Web Ftp Mail服务器的日常管理与维护手册

1、服务器日常管理手册前言服务器日常管理手册终于跟大家见面了。这里面凝聚着E动人的心血和对广大客户的关爱。在多年的服务过程中，通过长期的观察与总结，我们发现，仅仅靠我们的服务是不够的，因为我们的服务属于亡羊补牢式的服务。要想让客户服务器能稳定正常运行，关键还是要少出故障。这就显示出客户的日常维护的重要性。在目前广大客户技术水平参差不齐的情况下，我们考虑，提供一个服务器日常管理的范本，将我们多年服务器管理的经验拿出来与大家分享，让更多的新IT从业人员少走弯路，减少不必要的错误。我们能体会到客户的迫切心情和对E动的殷切希望，我们也一直努力提高我们的技术水平与服务能力。我们知道，仅仅靠一个管理手册解决不

2、了所有问题，但这是E动人为提高客户技术水平所做的努力。我们欢迎有更多的客户能加入到我们这行列，把自己好的管理经验与大家一起分享，共同为创造一个更加稳定和谐的网络环境而努力。中国E动网 12月26日Web Ftp Mail服务器的日常管理与维护一、设置和管理账户 二、网络服务安全管理 三、系统安全管理 四、打开相应的审核策略 五、IIS的安装与配置 六、Serv-U的基本设置 七、用WebEasyMail架构Web邮件服务器一、设置和管理账户 1、系统管理员账户最好少建，更改默认的管理员帐户名（Administrator）和描述，密码最好采用数字加大小写字母加数字的上档键组合，长度最好不少于14

3、位。 2、新建一个名为Administrator的陷阱帐号，为其设置最小的权限，然后随便输入组合的最好不低于20位的密码。3、将Guest账户禁用并更改名称和描述，然后输入一个复杂的密码，然后禁用。 4、开始-程序-管理工具-本地安全策略，选择计算机配置-Windows设置-安全设置-账户策略-账户锁定策略，将账户设为“三次登陆无效”，“锁定时间为30分钟”，“复位锁定计数设为30分钟”。5、在安全设置-本地策略-安全选项中将“不显示上次的用户名”设为启用 。6. 本地策略-安全选项-对匿名连接的额外限制.选择(不允许枚举 SAM 帐号和共享) 二、网络服务安全管理 1、禁止C$、D$、ADM

4、IN$一类的缺省共享打开注册表，HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparameters，在右边的窗口中新建Dword值，名称设为AutoShareServer值设为0. 注册表不了解.不要随便更改.2、 解除NetBios与TCP/IP协议的绑定 右击网上邻居-属性-右击本地连接-属性-双击Internet协议-高级-Wins-禁用TCP/IP上的NETBIOS 3、关闭不需要的服务，以下为建议选项 开始-所有程序-管理工具-服务 Computer Browser:维护网络计算机更新，禁用 Distribu

5、ted File System: 局域网管理共享文件，不需要禁用 Distributed linktracking client：用于局域网更新连接信息，不需要禁用 Error reporting service：禁止发送错误报告 Microsoft Serch：提供快速的单词搜索，不需要可禁用 NTLMSecuritysupportprovide：telnet服务和Microsoft Serch用的，不需要禁用 PrintSpooler：如果没有打印机可禁用 Remote Registry：禁止远程修改注册表 Remote Desktop Help Session Manager：禁止远程协

6、助Messenger:信使服务(windows2000)Task Scheduler: 允许程序在指定时间运行(不用计划任务就禁用掉)TCP/IP NetBIOS Helper Service: NetBIOS (NetBT)”服务以及 NetBIOS 名称解析的支持注：新上架的服务器已经做过其他安全设置只开以下端口，需要开其他端口可以在。右击网上邻居-属性-Internet协议（TCP/IP）属性-高级-选项-TCP/IP筛选属性-TCP端口添加你想要开的端口. 默认开启的端口列表： FTP:20.21mail:25.110Web:80pcanywhere:5631远程桌面：3389 (33

