGMPLevel 值为0
7.修改终端服务端口
运行regedit,找到[HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Control Terminal Server Wds rdpwd Tds tcp],看到右边的PortNumber了吗?在十进制状态下改成你想要的端口号吧,比如7126之类的,只要不与其它冲突即可。
2、第二处HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Control Terminal Server WinStations RDP-Tcp,方法同上,记得改的端口号和上面改的一样就行了。
8、禁止IPC空连接:
cracker可以利用net use命令建立空连接,进而入侵,还有net view,nbtstat这些都是基于空连接的,禁止空连接就好了。打开注册表,找到Local_MachineSystemCurrentControlSetControlLSA-RestrictAnonymous 把这个值改成”1”即可。
9、更改TTL值
cracker可以根据ping回的TTL值来大致判断你的操作系统,如:
TTL=107(WINNT);
TTL=108(win2000);
TTL=127或128(win9x);
TTL=240或241(linux);
TTL=252(solaris);
TTL=240(Irix);
实际上你可以自己更改的:HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters:DefaultTTL REG_DWORD 0-0xff(0-255 十进制,默认值128)改成一个莫名其妙的数字如258,起码让那些小菜鸟晕上半天,就此放弃入侵你也不一定哦
10. 删除默认共享
有人问过我一开机就共享所有盘,改回来以后,重启又变成了共享是怎么回事,这是2K为管理而设置的默认共享,必须通过修改注册表的方式取消它:HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameters:AutoShareServer类型是REG_DWORD把值改为0即可
11. 禁止建立空连接
默认情况下,任何用户通过通过空连接连上服务器,进而枚举出帐号,猜测密码。我们可以通过修改注册表来禁止建立空连接:
Local_MachineSystemCurrentControlSetControlLSA-RestrictAnonymous 的值改成”1”即可。
其它安全手段
1.禁用TCP/IP上的NetBIOS
网上邻居-属性-本地连接-属性-Internet协议(TCP/IP)属性-高级-WINS面板-NetBIOS设置-禁用TCP/IP上的NetBIOS。这样cracker就无法用nbtstat命令来读取你的NetBIOS信息和网卡MAC地址了。
2. 账户安全
首先禁止一切账户,除了你自己,呵呵。然后把Administrator改名。我呢就顺手又建了个Administrator账户,不过是什么权限都没有的那种,然后打开记事本,一阵乱敲,复制,粘贴到“密码”里去,呵呵,来破密码吧~!破完了才发现是个低级账户,看你崩溃不?
创建2个管理员用帐号
虽然这点看上去和上面这点有些矛盾,但事实上是服从上面的规则的。 创建一个一般权限帐号用来收信以及处理一些*常事物,另一个拥有Administrators 权限的帐户只在需要的时候使用。可以让管理员使用 “ RunAS” 命令来执行一些需要特权才能作的一些工作,以方便管理
3.更改C:WINDOWSHelpiisHelpcommon404b.htm内容改为这样,出错了自动转到首页
4. 安全日志
我遇到过这样的情况,一台主机被别人入侵了,系统管理员请我去追查凶手,我登录进去一看:安全日志是空的,倒,请记住:Win2000的默认安装是不开任何安全审核的!那么请你到本地安全策略->审核策略中打开相应的审核,推荐的审核是:
账户管理 成功 失败
登录事件 成功 失败
对象访问 失败
策略更改 成功 失败
特权使用 失败
系统事件 成功 失败
目录服务访问 失败
账户登录事件 成功 失败
审核项目少的缺点是万一你想看发现没有记录那就一点都没辙;审核项目太多不仅会占用系统资源而且会导致你根本没空去看,这样就失去了审核的意义
5. 运行防毒软件
我见过的Win2000/Nt服务器从来没有见到有安装了防毒软件的,其实这一点非常重要。一些好的杀毒软件不仅能杀掉一些著名的病毒,还能查杀大量木马和后门程序。这样的话,“黑客”们使用的那些有名的木马就毫无用武之地了。不要忘了经常升级病毒库,我们推荐mcafree杀毒软件+blackice_blank">防火墙
6.sqlserver数据库服务器安全和serv-u ftp服务器安全配置,更改默认端口,和管理密码
7.设置ip筛选、用blackice禁止木马常用端口
一般禁用以下端口
135 138 139 443 445 4000 4899 7626
8.本地安全策略和组策略的设置,如果你在设置本地安全策略时设置错了,可以这样恢复成它的默认值.
打开 %SystemRoot%Security文件夹,创建一个 "OldSecurity"子目录,将%SystemRoot%Security下所有的.log文件移到这个新建的子文件夹中.
在%SystemRoot%Securitydatabase下找到"Secedit.sdb"安全数据库并将其改名,如改为"Secedit.old".
启动"安全配置和分析"MMC管理单元:"开始"->"运行"->"MMC",启动管理控制台,"添加/删除管理单元",将"安全配置和分析"管理单元添加上.
右击"安全配置和分析"->"打开数据库",浏览"C:WINNTsecurityDatabase"文件夹,输入文件名"secedit.sdb",单击"打开".
当系统提示输入一个模板时,选择"Setup Security.inf",单击"打开".
如果系统提示"拒绝访问数据库",不管他.
你会发现在"C:WINNTsecurityDatabase"子文件夹中重新生成了新的安全数据库,在"C:WINNTsecurity"子文件夹下重新生成了log文件.安全数据库重建成功.
看过“Windows2003服务器怎么做好安全设置”
浏览量:3
下载量:0
时间:
linux ftp服务器要怎么样去设置才最好呢?小编来教你!下面由读文网小编给你做出详细的linux ftp服务器设置介绍!希望对你有帮助!
