Windows权限设置详解2

大元帅

我想 是不是  我们论坛有字数限制，我曾经不是斑竹的时候 发帖子就有字数限制！\n\n不过  就是有限制  你最好是用回复的形式 完整的发完 ，这样有便于我们学习啊！\n这样 分开发   对阅读来说  不是很方便·

fairy

原帖由 dragon5 于 2005-11-22 06:12 PM 发表\n我想 是不是  我们论坛有字数限制，我曾经不是斑竹的时候 发帖子就有字数限制！\n\n不过  就是有限制  你最好是用回复的形式 完整的发完 ，这样有便于我们学习啊！\n这样 分开发   对阅读来说  不是很方便·

\n\n对，用回复

fly30

实例攻击\n　　权限将是你的最后一道防线！那我们现在就来对这台没有经过任何权限设置，全部采用Windows默认权限的服务器进行一次模拟攻击，看看其是否真的固若金汤。\n　　\n　　假设服务器外网域名为http://www.webserver.com，用扫描软件对其进行扫描后发现开放WWW和FTP服务，并发现其服务软件使用的是IIS 5.0和Serv-u 5.1，用一些针对他们的溢出工具后发现无效，遂放弃直接远程溢出的想法。\n　　\n　　打开网站页面，发现使用的是动网的论坛系统，于是在其域名后面加个/upfile.asp，发现有文件上传漏洞，便抓包，把修改过的ASP木马用NC提交，提示上传成功，成功得到WEBSHELL，打开刚刚上传的ASP木马，发现有MS-SQL、Norton Antivirus和BlackICE在运行，判断是防火墙上做了限制，把SQL服务端口屏蔽了。\n　　\n　　通过ASP木马查看到了Norton Antivirus和BlackICE的PID，又通过ASP木马上传了一个能杀掉进程的文件，运行后杀掉了Norton Antivirus和BlackICE。再扫描，发现1433端口开放了，到此，便有很多种途径获得管理员权限了，可以查看网站目录下的conn.asp得到SQL的用户名密码，再登陆进SQL执行添加用户，提管理员权限。也可以抓SERV-U下的ServUDaemon.ini修改后上传，得到系统管理员权限。\n　　\n　　还可以传本地溢出SERV-U的工具直接添加用户到Administrators等等。大家可以看到，一旦黑客找到了切入点，在没有权限限制的情况下，黑客将一帆风顺的取得管理员权限。\n　　\n　　那我们现在就来看看Windows 2000的默认权限设置到底是怎样的。对于各个卷的根目录，默认给了Everyone组完全控制权。这意味着任何进入电脑的用户将不受限制的在这些根目录中为所欲为。\n　　\n　　系统卷下有三个目录比较特殊，系统默认给了他们有限制的权限，这三个目录是Documents and settings、Program files和Winnt。对于Documents and settings，默认的权限是这样分配的：Administrators拥有完全控制权；Everyone拥有读&运，列和读权限；Power users拥有读&运，列和读权限；SYSTEM同Administrators;Users拥有读&运，列和读权限。对于Program files，Administrators拥有完全控制权；Creator owner拥有特殊权限ower users有完全控制权;SYSTEM同Administrators;Terminal server users拥有完全控制权，Users有读&运，列和读权限。\n　　\n　　对于Winnt，Administrators拥有完全控制权；Creator owner拥有特殊权限ower users有完全控制权;SYSTEM同Administrators;Users有读&运，列和读权限。而非系统卷下的所有目录都将继承其父目录的权限，也就是Everyone组完全控制权！\n　　\n　　现在大家知道为什么我们刚刚在测试的时候能一帆风顺的取得管理员权限了吧？权限设置的太低了！一个人在访问网站的时候，将被自动赋予IUSR用户，它是隶属于Guest组的。本来权限不高，但是系统默认给的Everyone组完全控制权却让它“身价倍增”，到最后能得到Administrators了。\n　　\n　　那么，怎样设置权限给这台WEB服务器才算是安全的呢？