欧美性猛交XXXX免费看蜜桃,成人网18免费韩国,亚洲国产成人精品区综合,欧美日韩一区二区三区高清不卡,亚洲综合一区二区精品久久

Windows Server 2003 虛擬主機的安全配置
 
本人上次工作于某家網(wǎng)絡(luò )公司.負責服務(wù)器的維護工作.現失業(yè).
經(jīng)過(guò)一段時(shí)間的了解.自認為在構件Windows服務(wù)器平臺上有所經(jīng)驗.
鑒于現在很多朋友都開(kāi)始謀劃屬于自己的虛擬主機.并且呢.
網(wǎng)上相關(guān)文章都是很老的那種.所以自己冒昧準備寫(xiě)一系列.
希望各位多多指點(diǎn).有問(wèn)題有錯誤多多斧正.謝謝.

開(kāi)頭很?chē)烂C吧.呵呵.那下面就輕松點(diǎn).哎.才跟GF去吃午飯了.撐的我.哎.老打嗝.
這人跟機器就一樣.快的確是挺好.但是要穩定.服務(wù)器的穩定就好比談戀愛(ài)的穩定.
否則一天三頓吵.外加吃個(gè)消夜.那就甭想好點(diǎn)工作了.呵呵.要建立穩定的戀愛(ài)關(guān)系.
那首先.基礎很重要.人品.性格.愛(ài)好.對不對?那我們就先說(shuō)硬件吧.

當然推薦品牌的服務(wù)器.DELL.IBM.都挺好.如果你跟我一樣窮.那自己裝一臺也成.
主板非IWLL.ASUS.INTEL的不要.CPU當然要HT P4的.512 DDR.裝起來(lái)也湊合.
自己曾經(jīng)用一PC做過(guò)一段時(shí)間的測試.如果硬件質(zhì)量都過(guò)關(guān).其實(shí)也非常強.

然后是重要的服務(wù)器操作系統.鑒于本人水平有限制.我們暫時(shí)不探討REDHAT.
首推Windwos Server 2003.尤其是安全性和IIS.比W2K要強很多.執行效率高.穩定安全.

在正式進(jìn)入主題之前.套用FIRE的話(huà)作為整個(gè)工程的開(kāi)場(chǎng)白:

"請不要嘗試去攻擊任何一臺主機.因為你永遠都無(wú)法知道.
你的對面的管理員.到底是一個(gè)天才還是一個(gè)偽裝成白癡的天才."

裝系統估計人人都會(huì )裝.那我不多說(shuō).免得人說(shuō)我騙稿費.在安裝之前.我們還是要談下服務(wù)器的分區.
跟PC分區還是有一點(diǎn)不同的.我按我以前自己做的分區設置羅列一下.下面的內容比較重要.

系統分區定在C盤(pán).個(gè)人認為8G足夠了.10G也行.NTFS格式.因為在2003下.非NTFS不能安裝IIS.
權限保持默認.因為我曾經(jīng)修改過(guò)一次系統盤(pán)的默認權限.結果不知道為什么系統就給崩了.55555.

軟件分區定在D盤(pán).8G到10G.主要安裝輔助軟件.WINRAR.日志檢測軟件.網(wǎng)絡(luò )檢測軟件.Commview這類(lèi)等.
至于MSN哦.QQ哦什么的.其實(shí)不推薦安裝.為什么.當然會(huì )有點(diǎn)小隱患.推薦使用NTFS格式.
權限請保留ADMIN組和SYSTEM組.一共兩個(gè).其他的一律DEL掉.尤其是什么EVERYONE.
為什么.因為安裝到系統中SYSTEM當然是必須具備.然后管理員要操作.所以要ADMIN組.

E盤(pán)我們做為服務(wù)器軟件的安裝分區.大小自己定義.包括CGI.PHP.ZEND.MYSQL.MSSQL.IMAIL.SERV-U等.
文件格式為NTFS.權限保留ADMIN組.SYSTEM組.和"IWAN_你的計算機名"這個(gè)賬號.一共三個(gè).其他的DEL掉.
說(shuō)明一下.這個(gè)"IWAN_你的計算機名"賬號.主要是負責操作應用程序地址池和服務(wù)器軟件.比如PHP腳本.

