Products
96SEO 2025-10-23 23:36 0
在网站运维过程中,目录脚本施行权限的合理配置是防范恶意攻击的核心环节。许多网站因未严格限制可写入目录的脚本施行权限, 导致黑客上传恶意文件并施行,到头来引发数据泄露或服务器被控。本文将针对Windows IIS和Linux Apache两大主流服务器环境, 提供详细的目录脚本施行权限取消方法,包含实操步骤和代码示例,帮助管理员快速加固服务器平安。
网站的可写入目录若具备脚本施行权限,攻击者可通过上传Webshell直接获取服务器控制权。即使目录设置了文件上传类型校验,攻击者仍可能利用文件包含漏洞、解析漏洞等绕过限制,施行恶意代码。所以呢,取消这些目录的脚本施行权限,相当于为服务器增设一道重要防线。
核心原则:所有仅用于存储文件、 无需动态解析的目录,必须禁用脚本施行权限,仅保留读取和写入权限。
IIS作为Windows服务器的主流Web服务,提供了图形化管理界面操作相对直观。以下以IIS 6.0、IIS 7/7.5为例,分步骤说明操作方法。
打开IIS管理器, 展开左侧“网站”列表,右键点击目标站点,选择“属性”。
在“属性”对话框中,切换到“主目录”选项卡,点击“配置”按钮。
在“应用程序配置”窗口中, 切换到“映射”选项卡,选中“.php”,点击“删除”按钮,移除所有脚本映射。
返回“主目录”选项卡,点击“施行权限”下拉框,选择“无”,点击“确定”保存。
注意事项:若需保留目录的文件上传功能, 仅取消脚本施行权限即可,无需删除“写入”权限。删除脚本映射后该目录下的.php、.jsp等文件将无法被IIS解析,仅作为普通文件下载或显示。
打开IIS管理器, 选择目标站点,在右侧“功能视图”中双击“处理程序映射”。
在“处理程序映射”列表中,找到与脚本相关的映射,选中后点击右侧“删除”。
返回站点根目录, 右键点击需要限制的目录,选择“转换为应用程序”,然后双击“功能权限”。
在“编辑功能权限”窗口中, 取消勾选“脚本施行权限”,仅保留“读取”和“写入”,点击“确定”。
验证方法:配置完成后 在浏览器中访问目录下的.php文件,若提示“403.14 - Forbidden”或文件下载而非解析,说明配置成功。
Linux服务器多使用Apache作为Web服务,通过修改配置文件或.htaccess规则实现权限控制。以下提供两种常用方法:全局配置和目录级.htaccess配置。
登录服务器,打开Apache主配置文件。
在VirtualHost或Directory段中,添加以下配置:
Options -ExecCGI -Indexes
AllowOverride None
Require all granted
Require all denied
配置说明:
• Options -ExecCGI禁止施行CGI脚本;
• Indexes禁止目录列表;
• FilesMatch禁止指定后缀的脚本文件施行。
保存配置文件,施行systemctl reload apache2使配置生效。
若无法修改全局配置文件, 可在目标目录下创建.htaccess文件,添加如下规则:
RewriteEngine On
RewriteCond %{REQUEST_FILE不结盟E} -f
RewriteRule "\.$" - 规则说明:
• RewriteEngine On开启重写引擎;
• RewriteCond匹配文件请求;
• RewriteRule对.php/.jsp/.asp文件返回403 Forbidden并停止处理。
将.htaccess文件上传至需限制的目录,重启Apache后生效。
注意:需确保Apache开启了mod_rewrite模块,且.htaccess文件权限设置为644。
1. **配置后网站功能异常?** 检查是否误删了必要目录的脚本权限,或.htaccess规则语法错误。可通过Apache错误日志排查原因。
2. **虚拟主机无法修改配置?** 联系主机商客服,申请关闭可写入目录的脚本施行权限,或通过FTP软件修改目录权限。
3. **如何验证权限是否生效?**
在受限目录上传一个测试文件, 内容为访问该文件。若显示代码或下载提示,说明权限限制成功;若解析出phpinfo页面则需检查配置。
取消目录脚本施行权限是网站平安的基础防护,但并非一劳永逸。管理员需定期检查目录权限,结合Web应用防火墙、文件上传校验等多层防护,才能有效抵御攻击。对于动态生成的目录,建议采用实时监控工具,发现异常脚本施行时自动拦截。
再说说提醒:任何权限修改前, 务必在测试环境验证,避免影响线上业务。平安无小事,细节定成败!
Demand feedback