面虚拟机linuxftp基本配置(redhat AS 4.0例):
首先要安装linuxvsftp软件包
rpm -qa|gerp vsftpd //查找vsftpd没安装
没安装 vsftpd-2.0.1-5.i386.rpm (第张光盘)
linux非重要点要挂载光驱 mount /media/cdrom
我用源代码安装用rpm安装
#rpm -ivh vsftpd-2.0.1-5.i386.rpm
安装
service vsftpd start 启vsftpd服务
设置任何情况匿名式访问该ftp
注.访问候请家要linux防火墙要关闭:
iptables -F 清除防火墙
安装ftp产几文件:
/etc/vsftpd/vsftpd.conf 主配置文件
/etc/vsftpd.ftpusers 指定哪些用户能访问FTP服务器
/etc/vsftpd.user_list 文件指定用户否访问ftp服务器由vsftpd.conf文件userlist_deny取值决定
几文件整ftp控制禁止用户权限配置
面我设置vsftpd核文件
# cd /etc/vsftpd/vsftpd.conf vsftpd核配置文件
anonymous_enable=YES/no 否允许匿名用户登录
anonymous_enable=yes/no 否允许匿名传文件
local_enable= YES/no 否允许本用户登录
write_enable= YES/no 否允许本用户传
guest_enable=yes/no 否允许虚拟用户登录;
local_mask=022 设置本用户文件掩码022,默认值077
dirmessage_enable= YES 设置切换目录显示.message隐含文件内容
xferlog_enable= YES 激传载志
connect_from_port_20=YES 启用FTP数据端口连接
pam_service_name=vsftpd 设置PAM认证服务配置文件名称, 该文件存放/etc/pam.d目录
userlist_enable= YES 允许vsftpd.user_list文件用户访问服务器
userlist_deny= YES 拒绝vsftpd.user_list文件用户访问服务器
listen= YES/no 否使用独占启式(项比较重要)
tcp_wrappers= YES/no 否使用tcp_wrappers作主机访问控制式
看了“linux ftp服务器如何设置 ”文章的还看了:
浏览量:3
下载量:0
时间:
开发网站的时候,常常需要自己配置Linux服务器。如何搭建一个安全的Linux服务器?下面跟着读文网小编一起来了解一下吧。
在Linux系统中,TCP/IP网络是通过若干个文本文件进行配置的,也许你需要编辑这些文件来完成联网工作,但是这些配置文件大都可以通过配置命令linuxconf(其中网络部分的配置可以通过netconf命令来实现)。下面介绍基本的TCP/IP网络配置文件。
*/etc/conf.modules文件
该配置文件定义了各种需要在激活时加载的模块的参数信息。这里主要着重讨论关于网卡的配置。在使用Linux做网关的情况下,Linux服务器至少需要配置两块网卡。为了减少激活时可能出现的问题,Linux内核不会自动检测多个网卡。对于没有将网卡的驱动编译到内核而是作为模块动态加载的系统若需要安装多块网卡,应该在“conf.modules”文件中进行相应的配置。
若设备驱动被编译为模块(内核的模块):对于PCI设备,模块将自动检测到所有已经安装到系统上的设备;对于ISA卡,则需要向模块提供IO地址,以使模块知道在何处寻找该卡,这些信息在“/etc/conf.modules”中提供。
对于PCI卡,仅仅需要alias命令来使ethN和适当的驱动模块名关联,PCI卡的IO地址将会被自动的检测到。对于PCI卡,编辑“conf.modules”文件如下:aliaseth03c905aliaseth13c905若驱动已经被编译进了内核:系统激活时的PCI检测程序将会自动找到所有相关的网卡。ISA卡一般也能够被自动检测到,但是在某些情况下,ISA卡仍然需要做下面的配置工作:
在“/etc/lilo.conf”中增加配置信息,其方法是通过LILO程序将激活参数信息传递给内核。对于ISA卡,编辑“lilo.conf”文件,增加如下内容:append="ether="0,0,eth0ether="0,0,eth1"注:先不要在“lilo.conf”中加入激活参数,测试一下你的ISA卡,若失败再使用激活参数。
如果用传递激活参数的方法,eth0和eth1将按照激活时被发现的顺序来设置。
*/etc/HOSTNAME文件:
该文件包含了系统的主机名称,包括完全的域名,如:deep.openarch.com
*/etc/sysconfig/network-scripts/ifcfg-ethN文件:
在RedHat中,系统网络设备的配置文件保存在“/etc/sysconfig/network-scripts”目录下,ifcfg-eth0包含第一块网卡的配置信息,ifcfg-eth1包含第二块网卡的配置信息。
*/etc/resolv.conf文件:
该文件是由域名解析器(resolver,一个根据主机名解析IP地址的库)使用的配置文件,示例如下:
searchopenarch.comnameserver208.164.186.1nameserver208.164.186.2
“searchdomainname.com”表示当提供了一个不包括完全域名的主机名时,在该主机名后添加domainname.com的后缀;“nameserver”表示解析域名时使用该地址指定的主机为域名服务器。其中域名服务器是按照文件中出现的顺序来查询的。
*/etc/host.conf文件:
该文件指定如何解析主机名。Linux通过解析器库来获得主机名对应的IP地址。下面是一个“/etc/host.conf”的示例:
orderbind,hosts
multion
ospoofon
“orderbind,hosts”指定主机名查询顺序,这里规定先使用DNS来解析域名,然后再查询“/etc/hosts”文件(也可以相反)。
