none
IIS 8.5 : Sécurité des sites RRS feed

  • Question

  • Bonjour,
     
    J'ai actuellement un serveur IIS utilisé pour héberger différents sites basé sur une même racine : www.test.fr/site1, www.test.fr/site2; www.test.fr/site3, ...
     
    Actuellement, le site racine www.test.fr est utilisé pour s'exécuter avec l'utilisateur www, les sous-sites sont en réalité des répertoires virtuels configurés pour s'exécuter avec l'utilisateur correspondant au site (site1, site2, ...).
     
    Je viens de m'apercevoir que le code des sous sites sont en réalité exécutés par l'utilisateur racine (www). De ce fait, le site1 peut aller écrire dans le site2 (en remontant au dossier parent ../site2 par exemple). Cela fonctionne pour uploader des fichiers par exemple.
     
    J'aimerai isoler complètement les sites (avec des users différents) afin que les sous sites ne puissent pas écrire dans les autres.
     
    Comment faire dans mon cas ?
     
     
    Merci !
    mercredi 22 juin 2016 10:07

Réponses

  • Bonjour,

    Je me réponds à moi même car je pense avoir trouvé la solution au problème : il ne faut pas utiliser de répertoires virtuels mais des "applications" : Le répertoire virtuel sera exécuté avec l'utilisateur parent du site alors que chaque application sera exécutée avec son utilisateur dédié, ce qui offre une parfaite isolation.

    Je continue de creuser, mais je pense que c'est une bonne piste !

    vendredi 24 juin 2016 13:40

Toutes les réponses

  • Bonjour Christophe,

    Vous voulez dire que si un utilisateurs se connecte au site1, il peut avoir accès aux deux autres sites alors que vous voulez l'en empêcher ?

    Cordialement,

    Emile


    Votez! Appel à la contribution TechNet Community Support. LE CONTENU EST FOURNI "TEL QUEL" SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. S'il vous plaît n'oubliez pas de "Marquer comme réponse" les réponses qui ont résolu votre problème. C'est une voie commune pour reconnaître ceux qui vous ont aidé, et rend plus facile pour les autres visiteurs de trouver plus tard la résolution.

    jeudi 23 juin 2016 09:20
  • Bonjour Emile,

    Tout le monde à accès à tout les sites depuis un navigateur Web (c'est le fonctionnement souhaité).

    En revanche, ce que je cherche à faire, c'est isoler les différents sites entre eux : que le code du site1 ne puisse pas aller écrire dans le code du site2. (en effectuant ../site2 par exemple). Je ne sais pas si je suis très clair !

    En gros, j'aimerai que le site1 soit exécuté avec l'utilisateur site1, que le site2 soit exécuté avec l'utilisateur site2, .... alors que dans la configuration actuelle, tout les sites sont exécutés avec le même utilisateur, celui de la racine. Cela pose un vrais problème de sécurité.

    Cordialement,

    Chris

    jeudi 23 juin 2016 09:27
  • Bonjour,

    Je me réponds à moi même car je pense avoir trouvé la solution au problème : il ne faut pas utiliser de répertoires virtuels mais des "applications" : Le répertoire virtuel sera exécuté avec l'utilisateur parent du site alors que chaque application sera exécutée avec son utilisateur dédié, ce qui offre une parfaite isolation.

    Je continue de creuser, mais je pense que c'est une bonne piste !

    vendredi 24 juin 2016 13:40