一:安装主机大师后
a、 主机大师主控网站安全加强
主机大师主控网站目录一般在HwsHostMaster\host\web
1、防火墙入站规则中删除6588端口的开放规则
2、IIS网站管理中--IP地址和域限制--右边"编辑功能设置"--将"未指定的客户端的访问权限"设置为"拒绝"
IIS网站管理中--IP地址和域限制--右边"添加允许条目"--将"127.0.0.1"添加进去让本地能访问
3、取消网站运行用户对网站目录的写入权限
4、删除IIS_IUSRS在网站目录的权限
b、 phpMyAdmin网站权限加强
phpMyAdmin网站目录一般在HwsHostMaster\phpweb\phpmyadmin
1、取消网站运行用户PhpMyAdmin_HWS对网站目录的写入权限
2、删除IIS_IUSRS在网站目录的权限
c、 PHP安全加强
1、所有的PHP安装目录只保留一个php-cgi.exe的exe文件
也就是删除php.exe、 phpdbg.exe、 php-win.exe、 deplister.exe、 phar.phar.bat等文件
PHP5.2没有php-cgi.exe所以目录不要有任何exe文件
将PHP运行在FastCGI模式下
2、PHP安装文件夹权限结构:
administrator 完全控制
system 完全控制
users 读取和执行
iis_iusrs 读取 --这个不需要
其他用户的权限一律删除(原始的权限:Everyone:读取和执行-无写入权限 Users:读取和执行-无写入权限 IIS_IUSRS:读取和执行-无写入权限)
注意PHP缓存目录的权限php\*\tmp要单独看一下
看一下php.ini配置文件中session.save_path的值
是否配置了session公用缓存目录
如果配置了 要注意看权限
session缓存目录temp的权限一般:
administrator 完全控制
system 完全控制
users 读取和写入 另外在详细高级权限中加上 删除子文件夹以文件、删除 这个2个子权限
iis_iusrs 读取和写入 另外在详细高级权限中加上 删除子文件夹以文件、删除 这个2个子权限--这不需要
还要给users和iis_iusrs用户 拒绝类型 删除 只有该文件夹 是防止session缓存文件夹自身被删除
说明:正常情况下上面的users或iis_iusrs的权限只用其一即可
为了进一步安全 可以在详细高级权限中删除写入属性、写入扩展属性 这2个子权限
是为了预防网站存在漏洞,被黑客创建隐藏文件和只读文件到PHP公用的session缓存目录
d、IIS其他组件的文件夹权限:
如aspjpeg、aspupload、jmail等
administrator 完全控制
system 完全控制
users 读取和执行
其他用户的权限一律删除
e、Mysql数据库目录mysql\data权限:
administrator 完全控制
system 完全控制
Mysql运行用户 完全控制
也可以通过修改mysql\my.ini文件中的参数将数据库放其他分区,如:
datadir="E:/MySQL5735/data/"
innodb_data_home_dir ="E:/MySQL5735/data/"
innodb_log_group_home_dir ="E:/MySQL5735/data/"
f、 MsSQL数据库安全:
请安装SQL2014或以上
参考教程www.piis.cn/jiaocheng/2128.html
g、 ASP.NET的安全设置:
<trust level="Full" originUrl="" />的参数说明
有Full|High|Medium|Low|Minimal对应"完全没限制的权限|高的权限|中|低|最低权限"
修改文件
C:\Windows\Microsoft.NET\Framework\v2.0.50727\CONFIG\web.config文件
和C:\Windows\Microsoft.NET\Framework64\v2.0.50727\CONFIG\web.config
net宽松权限:
<location allowOverride="true">改为:
<location allowOverride="false">
<trust level="Full" originUrl=""/>改为(下面只是加多一行):
<trust level="Full" originUrl="" />
<identity impersonate="true" />---这行加了会使得集成模式出错
net严格权限:
<location allowOverride="true">改为:
