WebFtpMail服务器的日常管理与维护手册.doc

资源描述

1、WebFtpMail服务器的日常管理与维护手册282020年4月19日资料内容仅供参考，如有不当或者侵权，请联系本人改正或者删除。服务器日常管理手册前言服务器日常管理手册终于跟大家见面了。这里面凝聚着E动人的心血和对广大客户的关爱。在多年的服务过程中, 经过长期的观察与总结, 我们发现, 仅仅靠我们的服务是不够的, 因为我们的服务属于亡羊补牢式的服务。要想让客户服务器能稳定正常运行, 关键还是要少出故障。这就显示出客户的日常维护的重要性。在当前广大客户技术水平参差不齐的情况下, 我们考虑, 提供一个服务器日常管理的范本, 将我们多年服务器管理的经验拿出来与大家分享, 让更多的新IT从业人员少走

2、弯路, 减少不必要的错误。我们能体会到客户的迫切心情和对E动的殷切希望, 我们也一直努力提高我们的技术水平与服务能力。我们知道, 仅仅靠一个管理手册解决不了所有问题, 但这是E动人为提高客户技术水平所做的努力。我们欢迎有更多的客户能加入到我们这行列, 把自己好的管理经验与大家一起分享, 共同为创造一个更加稳定和谐的网络环境而努力。中国E动网 12月26日Web Ftp Mail服务器的日常管理与维护一、设置和管理账户二、网络服务安全管理三、系统安全管理四、打开相应的审核策略五、 IIS的安装与配置六、 Serv-U的基本设置七、用WebEasyMail架构Web邮件服务器

3、一、设置和管理账户 1、系统管理员账户最好少建, 更改默认的管理员帐户名( Administrator) 和描述, 密码最好采用数字加大小写字母加数字的上档键组合, 长度最好不少于14位。 2、新建一个名为Administrator的陷阱帐号, 为其设置最小的权限, 然后随便输入组合的最好不低于20位的密码。3、将Guest账户禁用并更改名称和描述, 然后输入一个复杂的密码, 然后禁用。 4、开始-程序-管理工具-本地安全策略, 选择计算机配置-Windows设置-安全设置-账户策略-账户锁定策略, 将账户设为”三次登陆无效”, ”锁定时间为30分钟”, ”复位锁定计数设为30分钟”

4、。5、在安全设置-本地策略-安全选项中将”不显示上次的用户名”设为启用。6. 本地策略-安全选项-对匿名连接的额外限制.选择(不允许枚举 SAM 帐号和共享) 二、网络服务安全管理 1、禁止C$、 D$、 ADMIN$一类的缺省共享打开注册表, HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparameters, 在右边的窗口中新建Dword值, 名称设为AutoShareServer值设为0. 注册表不了解.不要随便更改.2、解除NetBios与TCP/IP协议的绑定右击网上邻居-属性-右击本地连接-属性

5、-双击Internet协议-高级-Wins-禁用TCP/IP上的NETBIOS 3、关闭不需要的服务, 以下为建议选项开始-所有程序-管理工具-服务 Computer Browser:维护网络计算机更新, 禁用 Distributed File System: 局域网管理共享文件, 不需要禁用 Distributed linktracking client: 用于局域网更新连接信息, 不需要禁用 Error reporting service: 禁止发送错误报告 Microsoft Serch: 提供快速的单词搜索, 不需要可禁用 NTLMSecuritysupportprovide: t

6、elnet服务和Microsoft Serch用的, 不需要禁用 PrintSpooler: 如果没有打印机可禁用 Remote Registry: 禁止远程修改注册表 Remote Desktop Help Session Manager: 禁止远程协助Messenger:信使服务(windows )Task Scheduler: 允许程序在指定时间运行(不用计划任务就禁用掉)TCP/IP NetBIOS Helper Service: NetBIOS (NetBT)”服务以及 NetBIOS 名称解析的支持注: 新上架的服务器已经做过其它安全设置只开以下端口, 需要开其它端口能够在。右击网

7、上邻居-属性-Internet协议( TCP/IP) 属性-高级-选项-TCP/IP筛选属性-TCP端口添加你想要开的端口. 默认开启的端口列表: FTP:20.21mail:25.110Web:80pcanywhere:5631远程桌面: 3389 (3389不要关闭, 否则将无法远程连接) 三、系统安全管理 1.对于系统的NTFS磁盘权限设置,C盘只给administrators 和system权限, 其它的权限不给, 其它的盘也能够这样设置, 这里给的system权限也不一定需要给, 只是由于某些第三方应用程序是以服务形式启动的, 需要加上这个用户, 否则造成启动不了。2. Windo

