备份数字证书
在WIN 2003服务器
|
[ 2007/04/21 22:46 | by 网络毛毛虫 ]
|
我这里说的windows 开的全能空间是指至少同时支持asp,PHP,.net的安全的虚拟主机空间!
大家都知道开设安全的ASP,PHP只需要同时给每个站点设置独立的GUEST组的匿名用户访问权限,然后在给其目录设置相应的权限,即可达到一定程度的安全,也能限制FSO的使用权限,这个方案应该是大多数服务器管理员常用的方法!也应该是目前所有虚拟主机常用的方法!
但是按照此方法开通支持ASP.NET的空间,则会出现NET程序无法运行的情况,因为NET使用的访问策略与其他脚本是不一样的,NET的访问需要有aspnet_wp.exe访问某ASP.net文件的权限! 一个目录如果具有 administrators组(完全),system组(完全) ,GUSET组某匿名用户(完全),这样的访问权限,aspnet_wp.exe当然是访问不到了.因为运行aspnet_wp.exe 的是USER组的成员,前面讲到的那个目录没有user组的访问权限,肯定是不行的!
这样很多朋友为了能使空间支持ASP.NET 就把空间的的访问权限又加上了一个USER组(读,运行),这样的权限! 这样能运行net程序是没问题的,(因为运行aspnet_wp.exe的用户就属于USER组)安全不安全咱们暂且不讨论,大家想一下现在aspnet_wp.exe目前只对这个目录具有(读,运行)的权限,并不包含写入和修改的权限,所以如果是asp.net的数据库网站是无法正常运行的,因为无法对数据库进行添加删除和修改!
话又说回来,其实这样也是不安全的,大家可以尝试从另外一个站点拿一个ASP木马,直接访问刚才设置的目录,看是不是能读取里面的文件!至于有的朋友给这个目录加USER组(完全)的权限,更是行不通的这样别人可以很轻易的拿个asp的FSO木马或者一个ASP.NET的IO木马跨目录对文件进行操作了!如果大家对自己的客户负责,对服务器的安全负责,我想这个办法是不好用的,也建议不要用的!
那么如何使空间运行ASP.NET呢!有的人说禁止net的io访问,其实我觉得这样就不能发挥NET作用了,很多人也不喜欢用这样的net虚拟主机了,如果干脆把服务器的net禁止了我想大多数人也是不愿意的!直接说一下我是怎么设置安全的NET的!
一:给每个需要支持net的站点开设独立的池,每个池上设置单独标识的属于IIS_WPG组的单独用户!
二:按照开asp空间的办法开设站点!1.新建属于GUEST组的用户,设置站点目录的权限,设置IIS匿名用户访问的权限!
三:设置网站的运行池为新建的池,设置网站目录的权限包含新建的IIS_WPG组的这个用户!
只有以上三步才可以在IIS6.0上开设最安全的net空间, 因为iis的池最一开始就是为net设计的! 使用上面的办法就能把net运行的权限独立开来,即使直接访问其他目录也会出现拒绝访问!因为运行net 需要的用户(iis_wpg)也就是iis进程组的用户已经独立开了!设置单独的池是已服务器的资源为代价的,但是这样能最大限度的安全运行asp.net程序!
我想也是值得的!但是这样的站点运行asp没任何问题,运行php的话就会出现 403 拒绝访问! 本人在以上面的办法为前提下设置了N种办法也是无法解决!
大家都知道开设安全的ASP,PHP只需要同时给每个站点设置独立的GUEST组的匿名用户访问权限,然后在给其目录设置相应的权限,即可达到一定程度的安全,也能限制FSO的使用权限,这个方案应该是大多数服务器管理员常用的方法!也应该是目前所有虚拟主机常用的方法!
但是按照此方法开通支持ASP.NET的空间,则会出现NET程序无法运行的情况,因为NET使用的访问策略与其他脚本是不一样的,NET的访问需要有aspnet_wp.exe访问某ASP.net文件的权限! 一个目录如果具有 administrators组(完全),system组(完全) ,GUSET组某匿名用户(完全),这样的访问权限,aspnet_wp.exe当然是访问不到了.因为运行aspnet_wp.exe 的是USER组的成员,前面讲到的那个目录没有user组的访问权限,肯定是不行的!
