这几天在帮一个用户处理被频繁入侵的问题时发现问题的根源还是权限设置不当造成了被黑客跨站入侵,现在来总结下这些知识点分享给大家,虽然对高手来说这些已经不算什么知识了,但对新手菜鸟站长来说还是值得重视一下的。。
1� �h.�=c� �iBq|�]��� 这里要说到一个很多站长都会忽视的权限问题,Users权限,可不要小看这个权限,他默认是在磁盘根目录下的,简单来说黑客如果入侵了一个站,就可以浏览你的硬盘所有分区上的资料,通过分析这些资料得到你的更有价值的资料或得到更大的权限。
po�hA??t2: TsP�x"+>7` 所以你在配置一台刚做好系统还没有数据的服务器时第一个要做的就是删除所有磁盘根目录的users和EveryOne这两个权限,这个操作很重要,以后千万不要忽视了。
r+�}5;fQ�J �*nv%~�t � 还有一种情况,就是磁盘根目录已经删除了Users了站点下还是有,而且是灰色的不可操作,遇到这种情况是你就挨个查看当前目录的上级目录,肯定有一级目录给他了,找到后删除,如果你知道这个权限并且给了特殊用途了除外。 现在来说下站点权限的正确设置方法:
��1<�y|,�� (~�R�[�K,G 先发个以前制作的视频教程,新手们如果不太理解文字说明可以去看下这个。
V'�XmMn�)! IIS多站点用户隔离视频教程,青云原创!
{xw"t9(f�E http://blog.atimg.com/article/1244.htm H�8V${&!ho 不会的快去学习,保你网站安全,不被别的网站影响!
VOk���EDH
h��P�=^�JH ASP类网站:
T�TS.wBpR, 第一步:先在计算机管理里建立一个账号,这个账号建立好后修改下他所属的用户组,默认是给users组,把他改成Guests组,也有人喜欢给空,但感觉不太正式,我习惯给Guests组了,如果这个也有安全问题的话还望高手们给指教下了,另外建立用户时给一个复杂的密码这个再提醒下以免同学们再犯随意给个简单密码的坏毛病。下面给两个图示,大家理解什么意思就可以了。
JF%e�C}[�d [img=548,619]http://yunsafe.com/data/attachment/forum/201201/02/134925kjxaxlnxeskyabbx.jpg[/img]
Ag�
3[N�u1 3HU_���~%l [img=526,516]http://yunsafe.com/data/attachment/forum/201201/02/134925rcacclz1anywaga4.jpg[/img]
T� ~9)0A"] qP�"+SVq�C 第二步:打开IIS管理器,然后在你要设置权限的站点上点右键属性,然后选择目录安全性,点下面的第一个编辑,在这里输入刚才建立的用户名和密码,再给图示,给同学们理解下。
%nTgrgS(�= [img=471,545]http://yunsafe.com/data/attachment/forum/201201/02/135251cecbw66dh96d6ajm.jpg[/img]
~w&�P]L\dB )%4%Uo_Xm� 这里的意思就是把刚才建立的计算机用户指定到这个IIS站点下,密码一定要设置一样哟。
l��(�ED�e� �u~|�D;�e� 第三步:也是最后一步,给你的站点所在目录添加此用户的读取和写入权限,如下图。
@�l�7~Zn�� [img=484,577]http://yunsafe.com/data/attachment/forum/201201/02/135552zb654u4p2sir4zx2.jpg[/img]
�x��Q[~ c1 )jM�'
x&Vg 一般情况下大部分网站到这里权限设置就可以说结束了,但还有一些特殊情的网站程序需要特殊对待,如NET类的和DZ论坛这些大型程序,还有phpmyadmin这些,需要再根据情况增加权限。
�i?.7o�*w8 0w0\TWz*�� NET类网站,就是aspx为后缀的程序,你在上面的权限基础上再加个Service读取权限一般就可以了,如果还需要更多设置建议看人家提供程序的官方的权限设置说明,这里再给个图。
_v�Q���tV] [img=484,586]http://yunsafe.com/data/attachment/forum/201201/02/140014e0p0bk7p70zmtqcf.jpg[/img]
