一、更新CentOS系统至最新版本CentOS5.4

修改更新源 使用ustc.edu.cn的更新源
#cd /etc/yum.repos.d/
#mv CentOS-Base.repo CentOS-Base.repo.bak （备份修改前默认更新源）
#wget http://centos.ustc.edu.cn/CentOS-Base.repo.5 （下载更新源）
#mv CentOS-Base.repo.5 CentOS-Base.repo
（因为默认的配置文件中服务器地址用的版本号是变量$releasever，所以需要将其替换为实际的版本号，否则是无法连接到服务器的，当前CentOS最新版是5.4，所以我们修改CentOS-Base.repo ）
#vim CentOS-Base.repo
vim全文替代命令并保存退出
:%s/$releasever/5.4/
:wq
#yum update   “更新下载
#lsb_release –a “查看验证版本

       二、下载安装配置Apache & Mysql & PHP & KBS_BBS

1、目录定义：
$bbs_install_dir   表示 bbs 的安装目录 /home/bbs
$www_install_dir 表示 apache 的安装目录/home/www
$php_install_dir   表示 php 的安装目录/home/www/php
$phlinux_dir         表示花生壳安装目录/usr/local/phlinux/ （默认安装路径）
$code_dir             表示存放 kbsbbs、apache 和 php 源代码的目录/home/src
2、软件下载：
Apache：wget -c http://apache.mirror.phpchina.com/httpd/httpd-2.2.11.tar.gz
Mysql:wget -c http://mysql.ntu.edu.tw/Downloads/MySQL-5.0/mysql-5.0.67-linux-i686.tar.gz
PHP：wget -c http://cn.php.net/get/php-5.3.0.tar.gz/from/cn2.php.net/mirror
KBS_BBS：svn co http://svn.kcn.cn/repos/kbs/trunk/www2
3、编译安装：
#tar zxvf httpd-2.2.11.tar.gz
#cd httpd-2.2.11
#./configure –prefix=/home/www –enable-so –enable-rewrite –enable-ssl
#make && make install
#cd /home/www/conf/
#vim httpd.conf
   添加修改：（使其支持运行php程序）
         AddType application/x-httpd-php .php
         User bbs
         Group bbs
         AddDefaultCharset gb2312

#cd ..
#tar zxvf mysql-5.0.67.tar.gz
#cd mysql-5.0.67
#./configure –prefix=/usr/local/mysql –with-charset=utf8 –with-collation=utf8_general_ci –with-extra-charsets=latin1
#make && make install
#cp support-files/my-medium.cnf /etc/my.cnf
#cd /usr/local/mysql/
#bin/mysql_install_db –user=mysql
#chown –R root .
#chown –R mysql /usr/local/mysql/var
#chgrp –R mysql .
#bin/mysqld_safe –user=mysql &
#cd /home/src/mysql-5.0.67
#cp support-files/mysql.server /etc/init.d/mysql
#chmod 755 /etc/init.d/mysql

#yum install php-gd php-xml php-domxml zlib-devel openssl-devel gmp-devel gd libesmtp-devel
#cd /home/src/
#tar zxvf php-5.3.0.tar.gz
#cd php-5.3.0
#./configure –prefix=/home/www/php –with-apxs2=/home/www/bin/apxs –disable-debug –with-pic –disable-rpath –enable-inline-optimization –with-dom-dir=/usr –with-gd –with-freetype-dir=/usr –with-png-dir=/usr/ –with-jpeg-dir=/usr –with-zlib –enable-track-vars
#make && make install
#cp  php.ini-production /etc/php.ini
#vim /etc/php.ini
  修改short_open_tag = Off
        magic_quotes_gpc = off
        extension_dir = "/usr/lib/php/modules"

#cd /home/src/
#svn co "http://svn.kcn.cn/repos/kbs/trunk/kbs_bbs"
#cd kbs_bbs/
#./configure –prefix=/home/bbs –enable-site=jmubbs –with-php=/home/www/php –with-mysql=/usr/local/mysql –enable-ssh –enable-ssl
#make && make install

#cd /home/src/
#svn co http://svn.kcn.cn/repos/kbs/trunk/www2
#cd /home/www/
#ln –s ../src/www2 htdocs

