构建免受 FSO 威胁虚拟主机(三)
程序员文章站
2023-01-25 08:19:54
此时会弹出如下图所示的“安全”警告,点“删除”:
此时会弹出如下图所示的“安全”警告,点“删除”:
<img src="http://202.100.116.12/paddy/bbsimages/fsosafe/012.gif" border=0>
此时安全选项卡中的所有组和用户都将被清空(如果没有清空,请使用“删除”将其清空),然后点“添加”按钮。
<img src="http://202.100.116.12/paddy/bbsimages/fsosafe/013.gif" border=0>
将如图中所示的“administrator”及在前面所创建的新帐号“iusr_vhost1”添加进来,将给予完全控制的权限,还可以根据实际需要添加其他组或用户,但一定不要将“guests”组、“iusr_机器名”这些匿名访问的帐号添加上去!
<img src="http://202.100.116.12/paddy/bbsimages/fsosafe/014.gif" border=0>
再切换到前面打开的“第一虚拟主机 属性”的对话框,打开“目录安全性”选项卡,点匿名访问和验证控制的“编辑”:
<img src="http://202.100.116.12/paddy/bbsimages/fsosafe/015.gif" border=0>
在弹出的“验证方法”对方框(如下图所示),点“编辑”:
<img src="http://202.100.116.12/paddy/bbsimages/fsosafe/016.gif" border=0>
弹出了“匿名用户帐号”,默认的就是“iusr_机器名”,点“浏览”:
<img src="http://202.100.116.12/paddy/bbsimages/fsosafe/017.gif" border=0>
在“选择 用户”对话框中找到前面创建的新帐号“iusr_vhost1”,双击:
<img src="http://202.100.116.12/paddy/bbsimages/fsosafe/018.gif" border=0>
此时匿名用户名就改过来了,在密码框中输入前面创建时,为该帐号设置的密码:
<img src="http://202.100.116.12/paddy/bbsimages/fsosafe/019.gif" border=0>
再确定一遍密码:
<img src="http://202.100.116.12/paddy/bbsimages/fsosafe/020.gif" border=0>
ok,完成了,点确定关闭这些对话框。
经此设置后,“第一虚拟主机”的用户,使用 asp 的 filesystemobject 组件也只能访问自己的目录:f:\vhost1 下的内容,当试图访问其他内容时,会出现诸如“没有权限”、“硬盘未准备好”、“500 服务器内部错误”等出错提示了。
另:如果该用户需要读取硬盘的分区容量及硬盘的序列号,那这样的设置将使其无法读取。如果要允许其读取这些和整个分区有关的内容,请右键点击该硬盘的分区(卷),选择“属性”→“安全”,将这个用户的帐号添加到列表中,并至少给予“读取”权限。由于该卷下的子目录都已经设置为“禁止将来自父系的可继承权限传播给该对象”,所以不会影响下面的子目录的权限设置。
<img src="http://202.100.116.12/paddy/bbsimages/fsosafe/012.gif" border=0>
此时安全选项卡中的所有组和用户都将被清空(如果没有清空,请使用“删除”将其清空),然后点“添加”按钮。
<img src="http://202.100.116.12/paddy/bbsimages/fsosafe/013.gif" border=0>
将如图中所示的“administrator”及在前面所创建的新帐号“iusr_vhost1”添加进来,将给予完全控制的权限,还可以根据实际需要添加其他组或用户,但一定不要将“guests”组、“iusr_机器名”这些匿名访问的帐号添加上去!
<img src="http://202.100.116.12/paddy/bbsimages/fsosafe/014.gif" border=0>
再切换到前面打开的“第一虚拟主机 属性”的对话框,打开“目录安全性”选项卡,点匿名访问和验证控制的“编辑”:
<img src="http://202.100.116.12/paddy/bbsimages/fsosafe/015.gif" border=0>
在弹出的“验证方法”对方框(如下图所示),点“编辑”:
<img src="http://202.100.116.12/paddy/bbsimages/fsosafe/016.gif" border=0>
弹出了“匿名用户帐号”,默认的就是“iusr_机器名”,点“浏览”:
<img src="http://202.100.116.12/paddy/bbsimages/fsosafe/017.gif" border=0>
在“选择 用户”对话框中找到前面创建的新帐号“iusr_vhost1”,双击:
<img src="http://202.100.116.12/paddy/bbsimages/fsosafe/018.gif" border=0>
此时匿名用户名就改过来了,在密码框中输入前面创建时,为该帐号设置的密码:
<img src="http://202.100.116.12/paddy/bbsimages/fsosafe/019.gif" border=0>
再确定一遍密码:
<img src="http://202.100.116.12/paddy/bbsimages/fsosafe/020.gif" border=0>
ok,完成了,点确定关闭这些对话框。
经此设置后,“第一虚拟主机”的用户,使用 asp 的 filesystemobject 组件也只能访问自己的目录:f:\vhost1 下的内容,当试图访问其他内容时,会出现诸如“没有权限”、“硬盘未准备好”、“500 服务器内部错误”等出错提示了。
另:如果该用户需要读取硬盘的分区容量及硬盘的序列号,那这样的设置将使其无法读取。如果要允许其读取这些和整个分区有关的内容,请右键点击该硬盘的分区(卷),选择“属性”→“安全”,将这个用户的帐号添加到列表中,并至少给予“读取”权限。由于该卷下的子目录都已经设置为“禁止将来自父系的可继承权限传播给该对象”,所以不会影响下面的子目录的权限设置。
上一篇: Android清单文件合并的那些事
下一篇: 三酱馒头五味汤