Willkommen

1. Willkommen TYPO3 auf IIS • Christian Kurta http://www.typoheads.com

2. Agenda • Vorurteile bzgl • LAMP / WAMP • Architekturvergleich • Vorraussetzungen • Vorteile / Nachteile • Stresstesting

3. Vorurteile IIS • Performance • Instabil • Lizenzkosten • Insecure • Black-Box • Fehlende Bildbearbeitung

4. Vorurteile Apache (WIN32) • Funktioniert nicht zu 100% auf Windows • Nicht stable?

5. Architekturunterschiede PHP • IIS: • PHP als CGI/FastCGI/ISAPI • CGI: Pro Aufruf 1 Prozess – PHP bei jedem Aufruf komplett neu geladen. • FastCGI/ISAPI: PHP bleibt im Speicher und lädt neue Instanzen nach • Apache: • PHP als Modul/CGI

6. Architekturunterschiede ImageMagick • IIS: • cmd.exe führt convert/combine aus • Problematisch bzgl Rechte IISUSR • Apache: • wwwrun führt convert/combine aus

7. Vorraussetzungen • IIS 6.0 • PHP mit GD usw. • FastCGI • E-Accellerator

8. PHP • Nur absolut notwendige Module aktivieren • SSL fürs Backend verwenden! • Vorsicht bei: • Directory Indexes • Includes

9. Die wichtigsten PHP.ini Variablen Safe_mode = On Safe_mode_execdir = /meineexec/ >= TYPO3 3.6.0 Open_basedir = /www alle TYPO3 Versionen Register_globals = Off Display Errors = Off Log Errors = On

10. Linux / Unix / Windows • Nur absolut notwendige Programme installieren • (< TYPO3 3.6.0: cp, mv) • Firewall (!!!) • tuga-assholes • Kernel Sicherheit / Microsoft BSA • Windows Updates • Weiteres siehe Sicherheit in und rund um TYPO3 – TUGA in Retz

11. Windows • Vorsicht bei Dateiberechtigungen: • Cmd.exe: IISUSR, IISWM -> Safemodeverz. • Convert/combine: -> Safemodeverz.

12. MySQL-Security • Root-Passwort vergeben! • Port 3306 bei der Firewall blockieren • Dem TYPO3 Web keine Create, Drop, Grant usw Rechte geben. • Dem TYPO3 Web nur den lokalen Hostname erlauben (localhost, www1 – nicht %) • phpMyAdmin mit .htaccess sichern • (auch das von TYPO3)

13. MySQL-Performance (my.cnf) • Persist Connections = Off • Max Users Limit auf Limit von Apache setzen! • Weitere Vorschläge?

14. TYPO3 noch sicherer machen (1/2) • /typo3-sourcecode mit .htaccess schützen • IPmaskList • lockToDomain bei BE-users/BE-groups • https fürs Backend – lockSSL = 1 • Evtl typo3-Verzeichnis umbenennen • Keine SQL-Dumps speichern • Evtl localconf.php ausserhalb von webroot

15. TYPO3 noch sicherer machen (2/2) • /typo3/dev Ordner löschen • /typo3/misc Ordner Löcshen • Install-Tool mit die() Funktion versehen – oder löschen. • Kein HTML-Content-Element für BE-User – kein Button “HTML-Anzeigen” - XSS • Keine Installation von “Quickstart Package” • Warning_mode • Warning_Email_Addr

16. Installation • PHP 4.3.X installieren • FastCGI runterladen und entpacken in c:\php\isapifcgi.dll • Regedit: HKEY_LOCAL_MACHINE:Software\FASTCGI\.php • AppPath = c:\php\php.exe • BindPath = php-fcgi

17. Installation • $_SERVER['FCGI_SERVER_VERSION'] in phpinfo()

18. Stresstest • Microsoft Application Test Center (im VisualStudio Paket enthalten -> Praxisbericht • Apache Benchmark

19. Links & Literatur • http://www.arnot.info/eaccelerator/ • http://www.caraveo.com/fastcgi/fastcgi-0.6.zip

20. Fragen / Antworten • Vielen Dank für Ihre Aufmerksamkeit.