|
制權(quán);Creator owner擁有特殊權(quán)限;Power users有完全控制權(quán);SYSTEM同Administrators;Users有讀&運(yùn),列和讀權(quán)限��。而非系統(tǒng)卷下的所有目錄都將繼承其父目錄的權(quán)限�,也就是Everyone組完全控制權(quán)!
現(xiàn)在大家知道為什么我們剛剛在測(cè)試的時(shí)候能一帆風(fēng)順的取得管理員權(quán)限了吧?權(quán)限設(shè)置的太低了!一個(gè)人在訪問網(wǎng)站的時(shí)候,將被自動(dòng)賦予IUSR用戶�,它是隸屬于Guest組的。本來權(quán)限不高�,但是系統(tǒng)默認(rèn)給的Everyone組完全控制權(quán)卻讓它“身價(jià)倍增”,到最后能得到Administrators了����。
那么����,怎樣設(shè)置權(quán)限給這臺(tái)WEB服務(wù)器才算是安全的呢?大家要牢記一句話:“最少的服務(wù)+最小的權(quán)限=最大的安全”對(duì)于服務(wù),不必要的話一定不要裝��,要知道服務(wù)的運(yùn)行是SYSTEM級(jí)的哦�,對(duì)于權(quán)限,本著夠用就好的原則分配就是了�����。
對(duì)于WEB服務(wù)器,就拿剛剛那臺(tái)服務(wù)器來說����,我是這樣設(shè)置權(quán)限的,大家可以參考一下:各個(gè)卷的根目錄��、Documents and settings以及Program files����,只給Administrator完全控制權(quán),或者干脆直接把Program files給刪除掉;給系統(tǒng)卷的根目錄多加一個(gè)Everyone的讀��、寫權(quán);給e:\www目錄���,也就是網(wǎng)站目錄讀�����、寫權(quán)����。
最后�,還要把cmd.exe這個(gè)文件給挖出來,只給Administrator完全控制權(quán)。經(jīng)過這樣的設(shè)置后�����,再想通過我剛剛的方法入侵這臺(tái)服務(wù)器就是不可能完成的任務(wù)了�������?赡苓@時(shí)候又有讀者會(huì)問:“為什么要給系統(tǒng)卷的根目錄一個(gè)Everyone的讀�、寫權(quán)?網(wǎng)站中的ASP文件運(yùn)行不需要運(yùn)行權(quán)限嗎?”問的好,有深度����。是這樣的,系統(tǒng)卷如果不給Everyone的讀�、寫權(quán)的話��,啟動(dòng)計(jì)算機(jī)的時(shí)候���,計(jì)算機(jī)會(huì)報(bào)錯(cuò)�,而且會(huì)提示虛擬內(nèi)存不足���。
當(dāng)然這也有個(gè)前提----虛擬內(nèi)存是分配在系統(tǒng)盤的��,如果把虛擬內(nèi)存分配在其他卷上�,那你就要給那個(gè)卷Everyone的讀、寫權(quán)�����。ASP文件的運(yùn)行方式是在服務(wù)器上執(zhí)行�����,只把執(zhí)行的結(jié)果傳回最終用戶的瀏覽器����,這沒錯(cuò),但ASP文件不是系統(tǒng)意義上的可執(zhí)行文件�����,它是由WEB服務(wù)的提供者----IIS來解釋執(zhí)行的���,所以它的執(zhí)行并不需要運(yùn)行的權(quán)限
深入了解權(quán)限背后的意義
經(jīng)過上面的講解以后��,你一定對(duì)權(quán)限有了一個(gè)初步了了解了吧?想更深入的了解權(quán)限��,那么權(quán)限的一些特性你就不能不知道了�����,權(quán)限是具有繼承性���、累加性 ���、優(yōu)先性、交叉性的
����。
繼承性是說下級(jí)的目錄在沒有經(jīng)過重新設(shè)置之前,是擁有上一級(jí)目錄權(quán)限設(shè)置的�����。這里還有一種情況要說明一下����,在分區(qū)內(nèi)復(fù)制目錄或文件的時(shí)候�,復(fù)制過去的目錄和文件將擁有它現(xiàn)在所處位置的上一級(jí)目錄權(quán)限設(shè)置。但在分區(qū)內(nèi)移動(dòng)目錄或文件的時(shí)候��,移動(dòng)過去的目錄和文件將擁有它原先的權(quán)限設(shè)置。
