核心思想
织梦CMS是一个需要频繁进行文件读写和数据库操作的程序,我们需要确保运行网站的应用程序池(IIS进程)对网站的特定目录拥有“写入”和“修改”权限,而对核心程序文件则应限制为“读取”和“执行”,以提高安全性。
(图片来源网络,侵删)
准备工作:确认网站目录结构
在设置权限之前,请先确认您的织梦网站安装在哪个目录下,默认情况下,织梦的目录结构如下:
D:\wwwroot\您的网站域名\
├── dede/ # 后台管理目录 (最重要,需要严格控制)
├── data/ # 核心数据目录 (需要写入权限)
├── uploads/ # 上传文件目录 (需要写入权限)
├── special/ # 专题目录 (需要写入权限)
├── html/ # 静态文件生成目录 (需要写入权限)
├── plus/ # 插件目录 (可能需要写入权限)
├── include/ # 核心包含目录 (通常只需读取)
├── templets/ # 模板目录 (通常只需读取)
├── index.php # 网站入口文件
├── install/ # 安装目录 (安装完成后务必删除)
└── ...其他文件关键目录权限总结:
| 目录 | 权限要求 | 原因 |
|---|---|---|
dede/ (后台) |
严格限制,仅允许管理员访问 | 存放网站核心配置文件和管理脚本,是安全重点 |
data/ |
必须写入 | 存放配置文件 (config.php)、缓存、日志等 |
uploads/, special/, html/, plus/ |
必须写入 | 用户上传文件、专题页面、静态HTML、插件数据存放地 |
include/, templets/, 根目录文件 |
仅读取和执行 | 这些是核心程序和模板文件,通常不需要修改 |
install/ |
安装时写入,安装后删除 | 安装程序需要写入配置,安装完成后这个目录是安全隐患 |
详细设置步骤 (Windows Server 2008 + IIS 7.0/7.5)
我们将使用两种方法来设置权限,推荐使用方法一,因为它更精确、更安全。
推荐 - 使用 IIS 的“配置编辑器”设置“应用程序池标识”权限
这种方法是IIS官方推荐的最佳实践,它通过为特定的应用程序池用户(而不是Everyone或Users组)分配权限,来精确控制网站访问。
(图片来源网络,侵删)
步骤 1:获取应用程序池用户名
- 打开 Internet 信息服务 (IIS) 管理器。
- 在左侧“连接”窗口中,展开您的服务器节点,然后点击 应用程序池。
- 在中间窗口中,找到您网站正在使用的应用程序池(
DefaultAppPool或您自定义的名称)。 - 右键点击 该应用程序池,选择 高级设置...。
- 在弹出的窗口中,找到 “进程模型” -> “标识”,点击右侧的 按钮。
- 您会看到一个用户名,格式通常是
IIS APPPOOL\您的应用程序池名称。IIS APPPOOL\DefaultAppPool。请记下这个完整的名称。
步骤 2:为网站目录分配权限
我们将为这个特定的应用程序池用户分配权限。
- 在 IIS 管理器 中,展开您的网站节点,右键点击您的网站,选择 “浏览...”,在资源管理器中打开网站根目录。
- 在网站根目录上 右键点击,选择 “属性” (在 Windows Server 2008 R2 中是“属性”,在 2008 中可能叫“安全”选项卡)。
- 切换到 “安全” 选项卡。
- 点击 “编辑...” 按钮,然后点击 “添加...” 按钮。
- 在输入框中,输入您在步骤1中记下的完整用户名(
IIS APPPOOL\DefaultAppPool),然后点击 “检查名称”,如果正确,系统会下划线标示该名称,点击“确定”。 - 关键步骤:为用户分配权限
- 选中刚刚添加的
IIS APPPOOL\...用户。 - 在下方的权限列表中,只勾选以下权限:
- 读取
- 读取和执行
- 列出文件夹内容
- 写入
- 修改
