手动安装 WindowsServer2003-KB941672-x86-ENU.exe 开始-运行-输入regedit打开注册表 找到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup\OC Manager\Subcomponents\dns 双击,将其数据数值改成1即可。 ----------------------------------------------------------------------------------------------------------------------------- 定期清理日志 C:\WINDOWS\system32\LogFiles ----------------------------------------------------------------------------------------------------------------------------- 邦定mac地址 arp -s ip地址 mac地址 查看 arp -a arp -d arp -s 自动邦定 深圳 @echo off echo 'arp set' arp -d arp -s ip地址 mac地址 exit ----------------------------------------------------------------------------------------------------------------------------- 3、禁用不必要的服务 开始-运行-services.msc TCP/IPNetBIOS Helper提供 TCP/IP 服务上的 NetBIOS 和网络上客户端的 NetBIOS 名称解析的支持而使用户能够共享文件、打印和登录到网络 Server支持此计算机通过网络的文件、打印、和命名管道共享 Computer Browser 维护网络上计算机的最新列表以及提供这个列表 Task scheduler 允许程序在指定时间运行 Messenger 传输客户端和服务器之间的 NET SEND 和 警报器服务消息 Distributed File System: 局域网管理共享文件,不需要可禁用 Distributed linktracking client:用于局域网更新连接信息,不需要可禁用 Error reporting service:禁止发送错误报告 Microsoft Serch:提供快速的单词搜索,不需要可禁用 NTLMSecuritysupportprovide:telnet服务和Microsoft Serch用的,不需要可禁用 PrintSpooler:如果没有打印机可禁用 Remote Registry:禁止远程修改注册表 Remote Desktop Help Session Manager:禁止远程协助 Workstation 关闭的话远程NET命令列不出用户组 以上是在Windows Server 2003 系统上面默认启动的服务中禁用的,默认禁用的服务如没特别需要的话不要启动。 ----------------------------------------------------------------------------------------------------------------------------- (1)防止SYN洪水攻击 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters 新建DWORD值,名为SynAttackProtect,值为2 新建EnablePMTUDiscovery REG_DWORD 0 新建NoNameReleaseOnDemand REG_DWORD 1 新建EnableDeadGWDetect REG_DWORD 0 新建KeepAliveTime REG_DWORD 300,000 新建PerformRouterDiscovery REG_DWORD 0 新建EnableICMPRedirects REG_DWORD 0 (2)禁止响应ICMP路由通告报文 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\interface 新建DWORD值,名为PerformRouterDiscovery 值为0 (3)防止ICMP重定向报文的攻击 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters 将EnableICMPRedirects 值设为0 (4)不支持IGMP协议 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters 新建DWORD值,名为IGMPLevel 值为0 (5)禁止IPC空连接: cracker可以利用net use命令建立空连接,进而入侵,还有net view,nbtstat这些都是基于空连接的,禁止空连接就好了。 Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 把这个值改成"1"即可。 (6)更改TTL值 cracker可以根据ping回的TTL值来大致判断你的操作系统,如: TTL=107(WINNT); TTL=108(win2000); TTL=127或128(win9x); TTL=240或241(linux); TTL=252(solaris); TTL=240(Irix); 实际上你可以自己改的:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters:DefaultTTL REG_DWORD 0-0xff(0-255 十进制,默认值128)改成一个莫名其妙的数字如258,起码让那些小菜鸟晕上半天,就此放弃入侵你也不一定哦 (7)删除默认共享 有人问过我一开机就共享所有盘,改回来以后,重启又变成了共享是怎么回事,这是2K为管理而设置的默认共享, HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters:AutoShareServer类型是REG_DWORD把值改为0即可 (8)Web站点权限设定(建议) 读 允许 写 不允许 脚本源访问 不允许 目录浏览 建议关闭 日志访问 建议关闭 索引资源 建议关闭 执行 推荐选择 "仅限于脚本" ----------------------------------------------------------------------------------------------------------------------------- 上传文件做控制,不许上传危害性文件 string noFile = "aspx|asp|asa|exe|dll|js|vbs|bat|htm|html|shtml|xhtml"; ----------------------------------------------------------------------------------------------------------------------------- 设置防止server is too busy
