Web Ftp Mail服務(wù)器的日常管理與維護(hù)手冊

1、服務(wù)器日常管理手冊前言服務(wù)器日常管理手冊終于跟大家見面了。這里面凝聚著E動人的心血和對廣大客戶的關(guān)愛。在多年的服務(wù)過程中，通過長期的觀察與總結(jié)，我們發(fā)現(xiàn)，僅僅靠我們的服務(wù)是不夠的，因為我們的服務(wù)屬于亡羊補牢式的服務(wù)。要想讓客戶服務(wù)器能穩(wěn)定正常運行，關(guān)鍵還是要少出故障。這就顯示出客戶的日常維護(hù)的重要性。在目前廣大客戶技術(shù)水平參差不齊的情況下，我們考慮，提供一個服務(wù)器日常管理的范本，將我們多年服務(wù)器管理的經(jīng)驗?zāi)贸鰜砼c大家分享，讓更多的新IT從業(yè)人員少走彎路，減少不必要的錯誤。我們能體會到客戶的迫切心情和對E動的殷切希望，我們也一直努力提高我們的技術(shù)水平與服務(wù)能力。我們知道，僅僅靠一個管理手冊解決不

2、了所有問題，但這是E動人為提高客戶技術(shù)水平所做的努力。我們歡迎有更多的客戶能加入到我們這行列，把自己好的管理經(jīng)驗與大家一起分享，共同為創(chuàng)造一個更加穩(wěn)定和諧的網(wǎng)絡(luò)環(huán)境而努力。中國E動網(wǎng) 12月26日Web Ftp Mail服務(wù)器的日常管理與維護(hù)一、設(shè)置和管理賬戶 二、網(wǎng)絡(luò)服務(wù)安全管理 三、系統(tǒng)安全管理 四、打開相應(yīng)的審核策略 五、IIS的安裝與配置 六、Serv-U的基本設(shè)置 七、用WebEasyMail架構(gòu)Web郵件服務(wù)器一、設(shè)置和管理賬戶 1、系統(tǒng)管理員賬戶最好少建，更改默認(rèn)的管理員帳戶名（Administrator）和描述，密碼最好采用數(shù)字加大小寫字母加數(shù)字的上檔鍵組合，長度最好不少于14

3、位。 2、新建一個名為Administrator的陷阱帳號，為其設(shè)置最小的權(quán)限，然后隨便輸入組合的最好不低于20位的密碼。3、將Guest賬戶禁用并更改名稱和描述，然后輸入一個復(fù)雜的密碼，然后禁用。 4、開始-程序-管理工具-本地安全策略，選擇計算機配置-Windows設(shè)置-安全設(shè)置-賬戶策略-賬戶鎖定策略，將賬戶設(shè)為“三次登陸無效”，“鎖定時間為30分鐘”，“復(fù)位鎖定計數(shù)設(shè)為30分鐘”。5、在安全設(shè)置-本地策略-安全選項中將“不顯示上次的用戶名”設(shè)為啟用 。6. 本地策略-安全選項-對匿名連接的額外限制.選擇(不允許枚舉 SAM 帳號和共享) 二、網(wǎng)絡(luò)服務(wù)安全管理 1、禁止C$、D$、ADM

4、IN$一類的缺省共享打開注冊表，HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparameters，在右邊的窗口中新建Dword值，名稱設(shè)為AutoShareServer值設(shè)為0. 注冊表不了解.不要隨便更改.2、 解除NetBios與TCP/IP協(xié)議的綁定 右擊網(wǎng)上鄰居-屬性-右擊本地連接-屬性-雙擊Internet協(xié)議-高級-Wins-禁用TCP/IP上的NETBIOS 3、關(guān)閉不需要的服務(wù)，以下為建議選項 開始-所有程序-管理工具-服務(wù) Computer Browser:維護(hù)網(wǎng)絡(luò)計算機更新，禁用 Distribu

5、ted File System: 局域網(wǎng)管理共享文件，不需要禁用 Distributed linktracking client：用于局域網(wǎng)更新連接信息，不需要禁用 Error reporting service：禁止發(fā)送錯誤報告 Microsoft Serch：提供快速的單詞搜索，不需要可禁用 NTLMSecuritysupportprovide：telnet服務(wù)和Microsoft Serch用的，不需要禁用 PrintSpooler：如果沒有打印機可禁用 Remote Registry：禁止遠(yuǎn)程修改注冊表 Remote Desktop Help Session Manager：禁止遠(yuǎn)程協(xié)

6、助Messenger:信使服務(wù)(windows2000)Task Scheduler: 允許程序在指定時間運行(不用計劃任務(wù)就禁用掉)TCP/IP NetBIOS Helper Service: NetBIOS (NetBT)”服務(wù)以及 NetBIOS 名稱解析的支持注：新上架的服務(wù)器已經(jīng)做過其他安全設(shè)置只開以下端口，需要開其他端口可以在。右擊網(wǎng)上鄰居-屬性-Internet協(xié)議（TCP/IP）屬性-高級-選項-TCP/IP篩選屬性-TCP端口添加你想要開的端口. 默認(rèn)開啟的端口列表： FTP:20.21mail:25.110Web:80pcanywhere:5631遠(yuǎn)程桌面：3389 (33

