|
制權(quán);Creator owner擁有特殊權(quán)限;Power users有完全控制權(quán);SYSTEM同Administrators;Users有讀&運(yùn)�����,列和讀權(quán)限�。而非系統(tǒng)卷下的所有目錄都將繼承其父目錄的權(quán)限���,也就是Everyone組完全控制權(quán)!
現(xiàn)在大家知道為什么我們剛剛在測試的時(shí)候能一帆風(fēng)順的取得管理員權(quán)限了吧?權(quán)限設(shè)置的太低了!一個(gè)人在訪問網(wǎng)站的時(shí)候���,將被自動(dòng)賦予IUSR用戶,它是隸屬于Guest組的�。本來權(quán)限不高,但是系統(tǒng)默認(rèn)給的Everyone組完全控制權(quán)卻讓它“身價(jià)倍增”��,到最后能得到Administrators了�����。
那么,怎樣設(shè)置權(quán)限給這臺(tái)WEB服務(wù)器才算是安全的呢?大家要牢記一句話:“最少的服務(wù)+最小的權(quán)限=最大的安全”對于服務(wù)���,不必要的話一定不要裝�,要知道服務(wù)的運(yùn)行是SYSTEM級的哦���,對于權(quán)限�,本著夠用就好的原則分配就是了�����。
對于WEB服務(wù)器�,就拿剛剛那臺(tái)服務(wù)器來說,我是這樣設(shè)置權(quán)限的��,大家可以參考一下:各個(gè)卷的根目錄��、Documents and settings以及Program files���,只給Administrator完全控制權(quán)�����,或者干脆直接把Program files給刪除掉;給系統(tǒng)卷的根目錄多加一個(gè)Everyone的讀��、寫權(quán);給e:\www目錄�,也就是網(wǎng)站目錄讀�、寫權(quán)。
最后���,還要把cmd.exe這個(gè)文件給挖出來�����,只給Administrator完全控制權(quán)�。經(jīng)過這樣的設(shè)置后�����,再想通過我剛剛的方法入侵這臺(tái)服務(wù)器就是不可能完成的任務(wù)了�。可能這時(shí)候又有讀者會(huì)問:“為什么要給系統(tǒng)卷的根目錄一個(gè)Everyone的讀��、寫權(quán)?網(wǎng)站中的ASP文件運(yùn)行不需要運(yùn)行權(quán)限嗎?”問的好�����,有深度�。是這樣的���,系統(tǒng)卷如果不給Everyone的讀、寫權(quán)的話�,啟動(dòng)計(jì)算機(jī)的時(shí)候,計(jì)算機(jī)會(huì)報(bào)錯(cuò)�,而且會(huì)提示虛擬內(nèi)存不足。
當(dāng)然這也有個(gè)前提----虛擬內(nèi)存是分配在系統(tǒng)盤的�,如果把虛擬內(nèi)存分配在其他卷上,那你就要給那個(gè)卷Everyone的讀�����、寫權(quán)�。ASP文件的運(yùn)行方式是在服務(wù)器上執(zhí)行,只把執(zhí)行的結(jié)果傳回最終用戶的瀏覽器����,這沒錯(cuò),但ASP文件不是系統(tǒng)意義上的可執(zhí)行文件���,它是由WEB服務(wù)的提供者----IIS來解釋執(zhí)行的�,所以它的執(zhí)行并不需要運(yùn)行的權(quán)限
深入了解權(quán)限背后的意義
經(jīng)過上面的講解以后�,你一定對權(quán)限有了一個(gè)初步了了解了吧?想更深入的了解權(quán)限,那么權(quán)限的一些特性你就不能不知道了����,權(quán)限是具有繼承性�、累加性 �����、優(yōu)先性��、交叉性的
�。
繼承性是說下級的目錄在沒有經(jīng)過重新設(shè)置之前��,是擁有上一級目錄權(quán)限設(shè)置的�����。這里還有一種情況要說明一下����,在分區(qū)內(nèi)復(fù)制目錄或文件的時(shí)候,復(fù)制過去的目錄和文件將擁有它現(xiàn)在所處位置的上一級目錄權(quán)限設(shè)置�����。但在分區(qū)內(nèi)移動(dòng)目錄或文件的時(shí)候��,移動(dòng)過去的目錄和文件將擁有它原先的權(quán)限設(shè)置。