F盤(pán)就可以做對外服務(wù)的分區.比如IIS的WEB服務(wù).FTP空間.IMAIL郵件賬號空間.
建議建立三個(gè)文件夾: WEB.FTP和IMAIL.然后分門(mén)別類(lèi)的放置每個(gè)軟件的每個(gè)賬號的目錄.
并且不繼承F盤(pán)的父權限.獨立來(lái)定制這三個(gè)目錄的操作權限.具體我們下面說(shuō).
推薦權限為保留如下三個(gè)組: ADMIN組和SYSTEM組以及"USER_你的計算機名"這個(gè)賬號組.
"USER_你的計算機名"這個(gè)賬號組.權限為GUESTS.是匿名訪(fǎng)問(wèn)WEB服務(wù)器的默認賬號.
如果需要有寫(xiě)操作權限的另外建立個(gè)賬號.具體可以參考FSO分配這類(lèi)文章.

G盤(pán)為FTA32格式.放置系統安裝文件.日常工具軟件的安裝程序.系統備份.策略等等.
注意.敏感內容請通過(guò)第三方軟件加密.以免病毒感染或者被黑客捆綁后門(mén)和木馬.
如果條件允許就做異地備份.光盤(pán)或者磁帶機備份.建議裝個(gè)GHOST 2003.對于重要內容可以做鏡像文件.

到這里基本上比較合理的分配了空間.并且也考慮以后的拓展性.我們可以準備進(jìn)入下面的環(huán)節了.

下面我們來(lái)說(shuō)安裝.哎哎.你.坐好.雖然我出去了一下.出去的一小下而已嘛.
你也要注意紀律.什么?說(shuō)我只知道陪MM不寫(xiě)教程.你知道個(gè)啥.兩手都要硬.明白不?

安裝的情況.這個(gè).一般情況下分兩種.不排除有變態(tài)的第N種可能.
對了.有一期科幻世界上有一篇叫第九種可能的文章.挺不錯的.哦哦.打住打住.

首先是升級.WINDOWS 2003好象不支持WINDOWS 2000 PRO上的升級.
個(gè)人推薦還是別整什么升級的好.直接重新安裝.免去了很多D版出現的妖異問(wèn)題.

掃盲: 妖異問(wèn)題就是一些搞半天搞不好不知道怎么搞不好最后不知道怎么自己搞好或者是別人隨便一搞就搞好的問(wèn)題.

直接安裝.如果你的系統是好的.我是說(shuō).可以進(jìn)入系統并且可以使用CD-ROM的情況.
你可以選擇直接在現有的系統上安裝.然后選擇重新安裝.輸入SN序列號.直接NEXT就可以了.

注意在安裝的時(shí)候.如果你做對外的服務(wù)器就選擇系統盤(pán)為NTFS格式.分區方案見(jiàn)上面的.
如果你是自己用.做本地調試或者是測試的.那就隨便你怎么弄吧.只要你覺(jué)得舒服.

OK.下面來(lái)說(shuō)一下純DOS里面的安裝.雖然是很OLD的內容.
在DOS里面要使用一個(gè)名為 Smartdrv.exe 的命令.
意思是增補磁盤(pán)高速緩存.什么意思?我不想跟 IQ < 70 的人探討技術(shù)問(wèn)題.
這個(gè)命令可以在 Windows 98 的安裝目錄里找到.直接執行就可以了.不需要增加參數.
執行結果以后是什么樣?沒(méi)什么樣.你多執行幾次就會(huì )看到效果了.知道不?

然后執行 FORMAT C: /S/Q 切記.
如果你想保證你的 WINDOWS 2003 以后能擁有 DOS 啟動(dòng)進(jìn)入 MS-DOS 環(huán)境的話(huà).
請一定按照我上面說(shuō)的做.只要在安裝 WINDOWS 20003 之前把系統 FORMAT 以后.
以后安裝完 WINDOWS 2003 以后.可以通過(guò)如下方法進(jìn)入 純DOS 環(huán)境而不需要其他引導光盤(pán).[page]

啟動(dòng)計算機.按 F8 鍵.進(jìn)入 WINDOW 2003 SERVER 的操作系統高級選擇菜單.
選擇 帶命令的安全模式 然后選擇 MICROSOFT WINDWOS 即可.