大家要牢记一句话：“最少的服务+最小的权限=最大的安全”对于服务，不必要的话一定不要装，要知道服务的运行是SYSTEM级的哦，对于权限，本着够用就好的原则分配就是了。\n　　\n　　对于WEB服务器，就拿刚刚那台服务器来说，我是这样设置权限的，大家可以参考一下：各个卷的根目录、Documents and settings以及Program files，只给Administrator完全控制权，或者干脆直接把Program files给删除掉；给系统卷的根目录多加一个Everyone的读、写权；给e:www目录，也就是网站目录读、写权。\n　　\n　　最后，还要把cmd.exe这个文件给挖出来，只给Administrator完全控制权。经过这样的设置后，再想通过我刚刚的方法入侵这台服务器就是不可能完成的任务了。可能这时候又有读者会问：“为什么要给系统卷的根目录一个Everyone的读、写权？网站中的ASP文件运行不需要运行权限吗？”问的好，有深度。是这样的，系统卷如果不给Everyone的读、写权的话，启动计算机的时候，计算机会报错，而且会提示虚拟内存不足。\n　　\n　　当然这也有个前提----虚拟内存是分配在系统盘的，如果把虚拟内存分配在其他卷上，那你就要给那个卷Everyone的读、写权。ASP文件的运行方式是在服务器上执行，只把执行的结果传回最终用户的浏览器，这没错，但ASP文件不是系统意义上的可执行文件，它是由WEB服务的提供者----IIS来解释执行的，所以它的执行并不需要运行的权限。\n　　\n　　深入了解权限背后的意义\n　　经过上面的讲解以后，你一定对权限有了一个初步了了解了吧？想更深入的了解权限，那么权限的一些特性你就不能不知道了，权限是具有继承性、累加性 、优先性、交叉性的。\n　　\n　　继承性是说下级的目录在没有经过重新设置之前，是拥有上一级目录权限设置的。这里还有一种情况要说明一下，在分区内复制目录或文件的时候，复制过去的目录和文件将拥有它现在所处位置的上一级目录权限设置。但在分区内移动目录或文件的时候，移动过去的目录和文件将拥有它原先的权限设置。\n　　\n　　累加是说如一个组GROUP1中有两个用户USER1、USER2，他们同时对某文件或目录的访问权限分别为“读取”和“写入”，那么组GROUP1对该文件或目录的访问权限就为USER1和USER2的访问权限之和，实际上是取其最大的那个，即“读取”+“写入”=“写入”。 又如一个用户USER1同属于组GROUP1和GROUP2，而GROUP1对某一文件或目录的访问权限为“只读”型的，而GROUP2对这一文件或文件夹的访问权限为“完全控制”型的，则用户USER1对该文件或文件夹的访问权限为两个组权限累加所得，即：“只读”+“完全控制”=“完全控制”。\n　　\n　　优先性，权限的这一特性又包含两种子特性，其一是文件的访问权限优先目录的权限，也就是说文件权限可以越过目录的权限，不顾上一级文件夹的设置。另一特性就是“拒绝”权限优先其它权限，也就是说“拒绝”权限可以越过其它所有其它权限，一旦选择了“拒绝”权限，则其它权限也就不能取任何作用，相当于没有设置。\n　　\n　　交叉性是指当同一文件夹在为某一用户设置了共享权限的同时又为用户设置了该文件夹的访问权限，且所设权限不一致时，它的取舍原则是取两个权限的交集，也即最严格、最小的那种权限。如目录A为用户USER1设置的共享权限为“只读”，同时目录A为用户USER1设置的访问权限为“完全控制”，那用户USER1的最终访问权限为“只读”。\n　　\n　　权限设置的问题我就说到这了，在最后我还想给各位读者提醒一下，权限的设置必须在NTFS分区中才能实现的，FAT32是不支持权限设置的。同时还想给各位管理员们一些建议：\n　　\n　　1.养成良好的习惯，给服务器硬盘分区的时候分类明确些，在不使用服务器的时候将服务器锁定，经常更新各种补丁和升级杀毒软件。\n　　\n　　2.设置足够强度的密码，这是老生常谈了，但总有管理员设置弱密码甚至空密码。\n　　\n　　3.尽量不要把各种软件安装在默认的路径下\n　　\n　　4.在英文水平不是问题的情况下，尽量安装英文版操作系统。\n　　\n　　5.切忌在服务器上乱装软件或不必要的服务。\n　　\n　　6.牢记：没有永远安全的系统，经常更新你的知识。\n\n\n=========================\n文章类型:转载 提交:匿名 核查:NetDemon

