【已收录】宝塔windows面板一些安全方面的问题

刚上架了一台服务器，打算用宝塔面板，考虑到多个网站的安全性所以做了一些测试。

我看到宝塔windows面板给每个网站分配了独立的程序池并使用程序池标识用户配置的每个网站的目录权限，避免了17年时有用户提出的跨站问题，但是d:\wwwroot目录添加了IIS_IUSR权限，这就导致了任何用户都可以读取到d:\wwwroot目录下的文件夹列表，从而找到这个服务器下的其他网站的网址，一旦其中一个网站被入侵，加大了其他网站被入侵的风险。


而在我之前使用的星外主机管理系统的服务器上，d:\wwwroot是网站用户没有权限访问的



使用.NET的webshell测试过程中还发现，像系统进程、系统信息、远程桌面端口、系统服务、操作系统中的用户列表、注册表这些在安装宝塔面板的服务器下都可以访问，但是在星外系统下这些都是无法访问的。























其实我本身就是自己的服务器，放一些自己和朋友的网站，之前买个星外也是奔着它的安全性去的，无奈星外不做了，zkeys虽然安全性还可以但是感觉不顺手非常不好用。

虽然像安全狗、云锁之类的安全软件可以在一定程度上提高服务器的安全性，但是这类软件也会导致很多其他问题，而且并不是根本上解决问题。

真心希望宝塔开发团队能够在系统、.NET和磁盘权限上做的更好更安全，如果有可能可以参考下星外和zkeys他们的磁盘和系统安全设置，期待星外越做越好，到时候一定买套专业版用

您好，您反馈的问题我这边会收录，感谢您的反馈！