La société Microsoft est-elle suicidaire ? ou bien veut-elle que l'on migre tous vers Unix Linux !!!
11 réponses
jluc
La société Microsoft est-elle suicidaire ? ou bien veut-elle que l'on migre
tous vers Unix Linux !!!
En Effet, Il est extrêmement difficile de configurer IIS de sorte que les
comptes anonymes web ou auteurs ne puisse pas se balader à travers tous les
disques dures de d'une machine.
Pour vous en rendre compte vous-même téléchargez le fichier «
explorasp.asp »
A l'adresse suivante http://www.aspfr.com/code.aspx?ID=29048 et installer le
sur le serveur de votre fournisseur de services.
Grace au FSO « file system object » j'ai pu lire tout le contenu de tous les
sites web hébergés par mon fournisseur. Et de surcroit tous les fichiers
system de windows et j'en passe.
C'est exactement la même chose pour les serveurs windows 2003 de la société
pour laquelle je travaille.
J'ai eu beau respecter scrupuleusement pas à pas les recommandations
compliquées de MSDN pour sécuriser les machines mais c'est un véritable
calvaire !
Pool d'isolation ? même les super logiciels comme « Hosting controller » ou
« Plesk »
N'arrivent pas à configurer les « ACL » de manière sure !
Donc si quelqu'un connaît la solution pour un site web de sorte que le «
FSO » ne puisse pas aller se balader ailleurs que dans sa propre cour qu'il
me fasse signe !
Bonjour à tous. Je viens de lire ces messages et laisser moi apporter ma pierre à l'édifice. Pour les serveur Web, j'installe le système sur une partitions, les data des sites sur une autre et enfin les logs des sites web sur une autre aussi. Mon souci est surtout pour la partition système, comment la sécuriser au maximum. J'ai fait des tests et je suis arrivé à une conclusion: Le(s) serveur(s) est/sont dans un domaine AD et tous les users aussi. Chaque site web possède son propre IUSR. J'ai créé un dossier Site sur la partition Datas et j'ai mis les droits FULL Control pour les user suivant : Administrateurs local de la machine, le groupe SYSTEM et le groupe SERVICE. Si on veut, on peut aussi ajouter Admins du domaine. Puis il y a un sous dossier par site , par exemple toto.fr et avec les droit adéquat pour l'IUSR (iusr_toto) du site et ceux pour le users ftp. Cela va empecher FileScripting object de pouvoir parcourir les dossiers car le IUSR ne possède de droits que sur son propre dossier. De plus j'ai enlevé Tout le monde à la racine du disque et cela empêche le script explorer.asp de lister les disques. J'ai mis System, Service et admins en FC. J'ai fais la même chose pour la partitions des logs. J'attends vos commentaires... Pierre
Bonjour à tous.
Je viens de lire ces messages et laisser moi apporter ma pierre à l'édifice.
Pour les serveur Web, j'installe le système sur une partitions, les data des
sites sur une autre et enfin les logs des sites web sur une autre aussi.
Mon souci est surtout pour la partition système, comment la sécuriser au
maximum.
J'ai fait des tests et je suis arrivé à une conclusion:
Le(s) serveur(s) est/sont dans un domaine AD et tous les users aussi. Chaque
site web possède son propre IUSR. J'ai créé un dossier Site sur la partition
Datas et j'ai mis les droits FULL Control pour les user suivant :
Administrateurs local de la machine, le groupe SYSTEM et le groupe SERVICE.
Si on veut, on peut aussi ajouter Admins du domaine. Puis il y a un sous
dossier par site , par exemple toto.fr et avec les droit adéquat pour l'IUSR
(iusr_toto) du site et ceux pour le users ftp. Cela va empecher FileScripting
object de pouvoir parcourir les dossiers car le IUSR ne possède de droits que
sur son propre dossier.
De plus j'ai enlevé Tout le monde à la racine du disque et cela empêche le
script explorer.asp de lister les disques. J'ai mis System, Service et admins
en FC.
J'ai fais la même chose pour la partitions des logs.
J'attends vos commentaires...
Pierre
Bonjour à tous. Je viens de lire ces messages et laisser moi apporter ma pierre à l'édifice. Pour les serveur Web, j'installe le système sur une partitions, les data des sites sur une autre et enfin les logs des sites web sur une autre aussi. Mon souci est surtout pour la partition système, comment la sécuriser au maximum. J'ai fait des tests et je suis arrivé à une conclusion: Le(s) serveur(s) est/sont dans un domaine AD et tous les users aussi. Chaque site web possède son propre IUSR. J'ai créé un dossier Site sur la partition Datas et j'ai mis les droits FULL Control pour les user suivant : Administrateurs local de la machine, le groupe SYSTEM et le groupe SERVICE. Si on veut, on peut aussi ajouter Admins du domaine. Puis il y a un sous dossier par site , par exemple toto.fr et avec les droit adéquat pour l'IUSR (iusr_toto) du site et ceux pour le users ftp. Cela va empecher FileScripting object de pouvoir parcourir les dossiers car le IUSR ne possède de droits que sur son propre dossier. De plus j'ai enlevé Tout le monde à la racine du disque et cela empêche le script explorer.asp de lister les disques. J'ai mis System, Service et admins en FC. J'ai fais la même chose pour la partitions des logs. J'attends vos commentaires... Pierre