fairy

为什么要分开发，做一贴不更好！

fly30

《 匿名FTP的安全设定 》 \n\n在网络上，匿名FTP是一个很常用的服务，常用于软件下载网站，软件交流网站等，为了提 \n高匿名FTP服务开放的过程中的安全性，我们就这一问题进行一些讨论。 \n以下的设定方式是由过去许多网站累积的经验与建议组成。我们认为可以让有个别 \n需求的网站拥有不同设定的选择。 \n设定匿名FTP \nA.FTP daemon \n网站必须确定目前使用的是最新版本的FTP daemon。 \nB设定匿名FTP的目录 \n匿名ftp的根目录(~ftp)和其子目录的拥有者不能为ftp帐号，或与ftp相同群组的帐号。这是 \n一般常见的设定问题。假如这些目录被ftp或与ftp相同群组的帐号所拥有，又没有做好防止 \n写入的保护，入侵者便可能在其中增加文件(例如：.rhosts檔)或修改其它文件。许多网站?市硎褂胷oot帐号。让匿名FTP的根目录与子目录的拥有者是root，所属族群(group)为system??⑾薅ù嫒∪?如chmod 0755)，如此只有root有写入的权力，这能帮助你维持FTP服务的安??? \n以下是一个匿名ftp目录的设定范例： \ndrwxr-xr-x 7 root system 512 Mar 1 15:17 ./ \ndrwxr-xr-x 25 root system 512 Jan 4 11:30 ../ \ndrwxr-xr-x 2 root system 512 Dec 20 15:43 bin/ \ndrwxr-xr-x 2 root system 512 Mar 12 16:23 etc/ \ndrwxr-xr-x 10 root system 512 Jun 5 10:54 pub/ \n\n所有的文件和链接库，特别是那些被FTP daemon使用和那些在 ~ftp/bin 与~ftp/etc 中的文 \n件，应该像上面范例中的目录做相同的保护。这些文件和链接库除了不应该被ftp帐号或与f \ntp相同群组的帐号所拥有之外，也必须防止写入。 \n\nC.使用合实拿苈胗肴鹤槲募?我们强烈建议网站不要使用系统中 /etc/passwd 做为~ftp/etc 目录中的密码文件或将系统 \n中 /etc/group 做为 ~ftp/etc目录中的群组文件。在~ftp/etc目录中放置这些文件会使得入 \n侵者取得它们。这些文件是可自定的而且不是用来做存取控制。 \n\n我们建议你在 ~ftp/etc/passwd 与 ~ftp/etc/group 使用代替的文件。这些文件必须由roo \nt所拥有。DIR命令会使用这代替的文件来显示文件及目录的拥有者和群组名称。网站必须确 \n定 ~/ftp/etc/passwd档中没有包含任何与系统中 /etc/passwd文件中相同的帐号名称。这些 \n文件应该仅仅包含需要显示的FTP阶层架构中文件与目录的拥有者与所属群组名称。此外，确 \n定密码字段是\"整理\"过的。例如使用「*」来取代密码字段。 \n\n以下为cert中匿名ftp的密码文件范例 \nssphwg:*:3144:20:Site Specific Policy Handbook Working Group:: \ncops:*:3271:20:COPS Distribution:: \ncert:*:9920:20:CERT:: \ntools:*:9921:20:CERT Tools:: \nftp:*:9922:90:Anonymous FTP:: \nnist:*:9923:90:NIST Files:: \n\n以下为cert中匿名ftp的群组文件范例 \ncert:*:20: \nftp:*:90: \n\n\n\n\nII..在你的匿名ftp提供可写入的目录 \n\n让一个匿名ftp服务允许使用者储存文件是有风险存在的。我们强烈提醒网站不要自动建立一 \n个上传目录，除非已考虑过相关的风险。CERT/CC的事件回报成员接获许多使用上传目录造成 \n非法传输版权软件或交换帐号与密码信息的事件。也接获恶意地将系统文件灌报造成denial \nof service问题。 \n\n本节在讨论利用三种方法来解决这个问题。第一种方法是使用一个修正过的FTP daemon。第 \n二个方法是提供对特定目录的写入限制。第三种方法是使用独立的目录。 \n\nA. 修正过的FTP daemon \n假如你的网站计划提供目录用来做文件上传，我们建议使用修正过的FTP daemon对文件上传 \n的目录做存取的控制。这是避免使用不需要的写入区域的最好的方法。以下有一些建议： \n\n1.限定上传的文件无法再被存取， 如此可由系统管理者检测后，再放至于适当位置供人下载 \n。 \n2.限制每个联机的上传资料大小。 \n3.依照现有的磁盘大小限制数据传输的总量。 \n4.增加登录记录以提前发现不当的使用。 \n\n若您欲修改FTP daemon， 您应该可以从厂商那里拿到程序代码， 或者您可从下列地方取得 \n公开的FTP程序原始码: \nwuarchive.wustl.edu ~ftp/packages/wuarchive-ftpd \nftp.uu.net ~ftp/systems/unix/bsd-sources/libexec/ftpd \ngatekeeper.dec.com ~ftp/pub/DEC/gwtools/ftpd.tar.Z \n\nCERT/CC 并没有正式地对所提到的FTP daemon做检测、评估或背书。要使用何种FTP daemon \n由每个使用者或组织负责决定，而CERT/CC建议每个机关在安装使用这些程序之前， 能做一 \n个彻底的评估。 \n\nB. 使用保护的目录 \n假如你想要在你的FTP站提供上传的服务， 而你又没办法去修改FTP daemon， 我们就可以使 \n用较复杂的目录架构来控制存取。