网站安全管理（含使用说明）.docxVIP

网站安全管理

网站安全管理

一、做好服务器安全

对于使用独立服务器的站长，服务器安全是一个非常重要因素，利用空闲时间多留意官方安全文档，如Apache的安全配置技巧、IIS技术资源中心等，对服务器系统进行适当的调整，提高安全性能。另外，下面两方面是目前攻击者利用率最高的，应特别留意。

1、文件“写”权限

很多时候，攻击者会利用“写”的权限，对网站文件注入恶意代码，导致出现“恶意软件”标记。使用IIS，应给每一个站点建立独立的用户，并利用NTFS权限设置，控制网站文件的写入权；使用UNIX系统，应利用好分组和用户设置，并谨慎设置“666”或“777”。

2、预防ARP攻击

ARP攻击目前已经很泛滥，受到攻击时访问网站会包含恶意软件，而你的服务器上并没有恶意软件或代码，攻击者利用ARP欺骗，将自己伪装成网关，截取服务器数据，并在发送出去的数据中插入恶意代码。

预防ARP攻击，可以安装ARP防火墙。但有个最简单的方法，在服务器系统中，将网关的IP与MAC地址绑定，这样服务器在发送数据时，会检查路由的MAC地址。可以联系服务提供商，咨询所在网段网关的MAC地址，而不要相信‘arp-a’取得的MAC地址，可能你用命令查到的就是欺骗者的MAC。

Windows系统：使用arp命令，绑定网关IP和MAC；将命令制作成批处理文件，让系统开机时运行。

arp-s0.0.0.0FF:FF:FF:FF:FF:FF

0.0.0.0网关IP地址，FF:FF:FF:FF:FF:FF网关MAC地址

UNIX系统：找到两种IP绑定MAC方法，根据需要选择一种绑定，推荐使用iptables。

二、从读写着手做好网站安全（UNIX环境）

对于使用虚拟主机的朋友来说，服务器环境是已经设定好的，一般来说不能更改，但服务提供商一般会处理好服务器的安全问题，我们能做的、要做的也就是网站部分的安全。

1、设置文件权限：使用UNIX环境空间的朋友，对文件的读写权限一定要注意。很多程序安装的时候需要对系统的文件可写，但是安装完成后，最好将这些文件设置为只读。一般情况下安装要求可写的文件是系统的设置文件，如果被攻击者利用，注入恶意代码后，整站都会包含恶意代码。

2、利用好.htaccess文件：.htaccess文件我们最熟悉的是利用它来使用rewrite、做301转向，但这只是它的功能之一，最强大的是能对Web很多参数进行设置，例如访问权限。

对于网站的敏感位置（如管理目录），可以使用.htaccess来限制访问来源位置为localhost，限制访问来源类型为.php等等……详细的说明可以参考这篇中文帮助手册，充分利用，保证网站安全。

3、注意目录的默认文件：一般情况下，Apache在访问目录没有默认首页的情况下，显示文件列表。那么，如果这个目录是数据备份目录，或网站备份、网站功能文件夹、资料夹，访问者轻易就能下载文件并获取到网站的管理信息，所有管理者帐号密码就可以任意修改网站，危险性是极高的。我们可以做一个空白的文件（如index.php、index.htm等）放到没有默认首页的文件夹中。

文档使用说明

（本页为说明页，用户使用此文档时可删除本页内容）

网站安全管理使用说明（标准版）

一、服务器安全管理要点

在维护网站安全的过程中，服务器安全是首要考虑的因素。对于使用独立服务器的用户而言，定期关注并遵循官方发布的安全文档，如Apache的安全配置指南、IIS技术资源中心等，对服务器系统进行精细化调整，是提升整体安全性能的关键步骤。以下两方面是当前攻击者最为常用的入侵手段，需特别加强防范。

文件“写”权限管理文件“写”权限的不当设置往往是网站被攻击者利用注入恶意代码的主要途径。在使用IIS服务器时，建议为每个站点创建独立的用户账户，并利用NTFS权限系统严格限制文件写入权限。而在UNIX系统环境中，应合理利用分组和用户设置，谨慎分配文件权限，避免使用过于宽松的如“666”或“777”权限设置，以防攻击者轻易篡改文件。

预防ARP攻击策略ARP攻击通过欺骗手段截获服务器数据并插入恶意代码，严重威胁网站安全。为有效预防此类攻击，可安装ARP防火墙作为第一道防线。同时，采用将网关IP与MAC地址绑定的方法，可在不依赖外部防火墙的情况下，从源头阻断ARP欺骗。具体操作上，Windows系统用户可通过arp命令实现绑定，并创建批处理文件以确保每次开机时自动执行；UNIX系统用户则推荐使用iptables等工具进行IP与MAC的绑定设置。

二、UNIX环境下网站安全细节管理

对于使用虚拟主机的用户而言，尽管服务器环境由服务提供商管理，但网站自身的安全防护同样不容忽视。以下是在UNIX环境下，提升网站安全性的几项具体措施。

精细设置文件权限在UNIX环境下，文件的读写权