终结Webshell 加固web服务器(2)
作者:甘肃老五 来源:IT专家网 发布时间:2008-07-29 10:29:00
四、综合设置(针对虚拟主机)
说明:FileSystemObject(FS0)这个组件为 ASP 提供了强大的文件系统访问能力,可以对服务器硬盘上的任何文件进行读、写、复制、删除、改名等操作,但是禁止此组件后,引起的后果就是所有利用这个组件的ASP将无法运行,无法满足我们的需求。如何既允许FileSystemObject组件,又不影响服务器的安全性呢?
1、目录权限设置。
在服务器上打开资源管理器,用鼠标右键点击各个硬盘分区或卷的盘符,在弹出菜单中选择“属性”,选择“安全”选项卡,此时就可以看到有哪些帐号可以访问这个分区(卷)及访问权限。默认安装后,出现的是“Everyone”具有完全控制的权限。点“添加”,将“Administrators”、“Backup Operators”、“Power Users”、“Users”等几个组添加进去,并给予“完全控制”或相应的权限,注意,不要给“Guests”组、“IUSR_机器名”这几个帐号任何权限。然后将“Everyone”组从列表中删除,这样,就只有授权的组和用户才能访问此硬盘分区了,而 ASP 执行时,是以“IUSR_机器名”的身份访问硬盘的,这里没给该用户帐号权限,ASP 也就不能读写硬盘上的文件了。(图5)
图5
2、创建客户账号
给每个虚拟主机用户设置一个单独的用户帐号,然后再给每个帐号分配一个允许其完全控制的目录。
第一步:打开“计算机管理”→“本地用户和组”→“用户”,在右栏中点击鼠标右键,在弹出的菜单中选择“新用户”:在弹出的“新用户”对话框中根据实际需要输入“用户名”、“全名”、“描述”、“密码”、“确认密码”,并将“用户下次登录时须更改密码”前的对号去掉,选中“用户不能更改密码”和“密码永不过期”。本例是给第一虚拟主机的用户建立一个匿名访问 Internet 信息服务的内置帐号“lw1”,即:所有客户端使用http://www.xxx.com 访问此虚拟主机时,都是以这个身份来访问的。输入完成后点“创建”即可。可以根据实际需要,创建多个用户,创建完毕后点“关闭”。(图6)
图6
第二步:在列表中双击该帐号,以便进一步进行设置:在弹出的“lw1”(即刚才创建的新帐号)属性对话框中点“隶属于”选项卡:刚建立的帐号默认是属于“Users”组,选中该组,点“删除”:现在出现的是如下图所示,此时再点“添加”:在弹出的“选择组”对话框中找到“Guests”,点“添加”,此组就会出现在下方的文本框中,然后点“确定”:出现的就是如下图所示的内容,点“确定”关闭此对话框。(图7)
图7
3、IIS设置
第一步:打开“Internet 信息服务”,开始对虚拟主机进行设置,本例中的以对“第一虚拟主机”设置为例进行说明,右击该主机名,在弹出的菜单中选择“属性”,弹出一个“第一虚拟主机 属性”的对话框,从对话框中可以看到该虚拟主机用户的使用的是“E:LW1”这个文件夹。(图8)
图8
第二步:切换到“资源管理器”,找到“E:LW1”这个文件夹,右击,选“属性”→“安全”选项卡,此时可以看到该文件夹的默认安全设置是“Everyone”完全控制(视不同情况显示的内容不完全一样),首先将最将下的“允许将来自父系的可继承权限传播给该对象”前面的对号去掉:此时会弹出如下图所示的“安全”警告,点“删除”。(图9)
图9
第三步:切换到前面打开的“第一虚拟主机 属性”的对话框,打开“目录安全性”选项卡,点匿名访问和验证控制的“编辑”在弹出的“验证方法”对方框,点“编辑”弹出了“匿名用户帐号”,默认的就是“IUSR_机器名”,点“浏览”在“选择 用户”对话框中找到前面创建的新帐号“lw1”,双击此时匿名用户名就改过来了,在密码框中输入前面创建时,为该帐号设置的密码,再确定一遍密码。OK,完成了,点确定关闭这些对话框。 (图10)
图10
提示:如果该用户需要读取硬盘的分区容量及硬盘的序列号,那这样的设置将使其无法读取。如果要允许其读取这些和整个分区有关的内容,请右键点击该硬盘的分区(卷),选择“属性”→“安全”,将这个用户的帐号添加到列表中,并至少给予“读取”权限。由于该卷下的子目录都已经设置为“禁止将来自父系的可继承权限传播给该对象”,所以不会影响下面的子目录的权限设置。