这个方法需要事先规划并且无法百分之百防止FTP可写入区 \n域遭不当使用， 不过许多FTP站仍使用此方法。 \n\n为了保护上层的目录(~ftp/incoming)， 我们只给匿名的使用者进入目录的权限(chmod 751 \n~ftp/incoming)。这个动作将使得使用者能够更改目录位置(cd)，但不允许使用者检视目录 \n内容。Ex: \ndrwxr-x--x 4 root system 512 Jun 11 13:29 incoming/ \n\n在~ftp/incoming使用一些目录名只让你允许他们上传的人知道。为了要让别人不易猜到目录 \n名称， 我们可以用设定密码的规则来设定目录名称。请不要使用本文的目录名称范例(避免 \n被有心人士发现您的目录名， 并上传文件) \ndrwxr-x-wx 10 root system 512 Jun 11 13:54 jAjwUth2/ \ndrwxr-x-wx 10 root system 512 Jun 11 13:54 MhaLL-iF/ \n\n很重要的一点是，一旦目录名被有意无意的泄漏出来， 那这个方法就没什么保护作用。只要 \n目录名称被大部分人知道， 就无法保护那些要限定使用的区域。假如目录名被大家所知道， \n那你就得选择删除或更改那些目录名。 \n\nC. 只使用一颗硬盘: \n假如你想要在你的FTP站提供上传的服务， 而你又没办法去修改FTP daemon， \n您可以将所有上传的资料集中在同一个挂(mount)在~ftp/incoming上的文件系统。可以的话 \n，将一颗单独的硬盘挂(mount)在~ftp/incoming上。系统管理者应持续检视这个目录(~ftp/ \nincoming)， 如此便可知道开放上传的目录是否有问题。 \n\n\n\n\n\n\n限制FTP用户目录 \n匿名FTP可以很好地限制用户只能在规定的目录范围内活动，但正式的FTP用户默认不会受到 \n这种限制，这样，他可以自由在根目录、系统目录、其他用户的目录中读取一些允许其他用 \n户读取的文件。 \n如何才能把指定的用户象匿名用户一样限制在他们自己的目录中呢？以下我们以red hat和 \nwu-ftp为例做一介绍。 \n1 创建一个组，用groupadd命令，一般可以就用ftp组，或者任何组名. \n-----相关命令: groupadd ftpuser \n-----相关文件: /etc/group \n-----相关帮助: man groupadd \n2 创建一个用户，如testuser，建立用户可用adduser命令.如果你已在先前建立了 testuse \nr这个用户，可以直接编辑/etc/passwd文件，把这个用户加入到ftpuser这个组中. \n-----相关命令: adduser testuser -g ftpuser \n-----相关文件: /etc/passwd \n-----相关帮助: man adduser \n3 修改/etc/ftpaccess文件，加入guestgroup的定义： guestgroup ftpuser我是这样改的， \n加的是最后5行 \ncompress yes all \ntar yes all \nchmod no anonymous \ndelete no anonymous \noverwrite no anonymous \nrename no anonymous \nchmod yes guest \ndelete yes guest \noverwrite yes guest \nrename yes guest \nguestgroup ftpuser \n\n除了加 guestgroup ftpuser 这行，其他4行也要加上，否则用户登陆后，虽然可以达到用户 \n不能返回上级目录的目的，但是却只能上传，不能覆盖、删除文件! \n\n-----相关命令: vi /etc/ftpaccess \n-----相关文件: /etc/ftpaccess \n-----相关帮助: man ftpaccess，man chroot \n\n4 向这个用户的根目录下拷贝必要的文件，拷贝ftp server自带的目录，把 /home/ftp/下的 \nbin，lib两个目录拷贝到这个用户的根目录下，因为一些命令(主要是ls)需要Lib支持，否则 \n不能列目录和文件. \n\n-----相关命令: \ncp -rf /home/ftp/lib /home/testuser;cp -rf /home/ftp/bin /home/testuser \n\n5 另外可别忘了关掉用户的telnet权，否则就白做了噢. 怎么不让用户telnet呢?很简单: \n在/etc/shells里加一行/dev/null ，然后可以直接编辑/etc/passwd文件，把用 \n户的shell设置为/dev/null就可以了. \n\n-----相关命令: vi /etc/passwd \n这一步可以在步骤2 创建一个用户时就先做好. \n-----相关命令: adduser testuser -g ftpuser -s /dev/null \n小经验:只要把/home/ftp下的bin和lib目录cp到/etc/skel目录里，以后新建用 \n户都会自动把bin和lib目录CP到用户目录里，当然你也可以加上public_html目 \n录和cgi-bin目录. \n经过以上设置，testuser这个用户的所有FTP动作将限制在他的/home/testuser目录中。\n\n\n\n大家不防试试看哦~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~\n=========================\n文章类型:转载 提交:影影 核查:NetDemon