也说WIN2003+WINWEBMAIL的权限控制.
象我的情况是Web站点跟Mail都放在D盘的,按照WinWebMail官方提供的权限控制方法,那么Web站点用户通过Webshell就能很轻易浏览D盘WEB站点目录及文件结构,这是很危险的一件事情。
后来我想到一个绝妙的办法解决这个矛盾,方法如下:
如WEB站点是D:\WEB Mail是D:\MAIL
1,对于WinWebMail权限配置还是按照官方说明配置。
2,对于Web站点权限配置是每一个站点独立分配一个帐户,然后这些帐户全部属于guest组,其权限控制按照我们平时做的去配置即可。
3,最关键的是D盘根目录以及Mail目录,方法就是把D盘根目录设置为guest用户组完全拒绝,这样Webshell就无法访问D盘根目录;同样,Mail目录也如法炮制,这样做可以防止通过Webshell下载Mail系统的配置文件进而破解出一些东西来攻击Mail系统;还有一个地方就是Mail下的子目录Web目录,也就是存放Mail系统的ASP文件目录,对于这个目录也进行同样的权限控制,这样即使由于ASP程序出现漏洞,也不会对MAIL系统造成危害,包括其子目录Temp也可以这样处理。
4,对于第三步的权限控制不继承到子目录,只对当前目录有效。
以上为我个人配置的一点经验,希望大家加以指正完善。
[ 本帖最后由 ceboy 于 2006-8-17 13:35 编辑 ]
