經常一設定許可權就迷茫
iis web 伺服器的許可權設定有兩個地方,乙個是 ntfs 檔案系統本身的許可權設定,另乙個是 iis 下 **->預設**->右擊屬性->虛擬目錄 面板上。這兩個地方是密切相關的。下面我會以例項的方式來講解如何設定許可權。
指令碼資源訪問:使用者可以對**目錄的指令碼檔案有操作的許可權,前提是開啟讀取或者寫入許可權,開啟讀取許可權就有讀取指令碼檔案(源**)的許可權,開啟寫入許可權就有寫入指令碼檔案的許可權。
如果開啟寫入許可權不開啟指令碼資源訪問許可權,則只有上傳普通檔案的許可權,沒有修改為指令碼檔案字尾的許可權。
索引資源:授予此許可權將允許microsoft 索引服務在**的全文索引中包含該資料夾。授予此項許可權後,使用者將可以對此資源執行查詢。
6 個選項。這 6 個選項中,「記錄訪問」和「索引資源」跟安全性關係不大,一般都設定。但是如果前面四個許可權都沒有設定的話,這兩個許可權也沒有必要設定。在設定許可權時,記住這個規則即可,後面的例子中不再特別說明這兩個許可權的設定。
另外在這 6 個選項下面的【虛擬目錄】|【應用程式設定】|【執行許可權】下拉列表中還有「無」、「純指令碼」和「純指令碼和可執行程式」3 個選項。
「純指令碼」:單擊此設定可在伺服器上執行諸如 asp 程式之類的指令碼。
「指令碼和可執行檔案」:單擊此設定可在伺服器上同時執行 asp 程式之類的指令碼和可執行程式。
iis 5.1新建虛擬目錄,預設情況下,勾選了讀取、記錄訪問和索引資源,執行許可權為「純指令碼」,應用程式保護為「中(共用)」。在文件標籤中勾選了「啟用預設文件」。目錄安全性選項中啟用了匿名訪問,匿名訪問賬戶為iusr_,勾選了「允許iis控制密碼」。
**目錄如果在 ntfs 分割槽(推薦用這種)的話,還需要對 ntfs 分割槽上的這個目錄設定相應許可權,許多地方都介紹設定 everyone 的許可權,實際上這是不好的,其實只要設定好 internet 來賓帳號(iusr_******x)或 iis_wpg 組的帳號許可權就可以了。如果是設定 asp、php 程式的目錄許可權,那麼設定 internet 來賓帳號的許可權,而對於 asp.net 程式,則需要設定 iis_wpg 組的帳號許可權。在後面提到 ntfs 許可權設定時會明確指出,沒有明確指出的都是指設定 iis 屬性面板上的許可權。
例1—— asp、php、asp.net 程式所在目錄的許可權設定:
如果這些程式是要執行的,那麼需要設定「讀取」許可權,並且設定執行許可權為「純指令碼」。不要設定「寫入」和「指令碼資源訪問」,更不要設定執行許可權為「純指令碼和可執行程式」。ntfs 許可權中不要給 iis_wpg 使用者組和 internet 來賓帳號設定寫和修改許可權。如果有一些特殊的配置檔案(而且配置檔案本身也是 asp、php 程式),則需要給這些特定的檔案配置 ntfs 許可權中的 internet 來賓帳號(asp.net 程式是 iis_wpg 組)的寫許可權,而不要配置 iis 屬性面板中的「寫入」許可權。
iis 面板中的「寫入」許可權實際上是對 http put 指令的處理,對於普通**,一般情況下這個許可權是不開啟的。
iis 面板中的「指令碼資源訪問」不是指可以執行指令碼的許可權,而是指可以訪問源**的許可權,如果同時又開啟「寫入」許可權的話,那麼就非常危險了。
執行許可權中「純指令碼和可執行程式」許可權可以執行任意程式,包括exe 可執行程式,如果目錄同時有「寫入」許可權的話,那麼就很容易被人上傳並執行木馬程式了。
例2—— 上傳目錄的許可權設定:
使用者的**上可能會設定乙個或幾個目錄允許上傳檔案,上傳的方式一般是通過 asp、php、asp.net 等程式來完成。這時需要注意,一定要將上傳目錄的執行許可權設為「無」,這樣即使上傳了 asp、php 等指令碼程式或者 exe 程式,也不會在使用者瀏覽器裡就觸發執行。
同樣,如果不需要使用者用 put 指令上傳,那麼不要開啟該上傳目錄的「寫入」許可權。而應該設定 ntfs 許可權中的 internet 來賓帳號(asp.net 程式的上傳目錄是 iis_wpg 組)的寫許可權。
例3—— access 資料庫所在目錄的許可權設定:
例4—— 其它目錄的許可權設定:
你的**下可能還有純目錄、純 html 模版目錄、純客戶端 js 檔案目錄或者樣式表目錄等,這些目錄只需要設定「讀取」許可權即可,執行許可權設成「無」即可。其它許可權一概不需要設定。
**這裡
IIS許可權設定
指令碼資源訪問 使用者可以對 目錄的指令碼檔案有操作的許可權,前提是開啟讀取或者寫入許可權,開啟讀取許可權就有讀取指令碼檔案 源 的許可權,開啟寫入許可權就有寫入指令碼檔案的許可權。如果開啟寫入許可權不開啟指令碼資源訪問許可權,則只有上傳普通檔案的許可權,沒有修改為指令碼檔案字尾的許可權。6 個選項...
IIS許可權設定
iis許可權設定 雖然 apache 的名聲可能比 iis 好,但用 iis 來做 web 伺服器的人一定也不少。說實話,iis 還是不錯的,尤其是 windows 2003 的 iis 6 馬上 longhorn server 的 iis 7 也就要來了,相信會更好 效能和穩定性都相當不錯。但是許...
IIS許可權設定
雖然 apache 的名聲可能比 iis 好,但我相信用 iis 來做 web 伺服器的人一定也不少。說實話,我覺得 iis 還是不錯的,尤其是 windows 2003 的 iis 6 馬上 longhorn server 的 iis 7 也就要來了,相信會更好 效能和穩定性都相當不錯。但是我發現...