# Apache berechtigung unter Win 2003 Server



## KICK (24. November 2004)

Hi,

ich möchte einen Apache+php+sql unter Windows Server 2003 Server laufen lassen.

Nun gibt es ja die Möglichkeit den Apache als Systemservice (Also User "System", wenn ich das richtig verstanden habe) laufen zu lassen oder als Dienst unter einem bestimmten Username.

Ich hab schon des öfteren gehört das man den Apache, sowie auch Php unter einem User laufen lassen soll der möglichst wenig bis keine Rechte besitzt und ich glaub der User "System" unter Win hat so ziemlich alle Rechte oder?

Vielleicht kann mir ja jemand Tipps geben oder einfach nur mal die wichtigsten Fact's auflisten, die ich beachten sollte.

P.S.: Unter Fact's verstehe ich *nicht* "Nimm gleich Linux" ;-)


----------



## Sinac (25. November 2004)

Das hängt ganz einfach damit zusammen das es für dich ziemlich doof wäre wenn jetzt irgendwer mit nem Exploit deinen Webserver killt, sich die dafür vorgesehenen Rechte unter den nagel reißt und dann deinen ganzen Server platt macht. Wenn der Webserver aber mit Root Rechten läuft ist das durchaus denkbar. Darum solltest du diesen Dienst grundsätzlich nur mit den nötigsten Rechten ausstatten damit sich der Schaden in einem solchen Fall in Grenzen hällt. Aber frag mich nicht wie man das unter Windows macht.

Greetz...
Sinac

PS: Die Sprüche über Windows spar ich mir jetzt


----------



## MCIglo (25. November 2004)

Systemrechte liegen über denen eines Administrators. Und was man alles als Admin machen kann, weißt du ja 

Aber: wenn du deine Dienste immer up2date hälst, kann auch als Systemservice nichts passieren. Sollte eine neue Lücke auftauchen, sind eh erstmal die großen Firmen dran, und bis die Scriptkiddies dann an 195.0.0.0 oder so kommen, sind gibts bereits einen Patch.

Ganz wichtig ist aber, dass du deinem root@% der MySQL-DB ein gutes Passwort gibst. Es gibt da nämlich eine undokumentierte Schwachstelle (auch in der neusten Version), die dir das ausführen belibigen Codes auf dem System ermöglicht!

Eine weitere Möglichkeit, den Server zu sichern wäre, ihn hinter einen Linux-Router mit iptables zu setzen, und einfach ALLES außer 80/TCP als ankommende Verbindung zu blocken. DIes wird auch eineige (99,9%) Scriptkiddies abalten, in dein System zu kommen.


----------



## KICK (25. November 2004)

Also erstmal danke für die Tipp's, scheint ja alles nicht so dramatisch zu sein, wie man das teilweise in Netz liest 

Eine Frage hätt ich aber nocht ->



			
				MCIglo hat gesagt.:
			
		

> Aber: wenn du deine Dienste immer up2date hälst, kann auch als Systemservice nichts passieren.



Bedeutet das, dass ich sowohl von Apache, als auch PHP und SQL IMMER die neueste Version verwenden sollte/(muss), oder gibts es diese Patches meistens für alle Versionen?

Auf was ich eigentlich hinaus möchte ist, dass es den Apache z.B. in Versionen "1.3.xx" und "2.0.xx" gibt. Benutze ich nun eine der 1.3-er Versionen und es taucht eine neue Sicherheitslüscke in einer der 2.0-er Versionen auf, muss ich dann den Patch der 2.0-er über die 1.3-er spielen Oder sollte ich überhaupt gleich eine der 2.0-er Versionen nutzen? Nur warum gibt es dann überhaupt noch die 1.3-er Versionen zum Download?

Ich hoffe die Frage war jetzt halbwegs Verständlich *ggg*


----------



## MCIglo (25. November 2004)

Also immer die neuste Version nicht, aber immer die neuste stable 
Da du eh ein Budle aus Apache, PHP und MySQL brauchst, empfehle ich dir sowas wie XAMPP. Das enthält alles, was du brauchst und wird regelmäßig upgedated
http://www.apachefriends.org/de/xampp-windows.html. 


Entscheidest du dich, die 3 Teile doch einzeln zu installieren (was aufwändiger, aber sicherer ist), empfehle ich dir gleich Apache2, PHP 4.3.9 und MySQL 5. 

Und wie gesagt: root@% beim MySQL nicht vergessen (passiert sehr häufig, wenn man ihn lokal konfiguriert!)


----------

