IIS6下ASP.NET站点的权限配置
作者:heero 来源:heero博客 发布时间:2010-06-26 13:12:00
标签:IIS6,配置,应用程序池
以前我们学校的服务器经常中毒,而且基本上是一个网站中毒而牵连到其他的网站。这无非是服务器的权限配置没做好,让黑客们利用一个大权限用户把整台服务器都给黑了。
其实在NTFS格式的分区下,做权限配置非常简单。
为每个站点创建一个Windows用户,这个用户仅拥有站点所在目录及其子目录的读写权限。
把创建好的用户设为对应站点的匿名访问账户,访客就是以这个用户的身份访问网站的。
在这样的规则下,用户A只能操作站点A,用户B只能操作站点B。即使站点A中毒了,由于用户A没有操作站点B的权限,所以站点B不会受影响。
上个月买了VPS后,我也是用这个方法配置现在这个Blog,结果一运行就出错。错误信息的大概意思是无法读取web.config。我初步推断这是ASP.NET的进程用了另外一个用户读取站点中的文件,但由于没有权限而被拒绝访问了。折腾了一番后,终于搞清楚这跟应用程序池有关系。
应用程序池是将一个或多个应用程序链接到一个或多个工作进程的集合的配置。因为应用程序池中的应用程序与其他应用程序被工作进程边界分开,某个应用程序池中的应用程序不会受到其他应用程序池中应用程序所产生的问题的影响。
ASP.NET的站点其实是通过应用程序池的账户来运行的。默认情况下,应用程序池以“Network Service”身份进行操作,而站点目录并没有这个用户的操作权限。
接着,我把应用程序池的账户改成了站点的匿名访问帐号,结果还是出错。原来应用程序池的账户必须具有IIS_WPG组的权限,把匿名访问帐号设置成从属于改组就可以了。
这样设置以后,虽然安全性有所提升,但问题还是有的。原因在于,IIS_WPG组的权限也不小,其中就包括系统盘某些目录的访问权限。确实是没有最安全,只有更安全。欢迎有经验的朋友来指教。
0
投稿
猜你喜欢
- 10月14日国际报道 若你的笔记本或移动设备内建有加速感应器,新的FireFox 3.6版将可侦测笔记本的方向,并将该信息传给浏览器的应用程
- 网站中发布的文章除了需要按时间、栏目分类、类别调用外,往往需要根据编辑的推荐进行不同的调用,那么CMS自然少不了推荐位功能。一般推荐位的设计
- 一般而言,由于互联网用户在刚登录某网站时,会看到各种各样的广告。这些广告杂乱无章,因此,大多数的标语用户很容易看过就忘。行为追踪就是防止这种
- 当开始使用Docker时,人们经常问:“我该如何进入容器?”,其他人会说“在你的容器里运行一个SSH服务器”。但是,从这篇博文中你将会了解到
- 如果你正在考虑如何通过搜索引擎获得较高的流量,那么关键词一定是对你的工作非常有益的投资。无论你是想要自己做关键词的确定工作,还是雇一个专业人
- 最新消息,在广大站长的殷切期盼下,7月8日康盛创想官方开发团队又一次更新了旗下的UCenter Home(简称UCHome)官方站(u.di
- 部署禁止中文浏览器访问网站 在网站的根目录中的 htaccess 文件中,增加如下语句 #####################
- 1、简介说明在安装Procmail及Sanitizer后,系统都只能处理寄进服务器内的信件,无法处理利用邮件服务器来寄出病毒信,因此在安装P
- 一个好的站点 不单单是只注重IP 整日话不离口的问 你今日IP多少 你最近IP多少作为站点也是 不单单要看你的IP多少 来路 更重要的是 如
- 博客评论投票是一个常见的功能,如果对某网友的评论比较认同,那么可以对其进行“支持”投票。如果感觉评论内容不好,不同意其观点,可以对其投“反对
- 1 VMware网卡VMware默认情况下会安装三个网卡,如下图示(点击最上方编辑-->虚拟网络编辑器)。VMnet0:“桥接网络”
- Git的简介Git是2005年Linus Torvalds 为了帮助管理 Linux(R) 内核开发而开发的一个开放源码的版本控制软件,正如
- 本报记者 雷中辉 北京报道“我们还没有接到实施细则的通知,具体怎么办还不清楚。”7月22日,北京市工商行政管理局大厅,当记者询问电子商务网店
- Windows下的以其架设方便、操作简单赢得了很多人的青睐,下面笔者将以Windows Server 2003为例来介绍如何配置一个,望能对
- 相信这个问题近两天大家都遇到了吧,DZ官方说是js的冲突造成了,无从考究了,找到了一个解决方法:修改论坛目录下 includejscommo
- WordPress是目前最流行的(截至2009年)的博客平台。它是一款开放源代码,其对谷歌SEO优化比较有利,可以被任何人免费使用。正因为如
- 网上看奥运,推荐几个网站,发现好的,我再补充。1、央视网-奥运专题 2008.cctv.com我一直挺喜欢央视网的网页设计,相比其它门户网站
- 8.使用安全密码一个好的密码对于一个网络是非常重要的,但是它是最容易被忽略的。前面的所说的也许已经可以说明这一点了。一些公司的管理员创建帐号
- 近年来,价格战的加剧,随着我国IDC市场的大变革正在悄然发生,IDC行业正处于“清淤”阶段。国内领先的增值电信服务商阳光互联日前表示,国内I
- jenkins 配置用户角色权限需要安装插件 Role Strategy Plugin1.安装 Role Strateg