Sep 16, 2008
115 Views

Bài tập: Setup hệ thống cho công ty ( phần 2 )

Written by

II/Setup & Config các dịch vụ

1/Web Server

*Cài đặt

-Cài đặt IIS, từ Add/remover.Vào Internet Serives Manager trong Admin Tools

-Cài NetFramework3.5 install từ microsoft

-cài đặt sql server 2000, down sp4 fixed từ microsoft

Tại *server, chuột phải chọn New / WEbsite

– Click Next .

– Ở cửa sổ description, chúng ta điền tên domain vào. ( chỗ này nếu đã có domain rồi muốn tạo multi domain cũng làm như này )

– Tại cửa sổ tiếp theo, có thể lựa chọn Port và IP cho domains mới. ta không thay đổi port, vẫn giữ nguyên là port 80 và điền vào host header là domain

– Tiếp chọn đường dẫn : nơi để domain đó

Cài PHP 5.2.6 :

Download : http://ar.php.net/get/php-5.2.6-Win32.zip/from/a/mirror

Giải nén vào ổ C:PHP

– Click phải My Computer > Property > chọn Tab Advance > chọn Environment Variables > Chọn Path > Edit > Thêm C:PHP . Restart Windows. (với mỗi path phải cách nhau bằng dấu

;)

– Copy file C:PHPsapiphp4isapi.dll vào C:PHP

– Rename file php.ini-dist thành php.ini

– Vào Start > Run > gõ php.ini. Nếu báo lỗi nghĩa là bước Variables Path chưa thành công, cần kiểm tra lại. Edit vài thông số trong php.ini như sau  <  !< !−−DVFMTSC−−>−< !−−DVFMTSC−−>−DVFMTSC< !−−DVFMTSC−−>−< !−−DVFMTSC−−>−> style="color:<  !< !−−DVFMTSC−−>−< !−−DVFMTSC−−>−DVFMTSC< !−−DVFMTSC−−>−< !−−DVFMTSC−−>−> #000000;"> <  !< !−−DVFMTSC−−>−< !−−DVFMTSC−−>−DVFMTSC< !−−DVFMTSC−−>−< !−−DVFMTSC−−>−> style="color:<  !< !−−DVFMTSC−−>−< !−−DVFMTSC−−>−DVFMTSC< !−−DVFMTSC−−>−< !−−DVFMTSC−−>−> #0000bb;">extension_dir<  !< !−−DVFMTSC−−>−< !−−DVFMTSC−−>−DVFMTSC< !−−DVFMTSC−−>−< !−−DVFMTSC−−>−>  <  !< !−−DVFMTSC−−>−< !−−DVFMTSC−−>−DVFMTSC< !−−DVFMTSC−−>−< !−−DVFMTSC−−>−> style="color:<  !< !−−DVFMTSC−−>−< !−−DVFMTSC−−>−DVFMTSC< !−−DVFMTSC−−>−< !−−DVFMTSC−−>−> #007700;">=<  !< !−−DVFMTSC−−>−< !−−DVFMTSC−−>−DVFMTSC< !−−DVFMTSC−−>−< !−−DVFMTSC−−>−>  <  !< !−−DVFMTSC−−>−< !−−DVFMTSC−−>−DVFMTSC< !−−DVFMTSC−−>−< !−−DVFMTSC−−>−> style="color:<  !< !−−DVFMTSC−−>−< !−−DVFMTSC−−>−DVFMTSC< !−−DVFMTSC−−>−< !−−DVFMTSC−−>−> #dd0000;">"C:PHPExtensions"<  !< !−−DVFMTSC−−>−< !−−DVFMTSC−−>−DVFMTSC< !−−DVFMTSC−−>−< !−−DVFMTSC−−>−> 

save lại

– Vào IIS add thêm phần mở rộng php cho iis : chuột phải vào default website > properties > home directory > tại application config > chọn add : Executable chọn đường dẫn C:phpphp4isapi.dll   Extension : php > ok

– Cũng ở Internet Information Services (IIS) Manager > Chọn Web Service Extension > tại cửa sổ bên kia chọn Add new a webservices> Tại extension name : PHP ISAPI > add file : C:phpphp4isapi.dll > đánh dấu chọn Set extension > Restart lại IIS

