咨询热线:020-82315523 18988993510 18988993505

护卫神主机大师开的网站安全加固 PHP加固 Mysql加固

一:安装主机大师后
a、 主机大师主控网站安全加强
主机大师主控网站目录一般在HwsHostMaster\host\web
1、防火墙入站规则中删除6588端口的开放规则
2、IIS网站管理中--IP地址和域限制--右边"编辑功能设置"--将"未指定的客户端的访问权限"设置为"拒绝"
     IIS网站管理中--IP地址和域限制--右边"添加允许条目"--将"127.0.0.1"添加进去让本地能访问
3、取消网站运行用户对网站目录的写入权限
4、删除IIS_IUSRS在网站目录的权限
b、 phpMyAdmin网站权限加强
phpMyAdmin网站目录一般在HwsHostMaster\phpweb\phpmyadmin
1、取消网站运行用户PhpMyAdmin_HWS对网站目录的写入权限
2、删除IIS_IUSRS在网站目录的权限
c、 PHP安全加强
1、所有的PHP安装目录只保留一个php-cgi.exe的exe文件
也就是删除php.exe、 phpdbg.exe、 php-win.exe、 deplister.exe、 phar.phar.bat等文件
PHP5.2没有php-cgi.exe所以目录不要有任何exe文件
将PHP运行在FastCGI模式下
2、PHP安装文件夹权限结构:
administrator 完全控制
system 完全控制
users  读取和执行
iis_iusrs  读取  --这个不需要
其他用户的权限一律删除(原始的权限:Everyone:读取和执行-无写入权限 Users:读取和执行-无写入权限   IIS_IUSRS:读取和执行-无写入权限)
注意PHP缓存目录的权限php\*\tmp要单独看一下
看一下php.ini配置文件中session.save_path的值
是否配置了session公用缓存目录
如果配置了 要注意看权限
session缓存目录temp的权限一般:
administrator 完全控制
system 完全控制
users  读取和写入  另外在详细高级权限中加上 删除子文件夹以文件删除 这个2个子权限
iis_iusrs  读取和写入 另外在详细高级权限中加上 删除子文件夹以文件删除 这个2个子权限--这不需要
还要给users和iis_iusrs用户 拒绝类型 删除 只有该文件夹 是防止session缓存文件夹自身被删除
说明:正常情况下上面的users或iis_iusrs的权限只用其一即可
为了进一步安全 可以在详细高级权限中删除写入属性写入扩展属性 这2个子权限
是为了预防网站存在漏洞,被黑客创建隐藏文件和只读文件到PHP公用的session缓存目录
d、IIS其他组件的文件夹权限:
如aspjpeg、aspupload、jmail等
administrator 完全控制
system 完全控制
users  读取和执行
其他用户的权限一律删除
e、Mysql数据库目录mysql\data权限:
administrator 完全控制
system 完全控制
Mysql运行用户  完全控制
也可以通过修改mysql\my.ini文件中的参数将数据库放其他分区,如:
datadir="E:/MySQL5735/data/"
innodb_data_home_dir ="E:/MySQL5735/data/"
innodb_log_group_home_dir ="E:/MySQL5735/data/"
f、 MsSQL数据库安全:
请安装SQL2014或以上
参考教程www.piis.cn/jiaocheng/2128.html
g、 ASP.NET的安全设置:
<trust level="Full" originUrl="" />的参数说明
有Full|High|Medium|Low|Minimal对应"完全没限制的权限|高的权限|中|低|最低权限"
修改文件
C:\Windows\Microsoft.NET\Framework\v2.0.50727\CONFIG\web.config文件
和C:\Windows\Microsoft.NET\Framework64\v2.0.50727\CONFIG\web.config
net宽松权限:
<location allowOverride="true">改为:
<location allowOverride="false">
<trust level="Full" originUrl=""/>改为(下面只是加多一行):
<trust level="Full" originUrl="" />
<identity impersonate="true" />---这行加了会使得集成模式出错
net严格权限:
<location allowOverride="true">改为:
<location allowOverride="false">
<trust level="Full" originUrl=""/>改为(参数为High):
<trust level="High" originUrl="" />
<identity impersonate="true" />---这行加了会使得集成模式出错
修改文件
C:\Windows\Microsoft.NET\Framework\v4.0.30319\CONFIG\web.config文件
和C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CONFIG\web.config
net宽松权限:
<location allowOverride="true">改为:
<location allowOverride="false">
<trust level="Full" originUrl="" />改为(下面只是加多一行):
<trust level="Full" originUrl="" />
<identity impersonate="true" />---这行加了会使得集成模式出错
net严格权限:
<location allowOverride="true">改为:
<location allowOverride="false">
<trust level="Full" originUrl="" />改为(参数为High):
<trust level="High" originUrl="" />
<identity impersonate="true" />---这行加了会使得集成模式出错

