WinXP+Apache+PHP5+MySQL5+Zend+GD库+phpMyAdmin+PHPWind 5.3 本机安全优化安装
在《WindowsXP+IIS+PHP5+MySQL5+Zend+GD库+phpMyAdmin+PHPWind 5.3 本机安装》一帖中,首先解决了最基本的论坛安装问题;在这一帖中,则要进一步解决如何安全地装好论坛的问题——即打造一个相对安全的论坛。不知道大家的感觉如何,反正我挂在网上的时候,心底里总还是不时浮现出一丝不安。有必要事先说明一点:千万不要以为服务器的安全设置可有可无,也千万不要以为你能把服务器设置得滴水不漏;而且Windows XP本来就不是用来支持服务器的,在安全性上自然也比不上专用的服务器版操作系统。不过,我们可以进行一些必要的安全设置,这也许防不住黑客高手,但至少可以防止那些小毛贼轻松地就把你的服务器变成传说中的“肉鸡”。这么说吧,如果不进行必要的安全设置,其直接结果就是——你的服务器在网上裸奔。^-^
一、准备工作:
1、安装好Windows XP,最好能进行一些必要的优化调整。如果不太熟悉的话,可以在网上找一些相关的文章看看,应该会很多的,这里就不再多说了。如果你还没自己装过Windows XP,那么建议先熟悉一下Windows XP的安装过程以及计算机方面的基础知识,否则看下去会比较吃力。
2、准备好所需用到的软件,我所用的具体如下:
Apache HTTP Server For Windows V2.2.4——(apache_2.2.4-win32-x86-no_ssl.zip4343 KB)
http://www.skycn.com/soft/1218.html
PHP V5.2.1 For Windows——(php-5.2.1-Win32.zip9616 KB)
http://www.skycn.com/soft/516.html
MySQL For Windows V5.2 Alpha——(mysql-5.2.0-falcon-alpha-win32.zip36943 KB)
http://www.skycn.com/soft/1262.html
PHPMyAdmin For Windows V2.10.2——(phpMyAdmin-2.10.2-all-languages.zip4254 KB)
http://www.skycn.com/soft/17470.html
Zend Optimizer V3.2.6 For Windows——(ZendOptimizer-3.2.6-Windows-i386.zip8735 KB)
http://www.skycn.com/soft/20133.html
PHPWind论坛系统 V5.3——(PHPWind_GBK_5.3.zip1728 KB)
http://www.skycn.com/soft/34201.html
3、本例中系统架构的约定:
Windows XP 安装在“C:\WinXP”目录下;建坛所需用到的软件均安装在“F:\MyForumProg”目录下,Apache的虚拟根目录为“F:\MyForumProg\MyBBS”,论坛程序安装在“F:\MyForumProg\MyBBS\upload”目录下。
如果大家的系统架构设定与此不同,请注意在相关处自行修改。
MySQL系统“root”用户口令为“123456”,论坛数据库名为“MyData”。
注意:在本例中,还会有其他用户的口令也取为“123456”,但这仅仅是为了方便说明;从安全的角度出发,各用户的口令均应采用8位以上的数字、字符混合形式。在实际应用时请大家自行修改,切记,切记!!!