Giờ kiểm tra xem php hoạt động chưa: tại wwwroot tạo 1 file .php với nội dung

 <  !< !−−DVFMTSC−−>−< !−−DVFMTSC−−>−DVFMTSC< !−−DVFMTSC−−>−< !−−DVFMTSC−−>−> style="color:<  !< !−−DVFMTSC−−>−< !−−DVFMTSC−−>−DVFMTSC< !−−DVFMTSC−−>−< !−−DVFMTSC−−>−> #000000;"><  !< !−−DVFMTSC−−>−< !−−DVFMTSC−−>−DVFMTSC< !−−DVFMTSC−−>−< !−−DVFMTSC−−>−>  <  !< !−−DVFMTSC−−>−< !−−DVFMTSC−−>−DVFMTSC< !−−DVFMTSC−−>−< !−−DVFMTSC−−>−> style="color:<  !< !−−DVFMTSC−−>−< !−−DVFMTSC−−>−DVFMTSC< !−−DVFMTSC−−>−< !−−DVFMTSC−−>−> #0000bb;"><  < !−−DVFMTSC−−> ?php
phpinfo
 <  !< !−−DVFMTSC−−>−< !−−DVFMTSC−−>−DVFMTSC< !−−DVFMTSC−−>−< !−−DVFMTSC−−>−> style="color:<  !< !−−DVFMTSC−−>−< !−−DVFMTSC−−>−DVFMTSC< !−−DVFMTSC−−>−< !−−DVFMTSC−−>−> #007700;">();
 <  !< !−−DVFMTSC−−>−< !−−DVFMTSC−−>−DVFMTSC< !−−DVFMTSC−−>−< !−−DVFMTSC−−>−> style="color:<  !< !−−DVFMTSC−−>−< !−−DVFMTSC−−>−DVFMTSC< !−−DVFMTSC−−>−< !−−DVFMTSC−−>−> #0000bb;">?><  !< !−−DVFMTSC−−>−< !−−DVFMTSC−−>−DVFMTSC< !−−DVFMTSC−−>−< !−−DVFMTSC−−>−> 
<  !< !−−DVFMTSC−−>−< !−−DVFMTSC−−>−DVFMTSC< !−−DVFMTSC−−>−< !−−DVFMTSC−−>−> 

Lỗi ở đây : Nếu IE báo lỗi “The page cannot be found”, kiểm tra lại permission của file php4isapi.dll. Mở C:PHP, chọn file php4isapi.dll > chọn Propertíe. Kiểm tra các user cần thiết như NETWORK SERVICE, ISUR_computername, đã có quyền read chưa.

Cài MySQL 5.0.67

download : http://dev.mysql.com/get/Downloads/MySQL-5.0/mysql-noinstall-5.0.67-win32.zip/from/http://mirror-fpt-telecom.fpt.net/mysql/

Kiểm tra: check lại file php vừa nãy sẽ thấy info

Cài phpmyadmin để quản lý database

download : http://www.phpmyadmin.net/home_page/downloads.php

giải nén copy vào wwwroot rồi config theo mysql

Sau đó reset pass cho mysql

Vào CMD :

mysql -u root -p

gõ tiếp mật khẩu của mình

set password for ‘root’@’localhost’ = old_password(‘123456’);

flush privileges;

[hidepost]

*Hỗ trợ ngoài

Về Patches và Updates:

  • Microsoft Baseline Security Analyzer phải được chạy thường xuyên để kiểm tra hệ thống và kiểm tra các bản cập nhật
  • Các bản vá lỗi phải được cập nhật cho Windows, IIS và .NET Framework.
  • Đăng ký nhận tin với Microsoft Security Notification Service tại : http://www.microsoft.com/technet/security/bulletin/notify.asp

Các Tool cho IIS

  • IISLockdown phải được setup và chạy trên server
  • URLScan phải được setup, tinh chỉnh và chạy trên server

Về các ứng dụng

  • Phải disable các ứng dụng không cần thiết
  • Các ứng dụng phải được chạy với account có quyền tối thiểu
  • Các ứng dụng như FTP, SMTP, và NNTP phải disable nếu không sử dụng
  • Phải tắt Telnet
  • ASP .NET Service State phải được disable và không dùng bởi bất kì ứng dụng khác. Vào Start > Run > gõ services.msc, tìm service ASP .NET Service State để kiểm tra chắc chắn service này được disable

Về Protocols

  • WebDAV phải được tắt nếu không sử dụng hoặc phải được sucure nếu cần. Thông tin về WebDAV, các bạn có thể xem thêm tại Microsoft Knowledge Base article 323470, “How To: Create a Secure WebDAV Publishing Directory
  • TCP/IP phải được config kỹ.
  • NetBIOS and SMB phải được disabled (đóng các ports 137, 138, 139, và 445).

