win系统下的apache jsp服务器权限安全设置

wxsheng

　　谈起木马，想必70%以上的服务器管理员都是谈马色变。有多少管理员没有被木马骚扰过，应该很少。但作为通过80端口访问的服务器端程序木马，更让服务器管理员大为头疼。尤其是虚拟主机的安全问题更为严重。以ASP虚拟主机的情况最为严重，很多虚拟主机不得不大费周折的去弥补。更者.Net主机的安全如果做不好，.Net的木马功能强大的让人瞠目结舌。
　　不仅仅是在asp,或asp.net 上，jsp也存在木马，而且功能上也是相当之强大。几款JSP应用服务器默认运行权限是ROOT，在window环境下也就是SYSTEM，要命的权限。JSP木马强大到一般的服务端网页后门无法比拟的程序。不仅仅是java.io.*,java.util.*,java.net.*包提供了强大的功能，而且在默认权限上也是强大的支持。
　　JSP木马如何防止我在GOOGLE上晃了半天也没找一个好的解决方法，介绍上找到的都是Java沙箱的安全机制。java.policy的配置不是一般人能搞定的，而且不同的应用程序都需要不同的配置感觉不是一般的麻烦了。看了一些关于java.security.acl包的应用，头大，也是麻烦。既然应用到window环境下，何不尝试使用Windows的ACL来做做文章？
　　拿Resin服务器做为例子：
1.建立新用户组A，及其所属用户名a
2.将Resin注册为window服务，自启动
3.编辑resin服务属性将启动用户改为a
4.编辑Resin服务器文件夹安全属性为A组完全控制，当然也可以根据不同情况给予特殊设定
5.将建立的网站目录给于用户a 读取，写入，删除安全权限
6.驱除所有驱动器其他文件夹内everyone权限,最好可以拒绝A组访问，读？不行.
这时，启动Resin服务看看JSP木马是不是不能运行了？没权限! 网络上现有的几个JSP木马基本上都在这里挂了，看看可以，跳出去这个圈子不可能。
　　执行安全配置有几点值得注意：
　　1.resin应用服务器目录名搞的复杂些，最好连你自己都不记得
2.网站根文件名最好也复杂些，如果你打算把它忘记那也最好不过（很多人的想象力丰富的很呐，大意不得）
3.网站目录下写权限最好能根据需要给，能不给的绝不少给，不能不给也绝不多给
4.特别目录下的你甚至可以用Servlet中的filter进行过滤，别忘了全局filter的功能弓虽的很（这是对服务器管理员说的，取服务器环境变量在这里可以完全屏蔽掉）
　　通过上面的一番配置，JSP通过Web程序上传JSP后门的可能不大，即使传上去也只能在自己的目录里折腾，只要他跳不出目录，而且只是低权限运行也就无所谓他干什么了。当然安全是相对，首先保证没问题的首当其冲的就是window(linux)服务器的安全，这样从全局看，这台jsp服务器是安全的。
　　apache设置类似
　　以上内容均来自互联网，本站仅提供自然搜索结果，与内容出处无关。
如有侵犯你的个人权益问题,并提供书面证明,请联系本站处理相关事宜！
　　本文转自: 黑客武林(www.hack50.com) 详细出处参考：http://www.hack50.com/stu/sort095/sort0111/26028.html