浅谈NT的ACL,令牌,权限与安全性问题(精选7篇)
.jpg)
-----另一种克隆帐号的途径
:刺(aXis)
来源:.3389.net
摘要:关于nt的acl,token,and privilege的,以及通过privilege绕过acl,达到访问文件的目的,可以说是另一种克隆administrator的方法,不过更隐蔽,利用起来难度较大,需要绕过检测才行,目前取的的突破是利用权限绕过acl。
关键字:ACL,ACE,DACL,TOKEN,SID,PRIVILEGE
申明:谨以此文,献给陈静。
一.基本概念(这部分介绍的是令牌,ACL等基本概念,是为2:LINUX文件安全与权限
当你创建一个文件的时候,系统保存了有关该文件的全部信息,包括:
? 文件的位置,
? 文件类型。
? 文件长度。
? 哪位用户拥有该文件,哪些用户可以访问该文件。
? i节点。
? 文件的修改时间。
? 文件的权限位。
让我们使用ls -l命令,来看一个典型的文件:
root@ubuntu:~/resource/mini2440/file-system# ls -l
total 11488
drwxr-xr-x 33 root root 4096 -04-17 04:29 busybox-1.17.3
-rwxrw-rw- 1 root root 2094550 2023-04-17 03:03 busybox-1.17.3.tar.bz2
-rw------- 1 root root 9660288 2023-04-17 04:30 haitao.img
我们现在看到的上面的打印信息,分析如下:
total 11488:这一行告诉我们该目录中所有文件所占的空间。
d rwx r-x r-x:这是该文件的权限位。这里一共是 10个字符,除了3:WordPress 文件权限与安全
三两饭在之前的文章中曾经提到过 WordPress 的安全问题,并提出了十条安全建议,其中有一条是有关于 WordPress 文件权限的,那么到底哪些文件和文件夹需要将权限设置为只读,怎么设置?
需要设置只读权限的文件和文件夹:
wp-config.php 是肯定需要设置的,它包含了你的数据库信息非常重要;
index.php 博客主索引文件,不是一般的重要;
wp-setting.php 你的 wordpress 设置文件,非常重要;
Theme directory 目录也需要设置为已读,防止别人篡改你的主题文件,
将文件(夹)权限设置为只读文件:
可能还是有很多朋友不太明白文件权限,所谓文件权限通常表现为一个三位的数字,比如777就表示最高权限,任何人可以对该文件做任何想做的事。
那么777是怎么算出来的呢?通常有三种用户,他们分别是 owner 、group 、others 。每种用户类型有三种权限,分别为 read 、write 、execute 。
系统会为 read 权限标记4, write 权限标记2, execute 权限标记1,所以三种权限相加就是7(4 2 1=7)。777就代表 owner 、group 、others 三种用户都具有最高权限。
所以,为了别人不会任意篡改你的程序文件,将重要的文件设置成只读,那么就是444了。
篇4:了解Windows权限 认识局域网共享与安全
说起Windows的局域网共享时,就提到了IPC(InternetProcessConnection),IPC是NT以上的系统为了让进程间通信而开放的命名管道,可以通过验证用户名和密码获得相应的权限,在远程管理计算机和查看计算机的共享资源时使用,微软把它用于局域网功能的实现,如果它被关闭,计算机就会出现“无法访问网络邻居”的故障,
在WindowsNT以后的系统里,IPC是依赖于Server服务运行的,一些习惯了单机环境的用户可能会关闭这个服务,这样的后果就是系统将无法提供与局域网有关的操作,用户无法查看别人的计算机,也无法为自己发布任何共享。
要确认IPC和Server服务是否正常,可以在命令提示符里输入命令netshare,如果Server服务未开启,系统会提示“没有启动Server服务。是否可以启动?(Y/N)[Y]:”,回车即可以启动Server服务。如果Server服务已开启,系统会列出当前的所有共享资源列表,其中少要有名为“IPC$”的共享,否则用户依然无法正常使用共享资源。
