【已解答】windows的宝塔面板的安全性讨论
用了很久的windows宝塔面板,去年一个网站被入侵,发现windows面板的所有网站都被跨站,再后来换了服务器,清理木马还是时不时被一锅端。年后一台服务器还是如此,程序肯定不完美,一个网站被入侵,所有的都被跨站不太能理解。
后来我发现windows宝塔面板为每个网站建立了独立的用户,网站赋予了新用户的网站根目录权限,同时还赋予了iis的进程权限,按道理说这样的安全是没有问题的。
可为什么还是被跨站呢?
我继续排查发现,应用程序池虽然每个网站都是独立的应用程序池,但是每个应用池都使用的ApplicationPoolIdentity账号,都是一个默认账号,这才是跨站的根源吧?
应用程序池使用同一内置账号,系统的文件隔离是不是就不彻底?
宝塔为什么不调用appcmd直接设置相关账号信息,为每个应用程序池指定文件夹的同一账号,这样能实现彻底的文件隔离。
您好,感谢您的反馈,当前不准备做其他修改,建议您查下当前的网站漏洞,进行漏洞修复来解决当前跨站的问题。 每个应用池都使用的ApplicationPoolIdentity账号,基于什么考虑呢,应用程序池账号不独立是基于什么原因呢
页:
[1]