另:在所配截图中,请注意鼠标箭头所指。
二、Windows XP中的安全设置:
有关Windows XP的安全设置内容很多,限于篇幅和水平,在这里就只挑主要的简单讲几条,以实用为主,解释为辅。有兴趣深入探索的朋友,可以自己在网上找些相关的文章看看。
1、在Windows XP中,NTFS文件系统相对于FAT32文件系统来说,安全性和强壮性都更高。因此,至少在系统分区(C:)和安装论坛程序的分区(F:)都应该采用NTFS文件系统格式。
注:如果相应的分区不是NTFS文件系统格式,个人不建议使用格式转换;建议用NTFS格式重新格式化分区,也许可以避免一些不必要的麻烦。
2、在Windows XP默认启用的“简单文件共享”模式下,任何用户都可以轻易地获取共享资源,安全性不高。因此,应取消“简单文件共享”模式的使用,以便对共享资源进行具体的权限设置。
2.1、打开“我的电脑”,在上部的“工具”项中点选“文件夹选项”;在随后弹出的“文件夹选项”窗口中点选“查看”项,取消对“使用简单文件共享(推荐)”的勾选,再点窗口下方的“应用”按钮(见下图)。
http://images.iyunv.com/cnblogs_com/msczhu/1.jpg
2.2、然后,点窗口中部的“应用到所有文件夹”按钮(见下图)。
http://images.iyunv.com/cnblogs_com/msczhu/2.jpg
2.3、在随后弹出的“文件夹视图”窗口中点选“是”按钮(见下图)。
http://images.iyunv.com/cnblogs_com/msczhu/3.jpg
2.4、返回“文件夹选项”窗口后,点窗口下方的“确定”按钮退出。
3、禁用LSA枚举帐号:LSA枚举可使远程用户能够得到系统中的所有用户名并进行密码破解。
3.1、在“控制面板”的“管理工具”中双击运行“本地安全策略”,在随后弹出的“本地安全设置”窗口中点开“本地策略”下的“安全选项”,并在右侧窗口中找到“网络访问:不允许SAM帐户和共享的匿名枚举”项,其默认设置为“已停用”(见下图)。
http://images.iyunv.com/cnblogs_com/msczhu/4.jpg
3.2、双击进入“网络访问:不允许SAM帐户和共享的匿名枚举属性”窗口并点选“已启用”,再点窗口下方的“确定”按钮(见下图)。
http://images.iyunv.com/cnblogs_com/msczhu/5.jpg
3.3、在随后弹出的“确认设置修改”窗口中,点选“是”按钮确认设置修改(见下图)。
http://images.iyunv.com/cnblogs_com/msczhu/6.jpg
3.4、返回“本地安全设置”窗口后,可以看到“网络访问:不允许SAM帐户和共享的匿名枚举”项已被设置为“已启用”(见下图)。
http://images.iyunv.com/cnblogs_com/msczhu/7.jpg
4、按类似方式修改右侧窗口中最下方的“帐户:重命名来宾帐户”和“帐户:重命名系统管理员帐户”两项(见下图),完成后关闭“本地安全设置”窗口。
http://images.iyunv.com/cnblogs_com/msczhu/8.jpg
5、如果不嫌麻烦的话,重启登录后还可以创建一个没有权限的陷阱管理员帐户“Administrator”,并为其设置一个超长的复杂密码,让那些别有用心的人慢慢猜去吧。^-^
5.1、在“控制面板”的“用户帐户”中点“创建一个新帐户”(见下图)。
注意:在这里可以看到系统中的管理员帐户、来宾帐户均为上一步所修改的内容,且来宾帐户未被启用。
http://images.iyunv.com/cnblogs_com/msczhu/9.jpg
5.2、在随后弹出的“为新帐户起名”窗口中输入帐户名“Administrator”后,点下方的“下一步”按钮继续(见下图)。
http://images.iyunv.com/cnblogs_com/msczhu/10.jpg
5.3、由于“Administrator”帐户为系统默认的管理员帐户,故此时无法为其选择帐户类型,直接点下方的“创建帐户”按钮继续(见下图)。
http://images.iyunv.com/cnblogs_com/msczhu/11.jpg
5.4、帐户创建完成后,可以看到系统中增加了“Administrator”这个管理员帐户,此时点选“Administrator”帐户(见下图)。
http://images.iyunv.com/cnblogs_com/msczhu/12.jpg
5.5、在随后弹出的窗口中点“创建密码”项(见下图)。
http://images.iyunv.com/cnblogs_com/msczhu/13.jpg
5.6、两次输入一个超强密码及提示短语后点下方的“创建密码”按钮继续(见下图),完成后关闭“用户帐户”窗口。
http://images.iyunv.com/cnblogs_com/msczhu/14.jpg
5.7、在“控制面板”的“管理工具”中双击运行“计算机管理”,在“计算机管理”窗口中逐级点开“本地用户和组”下的“用户”项,找到帐户“Administrator”,并右击点选其“属性”项(见下图)。
http://images.iyunv.com/cnblogs_com/msczhu/15.jpg
5.8、在“Administrator 属性”窗口中的“隶属于”标签下,选定所有的组名并点下方的“删除”按钮(见下图),将帐户“Administrator”从所有的用户组中删除,再点“确定”按钮退出“Administrator 属性”窗口。
http://images.iyunv.com/cnblogs_com/msczhu/16.jpg
5.9、如果想验证处理结果,可在“组”中查看相应的用户组属性,检查“Administrator”帐户是否还包含其中;且在“控制面板”的“用户帐户”中,“Administrator”帐户也将不再显示。