8、ws目录要加上给users的默认权限, 否则ASP和ASPX等应用程序就无法运行。3. 另外在c:/Documents and Settings/这里相当重要, 后面的目录里的权限根本不会继承从前的设置, 如果仅仅只是设置了C盘给administrators权限, 而在All Users/Application Data目录下会出现everyone用户有完全控制权限, 这样入侵这能够跳转到这个目录, 写入脚本或只文件, 再结合其它漏洞来提升权限.4. net.exe, cmd.exe, tftp.exe, netstat.exe, regedit.exe, at.exe, attrib.ex

9、e, cacls.exe这些文件都设置只允许administrators.system访问.guests禁止访问四、打开相应的审核策略开始-程序-管理工具-本地安全策略-安全设置-本地策略-审核策略注:windows 已经开启部分.windows 没有开启.能够根据实际情况来设置.推荐的要审核的项目是: 登录事件成功失败账户登录事件成功失败系统事件成功失败策略更改成功失败对象访问失败目录服务访问失败特权使用失败五、 IIS的安装与配置1.IIS6.0安装过程在控制面板里依次选择”添加或删除程序”的”添加/删除Windows组件”; 双击”应用程序服务器

10、”, 再双击”Internet信息服务(IIS)”, 选中”万维网服务”( 注: 此选项下还可进一步作选项筛选, 请根据自己需要选用, 如下图所示) , 点确定即安装完成。(一个方便的方法:选中ASP.NET其它的组件会自动选上)2.IIS6.0的配置WEB服务默认随系统启动, IIS6.0最初安装完成是只支持静态内容的( 即不能正常显示基于ASP的网页内容) , 因此首先要做的就是打开其动态内容支持功能。依次选择”开始”程序”管理工具”inter信息服务管理器”, 在打开的IIS管理窗口左面点”web服务扩展”; 将鼠标所在的项”ASP.NET v.1.1.4322”以及”Active Se

11、rver Pages”项启用( 点允许) 即可。右击网站-新建-网站.按向导操作输入网站描述: 这里能够随便填.一般为了方便查找.填写网站的域名网站IP地址: 服务器只有一个IP地址这里能够选(全部未分配),如果选了IP.在更换服务器IP时.这里的IP也要进行更换.因此为方便.这里也不选.网站TCP端口(默认值:80)(T): :默认为80.有特殊需要也能够更改为其它没有用的端口(如81).但访问时要在域名端口号:81此网站的主机头( 默认: 无) : 服务器做虚拟主机或者服务器上有多个站点时。主机头填写该站点的域名。只有一个站点能够不填( 注: 主机头是唯一的。不能够和其它主机头重复) 路径

12、: 单击浏览。找到网站程序所放的目录。允许下列权限: 默认权限即可。这样一个站点就初步建好了。添加主机头: 右击刚建的站点( .com) 属性文档选项卡添加添加上默认的首页文件名: 默认的首面文件一般有: index.htm.Default.htm.index.asp.Default.asp.Default.php.Default.aspx网站选项卡新建站点的一个基本设置在这里可能更改。选择高级: 能够给网站添加多个域名。IP地址: 默认端口: 80主机头值: 需要添加的域名(如: ) 注: 添加的域名不可重复。更改IIS日志的路径右键单击”默认Web站点属性-网站-在启用日志记录下点击属性

13、建议:IIS日志默认是放在C:WINDOWSsystem32LogFiles下.服务器运行一段时间后.日志会特别大.造成C盘空间不足.建议把路径改在其它盘符2、性能选项卡: 对于做虚拟主机想限制各个站点带宽的。这项很有用。3、主目录选项卡: 本地路径-浏览: 网站程序的路径。配置选项选项卡: 会话超时: session的存活时间启用父路径: windows默认没有勾选这个选项。在asp程序中使用”./”, 请请复选框选中4、目录安全性选卡如果你的网站访问需要用户名和密码。能够检查一下, 是否启用了匿名访问, 并检查一下上面的用户名: 如上图就是: IUSR_EDONG-FU5JINJ6

