今天我講更深入一些��,談?wù)劸W(wǎng)站安全性和穩(wěn)定性�。對(duì)于很多接觸過Linux和Windows的朋友�����,對(duì)比Linux的apache來說���,應(yīng)該很清楚IIS是很不穩(wěn)定了����。什么死循環(huán)���、堆棧溢出等問題一出現(xiàn)IIS就掛掉了�,其他網(wǎng)站就受影響了����。那我為什么還要講IIS的安全性和穩(wěn)定性呢?還是那句話,針對(duì)目前的市場(chǎng)來寫文章做分享���。
以下是使用IIS 部署網(wǎng)站的建議
1��、將IIS目錄&數(shù)據(jù)與系統(tǒng)磁盤分開放�����,如C盤放系統(tǒng)���,D盤放數(shù)據(jù),E盤只放網(wǎng)頁文件。
2����、網(wǎng)站目錄只Administrators/SYSTEM/WEB用戶/FTP用戶權(quán)限,特殊目錄除外��。
3��、啟用父級(jí)路徑
4�、在IIS管理器中刪除必須之外的任何沒有用到的映射(保留asp、aspx等必要映射即可)��,如果不懂不要?jiǎng)h除�。
5、在IIS中將HTTP404等出錯(cuò)頁面通過URL重定向到一個(gè)定制HTML文件
6����、建議使用W3C擴(kuò)充日志文件格式,每小時(shí)記錄客戶IP地址���,用戶名等所有記錄分類����,而且每天均要審查日志,可用日記工具閱讀��。(IIS日志不要存放在默認(rèn)的C盤,建議更換一個(gè)非系統(tǒng)盤日志的路徑��,同時(shí)設(shè)置日志的訪問權(quán)限�,只允許管理員和system為Full Control)�����。
7����、程序安全:
1) 涉及用戶名與口令的程序最好封裝在服務(wù)器端,盡量少的在ASP文件里出現(xiàn)����,涉及到與數(shù)據(jù)庫連接地用戶名與口令應(yīng)給予最小的權(quán)限;
2) 需要經(jīng)過驗(yàn)證的ASP頁面,可跟蹤上一個(gè)頁面的文件名���,只有從上一頁面轉(zhuǎn)進(jìn)來的會(huì)話才能讀取這個(gè)頁面���。
3) 防止ASP主頁.inc文件泄露問題;
4) 防止UE等編輯器生成conn.asp.bak文件泄露問題。
8���、設(shè)置IIS的服務(wù)恢復(fù)�����,減少IIS出問題時(shí)�,自動(dòng)重啟服務(wù)。
1)將IIS Admin Service的恢復(fù) 第一次失敗 設(shè)置為 重新啟動(dòng)服務(wù)��,第二次失敗和后續(xù)失敗 設(shè)置為 運(yùn)行一個(gè)程序���,重置失敗計(jì)數(shù)為 1天以后�����,重新服務(wù)啟動(dòng)服務(wù)為0分鐘�,然后在運(yùn)行程序中復(fù)制以下地址 C:/WINDOWS/system32/iisreset.exe 命令行參數(shù) /start
2)將World Wide Web Publishing Services 第一次失敗、第二次失敗��、后續(xù)失敗 設(shè)置為 重新啟動(dòng)服務(wù)��,重置失敗計(jì)數(shù)為 1天以后���,重新服務(wù)啟動(dòng)服務(wù)為0分鐘
9、刪除C:/WINDOWS/system32/inetsrv目錄下的adsiis.dll的user權(quán)限�����,可以禁止遍歷IIS�。
10、Web站點(diǎn)權(quán)限設(shè)定(建議)
讀 允許
寫 不允許
腳本源訪問 不允許
目錄瀏覽 建議關(guān)閉
日志訪問 建議關(guān)閉
索引資源 建議關(guān)閉
11���、控制網(wǎng)站目錄的權(quán)限�,以下詳細(xì)介紹����。
一、新建Web訪問用戶
0���、右擊 我的電腦--計(jì)算機(jī)管理--本地用戶和組/用戶--右擊 新建用戶
1����、如 用戶名web001、密碼:123abc!@# (如果是真實(shí)運(yùn)行盡量使用32位 復(fù)雜密碼�,另外用記事本保存好)
2、將 用戶不能更改密碼 和 密碼永不過期 打勾�。
二、修改Web用戶權(quán)限
1�����、右擊 web001 屬性--隸屬于--將Users刪除��,添加IIS_WPG ()
2�、切換到 環(huán)境 頁面,將客戶端設(shè)備的三個(gè)打勾 取消掉
3��、切換到 遠(yuǎn)程控制 頁面�����,將啟用遠(yuǎn)程控制 取消打勾���。
三���、新建 應(yīng)用程序池并設(shè)置權(quán)限
1、打開 Internet 信息服務(wù)(IIS)管理器 右擊 應(yīng)用程序池 新建--應(yīng)用程序池
2、填寫新應(yīng)用程序池的名稱�����,如web001 或者默認(rèn)AppPool #1(關(guān)于網(wǎng)站獨(dú)立使用應(yīng)用程序池會(huì)比較好���,一出現(xiàn)問題其他網(wǎng)站不會(huì)受它影響����,也建議不同類型的網(wǎng)站不要使用同一個(gè)應(yīng)用程序池)
