1

TL; DR

Для Apache как службы в Windows: предоставляет ли пользователь домена для запуска Apache в качестве службы и предоставляет им привилегию Act как части операционной системы из соображений безопасности? Сайт Apache рекомендует это. Если это проблема безопасности, что я должен делать вместо этого?


Я устанавливаю Apache 2.4 64-bit на Windows Server 2008.

До сих пор я скачал архив Apache с веб-сайта apachehaus и извлек его в нужный каталог, а затем настроил Apache как сервис, запустив httpd.exe -k install согласно инструкциям на сайте Apache.

Теперь я вижу сервис Apache из services.msc

Сервис Apache от services.msc

Следуя инструкциям по настройке Apache как службы с веб-сайта Apache, в нем говорится следующее:

По умолчанию все службы Apache зарегистрированы для запуска в качестве системного пользователя (учетная запись LocalSystem). Учетная запись LocalSystem не имеет прав доступа к вашей сети через какой-либо механизм, защищенный Windows, включая файловую систему, именованные каналы, DCOM или безопасный RPC. Однако он имеет широкие привилегии на местном уровне.

Затем говорится в качестве предупреждения:

Никогда не предоставляйте никаких сетевых привилегий учетной записи LocalSystem! Если вам нужен Apache для доступа к сетевым ресурсам, создайте отдельную учетную запись для Apache, как указано ниже.

Затем говорится, что вы должны выполнить следующие шаги:

Пользователям рекомендуется создать отдельную учетную запись для запуска служб Apache. Если вам необходимо получить доступ к сетевым ресурсам через Apache, это необходимо.

  1. Создайте обычную учетную запись пользователя домена и обязательно запомните ее пароль.
  2. Предоставьте только что созданному пользователю привилегию входить в систему как сервис и действовать как часть операционной системы. В Windows NT 4.0 эти привилегии предоставляются через Диспетчер пользователей для доменов, но в Windows 2000 и XP вы, вероятно, захотите использовать групповую политику для распространения этих параметров. Вы также можете установить их вручную с помощью оснастки MMC Local Security Policy.
  3. Убедитесь, что созданная учетная запись является членом группы «Пользователи».
  4. Предоставьте учетной записи права на чтение и выполнение (RX) всем папкам документов и сценариев (например, htdocs и cgi-bin).
  5. Предоставьте права на изменение учетной записи (RWXD) в каталог журналов Apache.
  6. Предоставьте учетной записи права на чтение и выполнение (RX) двоичного исполняемого файла httpd.exe.

и это продолжается ... после прибегая к поиску некоторых из вышеупомянутых шагов, я наткнулся на некоторые сообщения на форуме, которые поднимали некоторые проблемы безопасности относительно шага 2:

2. Предоставьте только что созданному пользователю привилегию входить в систему как сервис и действовать как часть операционной системы.

Итак, может ли кто-нибудь подтвердить, что предоставление пользователю домена, используемому для запуска Apache в качестве службы, и предоставление им привилегии Act как части операционной системы является проблемой безопасности? Это обязательно? Есть ли лучший подход, чтобы принять здесь?

Вышеупомянутые проблемы безопасности, которые я обнаружил на форумах, связанных со следующим веб-сайтом Microsoft https://msdn.microsoft.com/en-us/subscription/dn221957, в котором говорится:

Действовать как часть параметра политики операционной системы определяет, может ли процесс принять идентичность какого-либо пользователя и, таким образом, получить доступ к ресурсам, к которым у пользователя есть права доступа.

0