7、89不要關(guān)閉，否則將無法遠(yuǎn)程連接) 三、系統(tǒng)安全管理 1.對于系統(tǒng)的NTFS磁盤權(quán)限設(shè)置,C盤只給administrators 和system權(quán)限，其他的權(quán)限不給，其他的盤也可以這樣設(shè)置，這里給的system權(quán)限也不一定需要給，只是由于某些第三方應(yīng)用程序是以服務(wù)形式啟動的，需要加上這個用戶，否則造成啟動不了。2. Windows目錄要加上給users的默認(rèn)權(quán)限，否則ASP和ASPX等應(yīng)用程序就無法運行。3. 另外在c:/Documents and Settings/這里相當(dāng)重要，后面的目錄里的權(quán)限根本不會繼承從前的設(shè)置，如果僅僅只是設(shè)置了C盤給administrators權(quán)限，而在All Us

8、ers/Application Data目錄下會 出現(xiàn)everyone用戶有完全控制權(quán)限，這樣入侵這可以跳轉(zhuǎn)到這個目錄，寫入腳本或只文件，再結(jié)合其他漏洞來提升權(quán)限. 四、打開相應(yīng)的審核策略 開始-程序-管理工具-本地安全策略-安全設(shè)置-本地策略-審核策略推薦的要審核的項目是： 登錄事件 成功 失敗 賬戶登錄事件 成功 失敗 系統(tǒng)事件 成功 失敗 策略更改 成功 失敗 對象訪問 失敗 目錄服務(wù)訪問 失敗 特權(quán)使用 失敗 五、IIS的安裝與配置右擊網(wǎng)站-新建-網(wǎng)站.按向?qū)Р僮骶W(wǎng)站選項卡新建站點的一個基本設(shè)置在這里可能更改。本地路徑-瀏覽：網(wǎng)站程序的路徑。配置選項選項卡：會話超時：session的存

9、活時間啟用父路徑：windows默認(rèn)沒有勾選這個選項。在asp程序中使用“./”，請請復(fù)選框選中4、目錄安全性選卡六. Serv-U的基本設(shè)置3)、請隨著安裝向?qū)О匆韵虏襟E來進(jìn)行操作：Install as system server（安裝成一個系統(tǒng)服務(wù)器嗎）：選“Yes”。Allow anonymous access（接受匿名登錄嗎）：選NO.因為服務(wù)器不能允許匿名登錄Lock anonymous users in to their home directory（將用戶鎖定在剛才選定的主目錄中嗎）：即是否將上步的主目錄設(shè)為用戶的根目錄；一般選“Yes”。Create named account

10、（建立其他帳號嗎）：此處詢問是否建立普通登錄用戶帳號；一般選“Yes”。Account login name（用戶登錄名）：普通用戶帳號名，比如輸入“edong”。Password（密碼）：設(shè)定用戶密碼。由于此處是用明文（而不是）顯示所輸入的密碼，因此只輸一次。Home directory（主目錄）：輸入（或選擇）此用戶的主目錄。Lock anonymous users in to their home directory（將用戶鎖定在主目錄中嗎）：選“Yes”。Account admin privilege（帳號管理特權(quán)）：一般使用它的默認(rèn)值“No privilege”（普通帳號）。最后選“

11、Finish”（結(jié)束）即完成設(shè)置。如下圖：(4)、基本權(quán)限。比如在左邊的面板中選中“edong”用戶，則在右邊的面板中出現(xiàn)如下圖的設(shè)置窗口。選“Dir Access”（目錄存取權(quán)限），即可設(shè)置此用戶在它的主目錄（即“Path”）是否對文件擁有 “Read”（讀）、Write（寫）、“Append”（寫和添加）、“Delete”（刪除）、“Execute”（執(zhí)行）；是否對目錄擁有“List”（顯示文件和目錄的列表）、“Create”（建立新目錄）和“Remove”（修改目錄，包括刪除，移動，更名）；及“Inherit”（以上權(quán)限是否包括它下面的目錄樹）等等。注: “Execute”（執(zhí)行）不要選

12、.會有很大的安全隱患.2. Serv-U 管理器A、“Local Server”（本地服務(wù)器）屬性1、Local Server（本地服務(wù)器）：此處可設(shè)置是否自動開啟FTP服務(wù)以及手動開啟或停止FTP服務(wù)等。2、License（許可證）：3、Settings（設(shè)置）：General/Max. speed：可設(shè)置最大傳輸速率（kb/s）。 General/Max. no. of users：可設(shè)置連接到本服務(wù)器的最多用戶數(shù)。General的其他項目均與保持服務(wù)器的安全性有關(guān)。4、Activity（活動狀態(tài)）Users（用戶）：顯示當(dāng)前登錄的用戶IP地址等資料及當(dāng)前工作狀態(tài)；建議選中“Auto re

