Как максимально обезопасить виртуальные хосты апача в windows?

Question

[max_rip]

Есть сервер на 2003 виндовсе, на нем живет ряд основных сервисов.

Также на нем крутиться сайт и еще две системы для просмотра статистики и управления этими сервисами.

Собственно хочется максимально обезопасить все эти системы и сайт друг от друга.

Дополнительные системы, очень специфические и написаны на пхп.

Но также они открыты для и распространяются бесплатно, т.е. у каждого желающего есть доступ для детального их изучения.

Для nix* систем можно запускать виртуальные хосты от разных юзеров, для виндовс я таких модулей не нашел.

Что вы можете посоветовать для максимального их разграничения, так чтобы при взломе одного не пострадали другие виртуальные хосты и не был получен какой либо доступ к другим файлам?


PS самое маньяческое решение это поставить nginx и виртуалку. Все перенести на виртуалку и nginx проксировать на неё. +)

Answer 1

[Parsing]

В IIS есть фича Application Pool Isolation. Для Apache — можно запускать отдельный процесс для каждого пользователя, а потом (в главном апаче:80) объединить их, используя reverse proxy.

Comments

[Parsing]

Таким образом можно даже использовать разные сервера для каждого пользователя (nginx, *)

[eternals]

Ну тогда уж на уровне fastCGI разводить (для всех версий IIS 6+ работает).

И да, про отсутствие .htaccess в случае использования IIS не забываем. Даже при использовании эмулятора .htaccess под IIS, php через fastCGI запускается и параметров в .htaccess не видит. Но это не всем критично.

[Parsing]

1. Говорилось про апач. 2. Параметры для php лучше хранить в отдельной папке для каждого юзера с отдельным php в php-cgi-fcgi.ini

[max_rip]

Мысль по поводу разных пользователей и разные процессов апача была, но проксировать лучше уже через nginx и статику им отдавать.

Answer 2

[Пума Тайланд]

Перенесите сайт на хостинг он стоит 100 рублей в месяц.

Comments

[eternals]

Хостинга за 100 рублей в месяц не существует в природе.

[Пума Тайланд]

masterhost.ru/service/hosting/ от 69
hosting.agava.ru/unix.shtml здесь от 120
www.hostland.ru/ от 90 рублей
www.hoster.ru/tarifs от 60 рублей
nvhost.ru/ от 80 рублей
Вы из каких соображений писали что его не существует?

[eternals]

Из прямых соображений. То что вы указали — это не хостинг, а затравка для перехода на хостинг.
Ни один нормальный функциональный, пользующийся спросом проект не выживет на этих говнотарифах.
Пояндексите «выжимают на дорогие тарифы ».

[Пума Тайланд]

ну тыщу юзеров в день будет держать спокойно, большинство тарифов, или вы думаете у человека под апачем высоконагруженный проект стоит вод виндой?

[max_rip]

а зачем если есть хорошая железка?
ИМХО решить геморой будет лучше, да и в экспирианс лишний не будет.

[Пума Тайланд]

Ну поставьте линукс и не парьтесь тогда, сплошной экспиранс

[max_rip]

хотя все может работать и под линухом, народ его не знает. Задача решить проблему на винде

Answer 3

[eternals]

1. Apache не умеет работать под Windows. Запускаться может, но работает глючно. Про это есть описание в сети.
2. У php есть механизмы защиты по директориям. Тот же open_base_dir в сочетании с блокировкой некоторых функций. Но периодически в этом находят баги, доказывая, что за говно php.
3. Для php обычно нужен apache (как типовое решение). Это всё лучше запускать под linux.
Просто виртуализацию из-под win2003 делать — не очень эффективно. Лучше поставить на железку hyper-v, под него запилить контейнер под win2003 и контейнеры под LAMP. Возможно, в вашем случае можно вообще под каждую площадку свой контейнер с ОС поставить.

Comments

[Parsing]

1. Версия 1.x-ssl помню действительно падала, с 2.x проблем пока не было.

[eternals]

Есть и со 2-й. Просто пока на компе разработки пробуешь (перезапускаешь часто), или не в связке, или на абсолютно чистой системе, но с небольшой нагрузкой, то прокатывает. Как только нагрузка хоть 10 000 хитов в сутки, используется работающий с большими объёмами памяти php, то иногда всё встаёт на свои места.
Кроме того, можете поискать по «apache windows nod32».

Здесь проблема в портировании. Кстати, многие используют apache под Windows в серьёзных боевых проектах. =)