14、5 这个用户对网站程序有没有访问的权限。5、 IIS设置进行备份有多种方法能够用来完成此项工作。在Internet信息服务管理器控制台( IIS插件) 中所设置的属性和值都被储存在Metabase.bin文件中, 缺省情况下, 这个文件位于”C:winntsystem32inetsrv”目录中。在IIS 5.0中, 你能够从内置的IIS插件中来备份元数据。如果需要进行此工作, 请选择桌面上的计算机图标然后单击右健。然后再选择 ”备份/恢复配置”。然后你就能够选择备份现有元数据设置或者恢复以前的版本。与此相同的选项在MetaEdit 2.2中也可找到。当你以这种方式保存了元数据时, 你的备份将

15、以.md0文件的格式储存在C:winntsystem32instrvmetaback文件夹中。当你执行备份时, 文件将使用你所指定的名称, 如Pre-Lockdown.md0。如果你使用相同的文件名创立了多个备份, 她们将使用数字逐渐递增的扩展名, 如Backup.md0, Backup.md1等等。在你的元数据严重损坏的情况下, 你将不能启动IIS。此时, 你也不能从IIS插件或metaedit中执行恢复操作。如果真的发生了类似情况, 你就能够经过从备份文件夹中选用最合适的.md0( .md1等等) 元数据备份文件来替换Metabase.bin。如果你的备份文件没有错误, IIS将会马上启

16、动。制作元数据的备份还有其它两个意义。你能够使用xcopy, scopy或其它复制程序来简单地复制Metabase.bin文件。你应该先停止Internet服务, 以保证你的元数据是最新的而且不在使用状态中。最后, 我们还提供了两个脚本-metaback.vbs和metarest.vbs-它们位于Inetpub/IISSamples/sdk/admin( 如果你在IIS 5.0上安装了IIS SDK) 文件夹中或在IIS Resource Kit/Utility/ADSI Admin Scripts文件夹( 如果你安装了IIS 4.0 Resource Kit) 中。这些.vbs脚本使用了一

17、个ADSI命令, 它是专门为创立元数据备份而提供的。6、利用WIS (Web Injection Scanner)工具对整个网站进行SQL Injection 脆弱性扫描.7、如果需要加装支持, 的安装目录网站匿名用户一定要有读的权限。8、为了防止跨站浏览, 建议每个网站, 使用不同的来宾账号进行访问。设置方法: A、右击我的电脑-管理-本地用户和组-右击( 新建用户,如: webuser, 密码为: edonguser) ,设置为guests组。B、为您的网站目录添加相应的权限。如您的网站目录在: D:hostsedong。右击edong文件夹, 找到安全选项卡, 设置权限为: a

18、dministrator 完全控制。System完全控制, webuser除完全控制外其它权限都给。C、打开IIS管理器,右击需要设置的网站属性选择”目录安全性”选项卡”身份验证和访问控制”编辑-启用匿名访问-用户名输入: webuser密码输入: edonguser六. Serv-U的基本设置1.建立FTP服务器服务端(1)、比如本机IP地址为”61.152.104.42”, 已建立好域名”.com”的相关DNS记录。(2)、打开Serv-U管理器.如下图的”Serv-U Administrator”, 右击Domain( New Domain) 。此向导能够帮你轻松地完成基本设置,

19、因为建议使用它。直接选”Next”( 下一步) 。如下图3)、请随着安装向导按以下步骤来进行操作: Domain IP address( IP地址) : 输入”61.152.90.42”。Domain name( 域名) : 输入”.com”。(3)Domain Port number(端口):默认为21.如果想改端口也能够选其它的.(4)Domain type :默认选就行了.这样备份方便.只要把安装目录下的: ServUDaemon.ini文件COPY一下就能够了.Install as system server( 安装成一个系统服务器吗) : 选”Yes”。Allow anonymou

20、s access( 接受匿名登录吗) : 选NO.因为服务器不能允许匿名登录Lock anonymous users in to their home directory( 将用户锁定在刚才选定的主目录中吗) : 即是否将上步的主目录设为用户的根目录; 一般选”Yes”。Create named account( 建立其它帐号吗) : 此处询问是否建立普通登录用户帐号; 一般选”Yes”。Account login name( 用户登录名) : 普通用户帐号名, 比如输入”edong”。Password( 密码) : 设定用户密码。由于此处是用明文( 而不是) 显示所输入的密码, 因此只输一次