��p)5j~�Nl �r#ISIgJXG DZ,PHP类网店,phpmyadmin这类程序如果按上面的默认设置不正常的话在当前目录的上一级,如我的站点目录在D:\web\tsyj,那么就给D:\web这个目录加一个users读取权限即可,之前没加有可能打开网站会遇到大家经常遇到的空白情况,你加过users权限直接输入后台管理地址进入更新下缓存前台就正常了,再给个图,希望同学们能够真正理解,理解了知识也就学到手了,呵呵。
j-e���gsKR [img=391,627]http://yunsafe.com/data/attachment/forum/201201/02/1403492xcopw3skozk2d42.jpg[/img]
rOt`5_2�f�
5'JONw�'\ 至此网站权限基本上就算正常了,这时我们已经把跨站入侵的可能性降到最小了,但不排除有些高手通过你的程序漏洞或利用系统或软件漏洞拿到系统权限,一般来说你只要不用高危险的程序或软件就可以避免这样的问题出现了。
>vD�a�`|�g �Z�/�#&c�� 最后咱再说一个知识点,就是为什么站点内有个别的文件权限不正常,自己也打不开,这个时候你只需要在当前目录或上级目录上利用权限高级里的重置子目录权限即可解决了,就是点安全里的高级,这里再给个图好让大家允分理解,红圈圈那里的对号打上点确定。
�K3uNR �w [img=671,615]http://yunsafe.com/data/attachment/forum/201201/02/140945ep7yzj78zfem77zp.jpg[/img]
�C@{#�OOa� FKT�dQg|NZ 如果按上面的设置时提示出错,拒绝访问,为了形象说明问题,咱再来两个图示,相信很多人遇到过这类情况。
)20�j�Zm*� [img=584,514]http://yunsafe.com/data/attachment/forum/201201/02/141337hn6ocolnzlwfljjm.jpg[/img]
d|��^cKLu� Q>jx`68'KI [img=730,501]http://yunsafe.com/data/attachment/forum/201201/02/1413373zl47rjz9l9rt2r4.jpg[/img]
�I<�v��1�S 好,相信大家已经看到上面出问题的图示了,添加按钮竟然是灰色的,这可咋办类。。不要郁闷,这时点安全,高级,审核旁边的所有者,把里面显示的两个管理员挨个点下,然后再点应用,确定,看图。
DrfOz#a0Uu [img=727,526]http://yunsafe.com/data/attachment/forum/201201/02/141932i7tgdeei7z9ymik4.jpg[/img]
8��JO��fx
,]�1oG=`3v 这时再把原来的权限窗口关掉,然后重新打开这个文件的属性安全,看到没,添加变黑了,可以加权限了。。
(;f�7/2~`� T6g�ugDQ~. [img=452,506]http://yunsafe.com/data/attachment/forum/201201/02/142111vgh9nun9fvothbut.jpg[/img]
E8[{U8)[;5 nj�bEw4�nX 然后你可以加上你需要的权限,也可以点高级里继承上级目录的权限,你这个文件的权限就完全恢复正常了。
OLT��hi[Yn �}ze�,6T*z 刚才忘了说很重要的一点,现在补上,就是如果你的服务器已经有很多数据了,这个时候可千万不要乱动或删除users权限,操作步骤建议先按上面的方法给目录先添加上你的独立用户,权限应用完后再删除Users权限,否则你的站就会直接弹出个对话框提示你输入用户名和密码才能访问了,请千万记好,可不要到时候调权限时出问题了来骂我哟。。另外如果你数据量很大,应用权限那个窗口有可能会变白,就是没响应,这时候尽量不要强制结束任务,否则权限会应用失败,耐心等应用完了再进行下一步操作,切记,切记。。 DAZzc :1Aj &�+@~;p�5F WINDOWS下的权限如果利用好就是一个很好的防范措施,而且是系统自带的,不需要任何第三方软件增强就可以达到很不错的安全状态,今天就罗嗦到这里吧,如果大家需要交流更多技术或经验可以加我QQ285584,呵呵。。
[�0M�2`x4` V/X4W�Zs|i 【青云原创转载请注明出处】
http://yunsafe.com/thread-298-1-1.html
