網站如何修改配置文件許可權
1. 如何修改文件的許可權
現在越來越多的用戶使用NTFS文件系統來增強Windows系統的安全性。通常是在圖形用戶界面(GUI)的「安全」選項卡中對文件或目錄訪問控制許可權進行設置。還有一種設置方式大家可能很少使用,這就是Cacls命令。
雖然它是一個基於命令行的命令,使用起來有點繁瑣,但只要你合理利用,也會在提高系統安全性方面起到很好的效果。Cacls命令使用格式如下:
Cacls
filename
[/T]
[/E]
[/C]
[/G
user:perm]
[/R
user
[...]]
[/P
user:perm
[...]]
[/D
user
[...]]
Filename——顯示訪問控制列表(以下簡稱ACL);
/T——更改當前目錄及其所有子目錄中指定文件的
ACL;
/E——
編輯
ACL
而不替換;
/C——在出現拒絕訪問錯誤時繼續;
/G
user:perm——賦予指定用戶訪問許可權。Perm
可以是R(讀取)、W(寫入)、C(更改,寫入)、F
(完全控制);
/R
user——撤銷指定用戶的訪問許可權(僅在與
/E
一起使用);
/P
user:perm——替換指定用戶的訪問許可權;
/D
user——拒絕指定用戶的訪問。
1.查看目錄和ACL
以Windows
XP系統為例,筆者使用Cacls命令查看E盤CCE目錄訪問控制許可權。點擊「開始→運行」,在運行對話框中輸入「CMD」命令,彈出命令提示符對話框,在「E:\>」提示符下輸入「Cacls
CCE」命令,接著就會列出Windows
XP系統中用戶組和用戶對CCE目錄的訪問控制許可權項目。如果想查看CCE目錄中所有文件訪問控制許可權,輸入「Cacls
cce\
.
」命令即可。
2.修改目錄和ACL
設置用戶訪問許可權:我們經常要修改目錄和文件的訪問許可權,使用Cacls命令就很容易做到。下面要賦予本機用戶Chenfeng對E盤下CCE目錄及其所有子目錄中的文件有完全控制許可權。在命令提示符對話框中輸入「Cacls
CCE
/t
/e
/c
/g
Chenfeng:f
」命令即可。
替換用戶訪問許可權:將本機用戶Chenfeng的完全控制許可權替換為只讀許可權。在命令提示符對話框中輸入「
Cacls
CCE
/t
/e
/c
/p
Chenfeng:r
」命令即可。
撤銷用戶訪問許可權:要想撤銷本機用戶Chenfeng對該目錄的完全控制許可權也很容易,在命令提示符中運行「Cacls
CCE
/t
/e
/c
/r
Chenfeng
」即可。
拒絕用戶訪問:要想拒絕用戶Chenfeng訪問CCE目錄及其所有子目錄中的文件,運行「Cacls
CCE
/t
/e
/c
/d
Chenfeng」即可。
以上只是簡單介紹Cacls命令的使用,建議大家親自嘗試一下,你會發現它還有很多奇妙的功能。
1
2. 怎麼設置受限網站的訪問許可權
——運行——輸入 GPEDIT.MSC (可小寫)並確定——依次展開『本地計算機策略下的「用戶配置」——「管理模板」——「Windows組件」——選中「Windows資源管理器」』——再左鍵雙擊視圖右側的「防止從『我的電腦』訪問驅動器——選擇已啟用——下面再選擇「僅限制驅動器E——應用。
你試試,你也不能訪問E盤了。如果你要訪問,再次重復上訴步驟,選擇「未配置」並應用即可。
而那個受限用戶,也許不知道怎麼改組策略,另外受限用戶無法打開組策略。所以TA無法訪問E盤了
3. IIS怎麼更改網站文件許可權
進入到伺服器,通過文件夾許可權直接修改,這個設置要小心,設置過度,網站會打不開或顯示有問題,設置不好,會有漏洞,這個建議找專業的網路公司讓技術實現比較好
4. 網站空間的文件許可權怎麼設置666
你只是說了安全方面很微小的一部分而已
讀寫的確要注意
不過666的設置 要看伺服器 如果是linux伺服器
在ftp客戶端右鍵目錄就可以設置許可權
如果是windows伺服器 可能不這么方便
需要在主機管理系統設置
這些 都是你建站公司應盡的義務和責任啊
既然掏了這份錢
就不應該再讓你四處奔波找不花錢的干他們應該乾的活
另外對於網站被黑而言
被黑只是一個結果 而這個結果並不是你擦擦就好了
就像一個小偷進你家偷了200塊錢
不是說你補上錢 就當沒事發生。。。
而是要從根本解決問題 查看和解決你家裡出現什麼問題
有什麼隱患和容易進賊的地方 去做彌補和防禦
網站被黑也是一樣
不僅要彌補損失 還要檢查網站 伺服器 整個環境的安全
有沒有漏洞 隱患 和容易被利用的地方
只有技術做到位 才能防患於未然
否則總一味的去等彌補結果 要累死。。。
祝你早日擺脫煩惱吧
5. 怎樣配置httpd.conf,修改文件目錄訪問許可權
Apache的基本設置主要交由httpd.conf來設定管理,我們要修改Apache的相關設定,主要還是通過修改httpd.cong來實現。下面讓我們來看看httpd.conf的內容,它主要分成3大部分:
Section 1:Global Environment
Section 2:'Main' server configuration