“multion”指定是否“/etc/hosts”文件中指定的主机可以有多个地址,拥有多个IP地址的主机一般称为多穴主机。
“nospoofon”指不允许对该服务器进行IP地址欺骗。IP欺骗是一种攻击系统安全的手段,通过把IP地址伪装成别的计算器,来取得其它计算器的信任。
*/etc/sysconfig/network文件
该文件用来指定服务器上的网络配置信息。
*/etc/hosts文件
当机器激活时,在可以查询DNS以前,机器需要查询一些主机名到IP地址的匹配。这些匹配信息存放在/etc/hosts文件中。在没有域名服务器情况下,系统上的所有网络程序都通过查询该文件来解析对应于某个主机名的IP地址。
*/etc/inetd.conf文件
众所周知,作为服务器来说,服务端口开放越多,系统安全稳定性越难以保证。所以提供特定服务的服务器应该尽可能开放提供服务必不可少的端口,而将与服务器服务无关的服务关闭,比如:一台作为www和Ftp服务器的机器,应该只开放80和25端口,而将其它无关的服务如:fingerauth等服务关掉,以减少系统漏洞。
而inetd,也叫作“超级服务器”,就是监视一些网络请求的守护进程,其根据网络请求来调用相应的服务进程来处理连接请求。inetd.conf则是inetd的配置文件。inetd.conf文件告诉inetd监听哪些网络端口,为每个端口激活哪个服务。在任何的网络环境中使用Linux系统,第一件要做的事就是了解一下服务器到底要提供哪些服务。不需要的那些服务应该被禁止掉,最好卸载掉,这样黑客就少了一些攻击系统的机会。查看“/etc/inetd.conf”文件,了解一下inetd提供哪些服务。用加上注释的方法(在一行的开头加上#号),禁止任何不需要的服务,再给inetd进程发一个SIGHUP信号。
第一步:把文件的权限限改成600。
[root@deep]#chmod600/etc/inetd.conf
第二步:确信文件的所有者是root。
[root@deep]#stat/etc/inetd.conf
第三步:编辑“inetd.conf”文件(vi/etc/inetd.conf),禁止所有不需要的服务,如:ftp、telnet、shell、login、exec、talk、ntalk、imap、pop-2、pop-3、finger、auth,等等。如果你觉得某些服务有用,可以不禁止这些服务。但是,把这些服务禁止掉,系统受攻击的可能性就会小很多。改变后的“inetd.conf”文件的内容如下面所示:
#Tore-readthisfileafterchanges,justdoa'killall-HUPinetd'##echostreamtcpnowaitrootinternal#echodgramudpwaitrootinternal#discardstreamtcpnowaitrootinternal#discarddgramudpwaitrootinternal#daytimestreamtcpnowaitrootinternal#daytimedgramudpwaitrootinternal#chargenstreamtcpnowaitrootinternal#chargendgramudpwaitrootinternal#timestreamtcpnowaitrootinternal#timedgramudpwaitrootinternal##Thesearestandardservices.##ftpstreamtcpnowaitroot/usr/sbin/tcpdin.ftpd-l-a#telnetstreamtcpnowaitroot/usr/sbin/tcpdin.telnetd##Shell,login,exec,comsatandtalkareBSDprotocols.
看过“ 如何搭建一个安全的Linux服务器 ”
浏览量:2
下载量:0
时间:
众所周知,网络安全是一个非常重要的课题,而服务器是网络安全中最关键的环节。Linux被认为是一个比较安全的Internet服务器,作为一种开放源代码操作系统,一旦Linux系统中发现有安全漏洞,Internet上来自世界各地的志愿者会踊跃修补它。下面大家与读文网小编一起来学习一下linux操作系统安全设置吧。
1. 交换机的安全
启用VLAN技术:交换机的某个端口上定义VLAN ,所有连接到这个特定端口的终端都是虚拟网络的一部分,并且整个网络可以支持多个VLAN。VLAN通过建立网络防火墙使不必要的数据流量减至最少,隔离各个VLAN间的传输和可能出现的问题,使网络吞吐量大大增加,减少了网络延迟。在虚拟网络环境中,可以通过划分不同的虚拟网络来控制处于同一物理网段中的用户之间的通信。这样一来有效的实现了数据的__,而且配置起来并不麻烦,网络管理员可以逻辑上重新配置网络,迅速、简单、有效地平衡负载流量,轻松自如地增加、删除和修改用户,而不必从物理上调整网络配置。
2. 路由器的安全
根据路由原理安全配置路由器路由器是整个网络的核心和心脏, 保护路由器安全还需要网管员在配置和管理路由器过程中采取相应的安全措施。
(1)堵住安全漏洞
限制系统物理访问是确保路由器安全的最有效方法之一。限制系统物理访问的一种方法就是将控制台和终端会话配置成在较短闲置时间后自动退出系统。避免将调制解调器连接至路由器的辅助端口也很重要。一旦限制了路由器的物理访问,用户一定要确保路由器的安全补丁是最新的。
(2)避免身份危机
入侵者常常利用弱口令或默认口令进行攻击。加长口令、选用30到60天的口令有效期等措施有助于防止这类漏洞。另外,一旦重要的IT员工辞职,用户应该立即更换口令。用户应该启用路由器上的口令加密功能。
(3)禁用不必要服务
近来许多安全事件都凸显了禁用不需要本地服务的重要性。需要注意的是,一个需要用户考虑的因素是定时。定时对有效操作网络是必不可少的。即使用户确保了部署期间时间同步,经过一段时间后,时钟仍有可能逐渐失去同步。用户可以利用名为网络时。
浏览量:2
下载量:0
时间:
Windows系统的安全一直是一个备受关注的问题,对于服务器来说安全是更为重要,那么你知道服务器安全设置吗?下面是读文网小编整理的一些关于服务器安全设置的相关资料,供你参考。
