,按照WinWebMail官方提供的权限控制方法,那么Web站点用户通过Webshell就能很轻易浏览F盘WEB站点目录及文件结构,这是很危险的一件事情。
后来我想到一个绝妙的办法解决这个矛盾,方法如下:
如WEB站点是E:\WEB Mail是F:\WINWEBMAIL\WEB
1,对于WinWebMail权限配置还是按照官方说明配置。
2,对于Web站点权限配置是每一个站点独立分配一个帐户,然后这些帐户全部不属于任何组,其权限控制按照我们平时做的去配置即可。
3, 最关键的是E盘与F根目录也就是WEB站与Mail存放的2个盘,方法就是把2个盘根目录设置为Administrators用户组完全控制不需要其他任何权限,而存放WINWEBMAIL的盘根目录需要设置SYSTEM权限,(权限设置为图)
这样Webshell就无法访问F盘根目录也就是MAIL站的盘;这样做可以防止通过Webshell下载Mail系统的配置文件进而破解出一些东西来攻击Mail系统;还有2个F盘权限需要如此设置(图)
这样的设置可以防止F盘被入侵利用起权限跳越其它盘,对于E盘的权限控制,可以使用独立的权限独立用户一定要不属于任何组,也就是说WEB盘每需要加一个站就要建立一个独立的用户给其站点包单独设置用户权限(图)。
4,对于第三步的权限控制继承到其站点子目录,只对当前目录与目录内的文件有效。其它盘权限需要大家设置了我就不说了!
以上心得是我这几天忙碌出来的,也不知道如何,但是我用很多后门测试过了,都没有跳过权限目录!如果说的不对,还请大家指正!
后来我想到一个绝妙的办法解决这个矛盾,方法如下:
如WEB站点是E:\WEB Mail是F:\WINWEBMAIL\WEB
1,对于WinWebMail权限配置还是按照官方说明配置。
2,对于Web站点权限配置是每一个站点独立分配一个帐户,然后这些帐户全部不属于任何组,其权限控制按照我们平时做的去配置即可。
3, 最关键的是E盘与F根目录也就是WEB站与Mail存放的2个盘,方法就是把2个盘根目录设置为Administrators用户组完全控制不需要其他任何权限,而存放WINWEBMAIL的盘根目录需要设置SYSTEM权限,(权限设置为图)
这样Webshell就无法访问F盘根目录也就是MAIL站的盘;这样做可以防止通过Webshell下载Mail系统的配置文件进而破解出一些东西来攻击Mail系统;还有2个F盘权限需要如此设置(图)
这样的设置可以防止F盘被入侵利用起权限跳越其它盘,对于E盘的权限控制,可以使用独立的权限独立用户一定要不属于任何组,也就是说WEB盘每需要加一个站就要建立一个独立的用户给其站点包单独设置用户权限(图)。
4,对于第三步的权限控制继承到其站点子目录,只对当前目录与目录内的文件有效。其它盘权限需要大家设置了我就不说了!
以上心得是我这几天忙碌出来的,也不知道如何,但是我用很多后门测试过了,都没有跳过权限目录!如果说的不对,还请大家指正!
浙公网安备 33010602011771号