Section 3:Virtual Hosts
【第一部分】
·ServerType standalone
這表示Apache是以standalone啟動,也可以是inetd。所謂standalone是指啟動一次來接聽所有的連線;而inetd是接到http的連線要求才啟動,隨著連線的結束而結束,這樣負擔是不是很但呢?所以一般都是以standalone啟動。
·ServerRoot "/usr/local/httpd"
此為apache的目錄
·#LocdFile /use/local/httpd/logs/httpd.lock
保留預設值,不更動
·PidFile /usr/local/httpd/logs/httpd.pid
此文件記錄著apache的父處理程序id
·ScoreBoardFile /usr/local/httpd/logs/httpd.scoreboard
此文件存儲處理程序的信息
·#ResourceConfig conf/srm.conf
·#AccessConfig conf/access.conf
由於我們統籌由httpd.conf來管理,所以這兩個文件預設是註解起來的,可以保留預設值不更動
·Timeout 300
設盯超時的時間。如果用戶端超過300秒還沒連上server,或server超過300秒還沒傳送信息給用戶端,即斷線。
·KeepAlive On
允許用戶端的連線有多個請求,設為Off表示不允許
·MaxKeepAliveRequests 100
每次連線最大的請求樹木,數字愈大,效能愈好。0表示不限制
·MinSpareServer 5
·MaxSpareServers 10
MinSpareServer 5表示最少會有5個閑置的處理程序,如果實際的數目少於此數目,則會增加處理程序。MaxSpareServers 10表示最大的閑置處理程序數目,如果你的網站需求量很大,可以將此數目設大一些,大不要隨便將此數目設得太大。
·StartServers 5
啟動時Server的數目
MaxClients 150
限制同時間最大的連線數目,當然不能設得太小,一旦達到此數目,就無法再增加用戶端
·MaxRequestPerChild 0
限制子處理程序結果前的要求數目,0表示不限制
·#Listen 3000
·#Listen 12.34.56.78:80
使用其它的連接埠或IP
·BindAddress *
可以接聽*(所有IP地址)、指定的IP地址或是完整的域名
·#LoadMole foo_mole libexec/mod_foo.so
使用DSO模塊
·#ExtendedStatus On
可檢閱apache的狀態信息,預設是Off(註解起來)
【第二部分】
如果之前的ServerType是inetd,請直接跳到ServerAdmin。
·Port 80
Standalone伺服器接聽的連接埠,當然也可以是其他小於1023的埠號
·User nobody
·Group nobody
執行httpd的用戶和群組
·ServerAdmin 管理員的電子郵件地址
這是管理員的電子郵件地址,如果apache有問題的話,會寄信通知管理員,當然你也可以建立一個專門負責web的帳號來收信
·ServerName 你的主機名稱
此為主機名稱,如果沒有域名,也可以用IP
·DocumentRoot "usr/local/httpd/htdocs"
此目錄為apache放置網頁的地方,裡面的index.html即為連到此主機的預設首頁
·
Options FollowSymLinks
AllowOverride none
此目錄設定用戶放置網頁的目錄(public_html)的執行動作。詳細的目錄存取方法會在後面說明
·
Options Indexes FolloeSymLinks
AllowOverride None
Order allow,deny
Allow from all
此目錄設定apache的網頁目錄(htdocs)的執行動作
·UserDir public_html
用戶可在自己的目錄下建立public_html目錄來放置網頁,輸入http://主機地址/~用戶名稱即可連接到...勞撤胖玫牡胤?/a>
·DirectoryIndex index.html
這里設定預設主頁的名稱
·AccessFileName .htaccess
這個是控制存取的文件名稱,一般採用預設的.htaccess名稱,後面會說明htaccess的使用方法
·
Order allow,deny
Deny from all
這用來防止其他人看到.ht開頭的文件內容,不僅是保護.htaccess的內容,還保護.htpasswd的內容。當然也可以直接寫成。如果你有更改AccessFilename,例如將.htaccess改成.accessht,請記得也要在此做相關的更改,如此才能防止其他人看到哦
·#CacheNegotiatedDocs
註解起來是告訴Proxy不要將互動產生的文件存入cache,如果拿掉#,則會存在cache中