问题分析 ASP.NET站点频繁出现Server Too Busy错误,具体表现为页面响应慢、经常出现Server Too Busy异常; 但实际上服务器的资源消耗却很低,CPU使用只有10%左右,非常奇怪。 该站点运行环境为Windows 2000,IIS5.0,.NET Framework 1.1,站点压力约为每秒10个连接,峰值时约为30。
查找相关资料后,从表现出的情况来看(响应慢,抛出Server Too Busy异常), 初步判断为同时连接过多引起的线程阻塞引起。修改web.config中的httpRuntime配置节 中的appRequestQueueLimit参数后,Server Too Busy 的错误得到解决。此参数默认从 machine.config中继承,默认值为100,改为1000后Server Too Busy的错误不再出现。 虽然服务器忙的错误解决了,但是站点响应还是很慢,有时候要等上5—10秒才能打开页 面。分析原因应该是同时请求过多,而IIS工作线程不足的原因引起,修改machine.config 中processModel配置节maxWorkerThreads参数为200后站点响应速度慢的问题得到解决。此 参数默认值为20,可根据服务器硬件配置于压力大小适当调整。 分析原因,是因为站点程序中使用了HttpWebRequest请求外部服务器的页面, 而这个操作是相当耗时的(外部服务器响应慢是主要原因)。 当访问者的请求到达ASP.NET工作进程后,ASP.NET首先会检查是否有空余的工作线程(WorkerThread), 如果有的话,就交给一个空闲的工作线程去处理,如果没有空闲的工作线程, 那么这个请求就会被放到请求队列(RequestQueue)中,这个时候的表现就是响应很慢。 当访问量过大导致请求队列也满了的时候,ASP.NET就会抛出Server Too Busy异常了。 在.NET 1.1中,默认的工作线程和请求队列分别为20和100, 当运行的代码比较费时而访问量又较大的时候,这两个默认值显然就太小了。 (现在的服务器硬件便宜了,一般PC服务器的吞吐量都应该远超过这个数)。 这两个值可以根据服务器压力大小来进行合理配置。以调整站点吞吐量。
解决办法 (1)webconfig 增加 <httpRuntime appRequestQueueLimit="1000"/> (2)machine.config 将processModel配置节maxWorkerThreads 参数默认为20改为200 (<processModel autoConfig="true" /> 改为 <processModel maxWorkerThreads="200" maxIoThreads="200"/>) machine.config文件在哪里:一般<WINDOWS安装目录>\Microsoft.NET\Framework\对应版本号\CONFIG\ (3)iis 应用池设置 请求队列限制” 将默认值4000改为10000 (做到双管齐下) ----------------------------------------------------------------------------------------------------------------------------- (1)数据库设置指定服务器访问 防火墙 控制访问ip:ip地址/255.255.255.0,ip地址/255.255.255.0 (2)oracle 穿过防火墙 在注册表:HKEY_LOCAL_MACHINE\SOFTWARE\ORACLE\HOME0 上新建一个字符串值:USE_SHARED_SOCKET=TRUE (3) ORA-12516: TNS: 监听程序找不到符合协议堆栈要求的可用处理程序 (0)设置连接数据 show parameter processes; alter system set processes=2000 scope=spfile; 重启数据库
(4)查看scott帐号密码 select username, password from dba_users where username = 'SCOTT'; drop user scott cascade;
(5)限制 SYSDBA 登录 $ORACLE_HOME/network/admin 目录中的 SQLNET.ORA 文件中 加入 SQLNET.AUTHENTICATION_SERVICES=(NONE)
(6)设置监听程序密码 LSNRCTL> change_password LSNRCTL> save_config
(7)保护监听程序 1:listener.ora 文件中添加以下行: ADMIN_RESTRICTIONS_LISTENER = ON 2:重新加载监听程序 LSNRCTL> reload
