IMHO.WS - Показать сообщение отдельно - Безопасность Apache под Windows 2003 Server

Bosmr · 18.08.2006, 22:04

Всем доброго времени суток.
Предлагаю сделать полезный мануал по установке апача на винды, все ж надеюсь не я один такой, не знающий никсов

Итак, задался вот таким вопросом: как можно обезопасить установленный на контроллере домена апач, чтобы даже если его ломанут, это прошло как можно более безболезненно для сервака, сами понимаете, DC.

Имеется
- Apache_2.2.3-win32-x86-no_ssl.msi (установка как сервис)
- Windows 2003 Server Enterprise Edition SP1
- Установка проводилась на отдельный раздел.

Я отталкивался от стандартного руководства Apache.org

судя по которому:
1. Создаем локального юзера ("apache")
2. Накручиваем в политике безопасности контроллера домена следующие опции:
Local Policies\User Rights Assignment:
- Работа в режиме операционной системы (добавляем юзера apache)
- Log on as service (добавляем юзера apache)
3. Раздаем права на доступ к диску с хттп-сервером
- htdocs - Read and Execute
- Папка с файлами апача - Read and Execute
- Logs - Read, Write, Execute, delete
- Если логи (access.log и error.log) вынесены в отдельную папку, на папку с httpd.pid аналогично Read, Write, Execute, delete

Однако, наткнулся в сети на статейку, согласно которой автор предлагает проделать еще несколько шагов для обеспечения безопасности:

Предлагается внести следующие изменения в GPO контроллера домена:
Local Policies\User Rights Assignment:
- Deny Log on Locally (добавляем юзера apache)
- Deny access to this computer from the network (добавляем юзера apache)

Также требуется закрыть доступ на системный диск для пользователя, от имени которого запускается апач.

Проделал. Результат - нулевой. Апач не стартует, в эвентах фиксируется ошибка об "отказе в доступе", запуск через консоль ничего интересного не добавляет, пишет "служба не ответила за требуемый промежуток времени".

Подумал, что для запуска службы любому пользователю нужен доступ к %windir%\System32\net.exe... и правда, после открытия доступа на чтение и исполнение файлов внутри каталога System32 апач резво запустился.

Однако, я все же очень беспокоюсь за сохранность своего сервака, и прошу помощи, может быть кто-нибудь знает способ, как можно запустить апач без открывания доступа на чтение и исполнение для "system32"?

Также столкнулся с проблемой. При загрузке сервера апач не стартует как сервис, опять ругается на права, однако после логина и "net start..." прекрасно взводится. Создал на первое время батник в автозагрузке.
Буду очень признателен, если кто-нибудь объяснит причину.

18.08.2006, 22:04	# 1
Bosmr Full Member Регистрация: 08.08.2002 Адрес: Питер Сообщения: 584	Безопасность Apache под Windows 2003 Server Всем доброго времени суток. Предлагаю сделать полезный мануал по установке апача на винды, все ж надеюсь не я один такой, не знающий никсов Итак, задался вот таким вопросом: как можно обезопасить установленный на контроллере домена апач, чтобы даже если его ломанут, это прошло как можно более безболезненно для сервака, сами понимаете, DC. Имеется - Apache_2.2.3-win32-x86-no_ssl.msi (установка как сервис) - Windows 2003 Server Enterprise Edition SP1 - Установка проводилась на отдельный раздел. Я отталкивался от стандартного руководства Apache.org судя по которому: 1. Создаем локального юзера ("apache") 2. Накручиваем в политике безопасности контроллера домена следующие опции: Local Policies\User Rights Assignment: - Работа в режиме операционной системы (добавляем юзера apache) - Log on as service (добавляем юзера apache) 3. Раздаем права на доступ к диску с хттп-сервером - htdocs - Read and Execute - Папка с файлами апача - Read and Execute - Logs - Read, Write, Execute, delete - Если логи (access.log и error.log) вынесены в отдельную папку, на папку с httpd.pid аналогично Read, Write, Execute, delete Однако, наткнулся в сети на статейку, согласно которой автор предлагает проделать еще несколько шагов для обеспечения безопасности: Предлагается внести следующие изменения в GPO контроллера домена: Local Policies\User Rights Assignment: - Deny Log on Locally (добавляем юзера apache) - Deny access to this computer from the network (добавляем юзера apache) Также требуется закрыть доступ на системный диск для пользователя, от имени которого запускается апач. Проделал. Результат - нулевой. Апач не стартует, в эвентах фиксируется ошибка об "отказе в доступе", запуск через консоль ничего интересного не добавляет, пишет "служба не ответила за требуемый промежуток времени". Подумал, что для запуска службы любому пользователю нужен доступ к %windir%\System32\net.exe... и правда, после открытия доступа на чтение и исполнение файлов внутри каталога System32 апач резво запустился. Однако, я все же очень беспокоюсь за сохранность своего сервака, и прошу помощи, может быть кто-нибудь знает способ, как можно запустить апач без открывания доступа на чтение и исполнение для "system32"? Также столкнулся с проблемой. При загрузке сервера апач не стартует как сервис, опять ругается на права, однако после логина и "net start..." прекрасно взводится. Создал на первое время батник в автозагрузке. Буду очень признателен, если кто-нибудь объяснит причину. __________________ ...In prog we trust... Последний раз редактировалось Bosmr; 19.08.2006 в 00:56.