1、基于FileSystemObject组件的asp木马
cacls %systemroot%system32scrrun.dll /e /d guests https://禁止guests使用 regsvr32 scrrun.dll /u /s https://删除
2.基于shell.application组件的asp木马
cacls %systemroot%system32shell32.dll /e /d guests https://禁止guests使用 regsvr32 shell32.dll /u /s https://删除
3.将图片文件夹的权限设置为不允许运行。
4.如果网站中不存在有asp的话,禁用asp
防止SQL注入
1.尽量使用参数化语句
2.无法使用参数化的SQL使用过滤。
3.网站设置为不显示详细错误信息,页面出错时一律跳转到错误页面。
4.不要使用sa用户连接数据库
5、新建一个public权限数据库用户,并用这个用户访问数据库 6、[角色]去掉角色public对sysobjects与syscolumns对象的select访问权限
看过文章“服务器安全设置”
浏览量:2
下载量:0
时间:
Web服务器攻击常利用Web服务器软件和配置中的漏洞,web服务器安全也是我们现在很多人关注的一点,那么你知道web服务器安全设置吗?下面是读文网小编整理的一些关于web服务器安全设置的相关资料,供你参考。
对于专用的MSSQL数据库服务器,按照上文所讲的设置TCP/IP筛选和IP策略,对外只开放1433和5631端口。对于MSSQL首先需要为sa设置一个强壮的密码,使用混合身份验证,加强数据库日志的记录,审核数据库登陆事件的”成功和失败”.删除一些不需要的和危险的OLE自动存储过程(会造成企业管理器中部分功能不能使用),这些过程包括如下:
Sp_OAcreate Sp_OADestroy Sp_OAGetErrorInfo Sp_OAGetProperty
Sp_OAMethod Sp_OASetProperty Sp_OAStop
去掉不需要的注册表访问过程,包括有:
Xp_regaddmultistring Xp_regdeletekey Xp_regdeletevalue
Xp_regenumvalues Xp_regread Xp_regremovemultistring
Xp_regwrite
去掉其他系统存储过程,如果认为还有威胁,当然要小心drop这些过程,可以在测试机器上测试,保证正常的系统能完成工作,这些过程包括:
xp_cmdshell xp_dirtree xp_dropwebtask sp_addsrvrolemember
xp_makewebtask xp_runwebtask xp_subdirs sp_addlogin
sp_addextendedproc
在实例属性中选择TCP/IP协议的属性。选择隐藏 SQL Server 实例可防止对1434端口的探测,可修改默认使用的1433端口。除去数据库的guest账户把未经认可的使用者据之在外。 例外情况是master和 tempdb 数据库,因为对他们guest帐户是必需的。另外注意设置好各个数据库用户的权限,对于这些用户只给予所在数据库的一些权限。在程序中不要用sa用户去连接任何数据库。网络上有建议大家使用协议加密的,千万不要这么做,否则你只能重装MSSQL了。
看过文章“web服务器安全设置”
浏览量:2
下载量:0
时间:
早期ftp并没有涉及安全问题,随着互连网应用的快速增长,人们对安全的要求也不断提高.目前在各种平台上包括UNIX、Linux、Windows NT以及Netware等网络操作系统,都实现了ftp的客户及服务器.,那么你知道ftp服务器安全设置吗?下面是读文网小编整理的一些关于ftp服务器安全设置的相关资料,供你参考。
哦们可以通过编辑ftp服务器的配置文件来调整访问权限,在传输文件过程中进行文件加密等措施来达到ftp服务器的安全工作.下面是ftp服务器对用户、目录及文件管理安全问题的分析.
1)ftp服务器对用户的管理
为了不允许其它用户用匿名ftp访问系统,必须创建—个名为ftp的帐号,给帐号ftp设置—些限制,使得任何远程的ftp用户不能访问系统的其他部分.必须改变此帐号在文件/etc/passwd中的项,使—般的用户不能访问它,这—项是ftp:*:14:50:ftpUser:/home/ftp:.
口令区域中的星号用来保护帐号,它将阻止其他用户以此帐号注册以及控制它的文件或访问系统的其他部分.用户ID为14,是—个独立的ID,注释域是“ftp User”,注册目录是/home/ftp,当ftp用户注册到系统时,它将处于此目录中.
如果没有设置主目录,需创建—个,并用命令chown为ftp用户改变它的权限.组ID是ftp组的ID,专门为匿名ftp用户设置的.通过为ftp组设置限制来限制匿名的ftp用户.下面是—个在/etc/group文件中找到的关于ftp组的项.对于Linux系统,如果没有此项,应该加上ftp:: 50.
目录/home/ftp的权限中应该否定写权限.如果不希望ftp用户创建及删除目录,可以用chmod命令设置权限555来禁止写访问,这个命令是chmod555/home/ftp.
2)ftp服务器对目录管理
为了防止系统遭到ftp用户的—些意外的访问,应在ftp目录中(如/home/ftp中),创建—组有限制的目录.在表1中提供—列目录.保护—个重要部分的方法是阻止远程用户使用不在限制目录中的命令或程序.例如,因为ls命令位于/bin目录中,可能不希望用户使用ls列出文件名,同时,又希望用户使用ls命令.
windows.chinaitlab.com/UploadFiles_3263/200701/20070115085631974.jpg" bor的r=1>
为了做到这—点,需要在目录/home/ftp中创建—个新的目录bin,接着复制—份命令ls放到/home/ftp/bin中.此目录将限制ftp用户的使用,他们使用的命令ls是目录/home/ftp/bin中的命令,而不是管理员用的/bin中的ls命令.通过同样的方法,可以让ftp用户使用其他命令.