         三、安装编译配置Subversion版本控制

1、安装编译支持：apr、apr-util
#cd /home/src
#wget http://www.sqlite.org/sqlite-amalgamation-3.6.13.tar.gz
#tar zxvf sqlite-amalgamation-3.6.13.tar.gz
#cd sqlite-3.6.13/
#./configure
#make && make install
#tar zvxf apr-1.3.3.tar.gz
#tar zvxf apr-util-1.3.4.tar.gz
#tar zvxf zlib-1.2.3.tar.gz
#cd apr-1.3.3
#./configure –prefix=/usr/local/apr
#make && make install
#cd ../apr-util-1.3.4
#./configure  –with-apr=/usr/local/apr
#make && make install
#cd ../zlib-1.2.3
#./configure  –prefix=/usr/local/zlib
#make && make install
2、重新编译apache及全新编译安装subversion
#cd /home/src/httpd-2.2.11
#./configure –prefix=/home/www –enable-so –enable-rewrite –enable-dav –with-apr=/usr/local/apr/bin/apr-1-config –with-apr-util=/usr/local/apr/bin/apu-1-config
#make && make install
#cd /home/src/subversion-1.6.9/
#./configure –prefix=/home/subversion –with-apxs=/home/www/bin/apxs –with-apr=/usr/local/apr/bin/apr-1-config –with-apr-util=/usr/local/apr/bin/apu-1-config –with-ssl –with-zlib –enable-maintainer-mode
#make && make install
3、配置Subversion
a、创建账号密码：
#htpasswd –c /home/svndata/www/conf/passwd yousri
注：需输两次密码确认；第一次设置用户密码要加入 –c 这个参数，以后就可以不用了
b、创建资料库：
#/home/subversion/bin/svnadmin create /home/svndata/www
c、确认apache配置文件httpd.conf ,默认应该增加了一下两个模块加载：
LoadModule dav_svn_module     modules/mod_dav_svn.so
LoadModule authz_svn_module   modules/mod_authz_svn.so
同时添加增加一下配置信息：
<Location /svn>
    DAV svn
    SVNPath /home/svndata/www
    AuthType Basic
    AuthName "Subversion repository"
    AuthUserFile /home/svndata/www/conf/passwd
 
;   Require valid-user
</Location>
最后设置/home/svndata目录权限设置为755并重启apache服务
d、导入数据至资料库
#/home/subversion/bin/svn import /home/www/htdocs file:///home/svndata/www –m “web code”
浏览访问测试：http://jmxc.vicp.net:20102/svn

LoadModule rewrite_module modules/mod_rewrite.so

　　然后使用mod_rewrte的指令来配置URL重写规则。这些规则可以放在apache的全局配置文件内，也可以放在DokuWiki的根目录下的.htaccess文件内，事实上DokuWiki已经为了写好了这些规则放在.htaccess.dist中，修改删除部分“#”注释即可 内容如下：

      RewriteEngine on
      RewriteBase /dokuwiki
      RewriteRule ^_media/(.*)              lib/exe/fetch.php?media=$1  [QSA,L]
      RewriteRule ^_detail/(.*)             lib/exe/detail.php?media=$1  [QSA,L]
      RewriteRule ^_export/([^/]+)/(.*)     doku.php?do=export_$1&id=$2  [QSA,L]
      RewriteRule ^$                        doku.php  [L]
      RewriteCond %{REQUEST_FILENAME}       !-f
      RewriteCond %{REQUEST_FILENAME}       !-d
      RewriteRule (.*)                      doku.php?id=$1  [QSA,L]

　　在RewriteBase /dokuwiki这一行，你需要根据实际情况做修改成指向你的DokuWiki目录的路径，Dokuwik就在站点根目录或者已经使用子域名解析到相应目录时，需将.htaccess 文件中的 RewriteBase /dokuwiki 行使用首字符“#”将其注释

安装前准备工作：更新安装时可能所需要的包：

# apt-get install automake1.9
# apt-get install php5-dev
# apt-get install libmysqlclient15-dev
# apt-get install sendmail
# apt-get install libesmtp5
# apt-get install byacc
# apt-get install libgmp3-dev
# apt-get install flex
# apt-get install libxml2-dev
# apt-get install libjpeg62-dev
# apt-get install libpng12-dev
# apt-get install libfreetype6-dev
# apt-get install subversion

创建bbs用户：

    # adduser bbs

安装apache服务：

# tar xvf apache_1.3.41.tar.gz
# cd apache_1.3.41
# CC="gcc" OPTIM="-O2" ./configure --prefix=/home/bbs/www --enable-module=so
# make
# make install

编辑apache的配置文件，User和Group都改成bbs，Port改成想要的端口。

# cd /home/bbs/www/conf
# vim httpd.conf

安装PHP

# tar xvf php-5.2.6.tar.gz
# cd php-5.2.6
# ./configure --with-mysql --with-apxs=/home/bbs/www/bin/apxs \\
--with-gd --with-png-dir --with-iconv --with-jpeg-dir \\
--with-zlib --with-ttf --with-freetype-dir --enable-gd-native-ttf
# make
# make install

编辑apache的配置文件/home/bbs/www/conf/httpd.conf，在里面加入这样一行：

AddType application/x-httpd-php .php

下载安装KBS
从kbs的svn服务器上下载最新的kbs源代码。

# cd /home/bbs/src
# svn co http://svn.kcn.cn/repos/kbs/trunk/kbs_bbs
# svn co http://svn.kcn.cn/repos/kbs/trunk/www2

查看bbs用户的gid和uid是多少。

# cat /etc/passwd | grep bbs

到kbs的站点定义目录下，建造一份自己的站点的定义文件，比如站点叫做Yousri。尤其要修改Yousri.h中的BBSUID和BBSGID为刚才看到的bbs用户的编号。

# cd /home/bbs/src/kbs_bbs/site
# cp fb2k-v2.h yousri.h
# cp fb2k-v2.c yousri.c
# vim yousri.h
运行autogen.sh。
<pre lang="bash">
# cd /home/bbs/src/kbs_bbs
# ./autogen.sh
# cd sshbbsd
# ./autogen.sh

