1、PHP的安装目录只保留一个php-cgi.exe的exe文件
PHP5.2没有php-cgi.exe所以目录不要有任何exe文件
将PHP运行在FastCGI模式下
2、PHP安装文件夹权限结构:
administrator 完全控制
system 完全控制
users 读取和执行
iis_iusrs 读取 --这个用户可以不加
其他用户的权限一律删除
注意PHP缓存目录的权限php\*\tmp要单独看一下
看一下php.ini配置文件中session.save_path的值
是否配置了session公用缓存目录
如果配置了 要注意看权限
session缓存目录的权限一般:
administrator 完全控制
system 完全控制
users 读取和写入 另外在详细高级权限中加上 删除子文件夹以文件、删除 这个2个子权限
iis_iusrs 读取和写入 另外在详细高级权限中加上 删除子文件夹以文件、删除 这个2个子权限
还要给users和iis_iusrs用户 拒绝类型 删除 只有该文件夹 是防止session缓存文件夹自身被删除
说明:正常情况下上面的users或iis_iusrs的权限只用其一即可
为了进一步安全 可以在详细高级权限中删除写入属性、写入扩展属性 这2个子权限
是为了预防网站存在漏洞,被黑客创建隐藏文件和只读文件到PHP公用的session缓存目录
3、IIS其他组件的文件夹权限:
如aspjpeg、aspupload、jmail等
administrator 完全控制
system 完全控制
users 读取和执行
其他用户的权限一律删除
4、Mysql数据库文件夹权限
先将mysql数据库运行在没加入任何用户组的独立用户下
4.1、Mysql安装所在分区权限:
administrator 完全控制
system 完全控制
Mysql运行用户 读取权限(单小项) 只有该文件夹
4.2、Mysql安装文件夹mysql的权限(上级目录不需要设置):
administrator 完全控制
system 完全控制
Mysql运行用户 读取和执行
4.3、Mysql数据库目录mysql\data权限:
administrator 完全控制
system 完全控制
Mysql运行用户 完全控制
我们也可以通过修改mysql\my.ini文件中的参数将数据库放其他分区
datadir="E:/MySQL5735/data/"
innodb_data_home_dir ="E:/MySQL5735/data/"
innodb_log_group_home_dir ="E:/MySQL5735/data/"
5、MsSQL数据库安全:
请安装SQL2014或以上
6、 ASP.NET的安全设置:
<trust level="Full" originUrl="" />的参数说明
有Full|High|Medium|Low|Minimal对应"完全没限制的权限|高的权限|中|低|最低权限"
修改文件
C:\Windows\Microsoft.NET\Framework\v2.0.50727\CONFIG\web.config文件
和C:\Windows\Microsoft.NET\Framework64\v2.0.50727\CONFIG\web.config
net宽松权限:
<location allowOverride="true">改为:
<location allowOverride="false">
<trust level="Full" originUrl=""/>改为(下面只是加多一行):
<trust level="Full" originUrl="" />
<identity impersonate="true" />(但这行加了会使得集成模式出错)
net严格权限:
<location allowOverride="true">改为:
<location allowOverride="false">
<trust level="Full" originUrl=""/>改为(参数为High):
<trust level="High" originUrl="" />
<identity impersonate="true" />---这行加了会使得集成模式出错
修改文件
C:\Windows\Microsoft.NET\Framework\v4.0.30319\CONFIG\web.config文件
和C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CONFIG\web.config
net宽松权限:
<location allowOverride="true">改为:
<location allowOverride="false">
<trust level="Full" originUrl="" />改为(下面只是加多一行):
<trust level="Full" originUrl="" />