另外一個(gè)命令.說(shuō)實(shí)話(huà)我也不知道是做什么用的.名為 Lock.exe 的命令.
看樣子似乎是鎖定.一般的用法是執行完 Smartdrv.exe 以后執行一個(gè) Lock.exe C: 假設你要裝到C盤(pán).

Lock.exe命令 - 解釋:
執行該程序可有效地鎖住你的光驅.
使光驅上的EJECT鍵暫時(shí)失效.直至用UNLOCK.EXE或RESET.EXE程序解鎖.
重新啟動(dòng)計算機也可使EJECT鍵再次生效.
LOCK.EXE的應用格式為:
LOCK [device]
其中device即CD-ROM的盤(pán)號.默認為第一光驅.

總結一下流程.HOHO.

1. 修改 CMOS 為 CD-ROM 引導.不會(huì )?那一邊涼快去.
2. 放入 Windows 98 引導光盤(pán).進(jìn)入Dos模式.進(jìn)入 Windows 98 安裝目錄.執行 Smartdrv.exe 和 Lock.exe C:
3. 彈出光盤(pán).更換一張 Windows 2003 Server 的安裝光盤(pán).進(jìn)入 I386 目錄.執行 Winnt.exe

好了.開(kāi)始安裝了.隨便說(shuō)一句.在安裝的時(shí)候請不要設置Administrator的密碼.就為 Null 空著(zhù).
為什么.你不聽(tīng)我話(huà)算了.以后出現問(wèn)題了別找我.也不要怪我沒(méi)說(shuō).

下面就進(jìn)入最關(guān)鍵的環(huán)節了.大家振作精神.

如果你硬盤(pán)空間足夠的話(huà).并且現在時(shí)間也比較充足.那我推薦下面的步驟.

1. 重新啟動(dòng)系統.按F8.進(jìn)入命令提示的模式.選擇 MICROSOFT WINDWOS.

2. 進(jìn)入 DOS 以后.啟動(dòng) GHOST.做個(gè) WINDOWS 2003 C盤(pán)的 GHO 文件.放到 FAT32 分區上.

關(guān)于第一點(diǎn).請認真參看上面關(guān)于在 WINDOWS 2003 上進(jìn)入純 DOS 的內容.

如果你沒(méi)有按我前面說(shuō)的做.那就使用 CD-ROM 引導.然后修改 CMOS 啟動(dòng).進(jìn)入 DOS 環(huán)境.

做好GHO文件以后.就不怕以后萬(wàn)一崩潰以后重新安裝的麻煩.
當然.你也可以把 "小白" 更新 Windows Update 以后做GHO.

本人推薦把干凈的系統通過(guò) 更新 Windows Update 以后.什么都不做.然后直接GHOST做GHO.不過(guò)前提是你比較了解系統.

下面繼續.GOGO.

把NIC卡.也就是網(wǎng)卡啦.禁用.然后設置好IP和DNS.GATEWAY.不要啟用.切記.
為什么?因為如果你SERVER.那當然你一旦設置好NIC信息就可以上網(wǎng)了.但是在安裝的時(shí)候沒(méi)有設置 ADMINISTRATORS 的密碼.
所以連入網(wǎng)絡(luò )就會(huì )不安全.別說(shuō)一會(huì )兒沒(méi)事.我們不能保證無(wú)聊的人在窺視你的網(wǎng)絡(luò ).呵呵.萬(wàn)一遇到個(gè)瞎貓也不好嘛.

現在服務(wù)器暫時(shí)無(wú)法連通任何網(wǎng)絡(luò ).
這樣可以防止裸機被沖擊波或者HACKER掃描.
可以說(shuō)是安全的.推薦這個(gè)時(shí)候操作人員不要離開(kāi)工作臺.呵呵.

下面高舉注冊表和組策略大法.開(kāi)始我們的核心之旅途.

在開(kāi)始之前.我想說(shuō)的是.我們必須深入了解這臺服務(wù)器的用途.
每種用途針對不同的設置和部署策略.只有最合適的也才可能是最安全的.

按我下面的例子繼續展開(kāi).GO.

