http://www.zhenghe.biz/index.php zh-cn http://www.zhenghe.biz/read.php/.htm 网络毛毛虫 <admin@yourname.com> Sat, 21 Apr 2007 14:46:11 +0000 http://www.zhenghe.biz/read.php/.htm 我这里说的windows 开的全能空间是指至少同时支持asp,PHP,.net的安全的虚拟主机空间!

大家都知道开设安全的ASP,PHP只需要同时给每个站点设置独立的GUEST组的匿名用户访问权限,然后在给其目录设置相应的权限,即可达到一定程度的安全,也能限制FSO的使用权限,这个方案应该是大多数服务器管理员常用的方法!也应该是目前所有虚拟主机常用的方法！

但是按照此方法开通支持ASP.NET的空间，则会出现NET程序无法运行的情况，因为NET使用的访问策略与其他脚本是不一样的，NET的访问需要有aspnet_wp.exe访问某ASP.net文件的权限！ 一个目录如果具有 administrators组（完全），system组(完全) ，GUSET组某匿名用户(完全)，这样的访问权限，aspnet_wp.exe当然是访问不到了.因为运行aspnet_wp.exe 的是USER组的成员，前面讲到的那个目录没有user组的访问权限,肯定是不行的！

这样很多朋友为了能使空间支持ASP.NET 就把空间的的访问权限又加上了一个USER组(读，运行),这样的权限！　　这样能运行net程序是没问题的，（因为运行aspnet_wp.exe的用户就属于USER组）安全不安全咱们暂且不讨论，大家想一下现在aspnet_wp.exe目前只对这个目录具有（读,运行）的权限，并不包含写入和修改的权限，所以如果是asp.net的数据库网站是无法正常运行的,因为无法对数据库进行添加删除和修改！

话又说回来，其实这样也是不安全的，大家可以尝试从另外一个站点拿一个ＡＳＰ木马，直接访问刚才设置的目录，看是不是能读取里面的文件！至于有的朋友给这个目录加USER组(完全)的权限，更是行不通的这样别人可以很轻易的拿个asp的ＦＳO木马或者一个ASP.NET的IO木马跨目录对文件进行操作了！如果大家对自己的客户负责，对服务器的安全负责，我想这个办法是不好用的，也建议不要用的！

那么如何使空间运行ASP.NET呢！有的人说禁止net的io访问，其实我觉得这样就不能发挥ＮＥＴ作用了，很多人也不喜欢用这样的net虚拟主机了，如果干脆把服务器的net禁止了我想大多数人也是不愿意的！直接说一下我是怎么设置安全的NET的！

一:给每个需要支持net的站点开设独立的池，每个池上设置单独标识的属于IIS_WPG组的单独用户！
二:按照开asp空间的办法开设站点！1.新建属于GUEST组的用户,设置站点目录的权限，设置IIS匿名用户访问的权限！
三：设置网站的运行池为新建的池，设置网站目录的权限包含新建的IIS_WPG组的这个用户!

只有以上三步才可以在IIS6.0上开设最安全的net空间，　因为iis的池最一开始就是为net设计的！　使用上面的办法就能把net运行的权限独立开来，即使直接访问其他目录也会出现拒绝访问！因为运行net 需要的用户（iis_wpg）也就是iis进程组的用户已经独立开了!设置单独的池是已服务器的资源为代价的，但是这样能最大限度的安全运行asp.net程序！　

我想也是值得的！但是这样的站点运行asp没任何问题，运行php的话就会出现　403　拒绝访问！　本人在以上面的办法为前提下设置了N种办法也是无法解决！

运行php的话就会出现　403　拒绝访问
可能是因为php目录权限没有设对

有网友说：
1。简单的说，在网站目录里权限加个IIS_WPG和ASP.NET就行了。USERS是不可以加的

2。我是全能空间的 都是一个站点新建一个账号的 没有出现什么问题 使用你提供的文件也列举不出什么来
不过需要提醒的是，使用.net必须设置一个就是：为了能使asp.net程序正确运行（创建目录），赋予NETWORD SERVICE用户根目录“读取属性”权限，拒绝其他权限。
3。对于方法2，ASP.NET连ACCESS数据库写权限都没有了

虫虫平时的配置：
给的PHP目录权限：php目录users和service有读取那3个权限，admin和system有完全权限

一个目录如果具有 administrators组（完全），system组(完全) ，GUSET组某匿名用户(完全)，这样的访问权限，aspnet_wp.exe当然是访问不到了，我平时给目录service只给了读取权限，该匿名用户也只有读取权限。这样在恒控没有问题。

欢迎大家留言讨论。

Tags - windows , 环境配置 , 全能空间 , php , asp , asp.net , iis , 权限配置 , 安全配置 , 虚拟主机 ]]> http://www.zhenghe.biz/read.php/.htm#blogcomment <user@domain.com> Thu, 01 Jan 1970 00:00:00 +0000 http://www.zhenghe.biz/read.php/.htm#blogcomment