服務(wù)器網(wǎng)站分離 給每個(gè)IIS站點(diǎn)建立一個(gè)用戶
一、這樣配置的好處?
不知大家有沒有聽過旁注?我簡單的解釋一下吧:有個(gè)人想黑掉A站點(diǎn),但找來找去都沒發(fā)現(xiàn)可利用的漏洞,無意中他發(fā)現(xiàn)與A同服務(wù)器上還有個(gè)B站點(diǎn),并且在B站點(diǎn)上找到了可利用的漏洞,于是他將木馬從B站中上傳至服務(wù)器,如果服務(wù)器權(quán)限配置不當(dāng),那么現(xiàn)在他就可以黑掉服務(wù)器上的所有站點(diǎn)了!如果我們?yōu)槊總(gè)站點(diǎn)都建立一個(gè)用戶,并設(shè)置該用戶只有訪問本站點(diǎn)的權(quán)限,那么就能將訪問權(quán)限控制在每個(gè)站點(diǎn)文件夾內(nèi),旁注問題也就解決了。
二、準(zhǔn)備工作
Win2K 服務(wù)器版 + IIS 5.0
各分區(qū)文件系統(tǒng)為NTFS
E盤下建立兩個(gè)文件夾web001和web002
IIS中新建兩個(gè)站點(diǎn)web001和web002,站點(diǎn)文件夾分別為E:\web001和E:\web002,都指定IP為192.168.0.146,端口分別為101和102
OK,在IE中分別輸入http://192.168.0.146:101和http://192.168.0.146:102測試兩站點(diǎn)是否建立成功。
三、配置過程
新建一用戶組webs,以后所有站點(diǎn)用戶全部隸屬于該組,以便于權(quán)限分配。
建立用戶web01,注意要鉤選"密碼永不過期"(否則背后會出現(xiàn)"HTTP 401.1 - 未授權(quán):登錄失敗"),并設(shè)置其只隸屬于webs用戶組。同樣在建一個(gè)用戶web02。
打開各分區(qū)的安全選項(xiàng)卡依次給各分區(qū)授于administrator和system完全控制權(quán)限,并設(shè)置webs組完全拒絕權(quán)限。
打開E:\web01文件夾屬性窗口,選擇安全選項(xiàng)卡,先去掉"允許將來自父系的可繼承權(quán)限傳播給該對象"前的鉤,經(jīng)彈出的對話框中選擇刪除繼承權(quán)限。
最終確保administrator、system和web01對該文件夾都有完全控制權(quán)限。
E:\web02文件夾也一樣設(shè)置。
在IIS中打開web01站點(diǎn)屬性,選擇目錄安全性→匿名訪問和驗(yàn)證控制→編輯,去掉"集成Windows驗(yàn)證"前的鉤,再編輯匿名訪問使用的帳號,設(shè)置匿名訪問帳號為web01(web02站點(diǎn)也一樣設(shè)置)。
四、測試
將老兵寫的站長助手放至web02站點(diǎn)中進(jìn)行測試,經(jīng)測試除站點(diǎn)文件可以瀏覽外,其他分區(qū)均不能訪問:)
新文章:
- CentOS7下圖形配置網(wǎng)絡(luò)的方法
- CentOS 7如何添加刪除用戶
- 如何解決centos7雙系統(tǒng)后丟失windows啟動項(xiàng)
- CentOS單網(wǎng)卡如何批量添加不同IP段
- CentOS下iconv命令的介紹
- Centos7 SSH密鑰登陸及密碼密鑰雙重驗(yàn)證詳解
- CentOS 7.1添加刪除用戶的方法
- CentOS查找/掃描局域網(wǎng)打印機(jī)IP講解
- CentOS7使用hostapd實(shí)現(xiàn)無AP模式的詳解
- su命令不能切換root的解決方法
- 解決VMware下CentOS7網(wǎng)絡(luò)重啟出錯(cuò)
- 解決Centos7雙系統(tǒng)后丟失windows啟動項(xiàng)
- CentOS下如何避免文件覆蓋
- CentOS7和CentOS6系統(tǒng)有什么不同呢
- Centos 6.6默認(rèn)iptable規(guī)則詳解