21、。Home directory( 主目录) : 输入( 或选择) 此用户的主目录。Lock anonymous users in to their home directory( 将用户锁定在主目录中吗) : 选”Yes”。Account admin privilege( 帐号管理特权) : 一般使用它的默认值”No privilege”( 普通帐号) 。最后选”Finish”( 结束) 即完成设置。如下图: (4)、基本权限。比如在左边的面板中选中”edong”用户, 则在右边的面板中出现如下图的设置窗口。选”Dir Access”( 目录存取权限) , 即可设置此用户在它的主目录( 即”

22、Path”) 是否对文件拥有 ”Read”( 读) 、 Write( 写) 、 ”Append”( 写和添加) 、 ”Delete”( 删除) 、 ”Execute”( 执行) ; 是否对目录拥有”List”( 显示文件和目录的列表) 、 ”Create”( 建立新目录) 和”Remove”( 修改目录, 包括删除, 移动, 更名) ; 及”Inherit”( 以上权限是否包括它下面的目录树) 等等。注: ”Execute”( 执行) 不要选.会有很大的安全隐患.2. Serv-U 管理器A、 ”Local Server”( 本地服务器) 属性1、 Local Server( 本地服务器) :

23、此处可设置是否自动开启FTP服务以及手动开启或停止FTP服务等。2、 License( 许可证) : 3、 Settings( 设置) : General/Max. speed: 可设置最大传输速率( kb/s) 。 General/Max. no. of users: 可设置连接到本服务器的最多用户数。General的其它项目均与保持服务器的安全性有关。4、 Activity( 活动状态) Users( 用户) : 显示当前登录的用户IP地址等资料及当前工作状态; 建议选中”Auto reload”( 自动刷新) 。如果选中某个用户, 单击右键, 再选癒ill User”, 即可将它从服务

24、器中踢出去。Blocked IPs( 被挡住的IP) : 此处用来暂时禁止某些IP访问本系统。单击工具栏的”即可增加即可增加被暂时禁止的IP地址及禁止登录的总时间( 从增加之后开始计算) 。列表中能够看见被禁止的IP地址及其对应的计算机的完整的域名和离解禁尚有多少时间( 以秒为单位) 等等。在列表中单击右键即能够选择删除已禁止的IP地址。Session Log( 系统日志) : 记录所有登录( 或试图登录) 到本机的操作痕迹及错误信息等。B、 ”Domains”( 域名) 属性1、 .com( 即选中的FTP服务器名) : 此处可修改相应域名、 IP地址及端口号等。2、 Settings( 设

25、置) : 及完全允许或禁止登录的IP地址等。General/Max no. of Users( 最大用户数) : 此处能够设置允许同时登录到本FTP服务器的最大用户数。IP Access/Deny access( 拒绝) : 此处可设置仅仅拒绝登录到本FTP服务器的计算机的IP地址列表。IP Access/Allow access( 允许) : 此处可设置仅仅允许登录到本FTP服务器的计算机的IP地址列表。IP Access/Rule( 规则) : 此处可输入指定的IP地址或IP地址的范围。接受如”61.152.91.54”之类的单个IP地址; 接受如”192.168.91.1-61.152.

26、91.50”之类的IP地址范围; 接受如”61.152.91.*”之类的通配符; 接受如”61.152.91?”之类的单个字符的限制等多种格式。”Add”为添加, ”Remove”为删除。Message( 信息) : 此处可改变一些提示性显示信息, 如”Signon message file”( 开始广播) 、 ”Server offline”( 服务器未工作) 、 ”No anonymos access”( 不接受匿名登录) 等等。3、 Activity( 活动状态) : Users( 用户) : 显示登录到本服务器的用户及其状态; 建议选中”Auto reload”( 自动刷新) 。Dom

27、ain Log( 系统日志) : 记录所有登录( 或试图登录) 到本服务器的操作痕迹及错误信息等。C、 Serv-U用户属性之”Account”( 帐号) 一、 Account( 帐号) 选项。如下图: 二、各项说明和应用实例1、 Disable account( 禁用帐号) : 如果选中它, 则此帐号将无法使用。2、 User name( 用户名) : 此处显示并可改变该用户的登录名3、 Group(s)( 组) : 如果有建立组, 则此处可经过选择组来更多的目录。这些组中目录的属性由建立组时确定, 用户在”Dir Access”中不能修改! 4、 Password( 密码) : 此项为”

