TL; DR
Для Apache как службы в Windows: предоставляет ли пользователь домена для запуска Apache в качестве службы и предоставляет им привилегию Act как части операционной системы из соображений безопасности? Сайт Apache рекомендует это. Если это проблема безопасности, что я должен делать вместо этого?
Я устанавливаю Apache 2.4 64-bit на Windows Server 2008.
До сих пор я скачал архив Apache с веб-сайта apachehaus и извлек его в нужный каталог, а затем настроил Apache как сервис, запустив httpd.exe -k install
согласно инструкциям на сайте Apache.
Теперь я вижу сервис Apache из services.msc
Следуя инструкциям по настройке Apache как службы с веб-сайта Apache, в нем говорится следующее:
По умолчанию все службы Apache зарегистрированы для запуска в качестве системного пользователя (учетная запись LocalSystem). Учетная запись LocalSystem не имеет прав доступа к вашей сети через какой-либо механизм, защищенный Windows, включая файловую систему, именованные каналы, DCOM или безопасный RPC. Однако он имеет широкие привилегии на местном уровне.
Затем говорится в качестве предупреждения:
Никогда не предоставляйте никаких сетевых привилегий учетной записи LocalSystem! Если вам нужен Apache для доступа к сетевым ресурсам, создайте отдельную учетную запись для Apache, как указано ниже.
Затем говорится, что вы должны выполнить следующие шаги:
Пользователям рекомендуется создать отдельную учетную запись для запуска служб Apache. Если вам необходимо получить доступ к сетевым ресурсам через Apache, это необходимо.
- Создайте обычную учетную запись пользователя домена и обязательно запомните ее пароль.
- Предоставьте только что созданному пользователю привилегию входить в систему как сервис и действовать как часть операционной системы. В Windows NT 4.0 эти привилегии предоставляются через Диспетчер пользователей для доменов, но в Windows 2000 и XP вы, вероятно, захотите использовать групповую политику для распространения этих параметров. Вы также можете установить их вручную с помощью оснастки MMC Local Security Policy.
- Убедитесь, что созданная учетная запись является членом группы «Пользователи».
- Предоставьте учетной записи права на чтение и выполнение (RX) всем папкам документов и сценариев (например, htdocs и cgi-bin).
- Предоставьте права на изменение учетной записи (RWXD) в каталог журналов Apache.
- Предоставьте учетной записи права на чтение и выполнение (RX) двоичного исполняемого файла httpd.exe.
и это продолжается ... после прибегая к поиску некоторых из вышеупомянутых шагов, я наткнулся на некоторые сообщения на форуме, которые поднимали некоторые проблемы безопасности относительно шага 2:
2. Предоставьте только что созданному пользователю привилегию входить в систему как сервис и действовать как часть операционной системы.
Итак, может ли кто-нибудь подтвердить, что предоставление пользователю домена, используемому для запуска Apache в качестве службы, и предоставление им привилегии Act как части операционной системы является проблемой безопасности? Это обязательно? Есть ли лучший подход, чтобы принять здесь?
Вышеупомянутые проблемы безопасности, которые я обнаружил на форумах, связанных со следующим веб-сайтом Microsoft https://msdn.microsoft.com/en-us/subscription/dn221957, в котором говорится:
Действовать как часть параметра политики операционной системы определяет, может ли процесс принять идентичность какого-либо пользователя и, таким образом, получить доступ к ресурсам, к которым у пользователя есть права доступа.