<identity impersonate="true" />---这行加了会使得集成模式出错
net严格权限:
<location allowOverride="true">改为:
<location allowOverride="false">
<trust level="Full" originUrl="" />改为(参数为High):
<trust level="High" originUrl="" />
<identity impersonate="true" />---这行加了会使得集成模式出错
7、网站权限说明
net代码的写入删除权限依赖IIS_IUSRS用户的权限或者是程序池用户权限
php代码的写入删除权限依赖网站身份验证匿名用户的权限
IIS_IUSRS用户只能给读取权限否则会引起.net跨站攻击
7.A、网站权限结构方式一
7.A.1、IIS中的网站运行在一个独立的网站运行用户下
建立一个 网站运行用户 隶属于 Guests组
IIS -- 该网站 -- 身份验证 -- 匿名身份验证 -- 启用 -- 特定用户 将其设置为刚才建立的网站运行用户
7.A.2、给网站建立单独的程序池(每个网站独立的程序池不会引起跨站攻击)
.NET v4.0 集成模式 比如程序池名称为:c_网站运行用户名称
7.A.3、网站上级空目录权限:
administrator 完全控制
system 完全控制
网站运行用户 读取
7.A.4、网站根目录权限:
程序池用户为:IIS AppPool\应用程序池名
administrator 完全控制
system 完全控制
程序池用户 列出文件夹/读取数据 读取属性 读取扩展属性 删除 读取权限
程序池用户 拒绝类型 删除 只有该文件夹
程序池用户 拒绝类型 写入属性 写入扩展属性 此文件夹、子文件夹和文件夹
网站运行用户 列出文件夹/读取数据 读取属性 读取扩展属性 删除 读取权限
网站运行用户 遍历文件夹/执行文件 此文件夹和子文件夹
网站运行用户 拒绝类型 删除 只有该文件夹
网站运行用户 拒绝类型 写入属性 写入扩展属性 此文件夹、子文件夹和文件夹
服务器上权限执行脚本参考:
icacls "d:\host\网站上级目录" /grant "网站运行用户:(OI)(CI)R" "程序池用户:(OI)(CI)R" "网站运行用户:(CI)(X)" "程序池用户:(CI)(X)" /C
icacls "d:\host\网站上级目录" /deny "网站运行用户:(OI)(CI)(WA,WEA)" "程序池用户:(OI)(CI)(WA,WEA)" /C
icacls "d:\host\网站上级目录\wwwroot" /grant "网站运行用户:(OI)(CI)W" "程序池用户:(OI)(CI)W" "网站运行用户:(OI)(CI)(DE,WDAC)" "程序池用户:(OI)(CI)(DE,WDAC)" /C
icacls "d:\host\网站上级目录\wwwroot" /deny "网站运行用户:(DE)" "程序池用户:(DE)" /C
icacls "d:\host\网站上级目录\database" /grant "网站运行用户:(OI)(CI)W" "程序池用户:(OI)(CI)W" "网站运行用户:(OI)(CI)(DE,WDAC)" "程序池用户:(OI)(CI)(DE,WDAC)" /C
icacls "d:\host\网站上级目录\database" /deny "网站运行用户:(DE)" "程序池用户:(DE)" /C
说明:wwwroot为网站根目录 database为网站其他目录(如数据备份等用途)
详细示例:
网站运行用户为wwwpiiscn
程序池名设置为c_wwwpiiscn 那么程序池用户就是IIS AppPool\c_wwwpiiscn
网站放置上级目录为d:\host\wwwpiiscn
网站根目录为d:\host\wwwpiiscn\wwwroot
网站其他目录(如数据备份等用途)d:\host\wwwpiiscn\database
权限设置脚本为示:
icacls "d:\host\wwwpiiscn" /grant "wwwpiiscn:(OI)(CI)R" "IIS AppPool\c_wwwpiiscn:(OI)(CI)R" "wwwpiiscn:(CI)(X)" "IIS AppPool\c_wwwpiiscn:(CI)(X)" /C
icacls "d:\host\wwwpiiscn" /deny "wwwpiiscn:(OI)(CI)(WA,WEA)" "IIS AppPool\c_wwwpiiscn:(OI)(CI)(WA,WEA)" /C
icacls "d:\host\wwwpiiscn\wwwroot" /grant "wwwpiiscn:(OI)(CI)W" "IIS AppPool\c_wwwpiiscn:(OI)(CI)W" "wwwpiiscn:(OI)(CI)(DE,WDAC)" "IIS AppPool\c_wwwpiiscn:(OI)(CI)(DE,WDAC)" /C
