The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"OpenNews: 20 советов по увеличению безопасности Apache"
Вариант для распечатки Архивированная нить - только для чтения! 
Пред. тема | След. тема 
Форумы Разговоры, обсуждение новостей (Public)
Изначальное сообщение [Проследить за развитием треда]

"OpenNews: 20 советов по увеличению безопасности Apache"
Сообщение от opennews (??) on 09-Дек-05, 15:45 
В статье "20 ways to Secure your Apache Configuration (http://www.petefreitag.com/item/505.cfm)" кратко описаны 20 способов увеличения безопасности Apache. Вот некоторые из них:

-  Сокрытие версии HTTP-сервера.
   ServerSignature Off
   ServerTokens Prod

-  Запрещение показа списка файлов в директориях
   Options -Indexes

-  Запрещение SSI
   Options -Includes

-  Запрещение CGI
   Options -ExecCGI

-  Запрещение .htaccess
   AllowOverride None

-  Использование mod_security

-  Уменьшение таймаута
   Timeout 45

-  Лимиты на размер данных передаваемых в запросе.
   LimitRequestBody 1048576

-  Лимит размера данных для mod_dav
   LimitXMLRequestBody 10485760

-  Установка числа процессов в MaxClients, которые сможет обработать система;

-  Блокировка IP
   Order Deny,Allow
   Deny from all
   Allow from 176.16.0.0/16

-  Тюнинг KeepAlive
   MaxKeepAliveRequests 100
   KeepAiveTimeout 15

-  Запуска Apache в chroot

URL: http://www.petefreitag.com/item/505.cfm
Новость: https://www.opennet.ru/opennews/art.shtml?num=6597

Cообщить модератору | Наверх | ^

 Оглавление

Сообщения по теме [Сортировка по времени, UBB]


1. "20 советов по увеличению безопасности Apache"
Сообщение от Alex (??) on 09-Дек-05, 15:45 
Order Deny,Allow
Deny from all

Всё. и никто не сломает.
=)

Cообщить модератору | Наверх | ^

2. "20 советов по увеличению безопасности Apache"
Сообщение от TaranTuL (??) on 09-Дек-05, 15:50 
apachectl stop наверное надежнее.
Cообщить модератору | Наверх | ^

3. "20 советов по увеличению безопасности Apache"
Сообщение от USSR email on 09-Дек-05, 15:55 
Осталось выключить питание, порубить силовой кабель на куски, закрыть сервер в шкаф с крутым замком. В комнату со шкафом напустить свору голодных волкодавов. И главное-никакого инета :-)
Cообщить модератору | Наверх | ^

4. "20 советов по увеличению безопасности Apache"
Сообщение от sash (??) on 09-Дек-05, 16:09 
> Лимиты на размер данных передаваемых в запросе.
>LimitRequestBody 1048576

а как же закачка файлов больше 1Мб?

Cообщить модератору | Наверх | ^

5. "20 советов по увеличению безопасности Apache"
Сообщение от sash (??) on 09-Дек-05, 16:10 
upload имею ввиду.
Cообщить модератору | Наверх | ^

6. "20 советов по увеличению безопасности Apache"
Сообщение от echo email(??) on 09-Дек-05, 16:19 
Никчёмная, бестолковая статья.
Все эти механизмы требуются для нормальной работы.
Даже версия сервера может помочь клиенту.
Волков бояться - в лес не ходить.
Присоединяюсь к хору.
Cообщить модератору | Наверх | ^

8. "20 советов по увеличению безопасности Apache"
Сообщение от B.O.B.A.H. (??) on 09-Дек-05, 16:47 
не обязательно делать всё что прочитал :-)
это же советы, а не от начальства ;-)

|^^^^^^^^^^^^^''^\| ||\____
|     Водка-Водка            | ||','''|'''''''\_____,
|                 _..... _           | ||__|'__|_____||<
'''''(@)'(@)''''''''''''''''''''''**|(@)(@)******|(@)*

