Re: WinNT4 Service - security
- From
- Oleh Derevenko ()
- To
- All
- Date
- 2001-05-07T14:08:47Z
- Area
- SU.WINDOWS.NT.PROG
From: "Oleh Derevenko" <oder@eleks.lviv.ua>
Hi Andrey
> Проблема в том, что хочется защитить сервак по максимуму.
> Для этого все потенциально опасные сервисы (FTP и т.п.) пытаюсь запускать
не
> под системным аккаунтом, а под специально для них созданным аккаунтом,
> который имеет только те права, которые необходимы для соотв.сервиса.
>
> 1) NT почему-то требует чтобы у сервиса был доступ RX как к каталогу
> System32 так и к части его файлов. Понятно, что мои сервисы используют
> системные библиотеки. Но в Win2000 они как-то линкуются и без добавления
> сервису прав на System32. По уму-то вроде линковать их должна операционка
> еще до запуска сервиса.
Под NT5 каждый интерактивный пользователь по умолчанию входит в группу
Users, которая имеет права чтения на System32. Может дело именно в этом?
Кроме того, что такого секретного в системных библиотеках? Они вроде у всех
одинаковые.
> 2) Почему-то в системном жунале при каждом старте сервиса появляется
запись
> о том, что система не смогла загрузить профиль. При этом в Profiles
плодятся
> пустые подкаталоги с именем соотв. пользователя (под которым стартует
> сервис) и расширением-порядковым номером (.001, 002, ..).
> Права на эти каталоги автоматически выставляются правильные (админ,
система
> и этот пользователь имеют Full Access)
Наверное не надо выставлять экаунту, под которым ты запускаешь сервис
Roaming Profile. Кроме того, попробуй хоть раз сам залогиниться под этим
пользователем.
> 3) Часть моих сервисов должна работать с InterBase. При попытке соединится
с
> InterBase из сервиса через TCP/IP (localhost:c:\db\db.gdb или
> 127.0.0.1:c:\db\db.gdb), клиентская библиотека InterBase возвращает
сервису
> ошибку в которой перечислено, что она не понимает что такое порт 3050, что
> не найден host и еще кучу всякого бреда.
> При этом запускаемый шедулером (т.е. вроде как тоже из сервиса) командник
> прекрасно бэкапит InterBase-совскую БД, обращаясь к ней точно также
> (localhost:c:\db\db.gdb)
Наверно, надо дать права на %SystemRoot%\system32\drivers\etc\services.
Best regards
Oleh Derevenko
--- ifmail v.2.15dev5
* Origin: Ukranian Academic Research Network (2:5020/400)