200 likes | 326 Views
Willkommen. TYPO3 auf IIS Christian Kurta http://www.typoheads.com. Agenda. Vorurteile bzgl LAMP / WAMP Architekturvergleich Vorraussetzungen Vorteile / Nachteile Stresstesting. Vorurteile IIS. Performance Instabil Lizenzkosten Insecure Black-Box Fehlende Bildbearbeitung.
E N D
Willkommen TYPO3 auf IIS • Christian Kurta http://www.typoheads.com
Agenda • Vorurteile bzgl • LAMP / WAMP • Architekturvergleich • Vorraussetzungen • Vorteile / Nachteile • Stresstesting
Vorurteile IIS • Performance • Instabil • Lizenzkosten • Insecure • Black-Box • Fehlende Bildbearbeitung
Vorurteile Apache (WIN32) • Funktioniert nicht zu 100% auf Windows • Nicht stable?
Architekturunterschiede PHP • IIS: • PHP als CGI/FastCGI/ISAPI • CGI: Pro Aufruf 1 Prozess – PHP bei jedem Aufruf komplett neu geladen. • FastCGI/ISAPI: PHP bleibt im Speicher und lädt neue Instanzen nach • Apache: • PHP als Modul/CGI
Architekturunterschiede ImageMagick • IIS: • cmd.exe führt convert/combine aus • Problematisch bzgl Rechte IISUSR • Apache: • wwwrun führt convert/combine aus
Vorraussetzungen • IIS 6.0 • PHP mit GD usw. • FastCGI • E-Accellerator
PHP • Nur absolut notwendige Module aktivieren • SSL fürs Backend verwenden! • Vorsicht bei: • Directory Indexes • Includes
Die wichtigsten PHP.ini Variablen Safe_mode = On Safe_mode_execdir = /meineexec/ >= TYPO3 3.6.0 Open_basedir = /www alle TYPO3 Versionen Register_globals = Off Display Errors = Off Log Errors = On
Linux / Unix / Windows • Nur absolut notwendige Programme installieren • (< TYPO3 3.6.0: cp, mv) • Firewall (!!!) • tuga-assholes • Kernel Sicherheit / Microsoft BSA • Windows Updates • Weiteres siehe Sicherheit in und rund um TYPO3 – TUGA in Retz
Windows • Vorsicht bei Dateiberechtigungen: • Cmd.exe: IISUSR, IISWM -> Safemodeverz. • Convert/combine: -> Safemodeverz.
MySQL-Security • Root-Passwort vergeben! • Port 3306 bei der Firewall blockieren • Dem TYPO3 Web keine Create, Drop, Grant usw Rechte geben. • Dem TYPO3 Web nur den lokalen Hostname erlauben (localhost, www1 – nicht %) • phpMyAdmin mit .htaccess sichern • (auch das von TYPO3)
MySQL-Performance (my.cnf) • Persist Connections = Off • Max Users Limit auf Limit von Apache setzen! • Weitere Vorschläge?
TYPO3 noch sicherer machen (1/2) • /typo3-sourcecode mit .htaccess schützen • IPmaskList • lockToDomain bei BE-users/BE-groups • https fürs Backend – lockSSL = 1 • Evtl typo3-Verzeichnis umbenennen • Keine SQL-Dumps speichern • Evtl localconf.php ausserhalb von webroot
TYPO3 noch sicherer machen (2/2) • /typo3/dev Ordner löschen • /typo3/misc Ordner Löcshen • Install-Tool mit die() Funktion versehen – oder löschen. • Kein HTML-Content-Element für BE-User – kein Button “HTML-Anzeigen” - XSS • Keine Installation von “Quickstart Package” • Warning_mode • Warning_Email_Addr
Installation • PHP 4.3.X installieren • FastCGI runterladen und entpacken in c:\php\isapifcgi.dll • Regedit: HKEY_LOCAL_MACHINE:Software\FASTCGI\.php • AppPath = c:\php\php.exe • BindPath = php-fcgi
Installation • $_SERVER['FCGI_SERVER_VERSION'] in phpinfo()
Stresstest • Microsoft Application Test Center (im VisualStudio Paket enthalten -> Praxisbericht • Apache Benchmark
Links & Literatur • http://www.arnot.info/eaccelerator/ • http://www.caraveo.com/fastcgi/fastcgi-0.6.zip
Fragen / Antworten • Vielen Dank für Ihre Aufmerksamkeit.