编译安装kbs。

# cd /home/bbs/src/kbs_bbs
# ./configure --prefix=/home/bbs --enable-site=yousri \\
--with-php --with-mysql --enable-ssh --enable-ssl \\
--with-openssl=/usr --with-libesmtp --enable-innbbsd CFLAGS="-O3 -g"
# make
# make install

如果是新建的bbs站点，还需要安装默认的站点文件。

# make install-home

给sshbbsd生成钥匙。

# cd /home/bbs/etc
# touch sshd_config
# ssh-keygen -t rsa1 -f ssh_host_key

从php源码目录复制来一个php的配置文件，并编辑之。

# cd /usr/local/lib
# cp /home/bbs/src/php-5.2.6/php.ini-dist php.ini
# vim php.ini

修改extension_dir一行为：

extension_dir = "/usr/local/lib/php/extensions/no-debug-non-zts-20060613/"

然后加入下面一行：

extension=libphpbbslib.so

把www2符号连接到apache的网页目录来。

# cd /home/bbs/www/
# mv htdocs htdocs.default
# ln -s ../src/www2 htdocs

因为之前很多操作需要用root执行，可能bbs的很多文件的owner和group不对，所以一并搞掉。

# chown -R bbs:bbs /home/bbs

启动BBS:

# cd /home/bbs/bin
# ./miscd daemon
# ./bbslogd
# ./bbsd -p 23
# ./sshbbsd -p 22
# cd ../www/bin
# ./apachectl start

如果要停止bbs的话按如下操作：

# cd /home/bbs/www/bin
# ./apachectl stop
# cd ../../bin
# killall sshbbsd
# killall bbsd
# killall bbslogd
# ./miscd flush
# killall miscd

其中期间遇到过两个比较莫名其妙的小问题
到最后启动bbs的时候 执行

root@yousri:/home/bbs/bin# ./miscd daemon
Bus error

这一步的时候出现如此的错误提示
还有就是启动后 telnet 127.0.0.1 进入要注册出现无法注册的现象如注册SYSOP账号却提示
“由于某些系统原因, 无法注册新的帐号.”
然后要再次连接 telnet 127.0.0.1 就无法连接了

“root@yousri:/home/bbs# telnet 127.0.0.1
  Trying 127.0.0.1...
  Connected to 127.0.0.1.
  Escape character is '^]'.
  Connection closed by foreign host.”

至于执行./miscd daemon报错的问题 后来又重新编译安装了下kbs代码 倒是可行了。。。
对于无法注册账号的 貌似要杀掉有关miscd及bbslogd的进程 然后重新创建才可以 即：

killall miscd
killall bbslogd

终于正常了。。。。
其他系统使用待更新。。。。

    ServerSignature Off
    ServerTokens Prod

         ServerSignature出现在Apache所产生的像404页面、目录列表等页面的底部。ServerTokens目录被用来判断 Apache会在Server HTTP响应包的头部填充什么信息。如果把ServerTokens设为Prod，那么HTTP响应包头就会被设置成：

Server：Apache

         如果你非常想尝试其它事物，你可以通过编辑源代码改成不是Apache的其它东西，或者你可以通过下面将要介绍的mod_security实现。
三、确保Apache以其自身的用户账号和组运行
         有的Apache安装过程使得服务器以nobody的用户运行，所以，假定Apache和你的邮件服务器都是以nobody的账号运行的，那么通过Apache发起的攻击就可能同时攻击到邮件服务器，反之亦然。

    User apache
    Group apache

四、确保web根目录之外的文件没有提供服务
         我们不让Apache访问web根目录之外的任何文件。假设你的所以web站点文件都放在一个目录下（例如/web），你可以如下设置：

    Order Deny,Allow
    Deny from all
    Options None
    AllowOverride None
    Order Allow,Deny
    Allow from all

         注意，因为我们设置Opitins None 和AllowOverride None，这将关闭服务器的所有Option和Override。你现在必须明确把每个目录设置成Option或者Override。
五、关闭目录浏览
      你可以在Directory标签内用Option命令来实现这个功能。设置Option为None或者－Indexes。
         Options -Indexes
六、关闭includes
      这也可以通过在Directory标签内使用Option命令来实现。设置Option为None或者－Includes。
         Options -Includes
七、关闭CGI执行程序
         如果你不用CGI，那么请把它关闭。在目录标签中把选项设置成None或-ExecCGI就可以：
         Options -ExecCGI
八、禁止Apache遵循符号链接
         同上，把选项设置成None或-FollowSymLinks：
         Options -FollowSymLinks
九、关闭多重选项
         如果想关闭所有选项，很简单：
         Options None
         如果只想关系一些独立的选项，则通过将Options做如下设置可实现：
         Options -ExecCGI -FollowSymLinks -Indexes
十、关闭对.htaccess文件的支持
         在一个目录标签中实现：
         AllowOverride None
         如果需要重载，则保证这些文件不能够被下载，或者把文件名改成非.htaccess文件。比如，我们可以改成.httpdoverride文件，然后像下面这样阻止所有以.ht打头的文件：

    AccessFileName .httpdoverride
    Order allow,deny
    Deny from all
    Satisfy All

