能名网

站长网|站长网络|站长之家|站长站|站长资讯|网络资源|创业资讯|创业新闻|创业学院|创业平台|站长信息中心|软件开发|网站SEO|网站资源|网站优化|域名PR|网站权重|建站仿站|商标买卖|域名转让|软件下载|技术交流

 找回密码
 立即注册

QQ登录

只需一步,快速开始

lyidc
查看: 5919|回复: 3

[交流] vps中iis的权限设置

[复制链接]
  • TA的每日心情
    难过
    2021-9-8 04:03
  • 签到天数: 784 天

    [LV.10]以坛为家III

    发表于 2013-4-17 09:56:47 | 显示全部楼层 |阅读模式
    实速互联
    vps中iis的权限设置如何设置 Web 服务器的权限?如果Web服务器的权限没有设置好,那么网站就会出现漏洞并且很可能会出现被不怀好意的人黑掉的情况。我们不应该把这归咎于 IIS 的不安全。如果对站点的每个目录都配以正确的权限,出现漏洞被人黑掉的机会还是很小的(Web 应用程序本身有问题和通过其它方式入侵黑掉服务器的除外)。下面是我在配置过程中总结的一些经验,希望对大家有所帮助。
    IIS Web 服务器的权限设置有两个地方,一个是 NTFS 文件系统本身的权限设置,另一个是 IIS 下网站->站点->属性->主目录(或站点下目录->属性->目录)面板上。这两个地方是密切相关的。下面以实例的方式来讲解如何设置权限。
    IIS 下网站->站点->属性->主目录(或站点下目录->属性->目录)面板上有:
    脚本资源访问
    读取
    写入
    浏览
    记录访问
    索引资源
    6 个选项。这 6 个选项中,“记录访问”和“索引资源”跟安全性关系不大,一般都设置。但是如果前面四个权限都没有设置的话,这两个权限也没有必要设置。在设置权限时,记住这个规则即可,后面的例子中不再特别说明这两个权限的设置。
    另外在这 6 个选项下面的执行权限下拉列表中还有:

    纯脚本
    纯脚本和可执行
    而网站目录如果在 NTFS 分区(推荐用这种)的话,还需要对 NTFS 分区上的这个目录设置相应权限,许多地方都介绍设置 everyone 的权限,实际上这是不好的,其实只要设置好 Internet 来宾帐号(IUSR_xxxxxxx)或 IIS_WPG 组的帐号权限就可以了。如果是设置 ASP、PHP 程序的目录权限,那么设置 Internet 来宾帐号的权限,而对于 ASP.NET 程序,则需要设置 IIS_WPG 组的帐号权限。在后面提到 NTFS 权限设置时会明确指出,没有明确指出的都是指设置 IIS 属性面板上的权限。
    例1 —— ASP、PHP、ASP.NET 程序所在目录的权限设置:
    如果这些程序是要执行的,那么需要设置“读取”权限,并且设置执行权限为“纯脚本”。不要设置“写入”和“脚本资源访问”,更不要设置执行权限为“纯脚本和可执行程序”。NTFS 权限中不要给 IIS_WPG 用户组和 Internet 来宾帐号设置写和修改权限。如果有一些特殊的配置文件(而且配置文件本身也是 ASP、PHP 程序),则需要给这些特定的文件配置 NTFS 权限中的 Internet 来宾帐号(ASP.NET 程序是 IIS_WPG 组)的写权限,而不要配置 IIS 属性面板中的“写入”权限。
    IIS 面板中的“写入”权限实际上是对 HTTP PUT 指令的处理,对于普通网站,一般情况下这个权限是不打开的。
    IIS 面板中的“脚本资源访问”不是指可以执行脚本的权限,而是指可以访问源代码的权限,如果同时又打开“写入”权限的话,那么就非常危险了。
    执行权限中“纯脚本和可执行程序”权限可以执行任意程序,包括 exe 可执行程序,如果目录同时有“写入”权限的话,那么就很容易被人上传并执行木马程序了。
    对于 ASP.NET 程序的目录,许多人喜欢在文件系统中设置成 Web 共享,实际上这是没有必要的。只需要在 IIS 中保证该目录为一个应用程序即可。如果所在目录在 IIS 中不是一个应用程序目录,只需要在其属性->目录面板中应用程序设置部分点创建就可以了。Web 共享会给其更多权限,可能会造成不安全因素。
    总结: 也就是说一般不要打开-主目录-(写入),(脚本资源访问) 这两项以及不要选上(纯脚本和可执行程序),选(纯脚本)就可以了.需要asp.net的应用程序的如果应用程序目录不止应用程序一个程序的可以在应用程序文件夹上(属性)-目录-点创建就可以了.不要在文件夹上选web共享.
    例2 —— 上传目录的权限设置:
    用户的网站上可能会设置一个或几个目录允许上传文件,上传的方式一般是通过 ASP、PHP、ASP.NET 等程序来完成。这时需要注意,一定要将上传目录的执行权限设为“无”,这样即使上传了 ASP、PHP 等脚本程序或者 exe 程序,也不会在用户浏览器里就触发执行。
    同样,如果不需要用户用 PUT 指令上传,那么不要打开该上传目录的“写入”权限。而应该设置 NTFS 权限中的 Internet 来宾帐号(ASP.NET 程序的上传目录是 IIS_WPG 组)的写权限。
    如果下载时,是通过程序读取文件内容然后再转发给用户的话,那么连“读取”权限也不要设置。这样可以保证用户上传的文件只能被程序中已授权的用户所下载。而不是知道文件存放目录的用户所下载。“浏览”权限也不要打开,除非你就是希望用户可以浏览你的上传目录,并可以选择自己想要下载的东西。
    总结: 一般的一些asp.php等程序都有一个上传目录.比如论坛.他们继承了上面的属性可以运行脚本的.我们应该将这些目录从新设置一下属性.将(纯脚本)改成(无).
    例3 —— Access 数据库所在目录的权限设置:
    许多 IIS 用户常常采用将 Access 数据库改名(改为 asp 或者 aspx 后缀等)或者放在发布目录之外的方法来避免浏览者下载它们的 Access 数据库。而实际上,这是不必要的。其实只需要将 Access 所在目录(或者该文件)的“读取”、“写入”权限都去掉就可以防止被人下载或篡改了。你不必担心这样你的程序会无法读取和写入你的 Access 数据库。你的程序需要的是 NTFS 上 Internet 来宾帐号或 IIS_WPG 组帐号的权限,你只要将这些用户的权限设置为可读可写就完全可以保证你的程序能够正确运行了。
    总结: Internet 来宾帐号或 IIS_WPG 组帐号的权限可读可写.那么Access所在目录(或者该文件)的“读取”、“写入”权限都去掉就可以防止被人下载或篡改了
    例4 —— 其它目录的权限设置:
    你的网站下可能还有纯图片目录、纯 html 模版目录、纯客户端 js 文件目录或者样式表目录等,这些目录只需要设置“读取”权限即可,执行权限设成“无”即可。其它权限一概不需要设置。上面的几个例子已经包含了大部分情况下的权限设置,只要掌握了设置的基本原理,也就很容易地完成能其它情况下的权限设置。
    感谢支持站长中国www.admincn.net源码下载和实速互联www.lyidc.com空间域名VPS主机服务器企业邮局,我们产品全线优惠香港云VPS1G内存30G硬盘999元域名注册COM50CN30购买空间帮忙备案更多优惠咨询QQ351576338,专业建站、仿站、网站维护价格面议保证质量。
    回复