如此这般处理后,“Administrator”帐户在系统中默认将没有任何权限,除非管理员单独为其再分配权限。
6、此外,还有诸如关闭未使用端口,定期下载安装Windows XP安全补丁,安装放火墙(必须开放Web服务用的TCP 80端口)、防范病毒及恶意软件的工具软件等常规安全措施值得注意。
三、PHP的安装及安全设置:
1、将“PHP V5.2.1 For Windows”安装包中的所有文件直接解压到“F:\MyForumProg\PHP”目录下(见下图)。当然,也可以将安装包解压到其它目录,然后改名为“PHP”再移动到“F:\MyForumProg”目录下。
注意:如果操作正确的话,在“F:\MyForumProg\PHP”目录下应该能看到“php.exe”文件。
http://images.iyunv.com/cnblogs_com/msczhu/17.jpg
2、将“F:\MyForumProg\PHP”目录下的“php.exe”、“php-win.exe”及“php.ini-recommended”等三个文件拷贝到“C:\WinXP”目录下;将“F:\MyForumProg\PHP”目录下所有的“.dll”文件拷贝到“C:\WinXP\system32”目录下。我在操作时未见有重名提示,如有重名提示就选择覆盖。
另:有些教程上特别提到:“要将‘F:\MyForumProg\PHP\ext’目录下所有的‘.dll’文件也拷贝到‘C:\WinXP\system32’目录下”,我没拷也装成了,但不知道将来在使用过程中会不会有影响。
3、PHP的基本配置:将“C:\WinXP\php.ini-recommended”文件改名为“php.ini”,然后用记事本打开编辑。
3.1、查找字符串“extension_dir =”,将“extension_dir = ".\"”改为“extension_dir = "F:\MyForumProg\PHP\ext"”(见下图)。
http://images.iyunv.com/cnblogs_com/msczhu/18.jpg
3.2、查找字符串“; Windows Extensions”,将下列各行行首的分号(;)去掉(见下图)。
;extension=php_dbase.dll 可选
;extension=php_gd2.dll 此项用以支持GD库的,一般需要,必选
;extension=php_ldap.dll 可选
;extension=php_mbstring.dll 此项不选则使用PHPMyAdmin会提示错误,必选
;extension=php_mcrypt.dll 此项不选则使用PHPMyAdmin会提示错误,必选
;extension=php_mssql.dll 此项用以支持MSSQL数据库,可选
;extension=php_mysql.dll 此项用以支持MySQL数据库,必选
http://images.iyunv.com/cnblogs_com/msczhu/19.jpg
至此,PHP安装及基本的配置工作已经完成,如保存文件退出,PHP就可以正常使用了。
4、PHP的安全设置:为了提高PHP的安全性,还需要接着对PHP进行一些安全设置,编辑调整下列各项参数的设置。
4.1、safe_mode = On:其默认值为“Off”,开启此参数(见下图)能够限制PHP中一些涉及安全的函数(如“system()”),并对一些文件相关的函数进行权限控制,不允许PHP程序访问某些关键位置的文件。
http://images.iyunv.com/cnblogs_com/msczhu/20.jpg
4.2、safe_mode_gid = Off:其默认值即为“Off”,但还是检查一下为好;这是因为开启了“safe_mode = On”参数后,如果此参数也被开启的话,PHP脚本可能无法正常操作网站目录下的文件,因此必须将其设置为“Off”(见下图)。
http://images.iyunv.com/cnblogs_com/msczhu/21.jpg
4.3、safe_mode_exec_dir = "F:\MyForumProg\MyBBS":此参数设置PHP在调用执行程序命令时所查找的目录,应将其限定在网站目录下(见下图)。
http://images.iyunv.com/cnblogs_com/msczhu/22.jpg
4.4、open_basedir = "F:\MyForumProg\MyBBS;C:\Documents and Settings\apache\Local Settings\Temp":此参数设置PHP进行文件操作的目录范围,尽量将其限定在网站目录下(见下图)。
注:“C:\Documents and Settings\apache\Local Settings\Temp”目录是以后运行PHPMyAdmin程序要用到的。
http://images.iyunv.com/cnblogs_com/msczhu/23.jpg
4.5、disable_functions = system,passthru,exec,shell_exec,popen,phpinfo:此参数用来设置禁用的PHP函数,这些PHP函数要么是暴露系统的重要信息,要么可被利用来直接入侵,自然要封杀掉(见下图)。
注意:其中的phpinfo函数在论坛安装过程中会被用到,建议论坛安装完成后再封掉。
http://images.iyunv.com/cnblogs_com/msczhu/24.jpg
4.6、expose_php = Off:HTTP信息头部中会包含PHP的版本信息,有可能会被利用来发现针对服务器的溢出攻击方法,因此还是让PHP“闭嘴”吧(见下图)。
http://img.phpwind.net/attachout/Mon_0705/22_1077608_7a6ab06ca0604ae.jpg
