25 Mart 2008 Salı

Asp.Net uygulamalarinin Application Pool kullanilarak izole edilmesi

Asp.Net uygulamalarinin izolasyonu icin,

Uygulama Havuzları (Application Pool) kullanılabilir. Her uygulama için bir Uygulama Havuzu oluşturulur. Hangi havuzun sistem kaynaklarının ne kadarını kullanabileceği ayarlanır.

Bir Asp.NET uygulasının hareket kabiliyetini sınırlamak için aşağıdaki işlemler yapılabilir;

  • Uygulama için yeni bir Windows kullanıcısı oluşturulur.
  • Yeni kullanıcı, Users grubundan çıkartılır IIS_WPG grubuna eklenir.
  • Uygulama için yeni bir Uygulama Havuzu oluşturulur.
  • Uygulama Havuzunun Identity ayarı değiştirilir yeni kullanıcı üzerinden çalışması sağlanır.
  • Uygulamanın yeni Uygulama Havuzunu kullanması sağlanır.
  • Uygulamanın çalıştığı klasörlere kullanıcı için yeterli ve gerekli izinler verilir.
  • Windows TEMP klasörüne (Örn: C:\WINDOWS\Temp), IIS_WPG grubu için veya yeni kullanıcı için yazma yetkisi verilir.
  • Registry'de gerekli tüm dallara yazma yetkisi verin.

Makalede anlatılan türde sınırlamalar yapıldığında;

• Uygulamayı hack’leyen bir saldırgan, sistem genelini etkileyemez. Yalnızca uygulamanın kendi kaynaklarını tüketir. Yalnızca o uygulama çöker.
• Yazılan kötü ve performanssız kodlardan dolayı, sistem geneli etkilenmez.


Kaynak: blog.vukuf.com

3 yorum:

Tuncay dedi ki...

Registry kayıtlarında nerelere yazma hakkı veriyoruz.

Tolga Yaramış dedi ki...

Registry'de asagidaki subkey e gidip, sag tiklanir, permissions secilip, IIS_WPG grubu listeye eklenir.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ASP.NET_2.0.50727\Names

Advanced tusuna bastigimizda "Permission Entry for Names" ekranina gelip burda IIS_WPG secip Edit diyoruz. Acilan pencere asagidaki haklari seciyoruz:

- Query Value
- Set Value
- Create Subkey
- Enumerate Subkeys
- Notify
- Read Control

Bunun haricinde, test etmedim ama eger ki uygulama registry de bir subkey e yazip okuyorsa buraya da gerekli hakkin verilmesi gerekebilir. örnegin kullanici tarafindan girilen bilgilerin bazilari registry de tutulabilir.

Kolay gelsin.

Tuncay dedi ki...

Teşekkür ederim