    使用道具 举报

    该用户从未签到

    发表于 2018-11-7 18:54:16 | 显示全部楼层
    实速互联
    楼主的等级很高啊!
    感谢支持站长中国www.admincn.net源码下载和实速互联www.lyidc.com空间域名VPS主机服务器企业邮局,我们产品全线优惠香港云VPS1G内存30G硬盘999元域名注册COM50CN30购买空间帮忙备案更多优惠咨询QQ351576338,专业建站、仿站、网站维护价格面议保证质量。
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2018-11-8 22:12:46 | 显示全部楼层
    实速互联
    信楼主,得永生!
    感谢支持站长中国www.admincn.net源码下载和实速互联www.lyidc.com空间域名VPS主机服务器企业邮局,我们产品全线优惠香港云VPS1G内存30G硬盘999元域名注册COM50CN30购买空间帮忙备案更多优惠咨询QQ351576338,专业建站、仿站、网站维护价格面议保证质量。
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2018-11-10 11:02:57 | 显示全部楼层
    实速互联
    这么好的帖子,应该加精华!
    感谢支持站长中国www.admincn.net源码下载和实速互联www.lyidc.com空间域名VPS主机服务器企业邮局,我们产品全线优惠香港云VPS1G内存30G硬盘999元域名注册COM50CN30购买空间帮忙备案更多优惠咨询QQ351576338,专业建站、仿站、网站维护价格面议保证质量。
    回复 支持 反对

    使用道具 举报

    您需要登录后才可以回帖 登录 | 立即注册

    本版积分规则

    关闭

    站长推荐上一条 /1 下一条

    站长网adminzg.com源码社区-免责声明
    01、本站所有资源均来源网络或程序作者提供和网友推荐收集整理而来,仅供学习和研究使用,我们不参与任何软件的制作及传播,如有侵犯你的版权,请联系管理员及时删除
    02、访问本站的用户必须明白,本站对下载资源不拥有任何权利,其版权归该软件、资源的拥有者所有。我们亦不为此承担任何法律责任。
    03、本站不保证资源的准确性、安全性和完整性;下载后请自行检查是否带有病毒,同时本站也不承担用户因使用这些下载资源对自己和他(她)人造成任何形式的损失或伤害。
    04、用户基于自愿的原则使用,本站仅提供用户之间技术交流的媒介,不对资源软件开发者及其所拥有网站或论坛上发布的内容负任何法律责任。用户应主动了解并自觉遵守所在国家或地区的法律法规。用户只要进入本站即被视为已经阅读、理解并同意本协议的各项条款。
    05、任何人未经本站的明确许可,任何人不得盗链本站资源;不得复制或仿造本站或者在非本站所属的服务器上建立镜像

    联系QQ
    点击这里给我发消息(站长网) ※ QQ群1:247310935 ※ Q群2:114585073 ※ 热线:
    站长中国

    lyidc

    QQ|申请友链||Archiver|手机版|小黑屋|站长网 ( 闽ICP备18022661号-6 )|赞助我们

    GMT+8, 2022-9-26 03:52 , Processed in 0.118333 second(s), 23 queries .

    Powered by Discuz! X3.4

    © 2001-2017 Comsenz Inc.

    快速回复 返回顶部 返回列表