IMHO.WS

IMHO.WS (http://www.imho.ws/index.php)
-   Безопасность (http://www.imho.ws/forumdisplay.php?f=19)
-   -   Безопасность Apache под Windows 2003 Server (http://www.imho.ws/showthread.php?t=107232)

Bosmr 18.08.2006 22:04
Безопасность Apache под Windows 2003 Server
 
Всем доброго времени суток.
Предлагаю сделать полезный мануал по установке апача на винды, все ж надеюсь не я один такой, не знающий никсов :mad:

Итак, задался вот таким вопросом: как можно обезопасить установленный на контроллере домена апач, чтобы даже если его ломанут, это прошло как можно более безболезненно для сервака, сами понимаете, DC. :confused:

Имеется
- Apache_2.2.3-win32-x86-no_ssl.msi (установка как сервис)
- Windows 2003 Server Enterprise Edition SP1
- Установка проводилась на отдельный раздел.

Я отталкивался от стандартного руководства Apache.org

судя по которому:
1. Создаем локального юзера ("apache")
2. Накручиваем в политике безопасности контроллера домена следующие опции:
Local Policies\User Rights Assignment:
- Работа в режиме операционной системы (добавляем юзера apache)
- Log on as service (добавляем юзера apache)
3. Раздаем права на доступ к диску с хттп-сервером
- htdocs - Read and Execute
- Папка с файлами апача - Read and Execute
- Logs - Read, Write, Execute, delete
- Если логи (access.log и error.log) вынесены в отдельную папку, на папку с httpd.pid аналогично Read, Write, Execute, delete

Однако, наткнулся в сети на статейку, согласно которой автор предлагает проделать еще несколько шагов для обеспечения безопасности:

Предлагается внести следующие изменения в GPO контроллера домена:
Local Policies\User Rights Assignment:
- Deny Log on Locally (добавляем юзера apache)
- Deny access to this computer from the network (добавляем юзера apache)

Также требуется закрыть доступ на системный диск для пользователя, от имени которого запускается апач.

Проделал. Результат - нулевой. Апач не стартует, в эвентах фиксируется ошибка об "отказе в доступе", запуск через консоль ничего интересного не добавляет, пишет "служба не ответила за требуемый промежуток времени".

Подумал, что для запуска службы любому пользователю нужен доступ к %windir%\System32\net.exe... и правда, после открытия доступа на чтение и исполнение файлов внутри каталога System32 апач резво запустился. :beer:

Однако, я все же очень беспокоюсь за сохранность своего сервака, и прошу помощи, может быть кто-нибудь знает способ, как можно запустить апач без открывания доступа на чтение и исполнение для "system32"?

Также столкнулся с проблемой. При загрузке сервера апач не стартует как сервис, опять ругается на права, однако после логина и "net start..." прекрасно взводится. Создал на первое время батник в автозагрузке.
Буду очень признателен, если кто-нибудь объяснит причину.

Bosmr 29.08.2006 21:54
Мда, результаты есть, но их мало, и они удручающие. Проделал всё нескольок раз, так что могу теперь это утверждать:
1. Права на доступ к системному диску отобрать не получается
Цитата:
Тип события: Ошибка
Источник события: Service Control Manager
Категория события: Отсутствует
Код события: 7000
Дата: 27.08.2006
Время: 15:45:53
Пользователь: Н/Д
Компьютер: SERVER
Описание:
Сбой при запуске службы "Apache2.2" из-за ошибки
Служба не ответила на запрос своевременно.
2. на Windows 2000 Server SP4 всё прекрасно, работает как часы.
На Windows 2003 Server SP1 при загрузке, вываливается ошибка:
Цитата:
Тип события: Ошибка
Источник события: Service Control Manager
Категория события: Отсутствует
Код события: 7000
Дата: 27.08.2006
Время: 15:55:18
Пользователь: Н/Д
Компьютер: SERVER
Описание:
Сбой при запуске службы "Apache2.2" из-за ошибки
Имя учетной записи задано неверно или не существует, или же неверен указанный пароль.
.


Часовой пояс GMT +4, время: 12:15.

Powered by vBulletin® Version 3.8.5
Copyright ©2000 - 2026, Jelsoft Enterprises Ltd.