(8)更改 DBSNMP 密码 <1>:首先,将用户 DBSNMP 的密码更改为别的内容(例如 TopSecret): SQL> alter user dbsnmp identified by topsecret; <2>:转至 Oracle Agent Home 的安装目录(不是 ORACLE_HOME),例如 /u01/app/oracle/10.1/gridc。 <3>:转至目录 <hostname>/sysman/emd,其中 <hostname> 是主机或服务器的名称。 例如,如果服务器的名称为 prolin1,则目录应为 prolin1/sysman/emd。 <4>:在这里,您会找到一个名为 targets.xml 的文件。复制该文件,为其取一个新名字(例如 targets.xml.old)。 <5>:打开文件 targets.xml,搜索“dbsnmp”一词;与以下内容类似 <Target TYPE="oracle_database" NAME="PROPRD1_prolin1"> <Property NAME="MachineName" VALUE="192.168.101" <Property NAME="OracleHome" VALUE="/u01/app/oracle/10.1/db1" <Property NAME="Port" VALUE="1521" <Property NAME="Role" VALUE="NORMAL" <Property NAME="SID" VALUE="PROPRD1" <Property NAME="ServiceName" VALUE="PROPRD" <Property NAME="UserName" VALUE="dbsnmp" <Property NAME="password" VALUE="3797cf30e7c4a9c6" ENCRYPTED="TRUE" <CompositeMembership> <MemberOf TYPE="rac_database" NAME="PROPRD" ASSOCIATION="cluster_member" </CompositeMembership> </Target> <6>:注意这一行: <Property NAME="password" VALUE="3797cf30e7c4a9c6" ENCRYPTED="TRUE"/> 您将在这一行中设置密码的值。 将上述内容替换为: <Property NAME="password" VALUE="topsecret" ENCRYPTED="FALSE"/> 注意,您将 ENCRYPTED 的值更改为了 FALSE。 <7>:如果这是一个 RAC 数据库,该行将在文件中出现两次。 确保在两行中都做了更改。 在文件中搜索“password”一词,找到这两行。 <8>:现在,通过发出以下命令停止代理: /u01/app/oracle/10.1/gridc/bin/emctl stop agent <9>:重新启动代理: /u01/app/oracle/10.1/gridc/bin/emctl stop agent <10>:重新启动代理后,会加密配置文件中的明文密码。 如果再次在 targets.xml 文件中查看上面的行,将看到类似下面的内容: <Property NAME="password" VALUE="3797cf30e7c4a9c6" ENCRYPTED="TRUE"/> 注意将明文值转换为加密值的方式。 <11>:现在已将代理配置为使用新的密码。 <12>:如果使用独立的数据库控制台而非网格控制,则操作过程相似,只是在第 2 步中,您要转至 ORACLE_HOME 而不是 Agent Home 所在的目录。
(9)回收public危险的过程包有UTL_FILE、UTL_TCP、UTL_HTTP、UTL_URL 权限 REVOKE EXECUTE ON utl_file FROM PUBLIC; REVOKE EXECUTE ON UTL_TCP FROM PUBLIC; REVOKE EXECUTE ON UTL_HTTP FROM PUBLIC; REVOKE EXECUTE ON UTL_URL FROM PUBLIC;
REVOKE EXECUTE ON DBMS_Job FROM PUBLIC; REVOKE EXECUTE ON DBMS_LOB FROM PUBLIC; REVOKE EXECUTE ON UTL_SMTP FROM PUBLIC;
(10)设置32位机运行3GB 使oracle 不报 propt invaild connection is closed 强制分配3GB虚拟内存给基于x86 的系统 [boot loader] timeout=30 default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS [operating systems] multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Windows Server 2003, Enterprise" /fastdetect /3GB /Userva=2900 /NoExecute=OptOut
(11) 数据库连接池, 性能瓶颈 解决 修改 Processes 和会话 Sessions 参见上面(3) processes=500 自动派生的sessions=1.1*500+5 数据库打开连接串connectionstring中加入 Pooling=true;Max Pool Size=200; 设置为200后超过200连接数会自动增加
(12)ORA-12571:TNS:包写入程序失败? <1>打开sqlnet.ora,把其中的“NTS”改为“NONE” <2>在注册表:HKEY_LOCAL_MACHINE\SOFTWARE\ORACLE\HOME0 上新建一个字符串值:USE_SHARED_SOCKET=TRUE <3>谢谢以上几位指点,问题已经解决了,多亏你们的提示,我找了一台配置相同的电脑,将其注册表中的local_machine项注册信息导出后,导入到那台电脑,结果就OK了。
----------------------------------------------------------------------------------------------------------------------------- 网络文件下载限制 限制文件下载速度(通过iis或下载限速工具控制) 资源下载 20480 20k 用工具可上80k以上 -----------------------------------------------------------------------------------------------------------------------------
启用系统自带防火墙 安装360arp防火墙 不需安装360提示的更新,应全部安装系统提示的更新。
-----------------------------------------------------------------------------------------------------------------------------
|