- 注意:对于
dede和include这类核心目录,我们可能需要移除“写入”和“修改”权限,但这可能会影响织梦某些高级功能(如在线编辑模板),对于新手,建议先对所有目录都给予这些权限,确保网站能正常运行,后续再根据需求收紧。 - 点击“应用”,确定”。
- 选中刚刚添加的
步骤 3:为特殊目录设置更严格的权限(可选但推荐)
(图片来源网络,侵删)
我们需要为 data、uploads 等目录确保应用程序池用户有写入权限,并移除其他不必要的用户权限。
- 分别进入
D:\wwwroot\您的网站域名\data\、uploads\、html\等目录。 - 在每个目录上右键 -> 属性 -> 安全 -> 编辑。
- 移除
Users组和Authenticated Users组的权限(如果存在),这些组权限太宽泛,不安全。 - 确保
IIS APPPOOL\...用户存在,并且拥有 “读取和执行”、“列出文件夹内容”、“写入”、“修改” 这四项权限。 - 对于
dede目录,除了IIS APPPOOL\...用户外,只添加您的管理员账户(Administrators组或您自己的域用户),并给予完全控制权限。绝对不要给IIS APPPOOL\...用户对dede目录的写入权限。
步骤 4:设置 NTFS 权限继承(重要)
在设置完上述权限后,系统可能会弹出警告,提示您“权限条目将继承自父项...”,为了确保我们的设置生效,需要进行以下操作:
- 在目录的 安全 选项卡中,点击 “高级” 按钮。
- 在权限条目列表中,找到您添加的
IIS APPPOOL\...用户条目。 - 选中该条目,然后点击下方的 “编辑” 按钮。
- 在弹出的窗口中,取消勾选“允许父项的继承权限传播到该对象”。
- 系统会弹出一个选择框,选择 “仅将显式定义的权限传播给子对象” 或 “删除所有继承的权限”,通常选择前者更安全。
- 点击“确定”,保存所有更改。
传统方法 - 使用 Users 组
这种方法比较简单,但安全性稍差,因为它会赋予所有经过认证的用户对网站的写入权限。
- 打开网站根目录的 属性 -> 安全 选项卡。
- 点击 编辑,然后点击 添加。
- 输入
Users,点击“检查名称”后“确定”。 - 为
Users组勾选 “读取和执行”、“列出文件夹内容”、“写入”、“修改” 权限,应用”。 - 重要:此方法会给整个网站写入权限,非常不安全。强烈建议您在
data、uploads等目录上,移除Users组的权限,然后按照 方法一 的步骤,为这些目录单独添加IIS APPPOOL\...用户的写入权限。
常见问题与最终检查
设置完权限后,请进行以下检查:
- 访问网站前台:确保能正常打开,没有500或403错误。
- 访问网站后台 (
/dede/):确保能正常登录。 - 测试功能:
- 进入后台,尝试 “系统” -> “系统基本参数” -> “性能选项”,点击“保存系统基本参数”,看是否成功。
- 尝试 “系统” -> “数据备份/恢复”,看是否能生成备份文件。
- 尝试发布一篇新文章,并生成HTML,看文章是否能正常显示。
- 尝试上传一张图片,看是否能成功上传到
/uploads/目录。
- 检查目录权限:回到每个关键目录,右键 -> 属性 -> 安全,确认权限设置是否如您所愿。
安全加固建议
- 删除
install目录:网站安装成功后,务必删除/install/目录,防止他人利用它重新安装或覆盖您的网站。 - 重命名
dede目录:将后台管理目录dede重命名为一个不容易被猜到的名字,可以大大提高安全性。 - 设置
data目录为禁止执行:在data目录上,右键 -> 属性 -> “安全” -> “高级”,找到IIS APPPOOL\...用户,编辑权限,在“权限”列表中,取消勾选“遍历文件夹/运行文件”,这样即使黑客上传了webshell,也无法在该目录下执行。
通过以上步骤,您的Windows Server 2008上的织梦网站应该就能拥有一个既稳定又安全的运行环境了。