icacls "d:\host\wwwpiiscn\wwwroot" /deny "wwwpiiscn:(DE)" "IIS AppPool\c_wwwpiiscn:(DE)" /C
icacls "d:\host\wwwpiiscn\database" /grant "wwwpiiscn:(OI)(CI)W" "IIS AppPool\c_wwwpiiscn:(OI)(CI)W" "wwwpiiscn:(OI)(CI)(DE,WDAC)" "IIS AppPool\c_wwwpiiscn:(OI)(CI)(DE,WDAC)" /C
icacls "d:\host\wwwpiiscn\database" /deny "wwwpiiscn:(DE)" "IIS AppPool\c_wwwpiiscn:(DE)" /C
7.B、网站权限结构方式二
7.B.1、IIS中的网站运行在一个独立的网站运行用户下
建立一个 网站运行用户 隶属于 Guests组
IIS -- 该网站 -- 身份验证 -- 匿名身份验证 -- 启用 -- 特定用户 将其设置为刚才建立的网站运行用户
7.B.2、网站上级空目录权限:
administrator 完全控制
system 完全控制
网站运行用户 读取
7.B.3、网站根目录权限:
administrator 完全控制
system 完全控制
iis_iusrs 列出文件夹/读取数据 读取属性 读取扩展属性 删除 读取权限
iis_iusrs 拒绝类型 删除 只有该文件夹
iis_iusrs 拒绝类型 写入属性 写入扩展属性 此文件夹、子文件夹和文件夹
网站运行用户 列出文件夹/读取数据 读取属性 读取扩展属性 删除 读取权限
网站运行用户 遍历文件夹/执行文件 此文件夹和子文件夹
网站运行用户 拒绝类型 删除 只有该文件夹
网站运行用户 拒绝类型 写入属性 写入扩展属性 此文件夹、子文件夹和文件夹
7.B.4、网站程序池
.NET v4.0 集成模式
8、如果安装了主机大师管理IIS网站的
在不使用控制面板时将HwsHostEx、HwsHostSvc、HwsHostWebEx三个服务停用
9、其他目录权限设置参考
www.piis.cn/zhishi/2177.html
PHP5.2没有php-cgi.exe所以目录不要有任何exe文件
将PHP运行在FastCGI模式下
2、PHP安装文件夹权限结构:
administrator 完全控制
system 完全控制
users 读取和执行
iis_iusrs 读取 --这个用户可以不加
其他用户的权限一律删除
注意PHP缓存目录的权限php\*\tmp要单独看一下
看一下php.ini配置文件中session.save_path的值
是否配置了session公用缓存目录
如果配置了 要注意看权限
session缓存目录的权限一般:
administrator 完全控制
system 完全控制
users 读取和写入 另外在详细高级权限中加上 删除子文件夹以文件、删除 这个2个子权限
iis_iusrs 读取和写入 另外在详细高级权限中加上 删除子文件夹以文件、删除 这个2个子权限
还要给users和iis_iusrs用户 拒绝类型 删除 只有该文件夹 是防止session缓存文件夹自身被删除
说明:正常情况下上面的users或iis_iusrs的权限只用其一即可
为了进一步安全 可以在详细高级权限中删除写入属性、写入扩展属性 这2个子权限
是为了预防网站存在漏洞,被黑客创建隐藏文件和只读文件到PHP公用的session缓存目录
3、IIS其他组件的文件夹权限:
如aspjpeg、aspupload、jmail等
administrator 完全控制
system 完全控制
users 读取和执行
其他用户的权限一律删除
4、Mysql数据库文件夹权限
先将mysql数据库运行在没加入任何用户组的独立用户下
4.1、Mysql安装所在分区权限:
administrator 完全控制
system 完全控制
Mysql运行用户 读取权限(单小项) 只有该文件夹
4.2、Mysql安装文件夹mysql的权限(上级目录不需要设置):
administrator 完全控制
system 完全控制
Mysql运行用户 读取和执行
4.3、Mysql数据库目录mysql\data权限:
administrator 完全控制
system 完全控制
Mysql运行用户 完全控制
我们也可以通过修改mysql\my.ini文件中的参数将数据库放其他分区
datadir="E:/MySQL5735/data/"
innodb_data_home_dir ="E:/MySQL5735/data/"
innodb_log_group_home_dir ="E:/MySQL5735/data/"