13、load”（自動刷新）。如果選中某個用戶，單擊右鍵，再選癒ill User”，即可將它從服務(wù)器中踢出去。Blocked IPs（被擋住的IP）：此處用來暫時禁止某些IP訪問本系統(tǒng)。單擊工具欄的“”即可增加即可增加被暫時禁止的IP地址及禁止登錄的總時間（從增加之后開始計算）。列表中可以看見被禁止的IP地址及其對應(yīng)的計算機的完整的域名和離解禁尚有多少時間（以秒為單位）等等。在列表中單擊右鍵即可以選擇刪除已禁止的IP地址。General/Max no. of Users（最大用戶數(shù)）：此處可以設(shè)置允許同時登錄到本FTP服務(wù)器的最大用戶數(shù)。IP Access/Deny access（拒絕）：此處可設(shè)置

14、僅僅拒絕登錄到本FTP服務(wù)器的計算機的IP地址列表。IP Access/Allow access（允許）：此處可設(shè)置僅僅允許登錄到本FTP服務(wù)器的計算機的IP地址列表。Message（信息）：此處可改變一些提示性顯示信息，如“Signon message file”（開始廣播）、“Server offline”（服務(wù)器未工作）、“No anonymos access”（不接受匿名登錄）等等。3、Activity（活動狀態(tài)）：Users（用戶）：顯示登錄到本服務(wù)器的用戶及其狀態(tài)；建議選中“Auto reload”（自動刷新）。Domain Log（系統(tǒng)日志）：記錄所有登錄（或試圖登錄）到本服務(wù)器

15、的操作痕跡及錯誤信息等。C、 Serv-U用戶屬性之“Account”（帳號）一、Account（帳號）選項。如下圖：二、各項說明和應(yīng)用實例1、Disable account（禁用帳號）：如果選中它，則此帳號將無法使用。2、User name（用戶名）：此處顯示并可改變該用戶的登錄名3、Group(s)（組）：如果有建立組，則此處可通過選擇組來更多的目錄。這些組中目錄的屬性由建立組時確定，用戶在“Dir Access”中不能修改！ 4、Password（密碼）：此項為“”（加密）說明有密碼，為保密，因此內(nèi)容不予顯示。如果為空白，則不需密碼；如有輸入任何密碼均顯示“”。5、Home direct

16、ory（主目錄）：此處原則上為用戶登錄后的主目錄；實際用戶登錄的根目錄將由“General”屬性中的“Lock user in home directory”來決定。6、Notes（備注）：此項用來標(biāo)注一些說明性的文字。七、用WebEasyMail架構(gòu)Web郵件服務(wù)器（2）高級管理設(shè)置用戶高級選項中，可以啟動用戶自動清理功能，規(guī)定100天未登陸系統(tǒng)，禁用帳戶；100天帳戶禁用，刪除帳戶。從而避免一些用戶占用資源。 郵件高級選項中，可以啟動郵件自動清理功能，規(guī)定移動超過100天的郵件至Admin等其他用戶，刪除所有超過200天的郵件。郵件監(jiān)控功能，如果啟動，可以抄送Admin等其他用戶，但一般不

17、作此設(shè)置。Web高級選項中可以規(guī)定附件的大小，我們可以規(guī)定附件總長度為5120K（5M）或更大。并且可以啟動密碼保護(hù)功能，設(shè)置休眠時間為10分鐘。（3）備份在系統(tǒng)備份中，可以查看以前備份的詳細(xì)內(nèi)容，也可以刪除以前的備份；備份時可選取立即備份或更新式備份備份以前所有內(nèi)容，也可設(shè)置以一天為基準(zhǔn)的增量式備份或不備份在在事件查看中，我們選取以時間命名的事件文件查看就可以看到如圖所示的Web郵件服務(wù)器的活動事件記錄。郵件服務(wù)器出問題.最主要的是查看活動日志.（4）、系統(tǒng)設(shè)置用戶管理我們可以設(shè)置如edonguser的用戶即日起帳戶禁用或進(jìn)行對此用戶的修改、刪除；有多個域, 可以在域里面做選擇。點圖中的空白處增加帳戶；選中edonguser(也可雙擊用戶)在高級中我們可以設(shè)置POP3代理的接收服務(wù)器、端口號、用戶名、密碼以及該用戶的多下載POP3代理；也可設(shè)置該用戶的郵件拒收、自動回復(fù)、自動轉(zhuǎn)發(fā)功能以及其郵箱大小為10M。默認(rèn)超級管理員:admin.密碼:admin發(fā)信規(guī)則及郵件大小定義 可以設(shè)置只允許系統(tǒng)內(nèi)用戶對外發(fā)信或只允許系統(tǒng)發(fā)信給系統(tǒng)內(nèi)用戶等；我們可以定義限定允許發(fā)送郵件的最大郵件大小為20M，限定下載的最大郵件大小為18M；同時我