Về Accounts

  • Những account không sử dụng đến phải được xóa bỏ
  • Phải tắt (disable) account Guest.
  • Account Administrator phải được đổi sang tên khác, và phải đặt password phức tạp
  • Account IUSR_MACHINE phải được tắt nếu không dùng đến
  • Nếu các ứng dụng cần quyền anonymous access, các bạn phải create account anonymous này với quyền thấp nhất có thể
  • Những account anonymous không được phép có quyền write vào thư mục web và không được truy cập vào những ứng dụng bằng command line
  • Các account chạy ứng dụng ASP.NET phải được thiết lập với quyền thấp nhất. (Chỉ áp dụng khi bạn không dùng account ASPNET – account mặc định chạy ứng dụng ASP.NET với quyền mặc định thấp nhất)
  • Phải có chính sách về account và password phức tạp thiết lập trên sever.
  • Phải remove group Everyone trên policy “Access this computer from the network”
  • Các account quản trị phải được đảm bảo tính bảo mật, không chia sẽ thông tin các account này.
  • Null sessions (anonymous logons) phải được tắt
  • Group Administrator không tồn tại quá 2 accounts.
  • Remote logon phải được đảm bảo secure cho account Administrators.

ề Files và cấu trúc thư mục

  • Tất cả các partition phải được setup NTFS
  • Thư mục Web phải được đặt ở partition khác với partition chứa files hệ thống
  • Log files phải được đặt ở thư mục hoặc partition khác với 2 partition chứa Web và Files hệ thống
  • Group Everyone phải được thiết lập để không có quyền truy cập vào thư mục chứa files hệ thống như Windows hay WindowsSystem32 … đồng thời cũng không có quyền truy cập vào Thư mục hay partition chứa Web
  • Account Tnternet Guest phải được thiết lập tuyệt đối không có quyền write vào thư mục chứa Web
  • Remote IIS Administration phải được xóa hay disable (WindowsSystem32InetsrvIISAdmin).
  • Resource Kit Tools, Utilities, và các SDKs phải được xóa bỏ hay disable
  • Các Sample của IIS phải được xóa (WindowsHelpIISHelp, InetpubIISSamples).

Shares

  • Những shares không cần thiết phải được removeAll unnecessary shares are removed (including default administration shares).
  • Group Everyone không được thiết lập để có thể truy cập vào các shares
  • Các Administrative shares (như C$ D$ E$ … và Admin$) phải được xóa nếu không cần thiết (Chỉ có Microsoft Management Server (SMS) và Microsoft Operations Manager (MOM) sử dụng các Shares trên).

Ports

  • Cấm truy xuất internet cho Web Server (đóng các outbound port 80, 8080 … hoặc có thể remove Internet Explorer)
  • Intranet traffic phải được mã hóa (ví dụ mã hóa với SSL)

Registry

  • Remote registry phải tắt.
  • SAM phải được bảo vệ (HKLMSystemCurrentControlSetControlLSANoLMHas h).

Các chính sách sau chỉ áp dụng cho StandAlone Server

Logging

  • Login failed phải được server ghi nhận.
  • IIS log files phải được thay đổi đường dẫn và phải được bảo vệ.
  • Dung lượng log files phải được thiết lập thích hợp.
  • Log files phải được kiểm tra thường xuyên.
  • Các truy cập vào Metabase.bin phải được ghi nhận.
  • IIS log phải được configured dạng W3C.

Sites and Virtual Directories

  • Web sites phải được đặt ở partition khác với partition chứa system (non-system partition.)
  • “Parent paths” phải được disable.
  • Các virtual directories nguy hiểm như IISSamples, IISAdmin, IISHelp, và các Scripts virtual directories phải được remove
  • MSADC virtual directory (RDS) phải được remove hoặc được bảo vệ
  • Các Virtual directories cho phép truy cập anonymous access phải disable quyền Write và Excute
  • Chỉ set quyền write cho những folders yêu cầu có authentication (dùng SSL nếu cần thiết)
  • FrontPage Server Extensions (FPSE) phải được remove nếu không dùng đến.