5、MsSQL数据库安全:
请安装SQL2014或以上
6、 ASP.NET的安全设置:
<trust level="Full" originUrl="" />的参数说明
有Full|High|Medium|Low|Minimal对应"完全没限制的权限|高的权限|中|低|最低权限"
修改文件
C:\Windows\Microsoft.NET\Framework\v2.0.50727\CONFIG\web.config文件
和C:\Windows\Microsoft.NET\Framework64\v2.0.50727\CONFIG\web.config
net宽松权限:
<location allowOverride="true">改为:
<location allowOverride="false">
<trust level="Full" originUrl=""/>改为(下面只是加多一行):
<trust level="Full" originUrl="" />
<identity impersonate="true" />(但这行加了会使得集成模式出错)
net严格权限:
<location allowOverride="true">改为:
<location allowOverride="false">
<trust level="Full" originUrl=""/>改为(参数为High):
<trust level="High" originUrl="" />
<identity impersonate="true" />---这行加了会使得集成模式出错
修改文件
C:\Windows\Microsoft.NET\Framework\v4.0.30319\CONFIG\web.config文件
和C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CONFIG\web.config
net宽松权限:
<location allowOverride="true">改为:
<location allowOverride="false">
<trust level="Full" originUrl="" />改为(下面只是加多一行):
<trust level="Full" originUrl="" />
<identity impersonate="true" />---这行加了会使得集成模式出错
net严格权限:
<location allowOverride="true">改为:
<location allowOverride="false">
<trust level="Full" originUrl="" />改为(参数为High):
<trust level="High" originUrl="" />
<identity impersonate="true" />---这行加了会使得集成模式出错
7、网站权限说明
net代码的写入删除权限依赖IIS_IUSRS用户的权限或者是程序池用户权限
php代码的写入删除权限依赖网站身份验证匿名用户的权限
IIS_IUSRS用户只能给读取权限否则会引起.net跨站攻击
7.A、网站权限结构方式一
7.A.1、IIS中的网站运行在一个独立的网站运行用户下
建立一个 网站运行用户 隶属于 Guests组
IIS -- 该网站 -- 身份验证 -- 匿名身份验证 -- 启用 -- 特定用户 将其设置为刚才建立的网站运行用户
7.A.2、给网站建立单独的程序池(每个网站独立的程序池不会引起跨站攻击)
.NET v4.0 集成模式 比如程序池名称为:c_网站运行用户名称
7.A.3、网站上级空目录权限:
administrator 完全控制
system 完全控制
网站运行用户 读取
7.A.4、网站根目录权限:
程序池用户为:IIS AppPool\应用程序池名
administrator 完全控制
system 完全控制
程序池用户 列出文件夹/读取数据 读取属性 读取扩展属性 删除 读取权限
程序池用户 拒绝类型 删除 只有该文件夹
程序池用户 拒绝类型 写入属性 写入扩展属性 此文件夹、子文件夹和文件夹
网站运行用户 列出文件夹/读取数据 读取属性 读取扩展属性 删除 读取权限
网站运行用户 遍历文件夹/执行文件 此文件夹和子文件夹
网站运行用户 拒绝类型 删除 只有该文件夹
网站运行用户 拒绝类型 写入属性 写入扩展属性 此文件夹、子文件夹和文件夹
服务器上权限执行脚本参考:
icacls "d:\host\网站上级目录" /grant "网站运行用户:(OI)(CI)R" "程序池用户:(OI)(CI)R" "网站运行用户:(CI)(X)" "程序池用户:(CI)(X)" /C
icacls "d:\host\网站上级目录" /deny "网站运行用户:(OI)(CI)(WA,WEA)" "程序池用户:(OI)(CI)(WA,WEA)" /C
icacls "d:\host\网站上级目录\wwwroot" /grant "网站运行用户:(OI)(CI)W" "程序池用户:(OI)(CI)W" "网站运行用户:(OI)(CI)(DE,WDAC)" "程序池用户:(OI)(CI)(DE,WDAC)" /C
icacls "d:\host\网站上级目录\wwwroot" /deny "网站运行用户:(DE)" "程序池用户:(DE)" /C
icacls "d:\host\网站上级目录\database" /grant "网站运行用户:(OI)(CI)W" "程序池用户:(OI)(CI)W" "网站运行用户:(OI)(CI)(DE,WDAC)" "程序池用户:(OI)(CI)(DE,WDAC)" /C
icacls "d:\host\网站上级目录\database" /deny "网站运行用户:(DE)" "程序池用户:(DE)" /C
说明:wwwroot为网站根目录 database为网站其他目录(如数据备份等用途)
详细示例:
网站运行用户为wwwpiiscn
程序池名设置为c_wwwpiiscn 那么程序池用户就是IIS AppPool\c_wwwpiiscn
网站放置上级目录为d:\host\wwwpiiscn
网站根目录为d:\host\wwwpiiscn\wwwroot
网站其他目录(如数据备份等用途)d:\host\wwwpiiscn\database
权限设置脚本为示:
icacls "d:\host\wwwpiiscn" /grant "wwwpiiscn:(OI)(CI)R" "IIS AppPool\c_wwwpiiscn:(OI)(CI)R" "wwwpiiscn:(CI)(X)" "IIS AppPool\c_wwwpiiscn:(CI)(X)" /C
icacls "d:\host\wwwpiiscn" /deny "wwwpiiscn:(OI)(CI)(WA,WEA)" "IIS AppPool\c_wwwpiiscn:(OI)(CI)(WA,WEA)" /C
icacls "d:\host\wwwpiiscn\wwwroot" /grant "wwwpiiscn:(OI)(CI)W" "IIS AppPool\c_wwwpiiscn:(OI)(CI)W" "wwwpiiscn:(OI)(CI)(DE,WDAC)" "IIS AppPool\c_wwwpiiscn:(OI)(CI)(DE,WDAC)" /C
icacls "d:\host\wwwpiiscn\wwwroot" /deny "wwwpiiscn:(DE)" "IIS AppPool\c_wwwpiiscn:(DE)" /C
icacls "d:\host\wwwpiiscn\database" /grant "wwwpiiscn:(OI)(CI)W" "IIS AppPool\c_wwwpiiscn:(OI)(CI)W" "wwwpiiscn:(OI)(CI)(DE,WDAC)" "IIS AppPool\c_wwwpiiscn:(OI)(CI)(DE,WDAC)" /C
icacls "d:\host\wwwpiiscn\database" /deny "wwwpiiscn:(DE)" "IIS AppPool\c_wwwpiiscn:(DE)" /C
7.B、网站权限结构方式二
7.B.1、IIS中的网站运行在一个独立的网站运行用户下
建立一个 网站运行用户 隶属于 Guests组
IIS -- 该网站 -- 身份验证 -- 匿名身份验证 -- 启用 -- 特定用户 将其设置为刚才建立的网站运行用户
7.B.2、网站上级空目录权限:
administrator 完全控制
system 完全控制
网站运行用户 读取
7.B.3、网站根目录权限:
administrator 完全控制
system 完全控制
iis_iusrs 列出文件夹/读取数据 读取属性 读取扩展属性 删除 读取权限
iis_iusrs 拒绝类型 删除 只有该文件夹
iis_iusrs 拒绝类型 写入属性 写入扩展属性 此文件夹、子文件夹和文件夹
网站运行用户 列出文件夹/读取数据 读取属性 读取扩展属性 删除 读取权限
网站运行用户 遍历文件夹/执行文件 此文件夹和子文件夹
网站运行用户 拒绝类型 删除 只有该文件夹
网站运行用户 拒绝类型 写入属性 写入扩展属性 此文件夹、子文件夹和文件夹
7.B.4、网站程序池
.NET v4.0 集成模式
8、如果安装了主机大师管理IIS网站的
在不使用控制面板时将HwsHostEx、HwsHostSvc、HwsHostWebEx三个服务停用
9、其他目录权限设置参考
www.piis.cn/zhishi/2177.html
文章来源:
网络小编D
版权声明:
本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,请联系本站立刻删除。
