也说WIN2003+WINWEBMAIL的权限控制.

ceboy

象我的情况是Web站点跟Mail都放在D盘的，按照WinWebMail官方提供的权限控制方法，那么Web站点用户通过Webshell就能很轻易浏览D盘WEB站点目录及文件结构，这是很危险的一件事情。

后来我想到一个绝妙的办法解决这个矛盾，方法如下：

如WEB站点是D：\WEB  Mail是D：\MAIL

1，对于WinWebMail权限配置还是按照官方说明配置。
2，对于Web站点权限配置是每一个站点独立分配一个帐户，然后这些帐户全部属于guest组，其权限控制按照我们平时做的去配置即可。
3，最关键的是D盘根目录以及Mail目录，方法就是把D盘根目录设置为guest用户组完全拒绝，这样Webshell就无法访问D盘根目录；同样，Mail目录也如法炮制，这样做可以防止通过Webshell下载Mail系统的配置文件进而破解出一些东西来攻击Mail系统；还有一个地方就是Mail下的子目录Web目录，也就是存放Mail系统的ASP文件目录，对于这个目录也进行同样的权限控制，这样即使由于ASP程序出现漏洞，也不会对MAIL系统造成危害，包括其子目录Temp也可以这样处理。
4，对于第三步的权限控制不继承到子目录，只对当前目录有效。

以上为我个人配置的一点经验，希望大家加以指正完善。

[ 本帖最后由 ceboy 于 2006-8-17 13:35 编辑 ]

rayer

经验贴，顶一把!

ceboy

多谢斑竹。

ceboy

找到这贴了。

anyliz

我早就这样设置了，我们用的hzhost系统，拒绝hostgroup完全控制权限

ceboy

老贴搜索不出来。