28、( 加密) 说明有密码, 为保密, 因此内容不予显示。如果为空白, 则不需密码; 如有输入任何密码均显示”。5、 Home directory( 主目录) : 此处原则上为用户登录后的主目录; 实际用户登录的根目录将由”General”属性中的”Lock user in home directory”来决定。6、 Notes( 备注) : 此项用来标注一些说明性的文字。七、用WebEasyMail架构Web邮件服务器1.安装.在2. Web邮件服务器的配置与设置( 1) WebEasyMail服务, 如图所示, 它的服务包括DNS配置和启动或停止WebEasyMail服务程序。右击状态栏的

29、,选择-服务, DNS的IP地址与服务器的DNS IP地址相同.如想修改.选中修改复选框就能够进行修改.( 2) 高级管理设置用户高级选项中, 能够启动用户自动清理功能, 规定100天未登陆系统, 禁用帐户; 100天帐户禁用, 删除帐户。从而避免一些用户占用资源。邮件高级选项中, 能够启动邮件自动清理功能, 规定移动超过100天的邮件至Admin等其它用户, 删除所有超过200天的邮件。邮件监控功能, 如果启动, 能够抄送Admin等其它用户, 但一般不作此设置。Web高级选项中能够规定附件的大小, 我们能够规定附件总长度为5120K( 5M) 或更大。而且能够启动密码保护功能, 设置休眠

30、时间为10分钟。( 3) 备份在系统备份中, 能够查看以前备份的详细内容, 也能够删除以前的备份; 备份时可选取立即备份或更新式备份备份以前所有内容, 也可设置以一天为基准的增量式备份或不备份在在事件查看中, 我们选取以时间命名的事件文件查看就能够看到如图所示的Web邮件服务器的活动事件记录。邮件服务器出问题.最主要的是查看活动日志.( 4) 、系统设置用户管理我们能够设置如edonguser的用户即日起帐户禁用或进行对此用户的修改、删除; 有多个域, 能够在域里面做选择。点图中的空白处增加帐户; 选中edonguser(也可双击用户)在高级中我们能够设置POP3代理的接收服务器、端口号

31、、用户名、密码以及该用户的多下载POP3代理; 也可设置该用户的邮件拒收、自动回复、自动转发功能以及其邮箱大小为10M。默认超级管理员:admin.密码:admin发信规则及邮件大小定义能够设置只允许系统内用户对外发信或只允许系统发信给系统内用户等; 我们能够定义限定允许发送邮件的最大邮件大小为20M, 限定下载的最大邮件大小为18M; 同时我们能够设置缺省的邮箱大小为100M, 最大邮件数为999, 最大收件人数为10, 服务管理我们能够设置SMTP和POP3端口服务, 其端口号分别为25和110, 并可限定SMTP和POP3服务。在拒绝服务中, 我们能够设置拒绝如61.152.1

32、5.14和.com的服务器的连接和邮件; 在启动垃圾邮件自动过滤中, 设置如mailuser的帐户每天对外发送50封时, 认为是发垃圾邮件, 规定10天未发送垃圾邮件时, 自动从列表中清除; 同时我们能够设置启用如广告的关键字过滤功能。另外我们能够允许手工登陆SMTP和POP3服务端口, 并启动登陆密码验证, 还能够设置邮件群发给某一帐户功能。邮件超期设定与系统邮件内容设置我们能够规定发送超过20次或1天的, 算超期邮件; 系统回复邮件发送超过5次或1天的, 算超期邮件, web方式的超级管理员能够更改成其它用户,如:edonguser系统邮件内容设置能够自定义,邮件发送失败后的回复.致新用户

33、的邮件,邮件读取下载确认信,以及邮箱容量警告信( 5) 、域名管理这里的域名管理是指mail服务器的各域的域名管理, 我们能够设定我们的邮件服务器域名为, 能够有多少域. 以后你的邮箱就能够是。( 6) 、配置IIS在IIS里把主目录指向WebEasyMail目录的web文件夹.如:d; WebEasyMailWeb, 默认首页为default.asp。有多个域把主机头设为空.设好后.能够用IE来访问你的mail服务器.经过web方式来访问.默认的管理员为admin,密码为:admin.经过web方式来管理服务器.比在服务器上设置更方便.附注: 一般服务器安装的软件: Windows:Microsoft SQL Microsoft SQL service pack 4Symantec 诺顿杀毒防火墙 9.0企业版Black Ice 网络防火墙Winrar ( 解压缩软件) Serveru 6.0.0.2

展开阅读全文