累加是說如一個(gè)組GROUP1中有兩個(gè)用戶USER1�����、USER2�����,他們同時(shí)對某文件或目錄的訪問權(quán)限分別為“讀取”和“寫入”�����,那么組GROUP1對該文件或目錄的訪問權(quán)限就為USER1和USER2的訪問權(quán)限之和�,實(shí)際上是取其最大的那個(gè),即“讀取”+“寫入”=“寫入”�。 又如一個(gè)用戶USER1同屬于組GROUP1和GROUP2,而GROUP1對某一文件或目錄的訪問權(quán)限為“只讀”型的�����,而GROUP2對這一文件或文件夾的訪問權(quán)限為“完全控制”型的����,則用戶USER1對該文件或文件夾的訪問權(quán)限為兩個(gè)組權(quán)限累加所得,即:“只讀”+“完全控制”=“完全控制”。
優(yōu)先性�,權(quán)限的這一特性又包含兩種子特性,其一是文件的訪問權(quán)限優(yōu)先目錄的權(quán)限����,也就是說文件權(quán)限可以越過目錄的權(quán)限,不顧上一級文件夾的設(shè)置���。另一特性就是“拒絕”權(quán)限優(yōu)先其它權(quán)限����,也就是說“拒絕”權(quán)限可以越過其它所有其它權(quán)限�,一旦選擇了“拒絕”權(quán)限��,則其它權(quán)限也就不能取任何作用�,相當(dāng)于沒有設(shè)置。
交叉性是指當(dāng)同一文件夾在為某一用戶設(shè)置了共享權(quán)限的同時(shí)又為用戶設(shè)置了該文件夾的訪問權(quán)限����,且所設(shè)權(quán)限不一致時(shí),它的取舍原則是取兩個(gè)權(quán)限的交集�����,也即最嚴(yán)格、最小的那種權(quán)限��。如目錄A為用戶USER1設(shè)置的共享權(quán)限為“只讀”���,同時(shí)目錄A為用戶USER1設(shè)置的訪問權(quán)限為“完全控制”���,那用戶USER1的最終訪問權(quán)限為“只讀”。
權(quán)限設(shè)置的問題我就說到這了�����,在最后我還想給各位讀者提醒一下��,權(quán)限的設(shè)置必須在NTFS分區(qū)中才能實(shí)現(xiàn)的��,F(xiàn)AT32是不支持權(quán)限設(shè)置的����。同時(shí)還想給各位管理員們一些建議:
1.養(yǎng)成良好的習(xí)慣,給服務(wù)器硬盤分區(qū)的時(shí)候分類明確些��,在不使用服務(wù)器的時(shí)候?qū)⒎⻊?wù)器鎖定�,經(jīng)常更新各種補(bǔ)丁和升級
殺毒軟件。
2.設(shè)置足夠強(qiáng)度的密碼����,這是老生常談了����,但總有管理員設(shè)置弱密碼甚至空密碼���。
3.盡量不要把各種軟件安裝在默認(rèn)的路徑下
4.在英文水平不是問題的情況下��,盡量安裝英文版
操作系統(tǒng)�����。
5.切忌在服務(wù)器上亂裝軟件或不必要的服務(wù)���。
6.牢記:沒有永遠(yuǎn)安全的系統(tǒng)�,經(jīng)常更新你的知識(shí)。
億恩科技地址(ADD):鄭州市黃河路129號(hào)天一大廈608室 郵編(ZIP):450008 傳真(FAX):0371-60123888
聯(lián)系:億恩小凡
QQ:89317007
電話:0371-63322206
本文出自:億恩科技【mszdt.com】
服務(wù)器租用/服務(wù)器托管中國五強(qiáng)����!虛擬主機(jī)域名注冊頂級提供商!15年品質(zhì)保障����!--億恩科技[ENKJ.COM]
|
香港服務(wù)器租用
美國服務(wù)器租用
電信骨干機(jī)房
聯(lián)通骨干機(jī)房
0371-60135900