·UseCanonicalName On
使用標準的名稱,預設是On。假設有一個web server的全名是www.sample.com,一般稱為www;如果us...羑ttp://www/abc
·TypeConfig /usr/local/httpd/conf/mime.types
指定存放MIME文件類型的文件。你可以自行編輯mime.types文件。
·DefaultType text/plain
當server不認得此文件類型時的預設格式,此設定是當成一般文字
·
MIMEMagicFile /usr/local/httpd/conf/magic
mod_mime_magic模塊可使server由文件內容決定其MIME類型。如果有載入mod_mime_magic模塊,才會處理MIMEMagicFile這一段。如果是…,則表示如果沒有載入該模塊,才會處理這一段
·HostLookups Off
如果為On,則每次都會向name server解析該IP,記錄此連線的名稱(例如www.apache.org)自換岷牟簧偈奔洌...為Off,僅記錄IP
·ErrorLog /usr/local/httpd/logs/error_log
指定發生錯誤的記錄文件(error_log)位置。如果在沒有指定發生錯誤的記錄文件,則會沿用此文件
·LogLevel warn
記錄分成很多等級,在此是warn。各等級如下: 等級 說明
debug debug信息
info 普通信息
notice 重要信息
warn 警告信息
error 發生錯誤
crit 緊急情況
alert 馬上要處理的情況
amerg 系統快要死了
·LogFormat "%h %l %u %t\"%r\"%>s %b\"{Referer}i\"\"${UserAgent}i\""combined
LogFormat "%h %l %u %t"%r\"%>s %b"commom
LogFormat "%{Referer}i->%U"referer
LogFormat "%{User-agent}i"agent
自定四種記錄格式:combined、common、referer、agent
·CustomLog /usr/local/httpd/logs/access_log common
存取的記錄文件(access_log)使用自定的common格式
·#CustomLog /usr/local/httpd/logs/referer_log referer
#CustomLog /usr/local/httpd/logs/agent_log agent
#CustomLog /usr/local/httpd/logs/agent_log combined
這三個記錄文件也是使用自定義格式(分別是referer、agent、combined),不過註解起來表示未使用這三個文件
·ServerSignature On
設為On時,在server所產生的網頁(像是錯誤發生時)上,會有apache的版本、主機、連接埠的一行信息;如果設為Email,則會有mailto:給管理員的超鏈接
·Alias /icons/ "/usr/local/httpd/icons/"
使用較短的別名,其格式為:Alias 別名 原名。
·ScriptAlias /cgi-bin/ "/usr/local/httpd/cgi-bin/"
和Alias一樣,只是這是設定server script的目錄
·IndexOptions FancyIndexing
顯示好看的文件清單(配合下面各文件所對應的圖形)
·AddIconByEncoding(CMP,/icons/compressed.gif)x-conpress x-gzip
·AddIcon /icons/blank.gif^^BLANKICON^^DefaultIcon/icons/unknow.gif
這些是在顯示文件清單(之前所說的FancyIndex)時,各種文件類型的對應圖形。例如.ps .si .eps這三種文件的表示圖形都是a.gif
·#AddDescription "GZIP conpressed document" .gz
#AddDescription "tar archive" .tar
#AddDescription "GZIP compressed tar archive" .tgz
這些是在顯示文件清單時,在文件後面附上說明,其格式為:
AddDescription "說明" 文件名
例如:AddDescription "It is private txt" my.txt
·ReadmeName README
顯示文件清單時,在最下面顯示README的文件內容
設置CGI腳本/將httpd.conf做為唯一的配置文件/用戶授權和訪問控制等
關於Apache的配置及使用,在LinuxAid中已經有不少文章做了詳細的闡述,本文討論了在使用Apache時,有關配置文件的使用及對文件的訪問控制等內容,算是對Apache的使用所做的一些補充吧!
