最近被木马折腾的觉都睡不好,有几天基本上工作到凌晨2点
把服务器乾坤大挪移了一番
但是我自己觉得网站还是不够安全
我对网站安全的认识:
1、网站的目录尽可能不要有写入权限,如果有人传入了木马那网站就遭殃了,有写入权限的目录文件可能会被修改
所以一般我只给网站分配只读权限,禁用写入权限
2、数据库不要有SA 级别的用户,权限要分配好,SQLServer sa 用户可以执行cmd 命令,一旦数据库SA用户被获得,就等于获得了操作系统的控制权
一般情况下,一个数据库对应一个db_owner角色的用户
3、图片的上传一般独立出去,只有读取权限,没有asp/.net程序的执行权限
即使做好了上面这些,我觉得网站还是不安全,
首先是 .net 的临时目录
C:\Windows\Microsoft.NET\Framework64\v4.0.30319\Temporary ASP.NET Files
这个目录是需要有读写权限的,否则无法编译asp.net
即使网站根目录设置的是只读权限,临时目录 还是可以 修改/写入 文件的
我在想是否可以修改这个临时目录的默认路径
比如 X:\TEMPNET\
我觉得安全这块虚拟主机运营商应该是做的最好的,
否则他们一台服务器上挂那么多站,有一个站点被入侵,其他站点都会遭遇了不?
试试Windows Server 2012 R2,默认的安全性和隔离性已经很好了。
默认每一个站点跑一个单独的用户。
安全原则就是一开始给最低的权限,然后需要什么给什么。