<location allowOverride="false">
<trust level="Full" originUrl=""/>改为(参数为High):
<trust level="High" originUrl="" />
<identity impersonate="true" />---这行加了会使得集成模式出错
修改文件
C:\Windows\Microsoft.NET\Framework\v4.0.30319\CONFIG\web.config文件
和C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CONFIG\web.config
net宽松权限:
<location allowOverride="true">改为:
<location allowOverride="false">
<trust level="Full" originUrl="" />改为(下面只是加多一行):
<trust level="Full" originUrl="" />
<identity impersonate="true" />---这行加了会使得集成模式出错
net严格权限:
<location allowOverride="true">改为:
<location allowOverride="false">
<trust level="Full" originUrl="" />改为(参数为High):
<trust level="High" originUrl="" />
<identity impersonate="true" />---这行加了会使得集成模式出错
二: 主机大师开通的网站安全加强
net代码的写入删除权限依赖IIS_IUSRS用户的权限或者是程序池用户权限
php代码的写入删除权限依赖网站身份验证匿名用户的权限
IIS_IUSRS用户只能给读取权限否则会引起.net跨站攻击
假如网站的根目录为C:\wwwroot\h2piiscn_zly1fd\web
IIS_IUSRS的权限删除 或者只保留读取权限
先删除IIS_IUSRS权限:icacls "C:\wwwroot\h2piiscn_zly1fd\web" /remove IIS_IUSRS /C
以下的IIS_IUSRS权限可以不增加
增加IIS_IUSRS权限:icacls "C:\wwwroot\h2piiscn_zly1fd\web" /grant "IIS_IUSRS:(OI)(CI)R" /C
增加程序池用户"IIS AppPool\h2piiscn"权限
icacls "C:\wwwroot\h2piiscn_zly1fd\web" /grant "IIS AppPool\h2piiscn:(OI)(CI)R" "IIS AppPool\h2piiscn:(CI)(X)" /C
icacls "C:\wwwroot\h2piiscn_zly1fd\web" /grant "IIS AppPool\h2piiscn:(OI)(CI)W" "IIS AppPool\h2piiscn:(OI)(CI)(DE,WDAC)" /C
icacls "C:\wwwroot\h2piiscn_zly1fd\web" /deny "IIS AppPool\h2piiscn:(DE)" /C
bat脚本实例:
@echo off
title 主机大师开通的网站权限加强设置 set webuser=hpiiscn::请注意修改下面的程序池名和网站物理路径 rem 上面webuser的值是程序池名,对应网站的运行用户,也对应网站FTP用户名 set weburl=C:\wwwroot\hpiiscn_ncg0kv\web rem 上面weburl的值是网站根目录的物理路径 icacls "%weburl%" /remove IIS_IUSRS /C rem 上面是删除IIS_IUSRS权限 icacls "%weburl%" /grant "IIS AppPool\%webuser%:(OI)(CI)R" "IIS AppPool\%webuser%:(CI)(X)" /C icacls "%weburl%" /grant "IIS AppPool\%webuser%:(OI)(CI)W" "IIS AppPool\%webuser%:(OI)(CI)(DE,WDAC)" /C icacls "%weburl%" /deny "IIS AppPool\%webuser%:(DE)" /C rem 上面是增加程序池用户在网站根目录的权限 pause |
机房名称 | 机房介绍 | 是否推荐 |
---|---|---|
