none
Sicurezza Webfarm su IIS6 con application pool isolation mode RRS feed

  • Domanda

  • IIS6 con PHP e MySQL (per gestione cms).

    Nella ricca documentazione online riguardante questo aspetto dell'impostazione di una webfarm in IIS6, viene suggerito di utilizzare come identità del application pool un utente diverso da quello standard gestito dal servizio di rete. Tale utente andrebbe a sostituire l'identità del servizio di rete in modo da isolare i processi di lavoro per ogni singolo dominio virtuale. Quindi creato un application pool x ogni singolo sito gestito da IIS. Meccanicamente si dovrebbe creare per ogni singolo sito un utente (inserito nel gruppo IIS_WPG) che andrebbe inserito nel application pool del determinato dominio virtuale.

    La mia domanda è inerente la sicurezza e una più agile predisposizione del dominio virtuale. Se creassi un SOLO utente inserito nel gruppo IIS_WPG e lo utilizzassi per tutti i singoli application pool dei siti gestiti in IIS cosa cambierebbe nella sicurezza? Considerando che assegno/creo già un application pool x ogni singolo sito, il fatto di appoggiarmi ad un utente uguale x tutti (ma diverso dal sistema di rete che ha maggiori autorizzazioni) o crearne uno generale mi pare che in fin dei conti non cambi poi molto in sicurezza.

    Quali sono le implicazioni nel utilizzare una sola identità per i diversi pool o una identità diversa x pool?
    Fritz [MVP Expression Web] and web editors Ms Frontpage Sharpoint Designer 2007
    martedì 14 dicembre 2010 09:50

Risposte

  • La mia domanda è inerente la sicurezza e una più agile predisposizione del dominio virtuale. Se creassi un SOLO utente inserito nel gruppo IIS_WPG e lo utilizzassi per tutti i singoli application pool dei siti gestiti in IIS cosa cambierebbe nella sicurezza?

    che la compromissione di un sito con individuazione dell'account sotto il quale gira l'application pool porterebbe alla inevitabile compromissione di tutti gli altri siti (e se tutti questi fanno da interfaccia a database sono guai seri).

    ciao.


    Edoardo Benussi - Microsoft® MVP
    Management Infrastructure - Systems Administration
    https://mvp.support.microsoft.com/Profile/Benussi
    Windows Server Italian Forum Moderator
    edo[at]mvps[dot]org
    martedì 14 dicembre 2010 10:11
    Moderatore

Tutte le risposte

  • La mia domanda è inerente la sicurezza e una più agile predisposizione del dominio virtuale. Se creassi un SOLO utente inserito nel gruppo IIS_WPG e lo utilizzassi per tutti i singoli application pool dei siti gestiti in IIS cosa cambierebbe nella sicurezza?

    che la compromissione di un sito con individuazione dell'account sotto il quale gira l'application pool porterebbe alla inevitabile compromissione di tutti gli altri siti (e se tutti questi fanno da interfaccia a database sono guai seri).

    ciao.


    Edoardo Benussi - Microsoft® MVP
    Management Infrastructure - Systems Administration
    https://mvp.support.microsoft.com/Profile/Benussi
    Windows Server Italian Forum Moderator
    edo[at]mvps[dot]org
    martedì 14 dicembre 2010 10:11
    Moderatore
  • Ma il fatto che la nuova identità sia solo appartenente al gruppo IIS_WPG e quindi non abbia le autorizzazioni del sistema di rete non dovrebbe essere sufficente per fermare il passaggio da un dominio all' altro? Semmai potrebbe agire sulle impostazioni dei pool di applicazioni e al massimo fermare i domini appartenenti a questa identità.

    Pensavo che il gruppo IIS_WPG non avesse alcun diritto amministrativo. Non trovo però specifiche a questo riguardo....
    Fritz [MVP Expression Web] and web editors Ms Frontpage Sharpoint Designer 2007
    martedì 14 dicembre 2010 10:34
  • Ma il fatto che la nuova identità sia solo appartenente al gruppo IIS_WPG e quindi non abbia le autorizzazioni del sistema di rete non dovrebbe essere sufficente per fermare il passaggio da un dominio all' altro?

    come fa a fermare il passaggio da un sito ad un altro se l'identità è la stessa perchè è unica ?

    è vero che i membri di IIS_WPG non hanno diritti amministrativi ma l'accesso al database ce l'hanno se usi il web come interfaccia di basi di dati.


    Edoardo Benussi - Microsoft® MVP
    Management Infrastructure - Systems Administration
    https://mvp.support.microsoft.com/Profile/Benussi
    Windows Server Italian Forum Moderator
    edo[at]mvps[dot]org
    martedì 14 dicembre 2010 11:00
    Moderatore