十一、运行mod_security
         Run mod_security是O’Reilly出版社出版的Apache Security一书的作者，Ivan Ristic所写的一个非常好用的一个Apache模块。可以用它实现以下功能：
         ·简单过滤
         ·基于过滤的常规表达式
         ·URL编码验证
         ·Unicode编码验证
         ·审计
         ·空字节攻击防止
         ·上载存储限制
         ·服务器身份隐藏
         ·内置的Chroot支持
         ·更多其它功能

十二、关闭任何不必要的模块
         Apache通常会安装几个模块，浏览Apache的module documentation，了解已安装的各个模块是做什么用的。很多情况下，你会发现并不需要激活那些模块。
         找到httpd.conf中包含LoadModule的代码。要关闭这些模块，只需要在代码行前添加一个#号。要找到正在运行的模块，可以用以下语句：

grep LoadModule httpd.conf

         以下模块通常被激活而并无大用：mod_imap,mod_include,mod_info,mod_userdir,mod_status,mod_cgi,mod_autoindex。

         网络上学习了解收集到的～当作收藏，这东西实用性因人而异，嗯。

    AddType application/rar .rar
    AddType application/x-compressed .rar
    AddType application/x-rar .rar
    AddType application/x-rar-compressed .rar
    AddType application/x-rar-compressed; application/x-compressed .rar
    AddType compressed/rar; application/x-rar-compressed .rar

        然后重新启动Apache服务
        针对Web管理员及Web程序开发者，如何更安全
        1.只允许上传指定后缀名的文件，当然，要禁止掉rar格式文件上传。(但这条往往行不通,一般的网站都需要上传rar文件)
        2.对上传后的文件名进行强制重命名，强制使用最后一个扩展名，如原始文件名为test.php.rar，上传后强制重命名为20090412.rar即可避免这个隐患
        ps：早期版本的phpcms、discuz等貌似存在这个漏洞

二、检查自己是否已经安装了Bind：

[root@yanqx ~]# rpm –qa | grep bind
bind-9.3.4-6.P1.el5.i386.rpm
bind-libbind-devel-9.3.4-6.P1.el5.i386.rpm
bind-sdb-9.3.4-6.P1.el5.i386.rpm
bind-devel-9.3.4-6.P1.el5.i386.rpm
caching-nameserver-9.3.4-6.P1.el5.i386.rpm
bind-chroot-9.3.4-6.P1.el5.i386.rpm

       主要检查以上六个包是否有安装：
       配置文件修改，主要将涉及到的配置文件包括以下：

/etc/sysconfig/network   //设置主机名
/etc/sysconfig/network-scripts/ifgcfg-eth0  //设置IP地址
/etc/named.conf    //DNS主配置文件
/var/named/chroot/var/named/yousri.com.db   //正向解析文件
/var/named/chroot/var/named/1.168.192.db   //反向解析文件
/etc/resolv.conf     //本机DNS配置文件
/var/named/chroot/var/named/localdomain.zone   //正向解析文件模板
/var/named/chroot/var/named/named.local       //反向解析文件模板

       关于修改主机名及设置IP地址的配置这里就不多言啦/// 可以上网的话基本都已经配置好啦，可使用hostname查询主机名

三、主配置文件named.conf的配置
       因为主配置文件named.conf包含一句话扩展外包配置文件的记录：include “/etc/named.rfc1912.zones”;故这里在配置定义正向解析文件与反向解析文件

[root@yanqx ~]#vim /var/named/chroot/etc/named.rfc1912.zonesf
zone "yousri.com" IN {       //定义一个正向域yousri.com
type master;
file "yousri.com.db";    //定义正向解析文件名 yousri.com.db
allow-update { none; };
};
zone "1.168.192.in-addr.arpa" IN {        //定义反向域
type master;
file "1.168.192.db";                  //定义反向解析文件名 1.168.192.db
allow-update { none; };
};

       添加以上两段配置文件保存并退出

四、配置正向解析与反向解析文件
       正向反向解析文件都创建在相同目录—/var/named/chroot/var/named/下，且可直接使用原有的模板localdomain.zone及named.local分别修改而得

[root@yanqx ~]#cd /var/named/chroot/var/named
[root@yanqx named]#cp -p localdomain.zone yousri.com.db
[root@yanqx named]#cp -p named.local 1.168.192.db

       使用参数p，是为了复制文件时保持文件的属性不变，防止有误导致稍后named服务无法启动/// 接下来分别修改这两个配置文件为如下：
正向解析文件：

[root@yanqx named]#vim yousri.com.db
 $TTL 86400
 $ORIGIN yousri.com.
 @         IN SOA yanqx.yousri.com. root.yanqx.yousri.com. (
                20060415              ; serial (d. adams)
            28800       ; refresh
             7200   ; retry
           604800   ; expiry
            86400 )   ; minimum
 
         IN NS   yanqx.yousri.com.
         IN MX 10 mail.yousri.com.
 @   IN A 192.168.1.99
 yanqx IN A 192.168.1.99
 mail IN A 192.168.1.99
 www IN CNAME yanqx

反向解析文件：

[root@yanqx named]#vim 1.168.192.db
 $TTL 86400
 @         IN SOA yanqx.yousri.com. root.yanqx.yousri.com. (
                                     20060415              ; serial (d. adams)
                                        28800              ; refresh
                                         7200              ; retry
                                       604800              ; expiry
                                        86400 )            ; minimum
 
         IN NS yousri.com.
 99      IN PTR yanqx.yousri.com.
 99      IN PTR mail.yousri.com.

