Настройка параметров безопасности запуска программ на стороне сервера
В файле ippsrv.conf указываются параметры безопасности подключаемых модулей при выполнении программ на стороне сервера.
Режимы безопасности могут запрещать загрузку некоторых модулей или ограничивать действие некоторых функций, реализованных в модуле.
Режимы безопасности задаются при загрузке подключаемых модулей на стороне сервера, где требуется ограничение возможностей языка И++. В настоящее время поддерживаются следующие режимы безопасности:
- запрет сети (HTTP, почта и т.п.);
- запрет запуcка программ (exe, bat);
- запрет использования сторонних компонентов (DLL, COM объекты);
- ограниченный доступ к файловой системе, неограниченный доступ только к папке песочницы;
- запрет на показ любого пользовательского интерфейса (UI).
Режим запрета на показ пользовательского интерфейса на стороне сервера действует всегда. Остальные запреты по умолчанию включены.
Все модули разделены на осведомленных о режимах безопасности и неосведомленнных. При включении любой комбинации режимов безопасности загрузка неосведомленных модулей запрещена. Осведомленные модули обрабатывают режимы безопасности в соответствии со смыслом каждой функции.
Формат задания параметров в файлах conf:
<имя_параметра>=<значение>
После редактирования параметров, чтобы изменения вступили в силу необходимо перезапустить сервер.
Файл ippsrv.conf
| Название параметра | Описание |
|---|---|
| Security | Режимы безопасности |
| Network | Разрешение/запрет сети (HTTP, почта и т.п.). Значения параметра - on, off. По умолчанию - off, т.е. запрещено. |
| StartProc | Разрешение/запрет запуcка программ (exe, bat). Значения параметра - on, off. По умолчанию - off, т.е. запрещено. |
| ThirdParty | Разрешение/запрет использования сторонних компонентов(DLL, COM объекты). Значения параметра - on, off. По умолчанию - off, т.е. запрещено. Исключения для создания COM-объектов указываются с секции Security файла modcom.conf. |
| FileSysSandbox | Режим песочницы файловой системы. Значения параметра - on, off. По умолчанию - on, т.е. используется песочница. Исключения для доступа файлам и папкам вне песочницы указываются в секции Exceptions файла sandbox.conf. |
Пример
[Security] Network=OFF StartProc=OFF ThirdParty=OFF FileSysSandbox=ON
Файл sandbox.conf
| Название параметра | Описание |
|---|---|
| Exceptions | Исключения доступа к файловой системе вне песочницы. |
| <относительный путь к файлу> | Задает исключение для доступа к указанному файлу вне песочницы. В значении параметра указывается тег базовой папки (см. таблицу ниже) и уровень доступа R, W или RW - для чтения, записи или чтения и записи соответственно. |
| <относительный путь к папке>* | Задает исключение для доступа к файловой системе в папке и ее подпапках. В значении параметра указывается тег базовой папки (см. таблицу ниже) и уровень доступа к файлам R, W или RW - для чтения, записи или чтения и записи соответственно. |
| Deploy | Настройка развертывания архивов. |
| Archiver | Имя файла или путь к исполнимому модулю архиватора 7z. В пути допускается использование подстановок базовой папки (теги см. таблицу ниже). Например, %COMMON%\data\7z\7z.exe - для общей рабочей папки. Параметр используется функциями развертывания архивов РАЗВЕРНУТЬ и РАЗВЕРНУТЬ_СЕРВ. |
| WriteLog | Запись диагностической информации о развертывании архивов в файл deploy.log. Файл создается в корне общей рабочей папке (куда выполняется развертывание). Значения параметра - on, off. По умолчанию - off, т.е. запись в файл выключена. |
Для указания базовых папок используется следующие теги:
| PERSONAL | персональная рабочая папка сервера |
| COMMON | общая рабочая папка |
| PLATFORM | корневая папка установки платформы |
| BINARY | папка исполнимых файлов платформы |
| PROJECT | папка проектов |
| EXECUTABLE | папка исполнимых файлов И++ (ibx), соответствующая текущей конфигурации на стороне сервера |
| PROFILER | папка профайлера |
| EVENT | папка файлов описаний событий |
| TABFORM | табличных форм |
| IMAGE | папка изображений |
| LOCALDB | папка локальных баз данных (dbf, db) |
Пример
[Exceptions] build.ini=PLATFORM:R version.ini=COMMON:RW Установка*=EXECUTABLE:R [Deploy] ; example: ; Archiver = %COMMON%\data\7z\7z.exe ; by default use environment path Archiver = 7z.exe WriteLog=ON
Файл modcom.conf
| Название параметра | Описание |
|---|---|
| Security | Исключения создания COM-объектов. |
| Exception1, Exception2, ... | Указываются исключения на создание COM-объектов. В значении параметра указывается GUID класса в фигурных скобках или строка ProgId, соответствующие третьему параметру метода ДИН_COM_ОБЪЕКТ.СОЗДАТЬ_ЭКЗЕМПЛЯР. |
Пример
[Security]
Exception1 = {42716BA6-8892-11DA-9642-000476D1BF92}
Exception2 = MyLib.MyClass
См. также:
- Файл параметров запуска программ на сервере ippsrv.ini
- Файл инициализации клиентского приложения athena.ini
- Файл инициализации клиентского приложения сетевой версии ircon2.ini
- Параметры запуска клиентского приложения
- Файл инициализации сервера athsrv2.ini
- Параметры запуска сервера
- Файл параметров athopt.ini
- Radmin
- Найти в содержании