Seite 1 - TYPO3 auf IIS typohead s Willkommen TYPO3 auf IIS ● Christian Kurta

Seite 2 - TYPO3 auf IIS typohead s Agenda ● Vorurteile bzgl – LAMP / WAMP ● Architekturvergleich ● Vorraussetzungen ● Vorteile / Nachteile ● Stresstesting

Seite 3 - TYPO3 auf IIS typohead s Vorurteile IIS ● Performance ● Instabil ● Lizenzkosten ● Insecure ● Black-Box ● Fehlende Bildbearbeitung

Seite 4 - TYPO3 auf IIS typohead s Vorurteile Apache (WIN32) ● Funktioniert nicht zu 100% auf Windows ● Nicht stable?

Seite 5 - TYPO3 auf IIS typohead s Architekturunterschiede PHP ● IIS: – PHP als CGI/FastCGI/ISAPI ● CGI: Pro Aufruf 1 Prozess – PHP bei jedem Aufruf komplett neu geladen. ● FastCGI/ISAPI: PHP bleibt im Speicher und lädt neue Instanzen nach ● Apache: – PHP als Modul/CGI

Seite 6 - TYPO3 auf IIS typohead s Architekturunterschiede ImageMagick ● IIS: – cmd.exe führt convert/combine aus ● Problematisch bzgl Rechte IISUSR ● Apache: – wwwrun führt convert/combine aus

Seite 7 - TYPO3 auf IIS typohead s Vorraussetzungen ● IIS 6.0 ● PHP mit GD usw. ● FastCGI ● E-Accellerator

Seite 8 - TYPO3 auf IIS typohead s PHP ● Nur absolut notwendige Module aktivieren ● SSL fürs Backend verwenden! ● Vorsicht bei: – Directory Indexes – Includes

Seite 9 - TYPO3 auf IIS typohead s Die wichtigsten PHP.ini Variablen Safe_mode = On Safe_mode_execdir = /meineexec/ >= TYPO Open_basedir = /www alle TYPO3 Versionen Register_globals = Off Display Errors = Off Log Errors = On

Seite 10 - TYPO3 auf IIS typohead s Linux / Unix / Windows ● Nur absolut notwendige Programme installieren ● (< TYPO : cp, mv) ● Firewall (!!!) ● tuga-assholes ● Kernel Sicherheit / Microsoft BSA ● Windows Updates ● Weiteres siehe Sicherheit in und rund um TYPO3 – TUGA in Retz

Seite 11 - TYPO3 auf IIS typohead s Windows ● Vorsicht bei Dateiberechtigungen: ● Cmd.exe: IISUSR, IISWM -> Safemodeverz. ● Convert/combine: -> Safemodeverz.

Seite 12 - TYPO3 auf IIS typohead s MySQL-Security ● Root-Passwort vergeben! ● Port 3306 bei der Firewall blockieren ● Dem TYPO3 Web keine Create, Drop, Grant usw Rechte geben. ● Dem TYPO3 Web nur den lokalen Hostname erlauben (localhost, www1 – nicht %) ● phpMyAdmin mit.htaccess sichern – (auch das von TYPO3)

Seite 13 - TYPO3 auf IIS typohead s MySQL-Performance (my.cnf) ● Persist Connections = Off ● Max Users Limit auf Limit von Apache setzen! ● Weitere Vorschläge?

Seite 14 - TYPO3 auf IIS typohead s TYPO3 noch sicherer machen (1/2) ● /typo3-sourcecode mit.htaccess schützen ● IPmaskList ● lockToDomain bei BE-users/BE-groups ● https fürs Backend – lockSSL = 1 ● Evtl typo3-Verzeichnis umbenennen ● Keine SQL-Dumps speichern ● Evtl localconf.php ausserhalb von webroot

Seite 15 - TYPO3 auf IIS typohead s TYPO3 noch sicherer machen (2/2) ● /typo3/dev Ordner löschen ● /typo3/misc Ordner Löcshen ● Install-Tool mit die() Funktion versehen – oder löschen. ● Kein HTML-Content-Element für BE-User – kein Button “HTML-Anzeigen” - XSS ● Keine Installation von “Quickstart Package” ● Warning_mode ● Warning_ _Addr

Seite 16 - TYPO3 auf IIS typohead s Installation ● PHP 4.3.X installieren ● FastCGI runterladen und entpacken in c:\php\isapifcgi.dll ● Regedit: HKEY_LOCAL_MACHINE:Software\FASTCG I\.php – AppPath = c:\php\php.exe – BindPath = php-fcgi

Seite 17 - TYPO3 auf IIS typohead s Installation ● $_SERVER['FCGI_SERVER_VERSION'] in phpinfo()

Seite 18 - TYPO3 auf IIS typohead s Stresstest ● Microsoft Application Test Center (im VisualStudio Paket enthalten -> Praxisbericht ● Apache Benchmark

Seite 19 - TYPO3 auf IIS typohead s Links & Literatur ● ●

Seite 20 - TYPO3 auf IIS typohead s Fragen / Antworten ● Vielen Dank für Ihre Aufmerksamkeit.