31. august 2004 - 10:14Der er
7 kommentarer og 1 løsning
FTP sikkerheds problemer på IIS
Jeg har en Windows Server 2003 EE server stående med IIS.
På denne server, har jeg så en masse FTP kontoer, der har hver sin ip. f.eks: brugernavn/pass: domain1/111 ip: 80.80.80.1 brugernavn/pass: domain2/222 ip: 80.80.80.2 brugernavn/pass: domain3/333 ip: 80.80.80.3 etc etc.
Mit problem er så, at jeg lige har fundet ud af at hvis man logger ind som "domain3/333" men med domain1's ip, så får man læse adgang. man kan ikke overskrive eller slette noget, men man kan downloade alting.
Det er jo ikke umiddelbart særligt fedt - hvor kan jeg indstille at kun nogle bestemte users skal have adgang til en bestemt mappe?
Jeg står som system administater i et firma hvor vi osse kører med et par webserverer (IIS), hvor jeg så har installeret det på den ene af dem. også styre jeg ipadresserne i vores firewall. Men vi har til gengæld osse kun 3 brugere.
det jeg lidt er ude efter, er hvordan jeg kan begrænse brugernes adgang til hinandens mapper. Det er jo klart ikke meningen at det username/password som domain1 bruger skal kunne læse på domain3 og omvendt.
Umiddelbart burde det være let at sætte op, da man skulle tro at ret mange var interesserede i at kontrollere præcis hvem der har adgang hvor?
jeg har prøvet at fjerne ALLE rettigheder på disse mapper, problemet er der stadig.
Faktisk er jeg i tvivl om hvor rettighederne til at læse/skrive på deres egne mapper overhovedet kommer fra, for jeg trode også at det var sat via security på selve mapperne.
Hver af de Home-folders har så sin tilhørende bruger på, med "modify" rettigheder (- og IUSR (internet guest account) naturligvis).
Derudover er der nogle accounts jeg ikke 100% ved hvad gør: Account: Rettigheder: INTERACTIVE List folder contents NETWORK List folder contents IIS_WPG Read & Execute (til ASP.NET) IUSR Read & Execute (Internet Guest Account) Brugeren selv Modify (Brugerens egen konto, derfor varierer navnet) SYSTEM Full Control Administrators Full Control Creator Owner Ingen rettigheder.
FTP'en er så sat op til at indkomne på fx 80.80.80.1:21 går til web\bruger1.
Det jeg så ikke forstår, er hvorfor at alle bruger-konti har list&læse-rettigheder i alle de forskellige mapper, hvis de logger på en IP der "ikke er deres". Hvis jeg på fx web\bruger2 tilføger bruger1 + bruger3 med Deny all, så virker det egentligt som det skal - men det holder ikke i længden, at skulle tilføje alle brugere på alle konti, og give alle undtagen én deny. -det ville blive ret uoverskueligt ved fx 200 brugere (hvilket jeg nærmer mig).
Jeg har også overvejet at samle alle brugerne i en bruger-gruppe, give den deny, og så tilføge den enkelte bruger og give allow. - men det er så irriterende lavet, at deny har højere prioritet end allow, derfor ville jeg dermed også deny den brugerkonto med allow.
Jeg er ret lost på hvad jeg kan gøre...
det kan da ikke passe at IIS ikke kan bruges til mere end 1 ftp-site, uden at alle har læserettigheder til alle.
Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.