目录/home/ftp/etc中存放passwd及group文件的副本,这个目录的存在也阻止ftp用户访问/etc目录下的原文件.编辑 /home/ftp/etc/passwd文件,删除系统的—般用户的项,剩余的项的口令应被设置为3,以保护访问.对于group文件,除去所有的用户组并设置所有的口令为3.
具体命令如下:
#cat/home/ftp/etc/kpasswd
root:3:0:0:::
bin:3:1:1:::
operator:3:11:0:::
ftp:3:14:50:::
nobody:3:99:99:::
#cat/home/ftp/etc/group
root::0:
bin::1:
daemon::2:
sys::3:
adm::4:
ftp::50:
目录/home/ftp/pub中放有想让远程ftp用户下载的文件.当ftp用户注册到系统时,它将处于目录/home/ftp中,并能切换到目录/home/ftp/pub中开始访问其中的文件.在/home/ftp/pub中能加入任何希望的目录及文件,甚至可以指定—些目录为上传目录,允许ftp用户上传文件到系统中.
—些Linux系统要求,ls命令工作时要访问libc.so.l及rld文件.它们通常存放在/lib目录中.因为不希望ftp用户间接访问系统,所以要创建—个/home/ftp/lib目录,并复制这些文件到此目录中.
另外,因为rld使用/的v/zero文件,还要创建—个/home/ftp/的v目录并用mknod复制设备文件/的v/zero,然后把它放到此目录中.
3)权限
为了限制ftp用户只能访问目录/home/ftp及它的子目录,需要对ftp用户隐藏文件结构的其余部分.要让目录/home/ftp呈现为ftp用户的主目录,实际的主目录及其他的目录结构则对ftp用户隐藏.可以用命令chroot加上参数ftp,使得目录/home/ftp呈现为主目录.
ftp目录的权限应该设置为允许ftp用户访问.对于所有者、组及另外的用户,有三组权限为读、写及执行.为了允许ftp用户访问,组及目录的其他权限应设置为可读及执行.执行权限允许ftp用户访问目录,读权限则允许列出目录中内容.目录不允许ftp用户具有写权限,没人想让ftp用户能删除或添加—个目录.对于拥有可以下载的文件的目录/home/ftp/pub来说,它必须拥有读及执行权限.
作为目录的所有者,需要写权限以便能添加新文件或子目录.当然,只有当做改变时才需要写权限.为了进—步的安全,当不需要做改动时,能设置这些目录对所有的用户包括所有者都只开放读及执行的权限.用命令chmod加上数字555及目录名将设置对所有的用户为读及执行权限.
对于目录/home/ftp/bin中文件的权限及其他指定的ftp目录的权限有时需要更多的限制.—些文件需要执行,而另—些文件只要被读.目录 /home/ftp/bin或/home/ftp/lib中的文件ls及rld需要执行,可以设置权限为555.在目录/home/ftp/etc中的文件象passwd及group可以设置权限为111,即只读的权限.
4)监测及记录
用ftpwho命令可以显示通过ftp正在与系统连接的所有用户的进程信息.下面是ftpwho输出的—个例子:
Service class all
10448?S0:00
ftpd:vestax.domain.com:anonymouws/sshah@domain.com:DLE
10501?S0:00
ftpd:toybox.domain.com:heidi:PETR mklinux-ALL.sit.bin-2 user(-1 maximum)
在这里,可以看到有两个用户登录进入系统(本例没有对用户数进行限制).第—个用户是—个称sshah@domain.com的匿名用户,他目前没有执行任何操作;第二个用户名为heidi,他目前正在获取mklinux-ALL.sit.bin文件.用ftpcount命令可以查看当前每个组的用户个数.显示信息如下:
Serviceclassall-2user(-1maximum)
最后,建议详细记载ftp登录,以防不测.
