在这里说一下我以为比较安全的win2000虚拟主机的权限设置方法，仅仅是说下权限设置。

　　一.虚拟主机需要的软件及环境

　　1.Serv-U5.0.11（似乎不安全，但是也未必）

　　2.Mysql数据库

　　3.Mssql数据库

　　4.PcAnyWhere远程控制

　　5.杀毒软件，我一般使用诺顿8.0

　　6.php5

　　7.ActivePerl5.8

　　以上各种软件，除Mssql数据库以为，其他的都应去官方网站下载推荐版本安装。下面开始就是安装设置了，从系统安装完开始。假设系统安装的windows2000高级服务器版，系统分为c盘，d盘和e盘，全部是ntfs格式。

　　二.系统端口设置

　　虚拟主机，一般同时使用PcanyWhere和终端服务进行控制，终端服务要更改端口，比如修改成8735端口。根据要开放的服务，去设置TCP/IP筛选。为什么不使用本地安全策略了？个人认为TCP/IP筛选比较严格，因为这里是除非明确允许否则拒绝，而本地安全策略是除非明确拒绝否则允许。如果我理解不当，还请指教。TCP/IP筛选设置如下：

　　TCP端口只允许21，80，5631，8735，10001，10002，10003，10004，10005；IP协议只允许6；UDP端口我没有做过详细测试，不敢乱说，以后测试了再补上。TCP/IP端口里面的10001-10005是设置Serv-U的PASV模式使用的端口，当然也可以使用别的。

　　本地连接属性里面，卸载所有的其他协议，只留下Internet协议（TCP/IP），顺便把administrator帐号改个复杂点的名字，并且在本地安全策略里面设置不显示上次登陆帐号，对帐号锁定做出合适的设置。然后重新启动计算机，这步设置已经完成。

　　现在开始安装软件，所有的软件都安装在d盘，e盘作数据备份使用。先安装Serv-U到d:\Serv-U，并且汉化顺便破解，嘿嘿。然后依次安装到d盘。现在开始设置权限。首先二话不说，c盘，d盘和e盘的安全里面把Everyone删除，添加改名后的administrator和system，让他们完全控制。
　　高级里面重置所有子对象的权限并允许传播可继承权限。这样系统所有的文件，目录全部是由改名后的administrator和system控制了，并且自动继承上级目录的权限，下面开始为每个目录设置对应的权限。

　　运行asp，建立数据库连接需要使用C:\Program Files\Common Files目录下面的文件。在这里，设置C:\Program Files\Common Files权限，加入everyone，权限为读取，列出文件夹目录，读取及运行。还可以使用高级标签进行更加严格的设置，但是我没有做过，不敢胡说。

　　运行php，需要设置c:\winnt\php.ini的权限，让everyone有读取权限即可。如果php的session目录设置为c:\winnt\temp目录，此目录应该让everyone有读取写入权限。为提高性能，php设置为使用isapi解析，d:\php目录让everyone有读取，列出文件夹目录，读取及运行权限。至于php.ini的设置，这里我就不说了。第一我不很懂，第二我只讲系统权限设置。

　　运行cgi，设置d:\perl让everyone有读取，列出文件夹目录，读取及运行权限。顺便说下，cgi设置为使用isapi方式解析有利于安全和性能。

　　现在说下让人头大的Serv-U的设置了。这东西功能确实强大，但是安全性不怎么好，需要我们来改造。最首先的是溢出攻击，5.0.11好象已经没有这个缺陷了。其次是修改ini配置文件，这里已经没有权限修改了，略过不提。据我所知现在唯

[1] [2] 下一页