7、89不要关闭，否则将无法远程连接) 三、系统安全管理 1.对于系统的NTFS磁盘权限设置,C盘只给administrators 和system权限，其他的权限不给，其他的盘也可以这样设置，这里给的system权限也不一定需要给，只是由于某些第三方应用程序是以服务形式启动的，需要加上这个用户，否则造成启动不了。2. Windows目录要加上给users的默认权限，否则ASP和ASPX等应用程序就无法运行。3. 另外在c:/Documents and Settings/这里相当重要，后面的目录里的权限根本不会继承从前的设置，如果仅仅只是设置了C盘给administrators权限，而在All Us

8、ers/Application Data目录下会 出现everyone用户有完全控制权限，这样入侵这可以跳转到这个目录，写入脚本或只文件，再结合其他漏洞来提升权限. 四、打开相应的审核策略 开始-程序-管理工具-本地安全策略-安全设置-本地策略-审核策略推荐的要审核的项目是： 登录事件 成功 失败 账户登录事件 成功 失败 系统事件 成功 失败 策略更改 成功 失败 对象访问 失败 目录服务访问 失败 特权使用 失败 五、IIS的安装与配置右击网站-新建-网站.按向导操作网站选项卡新建站点的一个基本设置在这里可能更改。本地路径-浏览：网站程序的路径。配置选项选项卡：会话超时：session的存

9、活时间启用父路径：windows默认没有勾选这个选项。在asp程序中使用“./”，请请复选框选中4、目录安全性选卡六. Serv-U的基本设置3)、请随着安装向导按以下步骤来进行操作：Install as system server（安装成一个系统服务器吗）：选“Yes”。Allow anonymous access（接受匿名登录吗）：选NO.因为服务器不能允许匿名登录Lock anonymous users in to their home directory（将用户锁定在刚才选定的主目录中吗）：即是否将上步的主目录设为用户的根目录；一般选“Yes”。Create named account

10、（建立其他帐号吗）：此处询问是否建立普通登录用户帐号；一般选“Yes”。Account login name（用户登录名）：普通用户帐号名，比如输入“edong”。Password（密码）：设定用户密码。由于此处是用明文（而不是）显示所输入的密码，因此只输一次。Home directory（主目录）：输入（或选择）此用户的主目录。Lock anonymous users in to their home directory（将用户锁定在主目录中吗）：选“Yes”。Account admin privilege（帐号管理特权）：一般使用它的默认值“No privilege”（普通帐号）。最后选“

11、Finish”（结束）即完成设置。如下图：(4)、基本权限。比如在左边的面板中选中“edong”用户，则在右边的面板中出现如下图的设置窗口。选“Dir Access”（目录存取权限），即可设置此用户在它的主目录（即“Path”）是否对文件拥有 “Read”（读）、Write（写）、“Append”（写和添加）、“Delete”（删除）、“Execute”（执行）；是否对目录拥有“List”（显示文件和目录的列表）、“Create”（建立新目录）和“Remove”（修改目录，包括删除，移动，更名）；及“Inherit”（以上权限是否包括它下面的目录树）等等。注: “Execute”（执行）不要选

12、.会有很大的安全隐患.2. Serv-U 管理器A、“Local Server”（本地服务器）属性1、Local Server（本地服务器）：此处可设置是否自动开启FTP服务以及手动开启或停止FTP服务等。2、License（许可证）：3、Settings（设置）：General/Max. speed：可设置最大传输速率（kb/s）。 General/Max. no. of users：可设置连接到本服务器的最多用户数。General的其他项目均与保持服务器的安全性有关。4、Activity（活动状态）Users（用户）：显示当前登录的用户IP地址等资料及当前工作状态；建议选中“Auto re