如果您對Apache有一定的了解,特別是對幾個配置文件有一定的了解,這將會有助於您對本文內容的理解;如果恰巧您不是很了解這幾個配置文件的使用,那麼就借著這個機會來一起熟悉一下吧。
一、關於CGI執行腳本的配置
這里有兩種設置CGI腳本的方法。第一、CGI的腳本文件以.cgi為擴展名;第二、設置腳本可執行目錄。但是這兩種方法都需要將要執行的文件設置為711,才可以被執行。
第一種方法,我們需要在access.conf文件種將你要發行的目錄設置為Option ExecCGI All,在srm.conf資源配置文件中,加上下列一句:
AddHandle cgi-script .cgi
這樣在所有的目錄種只要你的文件是.cgi為擴展名的,且文件訪問許可權為711的,無論給文件在你發行目錄的任何一個地方都可以做為CGI被Apache伺服器調用。這種方法一般沒有第二種方法安全。
第二種方法,是將一個目錄作為一個可執行目錄,將所有的cgi文件都放在其中,這里就不一定非得是以.cgi為擴展名得文件可以執行,而是只要有711屬性的文件就可以被執行,而且其它的非可執行文件都被禁止訪問。我們的默認配置文件種就有一個很好的例子:
access.conf:
Allow Override None
Options ExecCGI
srm.conf
ScriptAlias /cgi-bin/ /home/httpd/cgi-bin/
這樣只要在/home/httpd/cgi-bin/目錄中的可執行文件都可以被Web伺服器調用,而其它的非可執行文件將被拒絕訪問。
二、配置用戶的發行目錄
這里有兩種設置方法:
第一種是系統的默認方法,即用戶目錄下的public_html目錄為用戶的發行目錄,且默認的主頁文件為index.html,且該目錄不支持CGI。
第二種是在其它目錄種專門為用戶設置發布目錄,如我想在/home/html目錄做為用戶的web目錄,那管理員就應該在該目錄下為每一個用戶設置一個子目錄,如:/home/html/user01、/home/html/user02等。那麼,你的srm.conf文件中的UserDir後面就不能再是public_html了,應該改為:UserDir /home/html/*/,注意這里的「*」代表anyone,當你再瀏覽器中請求一個如http://www.domain/~user01時,Apache...ndex.html文件。
這種設置不需要到access.conf中設置該目錄的訪問屬性,還有,當我們設置虛擬主機時也不用設置目錄的訪問屬性,但是如果你想讓某個目錄具有CGI許可權,都要到Access.conf文件中去配置目錄的訪問許可權,如:你想讓你的所有用戶在他們的發布目錄中具有CGI訪問權,則需要在你的access.conf中這樣設置:
Allow Override None
Options ExecCGI
注意這里設置用戶目錄中的cgi-bin子目錄為cgi執行目錄,這是一種安全的設置,而且也是一種UNIX的習慣。
三、如何將Apache伺服器設置為inetd的子服務
當你安裝了Apache後,默認設置為standalone方式運行,如果你想將它設置為inetd的子服務,首先在每次激活Linux時不激活httpd,然後編輯/etc/inetd.conf,在其中加入下列語句:http stream tcp nowait root /usr/sbin/httpd httpd
然後重新激活inetd伺服器。這樣你用ps -aux命令查看進程運行情況時,你不會發現httpd的進程的存在,但是一旦有客戶請求一個頁面時,inetd就激活一個httpd進程為該請求服務,之後就自動釋放,這種運行方式有助於節省系統資源,但是如果你的web服務很重要,一般不建議設置為這種方式運行。
四、將httpd.conf做為唯一的配置文件
在Apache中給用戶提供了三個配置文件: srm.conf、 access.conf 和 httpd.conf files。實際上這三個文件是平等的,所有的配置都可以放在一個單獨的httpd.conf文件中,事實上在Apache 1.3.2中就已經這樣做了,在httpd.conf中應包括以下兩條指令來防止Apache對srm.conf和access.conf兩個配置文件的訪問:
AccessConfig /dev/null
ResourceConfig /dev/null