浏览量:3
下载量:0
时间:
现如今,电脑的使用越来越普遍,几乎每家每户都有电脑,而电脑的操作离不开操作系统,在这里,读文网小编就向大家介绍Linux系统虚拟主机安全怎么设置。
美国虚拟主机大都使用Linux操作系统,因此当用户在使用美国虚拟主机的时候,Linux系统的安全问题就成为了使用者最为关心的问题,毕竟谁都希望自己操作的是一个稳定又安全的系统。
什么是Linux呢?Liunx的官方定义:“Linux是一种UNIX操作系统的克隆,它(的内核)由Linux Torvalds以及上组织松散的黑客队伍一起从零开始编写而成。LINUX的目标是保持和POSIX的兼容。”众所周知,Linux是一种开放源代码的操作系统,由于它的自由开放性和技术先进性,顺应了广大软件开发商及用户日益高涨的对信息系统知情权的要求,从而迅速赢得了普遍的支持和认同,并得以迅速传播。
美国虚拟主机Linux系统下的安全设置需要从三个方面去考虑:
首先,Linux系统本身的安全优势:
1、Open的思想,开放源代码,自主改进或定制
2、Free的精神,自由使用
3、完善的功能,内置TCP/IP协议
4、真正意义上的多任务、多用户操作系统
5、完全运行于保护模式,充分利用了CUP性能
6、先进的内存管理机制,更加有效地利用物理内存
7、稳定性,安全性,高效性
8、与UNIX系统在源代码级兼容,符合IEEE POSIX标准
9、支持数十种文件系统格式
10、设备独立性,良好的可移植性
11、无昂贵的版权费,低成本
正是因为Linux的安全特性,使得它在市场中保持了一定的占有率,且市场占有率有扩大的趋势。全球专家预测,Linux在未来几年内将以每年25%的速度增长,中国的Linux和Linux虚拟主机市场更将保持40%。
其次,当你使用Linux操作系统处理安全问题时,下面的一些规则和技巧也许会派上用场。
1.在以root身份登录时,避免做一些常规工作。这会减少你感染病毒的风险,并且可以防止你犯一些错误。
2.如果可能的话,在一台远程机器上工作时,尽量使用加密连接。使用SSH来代替telnet、ftp、rsh、rlogin应当成为标准的操作规范。因为SSH的安全性众所周知。
3.尽量保持与有关的最重要的程序包的最新,最好订阅一些相应的邮件列表以获得bind、postfix、ssh等程序的最新版本的公告。同样的原则也适用于与本地安全相关的软件。
4.禁用你并不绝对需要的任何用于服务器正常工作的任何服务。这会使你的系统更加安全。可以用netstat程序发现套接字状态为LISTEN的开放端口。
5.来自SUSE的RPM程序包都进行了数字签名。你可以在控制台上输入下面的内容来验证任何SUSE RPM程序包的完整性:rpm — chechsig package.rpm。所需要的公共gpg-key要在安装时要复制到root的主目录。
6.经常检查用户和系统文件的备份。请记住:如果你没有测试备份是否正常工作,它就形同虚设,毫无价值。
7.检查你的日志文件。在可能的情况下,编写小型的脚本程序来搜索可疑的项目。
8.设置安全措施要保证其冗余性。多看到一些安全消息总比没有消息要好得多。
最后,在选择美国虚拟主机的时候,一个好的运营商能为用户省却许多麻烦,这包括主机投放机房的位置和质量,运营商的服务质量等等,都是用户必须考虑的因素。而全球电子商务专家中国诺网的美国虚拟主机正是迎合了Linux虚拟主机这个潮流,提供目前市场上最稳定可靠的美国虚拟主机,为什么这样说呢?因为中国诺网在2007年投资180万美金和世界排名第一的达拉斯机房合资增建了中诺美国机房,机房面积约1200平方公尺,可容纳机器约10000台。可以说中诺美国机房继承了达拉斯机房的优质管理及先进的机房管理系统,针对亚洲客户(特别是中国大陆地区)制订出并提供最佳的美国虚拟主机提供方案,特别值得推荐的是以下几款Linux美国虚拟主机:
专业个人型Linux美国虚拟主机:
·支持全球快速浏览—全球客户可以快速打开您的网 站,使您真正实现全球服务
·150M+5个邮箱空间+50人在线
·支持ASP、CGI、PHP
·不支持论坛
·无流量限制,操作系统,用户自行选择
·邮局功能:5个邮箱,总空间50M
·¥480.00元/1年
·五年单价380元 ¥1900.00元/5年
标准企业A型Linux美国虚拟主机:
·支持全球快速浏览—全球客户可以快速打开您的网 站,使您真正实现全球服务
·250M空间+10个企业邮箱+100人在线+100M Mysql数据库
·支持ASP、CGI、PHP
·不支持论坛
·无流量限制,操作系统,用户自行选择
·邮局功能:10个邮箱,总空间100M
·MYSQL数据库:1个数据库,100M总空间
·¥800.00元/1年
·五年单价640元¥3200.00元/5年
专业企业型Linux美国虚拟主机:
·支持全球快速浏览—全球客户可以快速打开您的,使您真正实现全球服务
·800M空间+50个企业邮箱+800人在线+50M Mssql或100MMysql
·支持ASP、ASP.NET、CGI、PHP
·无流量限制,操作系统,用户自行选择
·邮局功能:50个邮箱,总空间500M
·MSSQL数据库:1个数据库,50M总空间,或者,MYSQL数据库:1个数据库,100M总空间
·¥2800.00元/1年
·五年单价2280元 ¥11400.00元/5年
浏览量:2
下载量:0
时间:
当我们都了解如何使windows系统更安全时,我们有几个知道如何使自己的linux服务器变得更安全呢?对于这种情况,读文网小编不得不科普一下这方面的知识:
如果你打算运行一台服务器,可能会想“我有来自Linode的40GB固态硬盘(SSD)存储系统,于是我可以安装想要安装的任何服务。”没错,你的地盘你作主:可以在服务器上安装任意软件。不过,别犯想当然的毛病。连最固若金汤的服务器也会因有人钻了在该服务器上运行的任何未打补丁或易受攻击的软件组件的空子而被劫持。
所以,头一条规则就是让你的服务器尽量精简。只安装你确实需要的那些程序包。要是有不需要的程序包,那就清除。程序包数量越少,代码没打上补丁的可能性就越小。在安装任何软件和依赖程序包(比如ownCloud)之前,你应该读一下ownCloud的说明文档,只安装它需要的那些程序包。
浏览量:2
下载量:0
时间:
Apache是世界使用排名第一的Web服务器软件。它可以运行在几乎所有广泛使用的计算机平台上,由于其跨平台和安全性被广泛使用,是最流行的Web服务器端软件之一。
但即使是这种服务器软件,也常常有攻击者会通过某些手段使服务器拒绝对http应答,这使Apache对系统资源(cup时间与内存)需求巨增,最终造成系统变慢甚至完全瘫痪,下面是读文网小编整理的一些关于Apache Web服务器安全设置注意事项供你参考。
CGI脚本的漏洞已经成为WEB服务器的首要安全隐患,通常是程序编写CGI脚本产生了许多漏洞,控制CGI的漏洞除了在编写时候注意对输入数据的合法检查,对系统调用的谨慎使用等因素外,首先使用CGI程序所有者的ID来运行这些程序,即使被漏洞危害也仅限于该ID能访问的文件,不会对整个系统带来致命的危害,因此需要谨慎使用CGI程序.