五、系统配置
       1、修改/etc/resolv.conf文件，添加一条本机IP的DNS记录，以便实现域名解析效果

[root@yanqx named]#vim /etc/resolv.conf
 nameserver 202.101.103.54
 nameserver 202.101.103.55
 nameserver 192.168.1.99

       其中202.101.103.54&202.101.103.55为厦门电信DNS，120.35.120.155为本机IP地址
2、启动DNS服务及named服务

[root@yanqx ~]#/etc/init.d/named start

或者

[root@yanqx ~]#service named start

3、测试服务
       使用测试的命令是dig或nslookup或ping 侦测验证或更具体的客户端验证
       windows xp/2003客户端配置：网上邻居–属性–网络连接–属性–TCP/IP/属性/DNS–添加192.168.1.99记录保存退出即可。接着还可以结合已配置有DNS服务的服务器上搭建apache服务，配置apache基于名字的虚拟主机服务，配置使用www.yousri.com的域名，并在客户端（刚已设置好DNS的客户端上）直接浏览器浏览http://www.yousri.com访问apache服务的虚拟主机程序。

    根据“最小的权限+最少的服务=最大的安全”的原则
    最小权限的设置：
    使用NTFS系统文件格式，对每个硬盘根目录只给予administrator用户及system用户完全控制权限，并删除其他用户权限。
    如：C:\Windows  Administrator、System完全控制权限;Users用户默认权限不修改删除其他用户

   
    修改C:\Windows目录下相关可执行文件权限：
    net.exe、cmd.exe、tftp.exe、netstat.exe、regedit.exe、at.exe、attrib.exe、cacls.exe、format.com、regsvr32.exe、xcopy.exe、wscript.exe、cscript.exe、ftp.exe、telnet.exe、arp.exe、edlin.exe、ping.exe、route.exe、finger.exe、posix.exe、rsh.exe、atsvc.exe、qbasic.exe、runonce.exe、syskey.exe
    修改以上权限，删除所有用户只保留Adminstrators和system用户组完全控制权限

    对于各个站点虚拟目录对应权限严格设置：
        添加个站点或虚拟目录对应用户到GUESTS组
        Administraotrs 完全控制
        System 完全控制
        ASP.NET 读取写入
        NETWORK SERVICE 读取
     

禁止建立空链接：
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
新建 “DWORD值”值名为 “RestrictAnonymous” 数据值为“1” [2003默认为1]

禁止系统自动启动服务器共享：
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
新建 “DWORD值”值名为 “AutoShareServer” 数据值为“0”

禁止系统自动启动管理共享：
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
新建 “DWORD值”值名为 “AutoShareWks” 数据值为“0”

通过修改注册表防止小规模DDOS攻击
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
新建 “DWORD值”值名为 “SynAttackProtect” 数据值为“1”

本地安全策略配置:
开始 > 程序 > 管理工具 > 本地安全策略
账户策略 > 密码策略 > 密码最短使用期限 改成0天
账户策略 > 账户锁定策略 > 账户锁定阈值 5 次 账户锁定时间 10分钟 [个人推荐配置]
本地策略 > 审核策略 >
账户管理 成功 失败
登录事件 成功 失败
对象访问 失败
策略更改 成功 失败
特权使用 失败
系统事件 成功 失败
目录服务访问 失败
账户登录事件 成功 失败
本地策略 > 安全选项 >
清除虚拟内存页面文件 更改为"已启用"
不显示上次的用户名 更改为"已启用"
不需要按CTRL+ALT+DEL 更改为"已启用"
不允许 SAM 账户的匿名枚举 更改为"已启用"
不允许 SAM 账户和共享的匿名枚举 更改为"已启用"
重命名来宾账户 更改成一个复杂的账户名
重命名系统管理员账号 更改一个自己用的账号 [同时可建立一个无用户组的Administrat账户]

删除不安全组件：
WScript.Shell 、Shell.application 两个组件一般一些ASP木马或一些恶意程序入侵渗透点。
方案一、
regsvr32 /u wshom.ocx 卸载WScript.Shell 组件
regsvr32 /u shell32.dll 卸载Shell.application 组件
方案二、
删除注册表 HKEY_CLASSES_ROOT\CLSID\{72C24DD5-D70A-438B-8A42-98424B88AFB8} 对应 WScript.Shell
删除注册表 HKEY_CLASSES_ROOT\CLSID\{13709620-C279-11CE-A49E-444553540000} 对应 Shell.application