累加是說如一個(gè)組GROUP1中有兩個(gè)用戶USER1��、USER2���,他們同時(shí)對(duì)某文件或目錄的訪問權(quán)限分別為“讀取”和“寫入”��,那么組GROUP1對(duì)該文件或目錄的訪問權(quán)限就為USER1和USER2的訪問權(quán)限之和���,實(shí)際上是取其最大的那個(gè),即“讀取”+“寫入”=“寫入”�����。 又如一個(gè)用戶USER1同屬于組GROUP1和GROUP2�,而GROUP1對(duì)某一文件或目錄的訪問權(quán)限為“只讀”型的,而GROUP2對(duì)這一文件或文件夾的訪問權(quán)限為“完全控制”型的����,則用戶USER1對(duì)該文件或文件夾的訪問權(quán)限為兩個(gè)組權(quán)限累加所得,即:“只讀”+“完全控制”=“完全控制”��。
優(yōu)先性����,權(quán)限的這一特性又包含兩種子特性����,其一是文件的訪問權(quán)限優(yōu)先目錄的權(quán)限���,也就是說文件權(quán)限可以越過目錄的權(quán)限�,不顧上一級(jí)文件夾的設(shè)置�����。另一特性就是“拒絕”權(quán)限優(yōu)先其它權(quán)限�,也就是說“拒絕”權(quán)限可以越過其它所有其它權(quán)限,一旦選擇了“拒絕”權(quán)限�,則其它權(quán)限也就不能取任何作用,相當(dāng)于沒有設(shè)置�。
交叉性是指當(dāng)同一文件夾在為某一用戶設(shè)置了共享權(quán)限的同時(shí)又為用戶設(shè)置了該文件夾的訪問權(quán)限,且所設(shè)權(quán)限不一致時(shí)�,它的取舍原則是取兩個(gè)權(quán)限的交集,也即最嚴(yán)格���、最小的那種權(quán)限�����。如目錄A為用戶USER1設(shè)置的共享權(quán)限為“只讀”��,同時(shí)目錄A為用戶USER1設(shè)置的訪問權(quán)限為“完全控制”���,那用戶USER1的最終訪問權(quán)限為“只讀”。
權(quán)限設(shè)置的問題我就說到這了���,在最后我還想給各位讀者提醒一下�,權(quán)限的設(shè)置必須在NTFS分區(qū)中才能實(shí)現(xiàn)的����,F(xiàn)AT32是不支持權(quán)限設(shè)置的。同時(shí)還想給各位管理員們一些建議:
1.養(yǎng)成良好的習(xí)慣��,給服務(wù)器硬盤分區(qū)的時(shí)候分類明確些�����,在不使用服務(wù)器的時(shí)候?qū)⒎⻊?wù)器鎖定��,經(jīng)常更新各種補(bǔ)丁和升級(jí)
殺毒軟件�。
2.設(shè)置足夠強(qiáng)度的密碼,這是老生常談了�����,但總有管理員設(shè)置弱密碼甚至空密碼。
3.盡量不要把各種軟件安裝在默認(rèn)的路徑下
4.在英文水平不是問題的情況下����,盡量安裝英文版
操作系統(tǒng)。
5.切忌在服務(wù)器上亂裝軟件或不必要的服務(wù)���。
6.牢記:沒有永遠(yuǎn)安全的系統(tǒng)�,經(jīng)常更新你的知識(shí)���。
億恩科技地址(ADD):鄭州市黃河路129號(hào)天一大廈608室 郵編(ZIP):450008 傳真(FAX):0371-60123888
聯(lián)系:億恩小凡
QQ:89317007
電話:0371-63322206
本文出自:億恩科技【mszdt.com】
服務(wù)器租用/服務(wù)器托管中國(guó)五強(qiáng)�����!虛擬主機(jī)域名注冊(cè)頂級(jí)提供商�!15年品質(zhì)保障�����!--億恩科技[ENKJ.COM]
|
香港服務(wù)器租用
美國(guó)服務(wù)器租用
電信骨干機(jī)房
聯(lián)通骨干機(jī)房
0371-60135900
