设置sqlserver2000运行安全在最小权限普通用户下的方法

linker13年前 (2008-04-17)网络日志587

朋友的服务器,今天出了点问题,让我帮看一下,看是不是安全方面的问题?远程登陆上去以后,大概看了下,觉得不错,用的是星外的虚拟主机管理系统,这个虚拟主机管理系统以前接触过,帮客户实施项目时,详细研究过,如果按照官方的设置,安全还是相当严密的,朋友所说的有问题,是他的客户反映,说有上传的杂文件,因此,就此,做一下详细检查。

 很快,就发现了一个很明显的东东ahcmd,比较熟悉木马的都知道,这个东西在“一句话”木马里面比较流行,通常都是通过语句或者数据库的差异备份来写入到数据库中去,这种行为和这种结果,我实在有些难以理解,这些不知道是不是高手的高手,乐此不疲,为的是什么?难道,技术的前途就是这?

删除这个东东,后来又查了一下关键目录,没有再发现什么异常;然后再查一下服务器的监控防护监控日志,发现了一个虚拟主机用户的目录里面曾经频繁出现木马类程序,考虑是不是这个虚拟主机用户在捣乱服务器,后来查了下又发现不是,因为很明显这个asp网站是业余手写的,很多防注点都没有做防护,asp程序写得乱七八糟,语句也不够优化,这样的站运行起来,绝对会影响服务器的运行效率,另外,漏洞百出,明显让人来注马的,但更要命的是,这个asp调用了sqlserver的数据库,被获得sql的权限后,朋友的服务器也没有特别设置sqlserver2000的安全运行权限,默认的sql运行的还是system的权限,要命!这下,让注入者得了空子,王八蛋,在这里利用呢。

后来又查了一下其他的虚拟主机用户,只发现有稍大的站被挂了马,好在不是太复杂的马,清理起来也比较快。

既然这样,就不多说,加强权限设置。“SQL2000数据库”运行在普通用户下所需的权限,从安全的角度考虑,最好将“SQL2000数据库”安装在独立的分区里面,而且,“SQL2000数据库”必须运行在“普通用户”的状态下。所谓“普通用户”就是指没有任何权限的用户。

为什么要将“SQL2000数据库”必须运行在“普通用户”的状态下呢?因为如果使用了“超级管理员”或者“本地系统用户”来运行“SQL2000数据库”,就会造成服务器被入侵。因此,为了您的服务器安全,您务必将“SQL2000数据库”运行在“普通用户”的状态下。同时,要对硬盘的权限做好对应的权限设置“SQL2000数据库”才能正常运行。对于硬盘的权限设置请参考如下:

--------------------------------------------------------------------------------------------------------------

(假设您的数据安装在E:\Program Files\Microsoft SQL Server\)

 1. E盘的根目录(E:\)需要以下权限:

   “administrators ”的全部权限
   “System ”的全部权限
   “SQL2000的运行用户(只应用在当前文件夹)列出文件夹/读数据”的权限
   “读属性”的权限
   “读扩展属性”的权限
   “读取”的权限

 2. 数据库的安装目录(E:\Program Files\Microsoft SQL Server\)需要以下权限:

   “administrators ”的全部权限
   “System ”的全部权限
   “SQL2000的运行用户 ”的全部权限

--------------------------------------------------------------------------------------------------------------

(假设您的数据备份目录安装在F:\SQLBACK)

 1. F盘的根目录(F:\)需要以下权限:

   “administrators ”的全部权限
   “System ”的全部权限
   “SQL2000的运行用户(只应用在当前文件夹)列出文件夹/读数据”的权限
   “读属性”的权限
   “读扩展属性”的权限
   “读取”的权限

 2. 数据库的安装目录(F:\SQLBACK)需要以下权限:

   “administrators ”的全部权限
   “System ”的全部权限
   “SQL2000的运行用户 ”的全部权限

--------------------------------------------------------------------------------------------------------------

特别提醒:无论是安装在E盘还是安装在F盘根目录下的权限,都必须的按照以上的操作来设置,否则都会导致数据库启动失败。很多用户往往是忽视了“根目录权限”的设置,在设置完“SQL2000的运行用户”以后,就发现再也启动不了SQL2000的数据库。如果您已经发生这种情况,请您按照以上的说明,重新设置好“根目录的权限”,SQL2000的数据库就可以正常启动。

补充说明:这儿说的“SQL2000的运行用户”,就是在SQL 2000企业管理器---- 属性中的安全中设置的用户(默认是System用户)。如果您看过了“星外安全包视频说明”,应该在已将“默认的System用户”改成别的“没有任何权限”的用户,这个“没有任何权限”的用户就是这儿说的“SQL2000的运行用户”。

这是重要的一环,因此,着重讲述这些,事实上,其他相关的也很重要,比如mysql运行在特殊用户下等,安全防护是个综合方案,因此,各个方面都要考虑到,不然,固若金汤,毁于蚁穴可就前功尽弃了。

标签: msn服务器

相关文章

google管理工具提示Discuz论坛“重复的元说明”和“重复的标题标记”的解决办法

谷歌中文网站管理员博客最近在不断发布网站优化方面的话题,比如互联网标准和浏览器、正确处理垃圾留言、站长现在如何看待动态网址与静态网址、重复内容处罚等,与此同时,网络上有关“重复的元说明&r...

转发一帖有关骗子的文章

转发一帖有关骗子的文章,让大家来认识认识这么骗子的骗局。一起揭发他们! 骗术一:通常是一男一女带个小孩,遇到模样老实的(比如我),上前说,钱丢了,没钱回家,给几块钱坐车吧。还有说是来深圳...

DVD-R and CD-R Brand Recommendation: Taiyo Yuden

DVD-R's called the DVD-Recordable (recordable type DVD), the industry in order to distinguish it wit...

昨晚看电视看到了韩剧的几个破绽

昨晚的韩剧,名字记不太清楚了,反正里面有金波、银波,正翰、长秀什么的,里面的那一幕:金波劝长秀离开银波,长秀那压抑的哭泣,以及回去后控制不住的摔倒,到后来趴在父亲怀里痛哭失声,这里面的剧情很感动,事后...

如何写解决方案

1.解决方案难写在哪里?   很多人对写方案非常没有信心,一涉及到方案的事情,就束手无策,到处求人。作为一个公认的方案打手,意思是写方案就象打字员一样,我觉得我在这方面确实是有绝活。   我...

一名最牛的程序员的自述(爆笑)

我是一名程序员。三年前,当我在麻绳理工学院读博士的时候,一家公司聘请我完成一个项目。当我完成学业离开美国以后,该公司需要对程序进行修改,于是聘请了一名程序员来完成这项工作。 谦虚...

评论列表

老吧
13年前 (2008-04-19)

遇到高手了

发表评论

访客

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。