最少的服务的设置：
黑色为自动 绿色为手动 红色为禁用
Alerter
服务描述: 通知选定的用户和计算机管理警报。如果服务停止，使用管理警报的程序将不会收到它们。如果此服务被禁用，任何直接依赖它的服务都将不能启动。
Application Experience Lookup Service
Application Layer Gateway Service
服务描述: 为应用程序级协议插件提供支持并启用网络/协议连接。如果此服务被禁用，任何依赖它的服务将无法启动。
Application Management
Automatic Updates [Windows自动更新,可选项]
Background Intelligent Transfer Service
服务描述: 服务描述:利用空闲的网络带宽在后台传输文件。如果服务被停用，例如 Windows Update 和 MSN Explorer 的功能将无法自动下载程序和其他信息。如果此服务被禁用，任何依赖它的服务如果没有容错技术以直接通过 IE 传输文件，一旦 BITS 被禁用，就可能无法传输文件。
ClipBook
COM+ Event System
COM+ System Application
Computer Browser
服务描述: 服务描述:维护网络上计算机的更新列表，并将列表提供给计算机指定浏览。如果服务停止，列表不会被更新或维护。如果服务被禁用，任何直接依赖于此服务的服务将无法启动。
Cryptographic Services
DCOM Server Process Launcher
DHCP Client
Distributed File System
服务描述: 将分散的文件共享合并成一个逻辑名称空间并在局域网或广域网上管理这些逻辑卷。如果这个服务被停止，用户则无法访问文件共享。如果这个服务被禁用，任何依赖它的服务将无法启动。
Distributed Link Tracking Client
Distributed Link Tracking Server
Distributed Transaction Coordinator
DNS Client
Error Reporting Service
Event Log
File Replication
Help and Support
服务描述: 启用在此计算机上运行帮助和支持中心。如果停止服务，帮助和支持中心将不可用。如果禁用服务，任何直接依赖于此服务的服务将无法启动。
HTTP SSL
Human Interface Device Access
IIS Admin Service
IMAPI CD-Burning COM Service
Indexing Service
Intersite Messaging
IPSEC Services [如果使用了IP安全策略则自动，如无则禁用，可选操作]
Kerberos Key Distribution Center
License Logging
Logical Disk Manager [可选，多硬盘建议自动]
Logical Disk Manager Administrative Service
Messenger
服务描述: 传输客户端和服务器之间的 NET SEND 和 警报器服务消息。此服务与 Windows Messenger 无关。如果服务停止，警报器消息不会被传输。如果服务被禁用，任何直接依赖于此服务的服务将无法启动。
Microsoft Search
Microsoft Software Shadow Copy Provider
MSSQLSERVER
MSSQLServerADHelper
Net Logon
NetMeeting Remote Desktop Sharing
服务描述: 允许经过授权的用户用 NetMeeting 在公司 intranet 上远程访问这台计算机。如果服务被停止，远程桌面共享将不可用。如果服务被禁用，依赖这个服务的任何服务都会无法启动。
Network Connections
Network DDE
Network DDE DSDM
Network Location Awareness (NLA)
Network Provisioning Service
NT LM Security Support Provider
Performance Logs and Alerts
Plug and Play
Portable Media Serial Number Service [微软反盗版工具，目前只针对多媒体类]
Print Spooler
服务描述: 管理所有本地和网络打印队列及控制所有打印工作。如果此服务被停用，本地计算机上的打印将不可用。如果此服务被禁用，任何依赖于它的服务将无法启用。
Protected Storage
Remote Access Auto Connection Manager
Remote Access Connection Manager
Remote Desktop Help Session Manager
Remote Procedure Call (RPC)
Remote Procedure Call (RPC) Locator
Remote Registry
服务描述: 使远程用户能修改此计算机上的注册表设置。如果此服务被终止，只有此计算机上的用户才能修改注册表。如果此服务被禁用，任何依赖它的服务将无法启动。
Removable Storage
Resultant Set of Policy Provider
Routing and Remote Access
Secondary Logon
Security Accounts Manager
Server
Shell Hardware Detection
Smart Card
Special Administration Console Helper
SQLSERVERAGENT
System Event Notification
Task Scheduler
服务描述: 使用户能在此计算机上配置和计划自动任务。如果此服务被终止，这些任务将无法在计划时间里运行。如果此服务被禁用，任何依赖它的服务将无法启动。
TCP/IP NetBIOS Helper
服务描述: 提供 TCP/IP (NetBT) 服务上的 NetBIOS 和网络上客户端的 NetBIOS 名称解析的支持，从而使用户能够共享文件、打印和登录到网络。如果此服务被停用，这些功能可能不可用。如果此服务被禁用，任何依赖它的服务将无法启动。
Telephony
Telnet
服务描述: 允许远程用户登录到此计算机并运行程序，并支持多种 TCP/IP Telnet 客户端，包括基于 UNIX 和 Windows 的计算机。如果此服务停止，远程用户就不能访问程序，任何直接依赖于它的服务将会启动失败。
Terminal Services
Terminal Services Session Directory
Themes
Uninterruptible Power Supply
Upload Manager
Virtual Disk Service
Volume Shadow Copy
WebClient
Windows Audio [服务器没必要使用声音]
Windows Firewall/Internet Connection Sharing (ICS)
Windows Image Acquisition (WIA)
Windows Installer
Windows Management Instrumentation
Windows Management Instrumentation Driver Extensions
Windows Time
Windows User Mode Driver Framework
WinHTTP Web Proxy Auto-Discovery Service
Wireless Configuration
WMI Performance Adapter
Workstation
服务描述: 创建和维护到远程服务的客户端网络连接。如果服务停止，这些连接将不可用。如果服务被禁用，任何直接依赖于此服务的服务将无法启动。
World Wide Web Publishing Service