4.7、register_globals = Off:禁用全局变量,这样可以确保PHP程序在传递变量时不被截获(见下图)。
http://img.phpwind.net/attachout/Mon_0705/22_1077608_51b3481f66391f4.jpg
4.8、magic_quotes_gpc = On:开启此变量(见下图)会对用户提交的SQL查询进行转义,可以非常显著地减少SQL注入,避免对数据库构成威胁。
http://img.phpwind.net/attachout/Mon_0705/22_1077608_926ed34ab77998c.jpg
4.9、display_errors = Off:此参数用来设置是否显示PHP错误。黑客攻击前一般都会向PHP程序提交一些错误的数据,通过网页返回的错误信息来获得目录位置、服务器版本及其他一些重要信息,因此应将此参数设置为“Off”(见下图)。
http://img.phpwind.net/attachout/Mon_0705/22_1077608_d3f06b1f546d2f3.jpg 最后,保存文件退出,PHP至此全部配置完毕。
四、Apache的安装及设置:
1、Apache的安装:
1.1、将“Apache HTTP Server For Windows V2.2.4”安装包解压,双击运行“apache_2.2.4-win32-x86-no_ssl.msi”后点“Next”按钮开始安装(见下图)。
http://img.phpwind.net/attachout/Mon_0708/22_1077608_2526b906dcc831f.jpg 1.2、点选“I accept ......”项后点“Next”按钮继续(见下图)。
http://img.phpwind.net/attachout/Mon_0708/22_1077608_3e72b9c20aa0960.jpg
http://img.phpwind.net/attachout/Mon_0708/22_1077608_7d40d0643f4220f.jpg 1.3、随后弹出的“Server Information”窗口中要求填写网站的域名信息,没有的话可以随便填。此处假设服务器名为“www.myforum.com”,填写好后点“Next”按钮继续(见下图)。
http://img.phpwind.net/attachout/Mon_0708/22_1077608_e702fb3534681ef.jpg 1.4、点选“Typical”项设置典型安装后点“Next”按钮继续(见下图)。
http://img.phpwind.net/attachout/Mon_0708/22_1077608_0f5177cee238073.jpg 1.5、点选“Change...”按钮将安装路径更改为“F:\MyForumProg\Apache2.2\”后点“Next”按钮继续(见下图)。
http://img.phpwind.net/attachout/Mon_0708/22_1077608_3af308694d695ff.jpg
http://img.phpwind.net/attachout/Mon_0708/22_1077608_c323f23c5cb82ae.jpg 1.6、收集完必要的信息后,点“Install”按钮即开始安装(见下图)。
http://img.phpwind.net/attachout/Mon_0708/22_1077608_8331eeda99fc9ab.jpg
http://img.phpwind.net/attachout/Mon_0708/22_1077608_d8e626b9d49eae1.jpg 1.7、如果机器里装有防火墙的话,在安装过程中可能会弹出网络访问请求,此时应予以放行(见下图)。
http://img.phpwind.net/attachout/Mon_0708/22_1077608_97b19f97af99f9f.jpg 1.8、最后,点下方的“Finish”按钮完成Apache的安装(见下图)。
http://img.phpwind.net/attachout/Mon_0708/22_1077608_373d37e00bf9b19.jpg 1.9、随后,在桌面右下角的系统托盘中会出现一个Apache的图标(见下图)。
http://img.phpwind.net/attachout/Mon_0708/22_1077608_40930ef814f6ae5.jpg 1.10、在浏览器中打开:http://localhost/,如能看到以下画面(见下图),则说明Apache安装成功了。
http://img.phpwind.net/attachout/Mon_0708/22_1077608_297189948fb2a2e.jpg
2、配置Apache以支持PHP:
2.1、用记事本打开并编辑Apache的配置文件“F:\MyForumProg\Apache2.2\conf\httpd.conf”,查找字符串“#LoadModule ssl”,在其后加入一行“LoadModule php5_module F:/MyForumProg/PHP/php5apache2_2.dll”(见下图)。
http://img.phpwind.net/attachout/Mon_0708/22_1077608_23b80e4fa99891a.jpg 2.2、查找字符串“DocumentRoot "”,将其设置为我们设定的Apache虚拟根目录为“F:\MyForumProg\MyBBS”(见下图)。
http://img.phpwind.net/attachout/Mon_0708/22_1077608_07d322435a33986.jpg 2.3、查找字符串“
页:
[1]