除了Server服务以外,还有两个服务会对共享造成影响,分别是“ComputerBrowser”和“TCP/IPNetBIOSHelperService”,前者用于保存和交换局域网内计算机的NetBIOS名称和共享资源列表,当一个程序需要访问另一台计算机的共享资源时,它会从这个列表里查询目标计算机,一旦该服务被禁止,IPC就认定当前没有可供访问的共享资源,用户自然就没法访问其他计算机的共享资源了;后者主要用于在TCP/IP上传输的NetBIOS协议(NetBT)和NetBIOS名称解析工作,NetBT协议为跨网段实现NetBIOS命令传输提供了载体,正因如此,早期的 入侵教材里“关于139端口的远程入侵”才能实现,因为NetBIOS协议被TCP封装起来通过Internet传输到对方机器里处理了,同样对方也是用相同途径实现数据传输的,否则 们根本无法跨网段使用网络资源映射指令“netuse”。对于本地局域网来说,NetBT是SMB协议依赖的传输媒体,也是相当重要的。
如果这两个服务异常终止,局域网内的共享可能就无法正常使用,这时候我们可以通过执行程序“services.msc”打开服务管理器,在里面查找“ComputerBrowser”和“TCP/IPNetBIOSHelperService”服务并点击“启动”即可。
熟悉Windows系统的用户或多或少都会接触到“组策略”(gpedit.msc),这里实际上是提供了一个比手工修改注册表更直观的操作方法来设置系统的一些功能和用户权限,但是这里的设置失误也会影响到局域网共享资源的使用,
由于IPC本身就是用于身份验证的,因此它对计算机账户的配置特别敏感,而组策略里偏偏就有很多方面的设置是针对计算机账户的,其中影响最大的要数“计算机配置CWindows配置C安全设置C本地策略C用户权利指派”里的“拒绝从网络访问这台计算机”,在Windows系统里默认是不做任何限制的,可是自从XP出现后,这个部分就默认多了两个帐户,一个是用于远程协助(也就是被简化过的终端服务)身份登录的3389用户名,另一个则是我们局域网共享的基本成员guest!
许多使用XP系统的用户无法正常开启共享资源的访问权限,正是这个项目的限制,解决方法也很容易,只要从列表里移除“Guest”帐户就可以了。
除了与帐户相关的策略,这里还有几个与NetBIOS和IPC相关的组策略设置,它们是位于“计算机配置CWindows配置C安全设置C本地策略C安全选项”里的“对匿名连接的额外限制”(默认为“无”),对于XP以上的系统,这里还有“不允许SAM账户和共享的匿名枚举”(默认为“已停用”)、“本地账户的共享和安全模式”(默认为“仅来宾”),其中“对匿名连接的额外限制”的设置是可以直接扼杀共享功能的,当它被设置为“不允许枚举”时,其他计算机就无法获取共享资源列表,如果它被设置为“没有显式匿名权限就无法访问”的话,这台计算机就与共享功能彻底告别了,所以有时候实在找不出故障,不妨检查一下该项目。
一些刚接触NTFS分区的用户经常会发现,自己机器的共享和来宾帐户都开了,但是别人无论怎么访问都提示“权限不足”,即使给共享权限里添加了来宾帐户甚至管理员帐户也无效,这是为什么?归根究底还是因为在NTFS这部分被拦截了,用户必须理清一个概念,那就是如果你对某个共享目录的访问权限做了什么设置,例如添加删除访问成员,其相应的NTFS权限成员也要做出相应的修改,即共享权限成员和NTFS权限成员必须一致或者为“Everyone”成员,在XP/系统里出于安全因素,文件夹时常会缺少Everyone权限,因此,即使你的共享权限里设置了Everyone或Guest,它仍然会被NTFS权限因素阻止访问;如果NTFS权限成员里有共享权限成员的存在,那么访问的权限就在共享权限里匹配,例如一个目录的共享权限里打开了Everyone只读访问权限,那么即使在NTFS权限里设置了Everyone的完全控制权限,通过共享途径访问的用户依然只有“只读”的权限,但是如果在NTFS权限成员或共享权限成员里缺少Everyone的话,这个目录就无法被访问了。因此要获得正常的访问权限,除了做好共享目录的权限设置工作以外,还在共享目录上单击右键―属性―-安全,在里面添加Guest和Everyone权限并设置相应的访问规则(完全控制、可修改、可读取等),如果没有其他故障因素,你就会发现共享正常开启访问了。