广州较场西路机房 | 中国电信5星级机房,华南骨干出口,广州市中心机房,交通便利,总带宽200G,为华南骨干出口。 | |
广州人民中路机房 | 中国电信3星级机房,超高速的20Gx2主备双线路带宽直接接入ChinaNET骨干层。 | |
广州天河科技园机房 | 天河软件园建中路4号,中国互联网应急中心机房,国家政府机关直属。多线接入骨干BGP线路。 | |
电子商务部广州机房 | 天河软件建业路上(科韵路)的国际电子商务中心大厦甲级写字楼内,机房环境一流。多线接入骨干BGP线路。 | |
广州电信加速器机房 | 位于广州市萝岗区开源大道1号企业加速器B1栋一楼,按照国际T3+及国标B+级标准建造,机房环境一流。多线接入骨干网。 | |
广州移动旗锐机房 | 广州科学城南翔二路1号旗锐数字科技园区内,属于第三方私立机房,现由移动运营,从粤西汇聚节点直连CMNET骨干网。 | |
广州移动南方基地机房 | 中国移动广州南方基地机房位于广州市天河软件园高塘大道333号,用于移动骨干网线路,是移动服务器托管优质机房。 | |
东莞电信道滘机房 | 中国电信4星级机房,总带宽320G,可提供电信和多线BGP线路,华南骨干机房,稳定高速,性价比高。 | |
东莞电信东城机房 | 中国电信4星级机房,总带宽320G,性价比高,可提供电信和多线BGP线路和200G集群硬件防火墙VIP防护。 | |
东莞电信樟木头机房 | 中国电信4星级机房,总带宽320G,可提供电信和多线BGP线路和100G集群硬件防火墙企业级防护。 | |
深圳互联港湾机房 | 深圳南山高新区中区软件大厦四楼,电信3星级机房,20G带宽接入骨干网络。 | |
深圳南山科兴机房 | 位于深圳市南山区科技园科苑路15号科兴科学园,3星级机房,可提供双线接入等业务。 | |
深圳百旺信机房 | 深圳市南山区西丽松白公路百旺信工业区A区(一区)一栋属于第三方机房,可提供双线接入等业务。 | |
佛山电信信息大厦机房 | 佛山市汾江南路35号电信佛山分公司信息大厦8-9层,是中国电信3星级机房,可提供双线接入等业务。 | |
中山电信火炬机房 | 机房位于中山市火炬区康乐大道47号电信3楼,是中国电信3星级机房,可提供双线接入等业务。 | |
江苏徐州电信机房 | 机房位于江苏徐州市新城区镜泊东路4号,徐州市档案馆东侧,是中国电信3星级机房,可提供双线接入等业务。 | |
江苏常州电信机房 | 机房位于江苏省常州市清凉路108号常州信息港,是中国电信4星级机房,可提供双线接入等业务。 | |
香港TKO机房 | 机房靠近香港交易所的数据中心位置和香港商业中心,拥有PCCW、GTT、Cogent、Telia、TATA、CT、CN2、CU线路。 | |
香港将军澳机房 | 机房在香港新界將軍澳工業邨駿昌街22號,与阿里云香港机房同属一栋楼,拥有多种线路接入。 | |
香港新世界机房 | 香港新世界机房的海底电缆系统遍布全球,能直接连接多个国家,免备案,服务器租用、云服务器等业务。 | |
香港NTT机房 | 香港NTT电讯机房,是一座专用数据中心,在香港大埔,免备案,提供服务器租用、VPS云服务器等业务。 | |
美国洛杉矶机房 | 位于美国洛杉矶,直连全球,是全球带宽最集中的地方,是外贸企业首选,该机房只提供服务器租用业务。 | |
美国加州DCS机房 | 位于美国加州,直连全球,是美国的华人机房,是外贸企业首选,该机房只提供服务器租用业务。 | |
美国圣何塞机房 | 位于美国圣何塞,紧邻科技中心-硅谷,直连全球,是外贸企业首选,该机房只提供服务器租用业务。 | |
韩国首尔KT机房 | 韩国首尔的江南区道谷洞数据中心,光纤直连电信(CN2)、移动、PCCW、NTT等网络核心骨干。 | |
台湾中华电信机房 | 台湾中华电信机房位于台湾台北市114内湖区瑞光路68号3楼,是台湾对外最重要的电信枢纽之一。 | |
菲律宾PLDT机房 | 菲律宾PLDT机房拥有PCCW、TATA、CT、CN2等线路接入,优化线路到中国大陆速度快,延迟低,网络稳定。 |
¥99元/年起 网站空间 原价:199元
¥488/月起 物理机 原价:699元
¥580起 企业建站 原价:1999元起
迅恒专注于企业建站,海量精美网站风格模板供您选择!
网络营销推广的第一步就是做一个属于自己的网站
做网站,为什么要选迅恒建站?
专业的设计团队、技术团队,为客户提供专业的技术服务支持
客户查验合格,提供源码交付/FTP信息。网站商业授权,避免产权纠纷
网站能够在CP+平板+手机+小程序 完美响应展示。
所有收费项公开透明,正规签订合同,合同清楚明确
提供网站个性化定制设计,拒绝千篇一律
我司与华为云/腾讯云长期合作,采用安全稳定服务器,保障网站安全稳定运行