我選了一個(gè)比較典型的例子.比如一臺服務(wù)器.準備作為WEB+FTP+MAIL服務(wù).
分細致一點(diǎn)列在下面:

1. WEB當然是使用 IIS 6.0 支持 ASP.PHP.CGI 腳本.
2. FTP使用 SERV-U 5.0 中文版
3. MAIL使用 IMAIL 8.02 中文版
4. 數據庫使用 MYSQL 數據庫.當然是 5.0 版本的.PHP 也用 5.0.
5. 其他的.比如ZEND.JMAIL一律使用官方最新版本.

上面這類(lèi)軟件推薦在官方網(wǎng)站下載.或者是去 www.SKYCN.NET 下載.

按照上面的列表.我們可以得到最后的結果.開(kāi)放端口如下:

80 => WEB
21 => FTP
25 => MAIL
110 => MAIL
3389 => 終端服務(wù)
8383 => MAIL WEB

我們可以按照上面的.以后做個(gè)可靠的IP和PORT策略.
即除了上面的TCP PORT.一律給予BLOCK.
當然了.推薦也將ICMP ECHO給予關(guān)閉.
如果你需要遠程管理.推薦使用 PCANYWHERE 或者 WIN的終端服務(wù) 或者 WINVNC.
該例子我們選用了 WINDOWS 2003 的終端服務(wù).所以上面開(kāi)放了 3389 端口.

隨便說(shuō)一下.網(wǎng)上有很多人很多教材推薦要通過(guò)注冊表修改終端服務(wù)的端口.
這里我想說(shuō)的是.根本不需要.完全是杞人憂(yōu)天.自己耽誤工夫.

對于現在的 SP4 的 W2K 或者是 WINDOWS 2003.
終端服務(wù)已經(jīng)非常完善和安全.如果一個(gè)管理員通過(guò)合理和正確的配置.
完全可以讓服務(wù)器.我是說(shuō).裸機.暴露在網(wǎng)上承受每天10W次的掃描和嘗試攻擊.
除腳本漏洞以外.幾乎是沒(méi)有什么安全問(wèn)題的.無(wú)論你的樹(shù)多大都不會(huì )招風(fēng).
想通過(guò)簡(jiǎn)單的黑客工具.比如溢出.比如弱密碼.比如RPC來(lái)入侵幾乎是不可能.
如果你的服務(wù)器配置完以后.隨便使用幾個(gè)網(wǎng)上的工具就可以攻擊成功.
那你干脆回家洗了睡算了.或者直接把網(wǎng)線(xiàn)給剪掉.我不想跟白癡探討.

如果有真正的HACKER盯上了你的機器.就憑著(zhù)修改一下終端服務(wù)的端口.
就想蒙混過(guò)關(guān)的話(huà).那幾乎是太天真了.如果你的服務(wù)器不會(huì )被工具所入侵.
當然也不會(huì )輕易的被突破終端服務(wù)的防線(xiàn).

我經(jīng)常說(shuō).IF THEN.IF THEN.

IF 你的服務(wù)器無(wú)法被簡(jiǎn)單的工具工具.
THEN 不會(huì )被簡(jiǎn)單的得到ADMIN而登陸3389

IF 你的服務(wù)器被HACKER或者組織盯上.
服務(wù)器既然可以被通過(guò)系統上甚至服務(wù)器軟件上的BUG來(lái)入侵.
那就算你沒(méi)3389他們也一樣可以有辦法的.

SO.修改端口.完全沒(méi)有必要的.

寫(xiě)到這里.很多朋友說(shuō).我寫(xiě)的很空泛.沒(méi)有實(shí)際操作.
但是我想說(shuō)的是.要有扎實(shí)的部署策略和翔實(shí)的資料和理論做基礎.
否則就會(huì )在實(shí)際動(dòng)手時(shí)出現怪異問(wèn)題.擾亂工作進(jìn)度和質(zhì)量.
所以我寫(xiě)該文主要是告訴大家我的思維模式和工作方法.
就好象CISCO的很多書(shū)里有大量的PS和引用.示例和作者心得小貼士.
外國的教授或者老師善于發(fā)掘學(xué)生的想象力和處理問(wèn)題的技巧方法.
而不像國內TMD填鴨教學(xué).說(shuō)到這里讓我很心寒.呵呵.

不說(shuō)遠了.現在我們所要做的.就是按照我們上面的構想去實(shí)現.