好高興啊~~ 研究了估計有4天,把asp程序運行,最安全的服務器權限配置出來了.
這裡所說的是只能為asp程序運行的權限配置,php,jsp還沒有研究,不過估計大同小異罷了。
關於運行asp服務器安全權限配置清單:
所有的盤都先設為administrators組,如果你害怕有別的人提升管理員了,你就設成自己的管理員吧,比如administrator或者your name.
C:--->administraotors組
C:Program FilesCommon Files--->administrators組+everyone(為讀取及運行,列出文件夾目錄,讀取)
C:winntsystem32inetsrv--->administrators組+everyone(為讀取及運行,列出文件夾目錄,讀取)
C:winnttemp--->administrators組+IUSR_MACHINE(為讀取,寫入) 因為程序需要像temp寫入,還有其它的,不過出錯可以用guests組
關於系統盤可以如上配置,因為經過N次測試,如果不這樣的話,會出現500錯誤,或者訪問頁面會讓你輸入管理員帳號和密碼(這樣的情況,我是把上面的everyone換成了IWAM_MACHINE帳號,並且權限為完全還讓輸入,不理解)
網站清單:
D:--->administrators組
D:web--->administrators組+IUSR_MACHINE(讀取,寫入) 也可換成guests,不推薦,這裡如果是自己的服務器的話,只讓數據庫有寫入,其它為讀取,如果是給別人提供空間的話,那就算了:)
分析:
關於系統盤這樣做,就算common和system32被人訪問,列出目錄,但他沒有寫入權限,不能上傳,所以不能運行自己的程序,反過來,他能運行system32的程序能干什麼呢?如果要變態的話,再把那些程序設成你要的權限,嘿嘿。。。。。下一個是temp文件夾,只有讀取和寫入,想一想,如果他上傳了程序在這下面,他不能運行,又能干什麼呢?做為一個服務器的優秀的管理員,我想他應該會定期清除temp的文件吧,這點毫無疑問。
關於web目錄,只有讀和寫,讀為浏覽,寫為寫入(說白了,就是發貼子),沒有運行權限,上傳的溢出工具,當然會出錯URL錯誤或其它,呵呵。還是上面說的,這裡如果是自己的服務器的話,只讓數據庫有寫入,其它為讀取,如果是給別人提供空間的話,那就算了:)
好了,早上終於弄完了,變態?也就這樣了,嘿嘿~~
