IIS6下ASP.NET站点的权限配置
作者:heero 来源:heero博客 时间:2010-06-26 13:12:00
以前我们学校的服务器经常中毒,而且基本上是一个网站中毒而牵连到其他的网站。这无非是服务器的权限配置没做好,让黑客们利用一个大权限用户把整台服务器都给黑了。
其实在NTFS格式的分区下,做权限配置非常简单。
为每个站点创建一个Windows用户,这个用户仅拥有站点所在目录及其子目录的读写权限。
把创建好的用户设为对应站点的匿名访问账户,访客就是以这个用户的身份访问网站的。
在这样的规则下,用户A只能操作站点A,用户B只能操作站点B。即使站点A中毒了,由于用户A没有操作站点B的权限,所以站点B不会受影响。
上个月买了VPS后,我也是用这个方法配置现在这个Blog,结果一运行就出错。错误信息的大概意思是无法读取web.config。我初步推断这是ASP.NET的进程用了另外一个用户读取站点中的文件,但由于没有权限而被拒绝访问了。折腾了一番后,终于搞清楚这跟应用程序池有关系。
应用程序池是将一个或多个应用程序链接到一个或多个工作进程的集合的配置。因为应用程序池中的应用程序与其他应用程序被工作进程边界分开,某个应用程序池中的应用程序不会受到其他应用程序池中应用程序所产生的问题的影响。
ASP.NET的站点其实是通过应用程序池的账户来运行的。默认情况下,应用程序池以“Network Service”身份进行操作,而站点目录并没有这个用户的操作权限。
接着,我把应用程序池的账户改成了站点的匿名访问帐号,结果还是出错。原来应用程序池的账户必须具有IIS_WPG组的权限,把匿名访问帐号设置成从属于改组就可以了。
这样设置以后,虽然安全性有所提升,但问题还是有的。原因在于,IIS_WPG组的权限也不小,其中就包括系统盘某些目录的访问权限。确实是没有最安全,只有更安全。欢迎有经验的朋友来指教。
标签:IIS6,配置,应用程序池
0
投稿
猜你喜欢
分享:影响网站收录排名的45个因素总结
2008-12-30 16:08:00
与SEO有关的内容质量
2007-09-13 18:31:00
阿里妈妈新政策 出自好意 却未必能被接受
2008-07-19 07:12:00
国内域名服务商遭DNS攻击事件始末
2010-01-21 10:05:00
百度被伊朗黑客攻陷
2010-01-12 13:42:00
一个80后女站长的故事
2007-09-21 14:26:00
GoDaddy:怎样把iTunes RSS 重新定位到另一位置 Godaddy
2010-04-13 12:40:00
金翎奖揭晓09年玩家最喜爱的十大网页游戏
2009-10-17 10:28:00
中国商业网址经验谈之网站评论体系
2009-02-03 08:42:00
Linux操作系统下配置DNS服务器的方法介绍
2010-01-16 18:42:00
PHPWIND中文验证码如何显示
2009-02-19 19:54:00
WordPress创始人访谈录
2008-03-26 13:14:00
防范黑客来自网上的攻击的几种方法
2008-11-11 12:14:00
分析师称上网本和Office将影响微软业绩
2009-10-24 13:55:00
GoDaddy:如何设置301重定向 Godaddy
2010-04-07 13:04:00
关于独立博客和门户博客的优缺点对比分析
2009-02-03 08:46:00
识别常见的Web应用安全漏洞
2008-04-15 11:18:00
站长策划网站 抓住四点不要放松
2009-03-02 18:04:00
如何让网站打开更快
2011-03-31 17:03:00
CMS你究竟还能走多远?
2009-03-06 12:58:00