基于IIS6.0安装配置PHP程序支持：
先安装php使用最新版本php-5.2.8-win32-installer.msi
安装过程中选择所设置的the web server 为IIS ISAPI module如图所示：

       
    紧接着简单配置IIS完成站点c.com支持PHP程序
    站点属性–>主目录–>配置–>应用程序扩展–>添加 可执行文件：C:\PHP\php5isapi.dll   格式为：.php
如下图所示：

    
    添加相应支持php程序“web服务扩展”，即打开“ Internet 信息服务(IIS)管理器”，在“ Web 服务扩展”里，选择“添加一个新的 Web 服务扩展”，扩展名可填写“PHP”，要求的文件选择: C:\PHP\php5isapi.dll，并设置扩展状态为允许。结果如下图所示：

   
    打开“网站”->“属性”->“文档”->“启用默认内容文档”->“添加”，可以将 index.php 添加为默认内容文档。最后并重新启动IIS服务项。
    最后使用phpinfo();函数测试结果

对于windows server 2003的安装就不必多费口舌，和安装普通的windows xp或vista 没啥两样，没有什么特别之处吧，不过注意C盘分区大小最好根据个人需要进行适当放大些 ~！

关于IIS6.0安装也很简单，因为2003系统中就默认带有安装包，只需要打开控制面板–>添加与删除程序–>添加与删除windows组件–>应用程序服务器双击打开，勾选ASP.net及双击打开Internet信息服务下的万维网及FTP选项，到此最好也将添加删除组件下的microsoft .NET framework选项也勾选安装下，将会有需要的

即安装选项描述为 ：

添加与删除windows组件

|
|—-Microsoft .NET framework2.0
|
|—-应用程序服务器
           |
           |—ASP.NET
           |
           |—Internet信息服务
                      |
                      |—-万维网服务
                      |
                      |—-Ftp服务

接下来就是关键的IIS配置搭建，重点麻烦出现在合理配置磁盘权限和iis不安全组件
防范windows服务器 WEB SHELL,因为以前都未曾了解过关于windows server 2003 服务器安装完成后的安全强化设置，所以到后面再配置关于IIS站点对于磁盘权限控制设置的时候遇到了疑难未解的麻烦。自己直到后来google了解到后才回头做了相关的安全权限访问设置问题。

所以到此，先推荐一篇可能有点老但经典的文章：合理配置IIS站点对磁盘访问权限

关于IIS设置权限:http://www.yesadmin.com/308/83529/index.html

"其实权限设置的基本思路是：1、要为每个独立的要保护的个体（比如一个网站或者一个虚拟目录）创建一个系统用户，让这个站点在系统中具有惟一

的可以设置权限的身份。2、在IIS的【站点属性或者虚拟目录属性→目录安全性→匿名访问和验证控制→编辑→匿名访问→编辑】填写刚刚创建的那个

用户名。3、设置所有的分区禁止这个用户访问，而刚才这个站点的主目录对应的那个文件夹设置允许这个用户访问（要去掉继承父权限，并且要加上超管组和SYSTEM组）。 "

所以这里自己计划独立创建一个用户组用于存放为管理各个不同站点或虚拟目录而特地创建的用户，方便统一管理。

测试IIS默认安装是否能支持ASP&ASP.net程序的解析显示：

这里使用的是网上一个号称阿江ASP探针进行测试的。确实很方便而且显示功能也很完善，推荐测试环境可以使用。

最后自己同时安装几个常用ASP组件，也随便分享下：

一、LyfUpload 组件介绍、下载、安装、测试

介绍：国产的老牌的流行的上传组件，可惜的是阿江一直没有尝试这个组件。

下载：http://www.ajiang.net/products/download/coms/lyfupload12b.zip

安装：解压刘云峰下载组件中的LyfUpload.dll文件，然后添加进注册表即win+R（或开始–>运行)输入regsvr32 E:\lyfupload12b\LyfUpload.dll 回车注册完成

二、ASPJpeg组件介绍、下载、安装、测试

介绍：曾经很流行的图像组件，当时知道它的时候很多人用它来缩放图片，不知道现在多什么功能了没。

下载：http://www.oioj.net/down/AspJpegv1.5.0.0.rar

安装：直接双击运行安装，此文件中已附带有注册码直接复制黏贴就ok。

附注：安装过程会提示重启IIS服务器。

修改启动引导配置文件/etc/inittab

修改安装默认的启动模式将默认的init 3 修改为 init 5 模式

即将/etc/inittab文件中id:3:initdefauld: 这行中将 3->5 即改为：id:5:initdefauld:

