înregistrare Logare
Puncte:0
Shlomi avatar Server

Încercarea de a înțelege permisiunile IIS

drapel it
Shlomi

Încerc să înțeleg cum funcționează permisiunile IIS pentru că am avut un scenariu ciudat astăzi.

Deci, unul dintre dezvoltatori a instalat IIS 10 pe server și a creat un site sub C:\WebSites\Site1

Acum, acel site special scrie și câteva fișiere jurnal txt în C:\Site1-Logs.

Pool-ul de aplicații al Site1 rulează ca „ApplicationPoolIdentity”.

Teoretic, utilizatorul care rulează site-ul (IIS AppPool\Site1) ar trebui să aibă permisiunea de a scrie/crea fișiere txt în directorul C:\Site1-Logs fără a seta manual o permisiune pentru asta?

Deoarece nu am putut găsi în fila Securitate nimic legat de grupul IIS_USRS sau utilizatorul „IIS AppPool\Site1”.

Când am încercat să mut jurnalele de scriere pe o altă partiție (E:) a trebuit să dau permisiunea de scriere „IIS AppPool\Site1” și pot vedea permisiunea în fila Securitate.

Deci poate îmi scapa ceva? Implicit, IIS este instalat ca un serviciu de sistem și a acordat deja permisiunile de a scrie în C: ?

Există o bună practică pentru asta în ceea ce privește securitatea? este ok să rulezi aplicații web sub C:?

Multumesc si scuze pentru explicatia proasta :P

icacls C:\Site1-Logs
C:\Site1-Logs NT AUTHORITY\SYSTEM:(I)(OI)(CI)(F)
                         BUILTIN\Administratori:(I)(OI)(CI)(F)
                         BUILTIN\Utilizatori:(I)(OI)(CI)(RX)
                         BUILTIN\Utilizatori:(I)(CI)(AD)
                         BUILTIN\Utilizatori:(I)(CI)(WD)
                         CREATOR PROPRIETAR:(I)(OI)(CI)(IO)(F)
55
0 + 0
iis
drapel cn
Peter Hahndorf
Puteți adăuga permisiunile NTFS pentru C:\site1-logs, cum ar fi `icacls C:\site1-logs` la întrebarea dvs.
1
Răspunde
Shlomi avatar
drapel it
Shlomi
Da, dar ceea ce nu înțeleg este modul în care pool-ul meu de aplicații are deja acces pentru a scrie în foldere sub C:\ fără a acorda permisiuni specifice.
0
Răspunde
drapel cn
Peter Hahndorf
Și încerc să vă explic de ce este așa, dar pentru asta ar trebui să enumerați permisiunile aici.
0
Răspunde
Shlomi avatar
drapel it
Shlomi
lol îmi pare rău pentru mine :) Am adăugat permisiunile la postarea mea.
0
Răspunde
Puncte:1
avatar Server
drapel cn
Peter Hahndorf

Grupul BUILTIN\Utilizatori are acces de scriere la dvs C:\Site1-Logs director.

Utilizatorul IIS Apppool\Site1 este automat membru al Utilizatori grup deoarece acesta este un grup special sub Windows.

Acesta este motivul pentru care site-ul dvs. web are acces la scriere.

Nu poți elimina IIS Apppool\Site1 din utilizatorii, dar puteți elimina permisiunile utilizatorii grupuri din director.

0 + 0
Shlomi avatar
drapel it
Shlomi
Mulțumesc mult, are sens acum cum utilizatorul avea deja permisiunea de scriere. În ceea ce privește securitatea, este în regulă să păstrați BUILTIN\Users cu acces de scriere la C:? sau ar trebui să elimin asta și să dau fiecărui utilizator permisiuni specifice?
0
Răspunde
drapel cn
Peter Hahndorf
Asta depinde de mediul tău.Dacă doriți să vă asigurați că un site nu poate citi niciodată fișiere aparținând altui site, ar trebui să eliminați permisiunile „utilizatori” și să utilizați conturile individuale ale site-ului pentru permisiunile NTFS.
1
Răspunde
drapel romania
SEF 777
întrebarea această in alte limbi:

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.