Windows下PHP+MySQL+IIS安全试验平台的搭建

PHP+MySQL+IIS安全试验平台的搭建" onload="return imgzoom(this,550);" onclick="javascript:window.open(this.src);" style="cursor:pointer;"/>

图6 未启用磁盘配额

PHP+MySQL+IIS安全试验平台的搭建" onload="return imgzoom(this,550);" onclick="javascript:window.open(this.src);" style="cursor:pointer;"/>

图7 启用磁盘配额管理

如图8我们可以看到administrator也不能写入文件了。我们不是启动日志记录功能了嘛？我们这里来看看一下警告，我们右键单击我的电脑，从弹出的对话框中选择管理，然后依次展开“系统工具” -> “事件查看器” -> “系统”，查看日志记录如图9所示。

PHP+MySQL+IIS安全试验平台的搭建" onload="return imgzoom(this,550);" onclick="javascript:window.open(this.src);" style="cursor:pointer;"/>

图8 管理员也无法复制文件

PHP+MySQL+IIS安全试验平台的搭建" onload="return imgzoom(this,550);" onclick="javascript:window.open(this.src);" style="cursor:pointer;"/>

图9 使用事件管理器查看事件

技巧：

（1）当然这里也有个小技巧，我们知道启动IIS需要的帐号是IUSR_计算机名，如果我们建立网站的话对应的访问者应该也是这个帐号，所以这里我们可以设置成IUSR_计算机名这个用户不能写入文件，但是其他用户能够写入文件。

（2）这里的技巧是，我们开启ftp服务，然后给ftp一个普通的帐号和密码，然后我们把web服务器的对应的目录的读写权限给这个普通用户，然后我们利用磁盘配额的功能让这个用户可以写入。这样就达到了一个非常高的安全性了。怎么做呢，跟我来其实很简单，如图10我们选择配额项，再配额项中我们选择配额 -> 新建配额项然后弹出用户选择窗口，我们选择我们的ftp用户ftpuser然后把磁盘空间限制设置成100MB，如图11所示。然后同理选择IUSR_计算机这个帐号，把磁盘限额的空间设置成1kb。到这里，我们一个非常变态的设置就算基本上完成了。我们再来说一下这样做的目的，我们利用IIS提供的WEB服务器的启动权限是IUSR_计算机这个用户，也就是普通用户访问的话就是利用这个帐号来访问的。同时我们不希望访问用户利用黑客手段对我的服务器进行文件的上传等操作，这个时候我就利用磁盘配额的功能，添加了一个ftpuser的帐号，这个帐号对web目录可以利用ftp的软件来进行自己服务器的维护工作。这样就达到了非常高的安全标准。