1.3版的apache集成了suEXEC程序,可以为apache提供CGI程序的控制支持,可以把suEXEC看做一个包装器,在Apache接到CGI程序的调用请求后,把这个请求交给suEXEC来负责完成具体调用,并从suEXEC返回结果,suEXEC可以解决一些安全问题,但会影响速度,如果是对安全性要求很高时候,建议使用suEXEC,此外还有一个软件CGIWrap,它的安全性要高与suEXEC.
减少SSI脚本风险,如果用exec等SSI命令运行外部程序,也会存在类似CGI脚本风险,除了内部调试程序时,应使用:
option命令禁止其使用:
Option IncludesNOEXEC
浏览量:3
下载量:0
时间:
有时候我们需要把搭建出来的网站关闭,那么如何关闭Linux服务器上的网站呢?读文网小编分享了关闭Linux服务器上网站的方法,希望对大家有所帮助。
1、打开WDCP服务器管理系统,输入用户名和密码。
2、进入后点击站点列表,找到要关闭的网站。
3、找到右边的操作,用鼠标左键点击【关】。
4、点击【关】会出现关闭提示,点击确定即可。这样就关闭了自己的网站,这个时候你也会发现关闭的网站的操作项变成了【开】,
5、如果你想开启这个网站,找到右边的操作,用鼠标左键点击【开】。
6、点击【开】会出现开启提示,点击确定即可开启网站。
浏览量:2
下载量:0
时间:
很多用户都在反映说,使用qq浏览器的时候,会一直弹出安全警告。那么你知道qq浏览器怎么设置不弹出安全警告吗?下面是读文网小编整理的一些关于qq浏览器设置不弹出安全警告的相关资料,供你参考。
1、打开运行qq浏览器。
2、点击右上方菜单按钮,在弹出的菜单中点击“qq浏览器设置”。
3、进入“安全与隐私”类目,然后勾选“开启安全网址认证”确定即可。
qq浏览器设置不弹出安全警告的相关
浏览量:8
下载量:0
时间:
由于工作经常出差的关系常常移动办公,因此资料的传递、与公司信息的及时交流或是累了想在异地打开公司或家里的电脑看看电影等等应用显得很头疼。今天读文网小编给大家介绍下win7怎么设置服务器吧。
一. 概述。
在架设此服务器之前,我们有必要先了解一些相关知识,因为要使用服务是需要一定的网络基础的。(Virtual Private Network)即虚拟专用网络,就是两个具有发起连接能力的设备(计算机或防火墙)通过Internet形成的一条安全的隧道。在隧道的发起端(即服务端),用户的私有数据通过封装和加密之后在Internet上传输,到了隧道的接收端(即客户端),接收到的数据经过拆封和解密之后安全地到达用户端。不言而喻,此种方式能在非安全的互联网上安全地传送私有数据来实现基于internet的联网操作。
二、windows 7 服务端安装配置。
服务器环境配置
如上图所示,在”控制面板网络和Internet网络连接“中,文件菜单下选择“新建传入连接”。
如上图所示,在这里选择可以用于远程登录的账号,点击“添加用户”按钮可以添加新的用户,这是我比较推荐的做法,因为这样添加的用户不属于任何用户组,仅仅是用于登录的。
如上图所示,钩子选中,没什么好多说的。
如上图所示,在这里可以进行相关协议的配置,比如对于IP地址是采取DHCP自动分配还是手动划分一个地址段分配,或者是否允许客户端自己指定IP地址。
如上图所示,连接创建好了,但是我们还需要进行一些设置,否则无法正常连接。
如上图所示,我们右键这个连接选择属性,在这个对话框的“用户”选项卡中把上方红框的钩子去除,如果勾上的话会因为加密的关系在连接过程中会发生问题,这里暂时不考虑安全性,我只是拿来打游戏的。
客户端环境配置
如上图所示,在“网络和共享中心”中,选择“设置新的连接或网络”。
如上图所示,选择“连接到工作区”。
如上图所示,选择“Internet连接”。
如上图所示,选择“现在不连接”,因为之后还有设置需要修改。在Internet地址那里填入服务器的IP地址,当然如果用花生壳绑定域名了之类的可以填入域名地址,免得以后每次连接的时候都要来改成服务器的IP地址。我这里没有花生壳,使用的是动态拨号的IP地址。
如上图所示,填入服务器端设置的登录用的用户名和密码后点击“创建”。
不要立即连接,我这里还有设置需要修改,点击“关闭”。
如上图所示,对新建的连接右键“属性”。
如上图所示,"类型"选择“L2TP/IPSec”,数据加密选择“不允许加密”。
如上图所示,点击“高级设置”后在弹出的对话框中,将“验证服务器证书的‘名称’和‘用法’属性”的钩子去除,否则连接会失败,随后一路确定出来就配置好了。
对于注册表的修改
如果不对注册表进行修改,那么就算做了以上步骤仍旧无法连接成功。我这边用红色背景标识了,如果因为无视后失败的别怪我。。。。。。
这是因为Windows为L2TP连接的自动创建一个IPsec策略,这个IPsec策略使用本地机器上的证书来进行双方的认证.如果本地机器没有合适的证书,那么连接将会失败,所以我们需要取消L2TP 自动创建的IPsec策略。
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetservicesRasManParameters]
"ProhibitIPsec"=dword:00000001
客户端与服务器都添加以上注册表键值后就取消了L2TP 自动创建IPsec的策略,当然记得都要重启一下机器。
补充
如果在进行了上述设置之后仍旧无法连接,可以看看服务器的路由器上是否开启了相应服务的映射。下图是我这边的路由器相关配置界面。
浏览量:4
下载量:0
时间:
Win7系统运行java时出现提示应用程序已安全设置被阻止,这样就导致运行java失败,那么怎样解决运行java提示应用程序已安全设置被阻止呢?下面跟着读文网小编来一起了解下吧。
1、点击:开始-控制面板,选择查看方式为:大图标或小图标;
2、双击java,选择“安全”,把“安全级别”降至“中”,点击“确定”;