在apache1.3.2中只要注釋掉以下這兩行即可:
AccessConfig conf/access.conf
ResourceConfig conf/srm.conf
五、用戶授權和訪問控制
你也許在訪問某些網站時會遇到過這樣的情況,當你點擊某個連接時,你的瀏覽器會彈出一個身份驗證的對話框,要求輸入賬號及密碼,如果沒有,就無法繼續瀏覽了。有人會以為這是用CGI做出來的,其實不然,這是WWW伺服器的用戶授權和訪問控制機制在發揮作用。
你是否還記得在設置Apache服務環境的過程中,有……..<./Directory>這個指令,可以對不同的目錄提供不同的保護。但是這樣的設定,需要重新啟動伺服器才會生效,靈活性較差,通過AccessFile指令指定訪問控制文件的方式則比較靈活,在Apache伺服器中設置用戶的訪問控制許可權步驟如下:
1、首先對httpd.conf文件進行設置如下:
# AllowOverride FileInfo AuthConfig Limit
# Options MultiViews Indexes SymLinksIfOwnerMatch IncludesNoExec
Options Includes FollowSymLinks Indexes
AllowOverride All //*注意AllowOverride 一定要設置為All,這樣後面的.htaccess文件才會起作用
Order allow,deny
Allow from all
#
# Order deny,allow
# Deny from all
#
#指定配置存取控制許可權的文件名稱
AccessFileName .htaccess
2、創建.htaccess文件內容
要控制某目錄的訪問許可權必須建立一訪問控制文件,文件名前面指定的「.htaccess」,其內容格式如下:
AuthUserFile 用戶帳號密碼文件名
AuthGroupFile 群組帳號密碼文件名
AuthName 畫面提示文字
AuthType 驗證方式
密碼驗證方式
用戶驗證方式AuthType目前提供了Basic和Digest兩種。
密碼檢驗設定方法與httpd.conf中的相關設定相同。
具體例子如下:
AuthUserFile /etc/secure.user
AuthName 安全認證中心
AuthType Basic
require valid-user
3、建立用戶密碼文件
如果你是第一次創建用戶密碼,命令格式如下:
htpasswd -c 密碼文件名 用戶名稱
在上面的例子中,我們將用戶密碼文件放到了/etc/secure.user文件中,所以這里應按照如下進行操作:
htpasswd -c /etc/secure.user sword
程序會提示你輸入兩次用戶的口令,然後用戶密碼文件就已經創建sword這個用戶也添加完畢了。
如果要向密碼文件中添加新的用戶,按照如下命令格式進行操作:
htpasswd 密碼文件 用戶名稱
這樣,重新啟動httpd後,進行該WEB目錄時就會有一個對話框彈出,要求輸入用戶名及用戶口令了。
4、如何減少訪問控制對Apache性能的影響
頻繁的使用訪問控制會對Apache的性能產生較大的影響,那麼,如何才能減少這種影響呢?最簡單也是最有效的方法之一就是減少.htaccess文件的數目,這樣可以避免Apache對每一個請求都要按照.htaccess文件的內容進行授權檢查。它不僅在當前的目錄中查找.htaccess文件,它還會在當前目錄的父目錄中查找。
/
/usr
/usr/local
/usr/local/etc
/usr/local/etc/httpd
/usr/local/etc/httpd/htdocs
/usr/local/etc/httpd/htdocs/docs
通常在根目錄下沒有htaccess文件,但Apache仍然會進行例行檢查以確定該文件確實不存在。這是影響很影響伺服器工作效率的事情。下面的方法可以消除這個討厭的過程:將AllowOverride選設置為None,這樣Apache就會檢查.htaccess文件了。將/根目錄的AllowOverride選項設為None,只將需要進行訪問控制的目錄下的AllowOverride選項設置為all,如下面的例子中將/根目錄的AllowOverride 選項關閉了,只打開了/usr/local/etc/httpd/htdocs目錄下的AllowOerride選項,這樣,系統就只