13、load”（自动刷新）。如果选中某个用户，单击右键，再选癒ill User”，即可将它从服务器中踢出去。Blocked IPs（被挡住的IP）：此处用来暂时禁止某些IP访问本系统。单击工具栏的“”即可增加即可增加被暂时禁止的IP地址及禁止登录的总时间（从增加之后开始计算）。列表中可以看见被禁止的IP地址及其对应的计算机的完整的域名和离解禁尚有多少时间（以秒为单位）等等。在列表中单击右键即可以选择删除已禁止的IP地址。General/Max no. of Users（最大用户数）：此处可以设置允许同时登录到本FTP服务器的最大用户数。IP Access/Deny access（拒绝）：此处可设置

14、仅仅拒绝登录到本FTP服务器的计算机的IP地址列表。IP Access/Allow access（允许）：此处可设置仅仅允许登录到本FTP服务器的计算机的IP地址列表。Message（信息）：此处可改变一些提示性显示信息，如“Signon message file”（开始广播）、“Server offline”（服务器未工作）、“No anonymos access”（不接受匿名登录）等等。3、Activity（活动状态）：Users（用户）：显示登录到本服务器的用户及其状态；建议选中“Auto reload”（自动刷新）。Domain Log（系统日志）：记录所有登录（或试图登录）到本服务器

15、的操作痕迹及错误信息等。C、 Serv-U用户属性之“Account”（帐号）一、Account（帐号）选项。如下图：二、各项说明和应用实例1、Disable account（禁用帐号）：如果选中它，则此帐号将无法使用。2、User name（用户名）：此处显示并可改变该用户的登录名3、Group(s)（组）：如果有建立组，则此处可通过选择组来更多的目录。这些组中目录的属性由建立组时确定，用户在“Dir Access”中不能修改！ 4、Password（密码）：此项为“”（加密）说明有密码，为保密，因此内容不予显示。如果为空白，则不需密码；如有输入任何密码均显示“”。5、Home direct

16、ory（主目录）：此处原则上为用户登录后的主目录；实际用户登录的根目录将由“General”属性中的“Lock user in home directory”来决定。6、Notes（备注）：此项用来标注一些说明性的文字。七、用WebEasyMail架构Web邮件服务器（2）高级管理设置用户高级选项中，可以启动用户自动清理功能，规定100天未登陆系统，禁用帐户；100天帐户禁用，删除帐户。从而避免一些用户占用资源。 邮件高级选项中，可以启动邮件自动清理功能，规定移动超过100天的邮件至Admin等其他用户，删除所有超过200天的邮件。邮件监控功能，如果启动，可以抄送Admin等其他用户，但一般不

17、作此设置。Web高级选项中可以规定附件的大小，我们可以规定附件总长度为5120K（5M）或更大。并且可以启动密码保护功能，设置休眠时间为10分钟。（3）备份在系统备份中，可以查看以前备份的详细内容，也可以删除以前的备份；备份时可选取立即备份或更新式备份备份以前所有内容，也可设置以一天为基准的增量式备份或不备份在在事件查看中，我们选取以时间命名的事件文件查看就可以看到如图所示的Web邮件服务器的活动事件记录。邮件服务器出问题.最主要的是查看活动日志.（4）、系统设置用户管理我们可以设置如edonguser的用户即日起帐户禁用或进行对此用户的修改、删除；有多个域, 可以在域里面做选择。点图中的空白处增加帐户；选中edonguser(也可双击用户)在高级中我们可以设置POP3代理的接收服务器、端口号、用户名、密码以及该用户的多下载POP3代理；也可设置该用户的邮件拒收、自动回复、自动转发功能以及其邮箱大小为10M。默认超级管理员:admin.密码:admin发信规则及邮件大小定义 可以设置只允许系统内用户对外发信或只允许系统发信给系统内用户等；我们可以定义限定允许发送邮件的最大邮件大小为20M，限定下载的最大邮件大小为18M；同时我