账号通
    

账号  

密码  

2648

查看

3

回复
主题:[讨论] 关于文件权限 及 安全配置,打造安全的网站 [收藏主题] 转到:  
abrush 当前离线

354

主题

0

广播

0

粉丝
添加关注
级别:三年级

用户积分:1946 分
登录次数:74 次
注册时间:2008/12/17
最后登录:2012/8/24
abrush 发表于:2009/11/2 17:51:00   | 只看该作者 查看该作者主题 楼主 
科汛在线考试系统(NET)
 文件写入权限及安全配置。 估计很多人都不是很清楚,稍微清楚的人估计也不清晰,我现在遇到点模糊的概念,发个帖子来问问大家都是怎么设置的。

1 哪些文件及文件夹 需要写入权限

全站给写入文件估计不安全,所以只给一部分写入权限,具体给哪些,说实话我也不太清晰

我选择的是:

html (我生成的是静态页)

/index.html (根下的文件,原因同上)

KS_data (不用说肯定要给)

KS_Cls (说实话这个要不要给不清楚)

KS_Inc (这个不给后台保存基本设置的时候会提示检查是否有写入,故也给)

UpFiles 和 UpLoadFiles (上传文件路径要给)

------------------------------

Guestbook、JS、Template 没给,因为我不用留言本,不用生成导航菜单,也不会在线编辑模板



2 写入权限给哪个用户?

以前我一直把写入权限是给 IIS_IUSER 用户,可今天在一个server2008 / IIS7 的机器上试了一下又不行,只有给了 User 写入权限才OK,所以现在我也不清楚具体怎么设置,就暂时两个用户都开启写入权限。 了解的朋友 希望告知 大家后面讨论!


此主题相关图片如下:iis7.gif
iis7.gif


3 关于脚本执行

不允许执行asp脚本权限的文件夹都有哪些?

目前所知的是:
UpFiles 和 UpLoadFiles 绝对不给执行脚本权限

科汛官方在这个帖子里也提到了 :
有权限的用户,
请一定将uploadfiles,template,config,ks_data,api,js,html,images等目录设置成不允许执行脚本


IIS 5/6 用户如何设置可以参考这里点击浏览
IIS 7 如何设置,(我自己摸索的后面会跟帖说)  还请官方 或 清楚知道的朋友跟帖留言。

+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++



另附上一些可选设置:

如果你的网站只用到其中一部分功能,可以根据需要删除相应的目录,现将V6目录功能说明如下:

ask ---问答(不需要可以删除)

club ---小论坛/留言系统(不需要可以删除)

user ---会员系统(不需要可以删除) --- 注意这个删除后 后台顶部会有点错位 原因是站内短信不能获取而出现404错误

company ---公司库展示页面(不需要可以删除)

product  ---产品库展示页面(不需要可以删除)

space    --企业/个人空间(不需要可以删除)

plus/announce --公告页面(不需要可以删除)

plus/cc            --cc视频插件(不需要可以删除)

plus/link          --友情链接系统(不需要可以删除)

plus/wss         --wss统计器(不面要可以删除)

ks_editor/fckeditor  ---fck编辑器(如果没有启用会员系统及后台没有用到可以删除)


如果你不想用到官方的在线更新通知功能,请打开

admin/ks.update.asp,找到

'是否允许自动检测最新版本 true 允许 false 不允许
const EnabledAutoUpdate=true   把true改成false





 
  支持(0) | 反对(0) 回到顶部顶端 回到底部底部
it 当前离线

618

主题

0

广播

0

粉丝
添加关注
级别:六年级

用户积分:2874 分
登录次数:26 次
注册时间:2009/7/7
最后登录:2012/5/2
it 发表于:2009/11/3 17:41:00   | 只看该作者 查看该作者主题 沙发 

我喜欢在服务器上修改,所以这样就很麻烦,所以主机设置成允许特定IP。科讯中毒就没办法,自动升级好像是不限制的,所以最好是自动升级要用户自行选择。

 

其实感觉科讯自动升级不是为了用户,而是为了自己,因为可以随时,但这就意味着代价,出问题也是很严重。这次事件也可以当成用户对自动升级的回应。

 
  支持(0) | 反对(0) 回到顶部顶端 回到底部底部
abrush 当前离线

354

主题

0

广播

0

粉丝
添加关注
级别:三年级

用户积分:1946 分
登录次数:74 次
注册时间:2008/12/17
最后登录:2012/8/24
abrush 发表于:2009/11/3 15:45:00   | 只看该作者 查看该作者主题 藤椅 
 安全为先,怎么没人来讨论 不要啊
 
  支持(0) | 反对(0) 回到顶部顶端 回到底部底部
gbtt369 当前离线

323

主题

14

广播

2

粉丝
添加关注
级别:三年级

用户积分:4208 分
登录次数:155 次
注册时间:2009/10/9
最后登录:2017/5/8
gbtt369 发表于:2009/11/3 0:04:00   | 只看该作者 查看该作者主题 板凳 
科汛在线网校系统

看完对V6感觉更清楚些了~~~谢谢LZ

 
  支持(0) | 反对(0) 回到顶部顶端 回到底部底部
<上一主题 | 下一主题 >
Powered By KesionCMS Version X1
厦门科汛软件有限公司 © 2006-2016 页面执行0.09375秒 powered by KesionCMS 9.0