这里主要涉及到关于linux引导启动模式共有六种，比较常见的就是init3对应的文本模式及init5对应的图形界面模式

安装以上方法处理对于有些虚拟机中linux的图形界面还是解决不了可能有必要进一步修改下图形界面配置文件：/etc/X11/xorg.conf文件其内容大致如下：

1

2# Xorg configuration created by pyxf86config

3

4 Section "ServerLayout"

5 Identifier "Default Layout"

6 Screen 0 "Screen0" 0 0

7 InputDevice "Keyboard0" "CoreKeyboard"

8 EndSection

9

10 Section "InputDevice"

11 Identifier "Keyboard0"

12 Driver "kbd"

13 Option "XkbModel" "pc105"

14 Option "XkbLayout" "us"

15 EndSection

16

17 Section "Device"

18 Identifier "Videocard0"

19 Driver "vmware"

20 EndSection

21

22 Section "Screen"

23 Identifier "Screen0"

24 Device "Videocard0"

25 DefaultDepth 24

26 SubSection "Display"

27 Viewport 0 0

28 Depth 24

29 EndSubSection

30 EndSection

31

将其中的

17 Section "Device"

18 Identifier "Videocard0"

19 Driver "vmware"

20 EndSection

修改为：

17 Section "Device"

18 Identifier "Videocard0"

19 Driver "vesa"

20 EndSection

最后重启下电脑 #reboot 如果默认进入的还是文本模式的话 在终端下输入运行：#startx 即可，祝你好运。。。。

二、关于通过ssh实现本地windowsXP跟虚拟机中的LINUX通信可能出现的问题

一方面是关于Linux系统ssh服务的启动及配置文件修改（比较简单）：

先描述下可能会遇到的问题：在windows下使用vmware安装了个Centos系统，虚拟机网络使用NAT模式，在Centos可以直接上网，也可以在linux本机上ssh连接上，但是从windows上ssh IP（虚拟机ip地址）却一直提示连接不上。配置过sshd-config文件最终还是搞不定（前提Centos系统中ssh服务是启动运行状态）

应该可以解决的方法：

首先在windows下下的“网络连接”中查看VMware Network Adapter VMnet1的IP地址或者可以使用dos状态下使用网络命令ipconfig /all 可以查看到所有本机的网络状态，记下VMnet1的IP地址；

其次将虚拟机中Centos系统IP设置为与VMnet1同一段的IP地址；接着安装SSH客户端工具putty或者SSH Scure File Transfer（主要推荐使用这两种）。

即使用NAT方式共享网络：

1、设置虚拟机CentOS的网络连接方式为NAT

2、开启VMware DHCP Service和VMware NAT Service两个服务

3、CentOS中网络设置为自动配置(DHCP)或者手动设置IP及DNS

手动设置方法：

1、XP中ipconfig，得到VMnet8的IP为192.168.93.1

2、CentOS中设置网络IP为192.168.93.X(X为3-254，网上很多人说只能是128-254，自动分配时一般也是128，但经验证3-254都行，

DNS设置为192.168.93.2

提醒：

1、关闭掉CentOS与windows中系统的防火墙设置，关闭它或者打开22端口。

2、前提条件CentOS的SSH服务已经安装并启动

3、要么统一是使用VMnet1网段或者VMnet8网段，主机和虚拟机网段要保持一致皆ok。

另一方面关于虚拟机与主机共享网络的问题（主要部分）：

直接使用桥接Bridged方式共享上网，这样处理使得不需要再进行啥特别的设置就可以实现直接通过宿主机windows下通过ssh软件与CentOS服务器通信

1、设置CentOS的网络连接方式为Bridged

2、共享ADSL连接

ADSL连接属性中选中“Internet连接共享”，下拉列表中然后选择“本地连接”，系统会自动把“本地连接”设置为192.168.0.1。

注意此设置会在断开连接并重启后才生效

3、CentOS网络设置

IP:192.168.0.X

网关:192.268.0.1

DNS:192.168.0.1(系统->系统管理->网络->DNS)

三、SSH Secure软件实现本地windows与虚拟机linux的文件通信

关于SSH介绍：来自维基百科SSH

SSH 为 Secure Shell 的缩写，由 IETF 的网络工作小组（Network Working Group ）所制定；SSH 为建立在应用层和传输层基础上的安全协议。传统的网络服务程序，如FTP、POP和Telnet其本质上都是不安全的；因为它们在网络上用明文传送数据、用户帐号和用户口令，很容易受到中间人（man-in-the-middle）攻击方式的攻击。就是存在另一个人或者一台机器冒充真正的服务器接收用户传给服务器的数据，然后再冒充用户把数据传给真正的服务器。而 SSH 是目前较可靠，专为远程登录会话和其他网络服务提供安全性的协议。利用 SSH 协议可以有效防止远程管理过程中的信息泄露问题。透过 SSH 可以对所有传输的数据进行加密，也能够防止 DNS 欺骗和IP 欺骗。

SSH 之另一项优点为其传输的数据是经过压缩的，所以可以加快传输的速度。SSH有很多功能，它既可以代替 Telnet，又可以为FTP、POP、甚至为 PPP 提供一个安全的“通道”。

这里推荐的SSH客户端软件主要包括有SSH Secure File Transfer Client 和 SSH Secure Shell Client

今天被告知说公司使用的是Centos5.2系统作为服务器，所以自己使用网络安装个虚拟机算是熟悉下Centos系统吧，此篇文章只是个人的肤浅之说而已，不然之前都没使用过。。。基本有用也是用ubuntu linux系统。