Toon posts:

[IIS / Win2k3] Probleem met parent paths

Pagina: 1
Acties:

zaterdag 30 april 2005 00:09

Acties:

Verwijderd

Topicstarter
Ik wil mijn webserver zo veilig mogelijk instellen, sowieso moeten bestanden van mijn klanten absoluut beveiligd zijn, maar ook wachtwoorden en instellingen van de server.

Wat ik eigenlijk graag wil voor mijn klanten, is dat ze een eigen map op de hardeschijf krijgen, bijvoorbeeld: C:\LocalUser\Henk\

In die map staat standaard de \www\ map, dat is de root van de IIS website. De klant kan zelf extra subdomeinen aanmaken, bijvoorbeeld \forum\ of zoiets, dat zou dan een nieuwe IIS website worden. Ik kan mij dan voorstellen dat de klant een centrale Microsoft Access database wil hebben, die komt dan bijvoorbeeld in \db\ te staan, zonder website en is dus niet toegankelijk voor de buitenwereld.

In tabelvorm zou het er dan als volgt uit zien:

Map op hardeschijf:IIS website:
C:\LocalUser\Henk\db\-
C:\LocalUser\Henk\www\www.henk.nl
C:\LocalUser\Henk\forum\forum.henk.nl


Is er een mogelijkheid dat de klant met beide websites in de map \db\ kan komen, maar dat ik de functie Enable Parent Paths uit laat staan? Als ik die functie namelijk aan zet, dan heeft de klant toegang tot de hele harde schijf.

Als ik meer informatie moet geven dan hoor ik het wel :)

zaterdag 30 april 2005 00:14

Acties:

Verwijderd

Het ligt eraan hoe je het bekijkt. Via asp zal het niet mogelijk zijn om buiten de eigen site te komen, zelfs niet als je enable parent paths aanzet, dat gaat namelijk tot de site root.

Via ftp kan de gebruiker henk natuurlijk wel bij alle 3 de mappen.

Heb je verder nog components geinstalleerd? Verder moet je natuurlijk altijd zorgen dat je fysieke paden probeert de vermijden, vooral upload components hebben hier wel een handje van. Verder is FSO ook iets waar je op moet letten

zaterdag 30 april 2005 00:26

Acties:

Verwijderd

Topicstarter
Het gaat inderdaad om ASP/PHP scripts (met FSO bijvoorbeeld), die kunnen met Enable Parent Paths op de hele hardeschijf bestanden lezen/verwijderen etc.. Het is heel vreemd, maar klanten kunnen ook in mappen komen waar ze volgens de Security Settings eigenlijk helemaal niet mogen komen. De enige oplossing die ik kan verzinnen is Enable Parent Paths uitzetten, maar dan kunnen ze ook niet meer in hun eigen mappen komen ;)

zaterdag 30 april 2005 00:37

Acties:
  • pistole
  • Registratie: Juli 2000
  • Laatst online: 09:29

pistole

Frutter

Verwijderd schreef op zaterdag 30 april 2005 @ 00:26:
Het gaat inderdaad om ASP/PHP scripts (met FSO bijvoorbeeld), die kunnen met Enable Parent Paths op de hele hardeschijf bestanden lezen/verwijderen etc.. Het is heel vreemd, maar klanten kunnen ook in mappen komen waar ze volgens de Security Settings eigenlijk helemaal niet mogen komen. De enige oplossing die ik kan verzinnen is Enable Parent Paths uitzetten, maar dan kunnen ze ook niet meer in hun eigen mappen komen ;)
wellicht kan je een oplossing vinden in het maken van een virtual directory voor bijvoorbeeld /db, en read access via IIS verbieden.

Wat betreft die security: bedenk wel dat het gaat om IUSR_bla ipv 'henk' waarvoor je de security moet checken

Ik frut, dus ik epibreer

zaterdag 30 april 2005 01:21

Acties:

Verwijderd

Topicstarter
pistole schreef op zaterdag 30 april 2005 @ 00:37:wellicht kan je een oplossing vinden in het maken van een virtual directory voor bijvoorbeeld /db, en read access via IIS verbieden.
Dat is een geweldig idee :*)
Ik ga morgen direct kijken of dat mogelijk is en voor- en nadelen zoeken. Dit is ook vrij gemakkelijk te implementeren in mijn control panel :)

Dat ik daar zelf niet op gekomen ben 8)7
Wat betreft die security: bedenk wel dat het gaat om IUSR_bla ipv 'henk' waarvoor je de security moet checken
IIS websites draaien onder een eigen NT account. De IUSR account wordt dus niet gebruikt voor klanten.

Hartelijk dank voor je reactie! :)

zaterdag 30 april 2005 12:40

Acties:
  • pistole
  • Registratie: Juli 2000
  • Laatst online: 09:29

pistole

Frutter

Verwijderd schreef op zaterdag 30 april 2005 @ 01:21:
[...]

IIS websites draaien onder een eigen NT account. De IUSR account wordt dus niet gebruikt voor klanten.

Hartelijk dank voor je reactie! :)
Maar je schrijft wél dat klanten(websites) op plaatsen mogen komen (via fso?) waar ze eigenlijk geen rechten hebben. Wellicht verstandig om auditing even volledig aan te zetten?

Ik frut, dus ik epibreer

Pagina: 1
Reageer