Script Mappings

  • Nên chuyển (mapping) các Extensions không dùng đến sang 404.dll (ví dụ như .idq, .htw, .ida, .shtml, .shtm, .stm, idc, .htr, .printer).
  • Những extension không cần thiết của ASP.NET nên mapped đến “HttpForbiddenHandler” ở Machine.config.

ISAPI Filters

  • Những ISAPI filters không cần thiết hay không dùng đến phải được removed

IIS Metabase

  • Truy cập vào Metabase phải được ghi nhận và phải được giới hạn bằng cách dùng NTFS permissions (%systemroot%system32inetsrvmetabase.bin).
  • IIS banner information phải được giới hạn sử dụng

Other Check Points

  • IISLockdown và URLScan tool phải được setup và chạy trên server
  • Remote administration phải được bảo vệ và mã hóa (SSL). Nên thiết lập low session time-outs và account lockouts.

Hạn chế DOS và Những điều không nên thực hiện ở Web Server

* Phải setup Web Server như một server riêng biệt

* Nơi đặt server phải được bảo vệ nghiêm ngặt (physically protect)

* Thiết lập các anonymous accounts khác nhau cho từng application khác nhau

* Không nên install IIS server trên một domain controller

* Không nên kết nối internet cho IIS server khi chưa thiết lập kỹ các chính sách security

* Không cho phép Group Anyone truy cập Locally. Logon Locally chỉ nên có 1 group duy nhất là Administrators[/hidepost]

2/FTP Server:

Add/remove > WIndow component >application server >  Details > iis > details> FTP > OK > OK > Next

Chọn IIS từ admin tool > mở folder ftp > Cilck phải vào default ftp site > chọn properties > home directory > bên dưới chọn browse để thay đổi đường dẫn tới thư mục chứa domain > đánh dấu vào write để có thể upload lên

nếu có nhiều ip : tại dèault ftp site > new > viture directory > ở alias > nhập đúng tên domain đó vào > path chọn đường dẫn của domain đó > chọn wirte để có thể upload

ftp server riêng —>trỏ về iis

DNS server riêng để trách công việc phân giải tiên miền làm server chậm đi

Trường hợp dùng với AD

Xóa ftp site mặc định trong IIS, tạo 1 New > site ftp mới, với user ví dụ là Night. Sau khi tạo , cần phải tạo ftproot và ftpdir. Vào CMD gõ :

iisftp.vbs /SetADProp Night FTPRoot d: << lệnh này set FTProot cho user Night ở ổ D

iisftp.vsb /SetADProp Night FTPDir thumucnight1  << lệnh này set thư mục mà khi user Night login sẽ vào ngay thumucnight1

Ta có thể dùng tool ADSIEdit.msc trong bộ support tool đi kèm với đĩa cài winserver 2003

sau khi cài đặt vào run gõ : adsiedit.msc

Sau đó cửa sổ của ADSI xuất hiện > vào Domain > DC > CN=users > ở bên phải chọn user muốn add DIR ROOT, chuột phải chọn properties .

Đánh dấu chọn vào Show mandatory attributes và Show optional attributes

Tại Attributes tìm : msIIS-FTPDir và msIIS-FTPRoot và Edit đường dẫn cho nó, theo ví dụ trên là ổ D và đường dẫn thumucnight2

3/Cài Plesk 7.5.6 để quản lý

(nếu không xài sitebuilber nên loại bỏ service này)

Hướng dẫn cài plesk ở đây: bài viết id= 497 ( id là thứ tự của bài viết, mỗi bài nhìn lên thanh địa chỉ ở cuối mỗi link là số id của bài, thay số id cần chuyển để tới bài cần xem )

Cài các bộ zend+ioncube : bài viết id= 501 ( id là thứ tự của bài viết, mỗi bài nhìn lên thanh địa chỉ ở cuối mỗi link là số id của bài, thay số id cần chuyển để tới bài cần xem )

cài bản acronic 8 trở lên để backupdata

cài đặt antivirus for server (KAV or NOD32 chống shell csan spyware for mail) not chống shell r57 mã hoá and shell aspx

xoá quyền truy cập (user and everyone ) vì mình đã dùng FTP (serv-u )

hiệu chỉnh group policy and registry

+ngăn không cho truy cập registry

+không cho user shutdown máy tính chỉ cho admin

+tắt 1 số service không liên quan

+ không nên mở port 3389

____________________________________________________

(Còn nữa)

Article Categories:
IT & Network
    http://linholiver.com

    https://linholiver.com/diary/about/