二: 主机大师开通的网站安全加强
net代码的写入删除权限依赖IIS_IUSRS用户的权限或者是程序池用户权限
php代码的写入删除权限依赖网站身份验证匿名用户的权限
IIS_IUSRS用户只能给读取权限否则会引起.net跨站攻击

假如网站的根目录为C:\wwwroot\h2piiscn_zly1fd\web
IIS_IUSRS的权限删除 或者只保留读取权限
先删除IIS_IUSRS权限:icacls "C:\wwwroot\h2piiscn_zly1fd\web" /remove IIS_IUSRS /C
以下的IIS_IUSRS权限可以不增加
增加IIS_IUSRS权限:icacls "C:\wwwroot\h2piiscn_zly1fd\web" /grant "IIS_IUSRS:(OI)(CI)R" /C
增加程序池用户"IIS AppPool\h2piiscn"权限
icacls "C:\wwwroot\h2piiscn_zly1fd\web" /grant "IIS AppPool\h2piiscn:(OI)(CI)R" "IIS AppPool\h2piiscn:(CI)(X)" /C
icacls "C:\wwwroot\h2piiscn_zly1fd\web" /grant "IIS AppPool\h2piiscn:(OI)(CI)W" "IIS AppPool\h2piiscn:(OI)(CI)(DE,WDAC)" /C
icacls "C:\wwwroot\h2piiscn_zly1fd\web" /deny "IIS AppPool\h2piiscn:(DE)" /C

bat脚本实例:

@echo off
title 主机大师开通的网站权限加强设置
::请注意修改下面的程序池名和网站物理路径
set webuser=hpiiscn
rem 上面webuser的值是程序池名,对应网站的运行用户,也对应网站FTP用户名
set weburl=C:\wwwroot\hpiiscn_ncg0kv\web
rem 上面weburl的值是网站根目录的物理路径
icacls "%weburl%" /remove IIS_IUSRS /C
rem 上面是删除IIS_IUSRS权限
icacls "%weburl%" /grant "IIS AppPool\%webuser%:(OI)(CI)R" "IIS AppPool\%webuser%:(CI)(X)" /C
icacls "%weburl%" /grant "IIS AppPool\%webuser%:(OI)(CI)W" "IIS AppPool\%webuser%:(OI)(CI)(DE,WDAC)" /C
icacls "%weburl%" /deny "IIS AppPool\%webuser%:(DE)" /C
rem 上面是增加程序池用户在网站根目录的权限
pause

