问题
由于Resin是使用SYSTEM身份运行的,许多JSP木马可以得到Resin服务运行者权限,也就是SYSTEM,这样对操作系统造成很大的安全隐患,以下介绍降低Resin运行者方法。
解决方案
*注意:本文的内容涉及到修改NTFS磁盘权限和设置安全策略,请务必在确认您了解操作可能的后果之后再动手进行任何的修改。
文中提及的权限都是在原有权限上附加的权限。
[修改步骤]
1.创建用户
创建一个名为ResinRunner的用户,设置一个随机密码,密码的长度最好不要少于20位。
2.设置用户的身份
将ResinRunner的users组删除,然后加到Guests组。
3.设置该用户本地安全策略
在本地安全策略---本地策略---用户权限分配----拒绝本地登录----添加ResinRunner用户即可。
4.设置磁盘权限
假设resin安装在如下目录中
D:\hosting\system\resin\
假设resin的服务运行者修改为ResinRunner
目录权限设置如下
D:\hosting\system\resin\
Administrators
完全控制
System
完全控制
ResinRunner
读取和运行
列出文件夹目录
读取
resin目录下的文件夹权限
该目录下的conf、log、logs、webapps文件夹权限设置如下
Administrators
完全控制
System
完全控制
ResinRunner
修改
读取和运行
列出文件夹目录
读取
写入
另外由于Prima开出的JSP站点需要调用vhost.conf配置文件
该文件路径在 d:\hosting\acasd\vhost.conf
该文件权限设置如下
Administrators
完全控制
System
完全控制
ResinRunner
读取
另外由于Resin需要调用JDK,所以JDK目录也需要设置相关权限
假设resin安装在如下目录中
D:\hosting\system\JDK\
目录权限设置如下
Administrators
完全控制
System
完全控制
ResinRunner
读取和运行
列出文件夹目录
读取