这样很多朋友为了能使空间支持ASP.NET 就把空间的的访问权限又加上了一个USER组(读,运行),这样的权限! 这样能运行net程序是没问题的,(因为运行aspnet_wp.exe的用户就属于USER组)安全不安全咱们暂且不讨论,大家想一下现在aspnet_wp.exe目前只对这个目录具有(读,运行)的权限,并不包含写入和修改的权限,所以如果是asp.net的数据库网站是无法正常运行的,因为无法对数据库进行添加删除和修改!
话又说回来,其实这样也是不安全的,大家可以尝试从另外一个站点拿一个ASP木马,直接访问刚才设置的目录,看是不是能读取里面的文件!至于有的朋友给这个目录加USER组(完全)的权限,更是行不通的这样别人可以很轻易的拿个asp的FSO木马或者一个ASP.NET的IO木马跨目录对文件进行操作了!如果大家对自己的客户负责,对服务器的安全负责,我想这个办法是不好用的,也建议不要用的!
那么如何使空间运行ASP.NET呢!有的人说禁止net的io访问,其实我觉得这样就不能发挥NET作用了,很多人也不喜欢用这样的net虚拟主机了,如果干脆把服务器的net禁止了我想大多数人也是不愿意的!直接说一下我是怎么设置安全的NET的!
一:给每个需要支持net的站点开设独立的池,每个池上设置单独标识的属于IIS_WPG组的单独用户!
二:按照开asp空间的办法开设站点!1.新建属于GUEST组的用户,设置站点目录的权限,设置IIS匿名用户访问的权限!
三:设置网站的运行池为新建的池,设置网站目录的权限包含新建的IIS_WPG组的这个用户!
只有以上三步才可以在IIS6.0上开设最安全的net空间, 因为iis的池最一开始就是为net设计的! 使用上面的办法就能把net运行的权限独立开来,即使直接访问其他目录也会出现拒绝访问!因为运行net 需要的用户(iis_wpg)也就是iis进程组的用户已经独立开了!设置单独的池是已服务器的资源为代价的,但是这样能最大限度的安全运行asp.net程序!
我想也是值得的!但是这样的站点运行asp没任何问题,运行php的话就会出现 403 拒绝访问! 本人在以上面的办法为前提下设置了N种办法也是无法解决!
运行php的话就会出现 403 拒绝访问
可能是因为php目录权限没有设对
有网友说:
1。简单的说,在网站目录里权限加个IIS_WPG和ASP.NET就行了。USERS是不可以加的
可能是因为php目录权限没有设对
有网友说:
1。简单的说,在网站目录里权限加个IIS_WPG和ASP.NET就行了。USERS是不可以加的
2。我是全能空间的 都是一个站点新建一个账号的 没有出现什么问题 使用你提供的文件也列举不出什么来
不过需要提醒的是,使用.net必须设置一个就是:为了能使asp.net程序正确运行(创建目录),赋予NETWORD SERVICE用户根目录“读取属性”权限,拒绝其他权限。
3。对于方法2,ASP.NET连ACCESS数据库写权限都没有了
虫虫平时的配置:
给的PHP目录权限:php目录users和service有读取那3个权限,admin和system有完全权限
不过需要提醒的是,使用.net必须设置一个就是:为了能使asp.net程序正确运行(创建目录),赋予NETWORD SERVICE用户根目录“读取属性”权限,拒绝其他权限。
3。对于方法2,ASP.NET连ACCESS数据库写权限都没有了
虫虫平时的配置:
给的PHP目录权限:php目录users和service有读取那3个权限,admin和system有完全权限
一个目录如果具有 administrators组(完全),system组(完全) ,GUSET组某匿名用户(完全),这样的访问权限,aspnet_wp.exe当然是访问不到了,我平时给目录service只给了读取权限,该匿名用户也只有读取权限。这样在恒控没有问题。
欢迎大家留言讨论。