Чи слід себе представляти PHP через FastCGI?

Я встановлюю останню версію PHP на IIS 7.5 через FastCGI, і всі інструкції говорять про те, що FastCGI повинен представляти себе викликом клієнта, встановивши

 fastcgi.impersonate = 1

Якщо мій веб-сайт матиме таку конфігурацію

• виділений пул додатків
• ідентичність пулу додатків ApplicationPoolIdentity
• лише анонімна автентифікація (як IUSR)

чому я хочу себе представити?

Я надходжу з фону ASP.NET, де IUSR отримує дозволи лише для читання, ідентифікація пулу програм отримує будь-які дозволи на запис. Надання запису доступу до IUSR зазвичай відкриває двері для вразливості WebDAV. Тож я вагаюся, щоб PHP запускався як IUSR.

Я не можу знайти багатьох людей, які задають це питання ( 1 | 2 ), тому я думаю, що я мушу щось пропустити. Може хтось мені це прояснить?

Через 13 місяців я хотів переглянути власне питання. За цей час я переніс півдесятка веб-сайтів з IIS 6 на IIS 7.5 і налаштував їх за своїм бажаним методом. Все, що я можу сказати, - це те, що веб-сайти працюють, у них не було проблем із безпекою (не те, що це популярні сайти), і на мій погляд, налаштування є більш безпечною, ніж те, що рекомендує learn.iis.net.

Щодо нащадків, ось відповідні налаштування. У PHP INI:

cgi.force_redirect = 0
cgi.fix_pathinfo=1
fastcgi.impersonate = 0

У IIS:

• Пул програми> Ідентичність> ApplicationPoolIdentity
• Веб-сайт> Автентифікація> Анонімна автентифікація> Конкретний користувач: IUSR

Дозволи NTFS та де їх застосувати:

• IUSR - Грант читайте, забороняйте писати
  • Кореневий каталог веб-сайту IIS. Наприклад, у проекті Zend Framework це буде каталог / public.
  • Якщо ваша програма завантажує файли та зберігає їх у загальнодоступному каталозі, вам потрібно застосувати цей дозвіл до каталогу тимчасових завантажень. Це відбувається тому, що move_uploaded_fileбуде збережено дозволи каталогу завантаження. Це найбільший недолік цього налаштування дозволів, який я знайшов.
• ApplicationPoolIdentity ( IIS AppPool\<<YourApplicationPoolName>>) - Грант Прочитати & Список
  • Корінь програми PHP. Наприклад, у проекті Zend Framework це був би весь проект.
  • Будь-які зовнішні бібліотеки (Zend, Doctrine тощо), включені у вашу програму, які не містяться в папці додатків.
• ApplicationPoolIdentity - Зміна гранту
  • Будь-яке місце , де ваш додаток буде писати такі як upload_tmp_dir, session.save_path, і error_log.
  • Іноді мені потрібно додати цей дозвіл до кореня програми PHP в моєму середовищі розробки, щоб підтримувати такі речі, як автогенерація проксі-серверів Doctrine .
• ApplicationPoolIdentity - Список грантів
  • Якщо ваша програма знаходиться у віртуальному каталозі, вам потрібно буде додати цей дозвіл до кореня веб-сайту. Це дозволяє вашій програмі читати її батьківський web.config. Наприклад, якщо корінь вашої програми http://example.com/MyPHPApp , встановіть цей дозвіл у веб-каталозі example.com. Зокрема, вам потрібно застосувати лише "Ця папка та файли", "Тільки в цьому контейнері".

Я сподіваюся, що це допоможе всім, хто вирішить, що інструкції learn.iis.net не є ідеальними.

Дивіться: http://www.php.net/manual/en/install.windows.iis6.php

Оформлення себе та доступ до файлової системи

Рекомендується включити імперсонацію FastCGI в PHP під час використання IIS. Це контролюється директивою fastcgi.impersonate у файлі php.ini. Якщо ввімкнути себе, особа PHP буде виконувати всі операції з файловою системою від імені облікового запису користувача, який був визначений аутентифікацією IIS.

Згідно з документацією, він просто дозволяє fastcgi діяти від імені клієнта, використовуючи всі ті ж дозволи (у вашому випадку це те, що схоже на рахунок IUSR). Іншими словами, виконувати всі дії, зазвичай дозволені власним обліковим даних клієнта (або анона). Ні більше, ні менше. Без цього набору, я думаю, бідні fastcgi залишилися каліками.