3、重启浏览器,运行java,在弹出的对话框中,点击“运行”即可;
4、如果不能完成上述操作,提示需要提升权限,请参阅:怎样才能删除Win7多余的开机启动项中的5、提升权限
如果不能提升权限;
5、切换用户,如:xym原来是普通用户,要提升到管理员,不能在xym的用户下提升,只能切换到管理员的用户下,如:只能在lenovo的用户下进行提升;
6、点击用户xym,选择“管理员”,点击:“更改帐户类型”;
7、打开您用的浏览器,“工具- Internet选项”,进行IE设置:Internet选项-->高级 ,在“允许活动内容在我的计算机上的文件中运行”前打上勾,Internet选项-->程序-->管理加载项,找到“Java(tm)Plug……”,勾选“启用”;
8、如果不想出现“为了有利于保护安全性,Internet 已限制网页运行可以访问计算机的脚本……”;
9、需要在安全选项-->自定义级别-->Activex控件和插件,勾选“启用”;
10、最后点击“确定”、“确定”、“确定”。
关于Win7系统运行java提示“应用程序已安全设置被阻止”的解决方法就介绍完了,按照以上方法设置之后,java就可以正常运行了。
看过“怎样解决运行java提示应用程序已安全设置被阻止”
浏览量:4
下载量:0
时间:
众所周知SFTP账号是基于SSH账号的,所以在默认情况下访问服务器的权限是非常大的。就让读文网小编来告诉大家Linux怎么设置用户通过SFTP访问目录的权限的方法吧,希望对大家有所帮助。
sftp和ftp是两种协议是不同的,sftp是ssh内含的协议,只要sshd服务器启动了,它就可用,它本身不需要ftp服务器启动。
1.查看openssh软件版本,想sftp服务用户只能访问特定的文件目录,版本需要4.8以上
代码如下:
[root@localhost ftp]# rpm -qa | grep openssh
openssh-server-5.3p1-81.el6_3.x86_64
openssh-5.3p1-81.el6_3.x86_64
openssh-clients-5.3p1-81.el6_3.x86_64
2.新增用户,限制用户只能通过sftp访问
代码如下:
[root@localhost ftp]# useradd -m -d /opt/ftp/dave -s /sbin/nologin dave
3.限制用户通过sftp登录进来时只能进入主目录,修改/etc/ssh/sshd_config文件
代码如下:
[root@localhost ftp]# vim /etc/ssh/sshd_config
#Subsystem sftp /usr/libexec/openssh/sftp-server
Subsystem sftp internal-sftp
Match User dave
ChrootDirectory /opt/ftp/dave
X11Forwarding no
AllowTcpForwarding no
ForceCommand internal-sftp
重启ssh
4.测试访问
代码如下:
root@10.1.1.200:test# sftp -oPort=22 dave@10.1.6.175
Connecting to 10.1.6.175...
dave@10.1.6.175's password:
Read from remote host 10.1.6.175: Connection reset by peer
Couldn't read packet: Connection reset by peer
发现连接不上,查看日志
代码如下:
[root@localhost ftp]# tail /var/log/messages
Jan 6 11:41:41 localhost sshd[4907]: fatal: bad ownership or modes for chroot directory "/opt/ftp/dave"
Jan 6 11:41:41 localhost sshd[4905]: pam_unix(sshd:session): session closed for user dave
解决方法:
目录权限设置上要遵循2点:
ChrootDirectory设置的目录权限及其所有的上级文件夹权限,属主和属组必须是root;
ChrootDirectory设置的目录权限及其所有的上级文件夹权限,只有属主能拥有写权限,权限最大设置只能是755。
如果不能遵循以上2点,即使是该目录仅属于某个用户,也可能会影响到所有的SFTP用户。
代码如下:
[root@localhost ftp]# ll
total 4
drwxr-xr-x 3 dave dave 4096 Jan 5 13:06 dave
[root@localhost ftp]# chown root:root dave
[root@localhost ftp]# chmod 755 dave
[root@localhost ftp]# ll
total 4
drwxr-xr-x 3 root root 4096 Jan 5 13:06 dave
然后在测试通过
代码如下:
root@10.1.1.200:test# sftp -oPort=22 dave@10.1.6.175
Connecting to 10.1.6.175...
dave@10.1.6.175's password:
sftp> ls
test
sftp> cd ..
sftp> ls
test
sftp> cd test
sftp> ls
1.txt
sftp> get 1.txt
Fetching /test/1.txt to 1.txt
/test/1.txt
可以看到已经限制用户在家目录,同时该用户也不能登录该机器。
看过“Linux怎么设置用户通过SFTP访问目录的权限”
浏览量:4
下载量:0
时间: