構(gòu)建免受 FSO 威脅虛擬主機(jī)(一)
更新時(shí)間:2006年10月28日 00:00:00 作者:
現(xiàn)在絕大多數(shù)的虛擬主機(jī)都禁用了 ASP 的標(biāo)準(zhǔn)組件:FileSystemObject,因?yàn)檫@個(gè)組件為 ASP 提供了強(qiáng)大的文件系統(tǒng)訪問能力,可以對服務(wù)器硬盤上的任何文件進(jìn)行讀、寫、復(fù)制、刪除、改名等操作(當(dāng)然,這是指在使用默認(rèn)設(shè)置的 Windows NT / 2000 下才能做到)。但是禁止此組件后,引起的后果就是所有利用這個(gè)組件的 ASP 將無法運(yùn)行,無法滿足客戶的需求。
如何既允許 FileSystemObject 組件,又不影響服務(wù)器的安全性(即:不同虛擬主機(jī)用戶之間不能使用該組件讀寫別人的文件)呢?這里介紹本人在實(shí)驗(yàn)中獲得的一種方法,下文以 Windows 2000 Server 為例來說明。
在服務(wù)器上打開資源管理器,用鼠標(biāo)右鍵點(diǎn)擊各個(gè)硬盤分區(qū)或卷的盤符,在彈出菜單中選擇“屬性”,選擇“安全”選項(xiàng)卡,此時(shí)就可以看到有哪些帳號可以訪問這個(gè)分區(qū)(卷)及訪問權(quán)限。默認(rèn)安裝后,出現(xiàn)的是“Everyone”具有完全控制的權(quán)限。點(diǎn)“添加”,將“Administrators”、“Backup Operators”、“Power Users”、“Users”等幾個(gè)組添加進(jìn)去,并給予“完全控制”或相應(yīng)的權(quán)限,注意,不要給“Guests”組、“IUSR_機(jī)器名”這幾個(gè)帳號任何權(quán)限。然后將“Everyone”組從列表中刪除,這樣,就只有授權(quán)的組和用戶才能訪問此硬盤分區(qū)了,而 ASP 執(zhí)行時(shí),是以“IUSR_機(jī)器名”的身份訪問硬盤的,這里沒給該用戶帳號權(quán)限,ASP 也就不能讀寫硬盤上的文件了。
下面要做的就是給每個(gè)虛擬主機(jī)用戶設(shè)置一個(gè)單獨(dú)的用戶帳號,然后再給每個(gè)帳號分配一個(gè)允許其完全控制的目錄。
如下圖所示,打開“計(jì)算機(jī)管理”→“本地用戶和組”→“用戶”,在右欄中點(diǎn)擊鼠標(biāo)右鍵,在彈出的菜單中選擇“新用戶”:
<IMG SRC="http://202.100.116.12/paddy/bbsimages/fsosafe/001.gif" border=0>
在彈出的“新用戶”對話框中根據(jù)實(shí)際需要輸入“用戶名”、“全名”、“描述”、“密碼”、“確認(rèn)密碼”,并將“用戶下次登錄時(shí)須更改密碼”前的對號去掉,選中“用戶不能更改密碼”和“密碼永不過期”。本例是給第一虛擬主機(jī)的用戶建立一個(gè)匿名訪問 Internet 信息服務(wù)的內(nèi)置帳號“IUSR_VHOST1”,即:所有客戶端使用 http://xxx.xxx.xxxx/ 訪問此虛擬主機(jī)時(shí),都是以這個(gè)身份來訪問的。輸入完成后點(diǎn)“創(chuàng)建”即可??梢愿鶕?jù)實(shí)際需要,創(chuàng)建多個(gè)用戶,創(chuàng)建完畢后點(diǎn)“關(guān)閉”:
<IMG SRC="http://202.100.116.12/paddy/bbsimages/fsosafe/002.gif" border=0>
現(xiàn)在新建立的用戶已經(jīng)出現(xiàn)在帳號列表中了,在列表中雙擊該帳號,以便進(jìn)一步進(jìn)行設(shè)置:
<IMG SRC="http://202.100.116.12/paddy/bbsimages/fsosafe/003.gif" border=0>
在彈出的“IUSR_VHOST1”(即剛才創(chuàng)建的新帳號)屬性對話框中點(diǎn)“隸屬于”選項(xiàng)卡:
<IMG SRC="http://202.100.116.12/paddy/bbsimages/fsosafe/004.gif" border=0>
剛建立的帳號默認(rèn)是屬于“Users”組,選中該組,點(diǎn)“刪除”:
<IMG SRC="http://202.100.116.12/paddy/bbsimages/fsosafe/005.gif" border=0>
現(xiàn)在出現(xiàn)的是如下圖所示,此時(shí)再點(diǎn)“添加”:
<IMG SRC="http://202.100.116.12/paddy/bbsimages/fsosafe/006.gif" border=0>
如何既允許 FileSystemObject 組件,又不影響服務(wù)器的安全性(即:不同虛擬主機(jī)用戶之間不能使用該組件讀寫別人的文件)呢?這里介紹本人在實(shí)驗(yàn)中獲得的一種方法,下文以 Windows 2000 Server 為例來說明。
在服務(wù)器上打開資源管理器,用鼠標(biāo)右鍵點(diǎn)擊各個(gè)硬盤分區(qū)或卷的盤符,在彈出菜單中選擇“屬性”,選擇“安全”選項(xiàng)卡,此時(shí)就可以看到有哪些帳號可以訪問這個(gè)分區(qū)(卷)及訪問權(quán)限。默認(rèn)安裝后,出現(xiàn)的是“Everyone”具有完全控制的權(quán)限。點(diǎn)“添加”,將“Administrators”、“Backup Operators”、“Power Users”、“Users”等幾個(gè)組添加進(jìn)去,并給予“完全控制”或相應(yīng)的權(quán)限,注意,不要給“Guests”組、“IUSR_機(jī)器名”這幾個(gè)帳號任何權(quán)限。然后將“Everyone”組從列表中刪除,這樣,就只有授權(quán)的組和用戶才能訪問此硬盤分區(qū)了,而 ASP 執(zhí)行時(shí),是以“IUSR_機(jī)器名”的身份訪問硬盤的,這里沒給該用戶帳號權(quán)限,ASP 也就不能讀寫硬盤上的文件了。
下面要做的就是給每個(gè)虛擬主機(jī)用戶設(shè)置一個(gè)單獨(dú)的用戶帳號,然后再給每個(gè)帳號分配一個(gè)允許其完全控制的目錄。
如下圖所示,打開“計(jì)算機(jī)管理”→“本地用戶和組”→“用戶”,在右欄中點(diǎn)擊鼠標(biāo)右鍵,在彈出的菜單中選擇“新用戶”:
<IMG SRC="http://202.100.116.12/paddy/bbsimages/fsosafe/001.gif" border=0>
在彈出的“新用戶”對話框中根據(jù)實(shí)際需要輸入“用戶名”、“全名”、“描述”、“密碼”、“確認(rèn)密碼”,并將“用戶下次登錄時(shí)須更改密碼”前的對號去掉,選中“用戶不能更改密碼”和“密碼永不過期”。本例是給第一虛擬主機(jī)的用戶建立一個(gè)匿名訪問 Internet 信息服務(wù)的內(nèi)置帳號“IUSR_VHOST1”,即:所有客戶端使用 http://xxx.xxx.xxxx/ 訪問此虛擬主機(jī)時(shí),都是以這個(gè)身份來訪問的。輸入完成后點(diǎn)“創(chuàng)建”即可??梢愿鶕?jù)實(shí)際需要,創(chuàng)建多個(gè)用戶,創(chuàng)建完畢后點(diǎn)“關(guān)閉”:
<IMG SRC="http://202.100.116.12/paddy/bbsimages/fsosafe/002.gif" border=0>
現(xiàn)在新建立的用戶已經(jīng)出現(xiàn)在帳號列表中了,在列表中雙擊該帳號,以便進(jìn)一步進(jìn)行設(shè)置:
<IMG SRC="http://202.100.116.12/paddy/bbsimages/fsosafe/003.gif" border=0>
在彈出的“IUSR_VHOST1”(即剛才創(chuàng)建的新帳號)屬性對話框中點(diǎn)“隸屬于”選項(xiàng)卡:
<IMG SRC="http://202.100.116.12/paddy/bbsimages/fsosafe/004.gif" border=0>
剛建立的帳號默認(rèn)是屬于“Users”組,選中該組,點(diǎn)“刪除”:
<IMG SRC="http://202.100.116.12/paddy/bbsimages/fsosafe/005.gif" border=0>
現(xiàn)在出現(xiàn)的是如下圖所示,此時(shí)再點(diǎn)“添加”:
<IMG SRC="http://202.100.116.12/paddy/bbsimages/fsosafe/006.gif" border=0>
相關(guān)文章
ASP中FSO的神奇功能 - 用FSO進(jìn)行內(nèi)容管理
ASP中FSO的神奇功能 - 用FSO進(jìn)行內(nèi)容管理...2006-10-10不用模板,只用ASP+FSO生成靜態(tài)HTML頁的一個(gè)方法
不用模板,只用ASP+FSO生成靜態(tài)HTML頁的一個(gè)方法...2006-10-10一個(gè)實(shí)用的FSO-實(shí)時(shí)統(tǒng)計(jì)在線人數(shù)
一個(gè)實(shí)用的FSO-實(shí)時(shí)統(tǒng)計(jì)在線人數(shù)...2006-10-10