篇5:IIS6和IIS7.5网站权限配置与区别WEB安全
IIS6网站权限,通常配置IUSR_计算机名和NETWORK SERVICE两个用户权限即可:
其中IUSR_计算机名是网站匿名访问帐户,NETWORK SERVICE是网站应用程序池安全帐户:
然而,同样的权限配置,测试发现IIS7.5网站动态页面打开会出错,比较发现IIS7.5应用程序池安全帐户除了本地系统、网络服务和本地服务外,比IIS6多了一个ApplicationPoolIdentity,并且它是默认安全帐户:
这就解释了为什么网站动态页面打开会出错,然而,在Windows 用户或组中并没有ApplicationPoolIdentity这么一个用户,这权限要怎么配置?百度后有网友说它对应的用户为“IIS AppPool\应用程序池名”,加入后网站访问正常:
看下任务管理器中的变化:
这样相当于是有了多个NETWORK SERVICE用户,能大大降低网站被旁注的风险,
当然了,也可以将IIS7.5应用程序池安全帐户设置为网络服务,这样和IIS6.0一样配置即可,但不推荐这么做。此外,若想简单配置,只赋于网站Authenticated Users组权限也是可以的(代替匿名帐户 安全帐户,但比Everyone安全)。
篇6:转基因生物存在的安全性问题与管理对策研究
转基因生物存在的安全性问题与管理对策研究
概述了转基因生物的`历史和现状,介绍了转基因生物存在的安全性问题,并对其潜在的风险和危害进行了分析,并结合实际提出了对我国转基因生物进行科学管理的应对措施.
作 者:赵安芳 刘瑞芳 陈兰英 ZHAO An-fang LIU Rui-fang CHEN Lan-ying 单位:平顶山工学院,生物工程系,河南,平顶山,467001 刊 名:河南师范大学学报(自然科学版) ISTIC PKU英文刊名:JOURNAL OF HENAN NORMAL UNIVERSITY (NATURAL SCIENCE) 年,卷(期): 34(3) 分类号:Q788 关键词:转基因生物 安全性 对策 风险篇7:设网站文件目录与数据库权限拒绝安全入侵
网站目录权限的设置方法
大多数网站都是采用程序搭建,对于系统管理的目录,可以将其设置为可读也可执行脚本,但不可写入的权限;但是对于放置网页静态文件的目录,以及放置图片文件、模板文件的目录,就可以将其设置为可读写但不可执行的系统权限,在权限分配明确之后,即使系统被入侵,也只能浏览而无法对文件进行直接的操作。
对于能够执行脚本的文件,最好设置只能读而不能写的权限,而需要写入的文件则将其设置为不能执行脚本,目录权限这样配置下来,网站系统的安全性会大大提高。
数据库权限也要仔细设置
对于网站来说,数据库可以说是站点的核心,所有网站的内容都存储在数据库中。所以说数据库安全也是需要注意的地方。对于MySQL数据库来说,最好不要对网站直接使用root管理用户的权限,而要专门为每个站点开通一个数据库账号,而且将账户的权限设置仅限于操作当前数据库目录,并且对这些单独的MYSQL账号去掉file和EXECUTE的执行权限,这样一来,即使数据库被SQL注入,也只能到数据库一级,而无法拿到整个数据库服务器的权限,
这样一来,只要经常对网站的数据库进行备份,就很少会出现数据库被入侵的情况。
另外需要注意的是,由于很多建站系统并没有使用数据库的存储过程,因此最好禁用FILE、EXECUTE 等执行存储过程或文件操作的权限。
小提示:对于Access的数据库来说,可以将数据库的存放位置进行修改,最好是较为隐蔽的目录,这样会避免数据库文件被恶意探测下载。另外,一些程序也支持修改后缀,比如可以将。mdb的数据库文件修改为。asa等后缀名,同样可以有效地保护数据库安全。
删除不需要的文件
很多内容管理系统中,都会在空间中存在很多以后并不需要的文件,最普遍的可能就属于系统安装文件了,这类文件通常被命名为install.php或者install.asp,如果你的空间中存在类似的文件,现在就赶快删除吧。
另外,一些CMS也会存在很多功能,如问答系统等等,但是往往这些功能在网站中都不会用到,这时候就建议将这些功能的目录删除,或者仅保留Html静态页面,然后将目录设置为可读写但不可执行的权限。