设置后检查ASP NET PHP 写入和生成权限 和FTP权限

三、长期不需要使用主控网站的情况下
可以将HwsHostEx、HwsHostSvc、HwsHostWebEx三个服务停用

四、其他目录权限设置参考
www.piis.cn/zhishi/2177.html
 

迅恒运营的IDC数据中心机房介绍
机房名称 机房介绍 是否推荐
广州较场西路机房 中国电信5星级机房,华南骨干出口,广州市中心机房,交通便利,总带宽200G,为华南骨干出口。
广州人民中路机房 中国电信3星级机房,超高速的20Gx2主备双线路带宽直接接入ChinaNET骨干层。
广州天河科技园机房 天河软件园建中路4号,中国互联网应急中心机房,国家政府机关直属。多线接入骨干BGP线路。
电子商务部广州机房 天河软件建业路上(科韵路)的国际电子商务中心大厦甲级写字楼内,机房环境一流。多线接入骨干BGP线路。
广州电信加速器机房 位于广州市萝岗区开源大道1号企业加速器B1栋一楼,按照国际T3+及国标B+级标准建造,机房环境一流。多线接入骨干网。
广州移动旗锐机房 广州科学城南翔二路1号旗锐数字科技园区内,属于第三方私立机房,现由移动运营,从粤西汇聚节点直连CMNET骨干网。
广州移动南方基地机房 中国移动广州南方基地机房位于广州市天河软件园高塘大道333号,用于移动骨干网线路,是移动服务器托管优质机房。
东莞电信道滘机房 中国电信4星级机房,总带宽320G,可提供电信和多线BGP线路,华南骨干机房,稳定高速,性价比高。
东莞电信东城机房 中国电信4星级机房,总带宽320G,性价比高,可提供电信和多线BGP线路和200G集群硬件防火墙VIP防护。
东莞电信樟木头机房 中国电信4星级机房,总带宽320G,可提供电信和多线BGP线路和100G集群硬件防火墙企业级防护。
深圳互联港湾机房 深圳南山高新区中区软件大厦四楼,电信3星级机房,20G带宽接入骨干网络。
深圳南山科兴机房 位于深圳市南山区科技园科苑路15号科兴科学园,3星级机房,可提供双线接入等业务。
深圳百旺信机房 深圳市南山区西丽松白公路百旺信工业区A区(一区)一栋属于第三方机房,可提供双线接入等业务。
佛山电信信息大厦机房 佛山市汾江南路35号电信佛山分公司信息大厦8-9层,是中国电信3星级机房,可提供双线接入等业务。
中山电信火炬机房 机房位于中山市火炬区康乐大道47号电信3楼,是中国电信3星级机房,可提供双线接入等业务。
江苏徐州电信机房 机房位于江苏徐州市新城区镜泊东路4号,徐州市档案馆东侧,是中国电信3星级机房,可提供双线接入等业务。
江苏常州电信机房 机房位于江苏省常州市清凉路108号常州信息港,是中国电信4星级机房,可提供双线接入等业务。
香港TKO机房 机房靠近香港交易所的数据中心位置和香港商业中心,拥有PCCW、GTT、Cogent、Telia、TATA、CT、CN2、CU线路。
香港将军澳机房 机房在香港新界將軍澳工業邨駿昌街22號,与阿里云香港机房同属一栋楼,拥有多种线路接入。
香港新世界机房 香港新世界机房的海底电缆系统遍布全球,能直接连接多个国家,免备案,服务器租用、云服务器等业务。
香港NTT机房 香港NTT电讯机房,是一座专用数据中心,在香港大埔,免备案,提供服务器租用、VPS云服务器等业务。
美国洛杉矶机房 位于美国洛杉矶,直连全球,是全球带宽最集中的地方,是外贸企业首选,该机房只提供服务器租用业务。
美国加州DCS机房 位于美国加州,直连全球,是美国的华人机房,是外贸企业首选,该机房只提供服务器租用业务。
美国圣何塞机房 位于美国圣何塞,紧邻科技中心-硅谷,直连全球,是外贸企业首选,该机房只提供服务器租用业务。
韩国首尔KT机房 韩国首尔的江南区道谷洞数据中心,光纤直连电信(CN2)、移动、PCCW、NTT等网络核心骨干。
台湾中华电信机房 台湾中华电信机房位于台湾台北市114内湖区瑞光路68号3楼,是台湾对外最重要的电信枢纽之一。
菲律宾PLDT机房 菲律宾PLDT机房拥有PCCW、TATA、CT、CN2等线路接入,优化线路到中国大陆速度快,延迟低,网络稳定。
迅恒十多年IT企业和IDC运维经验为您提供优质服务
迅恒专注网站建设10多年,几十人技术团队,品质卓越,服务有保障!
  • 云虚拟主机

    ¥99元/年起 网站空间 原价:199元

  • 独立物理服务器

    ¥488/月起 物理机 原价:699元

  • 网站建设

    ¥580企业建站 原价:1999元起

    迅恒建站·ABOUT US

    迅恒专注于企业建站,海量精美网站风格模板供您选择!

广州网站设计公司哪家好

    建站流程·PROCEDURE

    网络营销推广的第一步就是做一个属于自己的网站

  • 沟通联系

    提出需求,咨询报价
  • 达成协议

    交流达成详细建站协议
  • 支付费用

    支付建站相关费用
  • 建站开发

    根据客户需求,制作网站
  • 验收

    客户验收网站
  • 提交上线

    验收合格,解析域名上线
  • 售后服务

    一对一的售后服务客服
    • 我们的优势·OUR STRENGTHS

      做网站,为什么要选迅恒建站?

  • 技术团队

    专业的设计团队、技术团队,为客户提供专业的技术服务支持

  • 源码交付

    客户查验合格,提供源码交付/FTP信息。网站商业授权,避免产权纠纷

  • 四合一建站多终端展示

    网站能够在CP+平板+手机+小程序 完美响应展示。

  • 无隐形收费

    所有收费项公开透明,正规签订合同,合同清楚明确

  • 高端设计

    提供网站个性化定制设计,拒绝千篇一律

  • 安全稳定

    我司与华为云/腾讯云长期合作,采用安全稳定服务器,保障网站安全稳定运行

  • 迅恒累计为上万网站稳定运行 100000000
    机房接入电信带宽400G、联通带宽200G、移动带宽100G,直连核心骨干网络;
    所有重要网络节点和核心设备均采用华为电信级交换设备,网络总体交换能力高达684G,网络联通率达到99.99%,
    并且多点冗余备份,提高网络性能,避免单点故障。
  • 快速导航
  • 广州迅恒信息科技有限公司:
  • 增值电信业务经营许可证和ICP备案 粤B2-20061054
  • 公司业务咨询电话:
  • 020-82315523
  • 公司企业QQ/商务QQ:
  • 923109991 16764407 20300996
  • 销售经理:18988993510 13533213185
  • 备案咨询和售后服务电话:18988993505
  • 专注广州服务器托管
    请加销售经理微信
    Copyright 2005-2020 迅恒 版权所有   公司地址:广州市天河区中山大道中路77号  广州机房:较长西路21号广州电信超级信息港 香港机房:香港新界葵涌葵丰街钟意恒胜中心  粤公网安备44010602002183