15楼#
发布于:2016-06-04 11:58
K内核官方版EP管理模式新建的独立用户归属K内核组其实也是有users基本特性的,经过实验得到如下结果:
虽然限制到了网站目录,但如果要真正保持独立权限需要人为把系统所有磁盘目录全部取消users只保留system和administrators权限,这个工程很大,不然上传shell后可以跳转到任意有users权限的路径下。 综合下upupw的K2.0管理模式直接以local service运行服务,即可以达到低权限,又可以通过设置users的权限自由控制文件读取和修改。 关于upupw下需要修改权限的几个目录面板s1时已经自动执行了,其他只需要读取权限即可,如果需要再次执行可以kk后再s1 upupw外的目录除网站目录外可以全部去掉users权限。 |
|
16楼#
发布于:2016-06-04 11:25
另外一个问题,安装完EP面板,打开后出现:
Site error: the file D:\UPUPW\K内核\nodewww\webftp\admin\index.php requires the ionCube PHP Loader ioncube_loader_win_5.2.dll to be installed by the website operator. If you are the website operator please use the ionCube Loader Wizard to assist with installation. |
|
17楼#
发布于:2016-06-04 11:19
现在2.0 解压后运行是无法开启K内核服务,只有给upupw目录加上users读取和运行权限才可以,这样做正确吗?
|
|
18楼#
发布于:2016-06-04 10:19
K1.x版本都是本地系统system运行K内核,php和数据库,如果站点有漏洞就能利用php以system权限搞破坏,而system对于所有目录基本都是完全控制权限。
当然K1.x采用了很多办法限制了目录执行和跨站隔离,但是网站漏洞往往不能全部预料到终归还是采用了K2.0的local service本地服务运行K内核,php,memcached和数据库,这个local service是最低权限的系统账户,没有网络权限。 对于网站来说有users的读取权限就能访问页面了,而适当的给上传目录和几个网站配置文件修改权限就可以实现网站日常需要。 users对于所有目录默认都只有读取权限,对于系统文件和目录是没有users权限分配的。再运用之前所说的upupw默认防护和跨站隔离可以有效控制站点。 针对你所提到的独立用户运行其实也是users组,如果你用K内核官方安装版的话,打开任务管理器找到K内核.exe和php-cgi.exe看右边运行用户你会发现是system在运行,结合我上面说的system权限网站被攻破后那用php就能执行所有权限了。 |
|
上一页
下一页