1、服務(wù)器安全設(shè)置之--硬盤權(quán)限篇
這里著重談需要的權(quán)限,也就是最終文件夾或硬盤需要的權(quán)限,可以防御各種木馬入侵,提權(quán)攻擊,跨站攻擊等。本實(shí)例經(jīng)過多次試驗(yàn),安全性能很好,服務(wù)器基本沒有被木馬威脅的擔(dān)憂了。硬盤或文件夾: C:/ D:/ E:/ F:/ 類推 主要權(quán)限部分:其他權(quán)限部分:Administrators完全控制無
如果安裝了其他運(yùn)行環(huán)境,比如PHP等,則根據(jù)PHP的環(huán)境功能要求來設(shè)置硬盤權(quán)限,一般是安裝目錄加上users讀取運(yùn)行權(quán)限就足夠了,比如c:/php的話,就在根目錄權(quán)限繼承的情況下加上users讀取運(yùn)行權(quán)限,需要寫入數(shù)據(jù)的比如tmp文件夾,則把users的寫刪權(quán)限加上,運(yùn)行權(quán)限不要,然后把虛擬主機(jī)用戶的讀權(quán)限拒絕即可。如果是mysql的話,用一個(gè)獨(dú)立用戶運(yùn)行MYSQL會更安全,下面會有介紹。如果是winwebmail,則最好建立獨(dú)立的應(yīng)用程序池和獨(dú)立IIS用戶,然后整個(gè)安裝目錄有users用戶的讀/運(yùn)行/寫/權(quán)限,IIS用戶則相同,這個(gè)IIS用戶就只用在winwebmail的WEB訪問中,其他IIS站點(diǎn)切勿使用,安裝了winwebmail的服務(wù)器硬盤權(quán)限設(shè)置后面舉例該文件夾,子文件夾及文件 <不是繼承的>CREATOR OWNER完全控制只有子文件夾及文件<不是繼承的>SYSTEM完全控制該文件夾,子文件夾及文件<不是繼承的>硬盤或文件夾: C:/Inetpub/ 主要權(quán)限部分:其他權(quán)限部分:Administrators完全控制無該文件夾,子文件夾及文件 <繼承于c:/>CREATOR OWNER完全控制只有子文件夾及文件<繼承于c:/>SYSTEM完全控制該文件夾,子文件夾及文件<繼承于c:/>硬盤或文件夾: C:/Inetpub/AdminScripts 主要權(quán)限部分:其他權(quán)限部分:Administrators完全控制無該文件夾,子文件夾及文件 <不是繼承的>SYSTEM完全控制該文件夾,子文件夾及文件<不是繼承的>硬盤或文件夾: C:/Inetpub/wwwroot 主要權(quán)限部分:其他權(quán)限部分:Administrators完全控制IIS_WPG讀取運(yùn)行/列出文件夾目錄/讀取該文件夾,子文件夾及文件該文件夾,子文件夾及文件 <不是繼承的><不是繼承的>SYSTEM完全控制Users讀取運(yùn)行/列出文件夾目錄/讀取該文件夾,子文件夾及文件該文件夾,子文件夾及文件<不是繼承的><不是繼承的>這里可以把虛擬主機(jī)用戶組加上同Internet 來賓帳戶一樣的權(quán)限拒絕權(quán)限Internet 來賓帳戶創(chuàng)建文件/寫入數(shù)據(jù)/:拒絕創(chuàng)建文件夾/附加數(shù)據(jù)/:拒絕 寫入屬性/:拒絕寫入擴(kuò)展屬性/:拒絕 刪除子文件夾及文件/:拒絕刪除/:拒絕該文件夾,子文件夾及文件<不是繼承的>硬盤或文件夾: C:/Inetpub/wwwroot/aspnet_client 主要權(quán)限部分:其他權(quán)限部分:Administrators完全控制Users讀取該文件夾,子文件夾及文件該文件夾,子文件夾及文件 <不是繼承的><不是繼承的>SYSTEM完全控制 該文件夾,子文件夾及文件<不是繼承的>硬盤或文件夾: C:/Documents and Settings 主要權(quán)限部分:其他權(quán)限部分:Administrators完全控制無該文件夾,子文件夾及文件 <不是繼承的>SYSTEM完全控制該文件夾,子文件夾及文件<不是繼承的>硬盤或文件夾: C:/Documents and Settings/All Users 主要權(quán)限部分:其他權(quán)限部分:Administrators完全控制Users讀取和運(yùn)行該文件夾,子文件夾及文件該文件夾,子文件夾及文件 <不是繼承的><不是繼承的>SYSTEM完全控制USERS組的權(quán)限僅僅限制于讀取和運(yùn)行,絕對不能加上寫入權(quán)限該文件夾,子文件夾及文件<不是繼承的>新聞熱點(diǎn)
疑難解答
圖片精選