小结:经此设置后,“第一虚拟主机”的用户,使用ASP的 FileSystemObject 组件也只能访问自己的目录:E:LW1下的内容,当试图访问其他内容时,会出现诸如“没有权限”、“硬盘未准备好”、“500 服务器内部错误”等出错提示了。(图11)
图11
总结:经过了这样的设置,就算攻击者拿到了Webshell,至多对当前的网站进行操作,不会或者不太容易通过提权渗透而对整个Web服务器造成危害。当然,在功与防的斗争中只会此消彼涨,永远没有最后的胜利者。作为服务器的管理者增强安全意识,提高自身的安全技能才是关键。
0
投稿猜你喜欢
Blogger.com网站首页截图北京时间3月6日消息,综合海外媒体报道,Blogger.com是全球最大的博客网站,被称为互联网诞生15年- 在本文中,学习如何使用开源的 Clonezilla Live 克隆软件将物理服务器转换成虚拟服务器。具体而言,就是如何使用基于映像的方法将物
- 邮件系统的选型与架构专题(上篇) 邮件系统服务器的安装和配置有关Qmail邮件系统的安装介绍很多,这里不再赘述。下面主要说明搭建Qmail邮
- 昨天(12.18)在写了一个文章:<购买网站应注意的九个问题>文章首先发布在了落伍者,然后发布到了艾瑞网,又发布在了站长网,最后
- Linux为美国以外的其它国家提供了自主发展操作系统的一条捷径。主要是因为Linux操作系统本身的源代码是公开的,操作系统开发方可以对源代码
- 我今年毕业,211学校,找工作的惨烈形势就不多说了,反正我们班一半以上现在都还没谱。大学嘛,基本也是玩了,天天打游戏,大二开始试着建了个小站
- 因为之前搭建的MongoDB分片没有采用副本集,最近现网压力较大,所以准备研究一下,于是在自己电脑的虚拟机中搭建环境,但是发现之前VMwar
- 最新消息,康盛创想(Comsenz)官方计划将在近期发布一个Discuz! 7.1测试版本。该测试版本编码为GBK提供全新安装和升级程序,然
- 广告商愿意为了能够准确定位目标用户的广告增加投入,帮广告商将广告定位到准确的目标用户,您的网站就可以获得更高的广告收入。为了实现这一目标,这
- 随着百度有啊的名品频道的正式上线,百度关于建立BTOC电子商城网站实施战略也步入了正式运营阶段;如果网站运营成功,此举将为百度平台价值提升起
- 现在互联网上一堆在 kali Linux 上安装 NVDIA 显卡驱动的教程,但是很多都是你抄我,我抄你,都没有去实际的验证,导致很多小伙伴
- 托管服务器在进入数据中心机房内之前,系统肯定都得事先做好,但仅仅装好系统,打开远程控制还是远远不够的。第一节我们谈到的主要是“硬安全”,现在
- ixwebhosting主机推出中文站后,有说要推出中文客服,但,推出中文客服还需要一段时间,在没有推出中文客服之前,我们如果有问题的话,需
- 因为对属性了解不多,所以给出我一上午自己琢磨出来的方法。这个方法主要是适合运用在XP系统下无法安装IIS来进行配置ASP环境和不会安装Apa
- 打开:mode/o/m_user.php查找:m.bday,m.medals,修改为:m.bday,m.medals,m.userstatu
- 自己接触优化有一段时日了,经常有不少朋友加我QQ,问我如何把他说的关键字做到百度或者谷歌首页第一位,怎么跟他们说呢,我只能告诉他们,网站排名
- 综述本文将讨论UNIX平台下,Apache WEB服务器安装和配置的安全问题。我们假定阅读本文的系统管理员已经针对自己站点的情况选择了相关的
- WSDL设计继承了以XML为基础的当代Web技术标准的开放设计理念。它允许通过扩展使用其它的类型定义语言(不光是XMI Schema),允许
- 作为Internet上的FTP服务器,系统的安全性是非常重要的,这是建立FTP服务器者所考虑的第一个问题。其安全性主要包括以下几个方面:一、
- 首先,请记住这两句话:你越努力,你的运气就会越好!没有失败,只是暂时没有成功!第一次来落伍是两年前的事了,那是我无意中在中国站长与广告论坛里
