原创日志

win2003/win2008/win2012 运行asp,php,asp.net的目录权限配置中的安全问题

[ 2020-08-04 16:10:27 | 作者: admin ]
字号: | |
p.s. 由于php的缓存机制五花八门,为确保权限更改生效而不受缓存影响,需要每次修改权限后重启下IIS或者暂时停掉缓存。
1、如果出现404,则可以看看是否fastcgi没有启用,或者是关停了IISsafedog但是站点isapi中还有dll残留。
2、asp/php站的上传目录图片返回500,有可设置了不支持.net的应用程序池,然后恰好上传目录下存在web.config
关于win2003到win2008的权限组更新,可以看 win2008中ACL权限问题:IUSR和IIS_IUSRS http://blog.xg98.com/article.asp?id=2701

我们先定义相关目录如下
根目录: /ROOT
网站目录: /ROOT/WEB
日志目录: /ROOT/LOGS


【Win2003服务器】
1、asp
(A)赋予ROOT目录 INTERNET来宾账号 IUSR_机器名 读取权限。也可以自定义一个guests组的用户来匿名运行。

2、php
这里只对fastcgi模式,fastcgi模式下运行php权限和asp基本一致
(A)自定义一个 phpuser 用户,加入guests组
(B)赋予ROOT目录 phpuser 用户,iis站点安全中使用phpuser 用户匿名运行

注:看到网上说fastcgi模式需要NETWORK SERVICE用户组权限,另外C:\WINDOWS\system32\inetsrv目录也需要NETWORK SERVICE组权限,然后win2003测试似乎并不需要。

3、asp.net
(A)自定义一个 aspxuser 用户,加入guests组 (也可以同时增加一个IIS_WPG组,这样目录就不需要额外再加IIS_WPG组权限)
(B)赋予ROOT目录 aspxuser 用户和(NETWORK SERVICE组 或者 IIS_WPG组的权限),iis站点安全中使用aspxuser用户匿名运行

注:
a、Network Service 组是 IIS_WPG 的成员 http://www.itpow.com/c/2010/04/F62E7D5FKBO4YU7L.asp
b、iis6设置上传目录权限:上传目录点右键,属性中执行权限选择“无”


【Win2008服务器】
1、asp
(A)赋予ROOT目录 INTERNET来宾账号 IUSR 读取权限,上传目录需要IUSR组有写入权限(如果想自定义用户,则IIS需要站点身份验证-匿名身份验证中修改,默认都是IUSR用户)

2、php
这里只对fastcgi模式,fastcgi模式下运行php权限和asp基本一致
(A)赋予ROOT目录 IUSR 读取权限,上传目录需要IUSR组有写入权限

3、asp.net
(A)赋予ROOT目录 IUSR 用户和 IIS_IUSRS组读取权限,其他默认即可,对于上传目录需要IIS_IUSRS组有写入权限

注:a、iis7.5设置上传目录权限:双击上传目录,双击“处理程序映射”,然后最右边点“编辑功能权限”,去掉脚本即可
[最后修改由 admin, 于 2020-08-09 23:38:02]
评论Feed 评论Feed: http://blog.xg98.com/feed.asp?q=comment&id=2700

这篇日志没有评论。

此日志不可发表评论。