Cообщить модератору | Наверх | ^

7. "20 советов по увеличению безопасности Apache"
Сообщение от AlexVS (??) on 09-Дек-05, 16:45 
А зачем запрещать .htaccess?
Я на оборот через него все права доступа указываю.
Cообщить модератору | Наверх | ^

9. "20 советов по увеличению безопасности Apache"
Сообщение от MiRacLe on 09-Дек-05, 19:04 
21-ое правило:
порезать сетевой кабель на куски
22-ое:
разбить вдребезги все внешние накопители
23-ее и последнее:
Спать в презервативе.

Cообщить модератору | Наверх | ^

12. "20 советов по увеличению безопасности Apache"
Сообщение от andy (??) on 10-Дек-05, 06:08 
меня уже цитируют? приятно :)

по теме: правила действительно бестолковые. С такими настройками больше проблем, чем пользы

Cообщить модератору | Наверх | ^

10. "20 советов по увеличению безопасности Apache"
Сообщение от dev (??) on 10-Дек-05, 02:26 
Зря смеется, реально видел как у "неккккооотторых" хостингов апач под рутом пущен! Такие указание для  "подооообных" хостов - академические!
Cообщить модератору | Наверх | ^

11. "20 советов по увеличению безопасности Apache"
Сообщение от Tangar (ok) on 10-Дек-05, 03:05 
У кого ТАК(см.выше) работает - тут не читают! :)
Cообщить модератору | Наверх | ^

13. "20 советов по увеличению безопасности Apache"
Сообщение от morgg on 10-Дек-05, 10:01 
а под чем еще апач пускать? один процесс под рутом, остальные www:www
Cообщить модератору | Наверх | ^

14. "20 советов по увеличению безопасности Apache"
Сообщение от Юрий (??) on 10-Дек-05, 13:30 
привелегии root используются только для байндинга на 80 порт, насколько я помню.
Cообщить модератору | Наверх | ^

17. "20 советов по увеличению безопасности Apache"
Сообщение от uldus (ok) on 10-Дек-05, 17:35 
>а под чем еще апач пускать? один процесс под рутом, остальные www:www

Имели в ввиду, что апачевый root процесс висит и форкает рутовых детей, которые используются, чтобы всякие mod_php выполняли скрипты от uid пользователя, типа вшитый suexec.

Cообщить модератору | Наверх | ^

15. "20 советов по увеличению безопасности Apache"
Сообщение от Michael Shigorin email on 10-Дек-05, 13:31 
Добрая половина этого в апаче из ALT Linux сделана из коробки или с mod_security (это та, которая разумная половина).  Недобрая половина, включая "держите апач в чруте" (без ссылок на mod_chroot хотя бы) -- нафиг-нафиг. :)

(мазохисты могут пробовать, как это приготовлено в опёнке)

Cообщить модератору | Наверх | ^

16. "20 советов по увеличению безопасности Apache"
Сообщение от KBAKEP (??) on 10-Дек-05, 16:58 
А что в опёнке там жутко ужасного в chroot apache?
Cообщить модератору | Наверх | ^

18. "что в опёнке там жутко "
Сообщение от Otto Katz Feldkurat on 10-Дек-05, 19:28 
да как в любом руте - тащить в рут все окружение.

Я попробовал и плюнул. Непропорциональные результату затраты.

Cообщить модератору | Наверх | ^

19. "что в опёнке там жутко "
Сообщение от Mikk on 10-Дек-05, 19:35 
Ахринеть - тебе всё в одну авоську. Знаешь, а ведь либо безопастность со всем вытекающем гемором. Либо ну нафик. А некоторые ещё и виртуализацию используют.
Cообщить модератору | Наверх | ^

20. "Вообще-то просто лень"
Сообщение от Otto Katz Feldkurat on 11-Дек-05, 07:33 
но пора все зарутать. Не сегодня.

ПХП - в рут. ГД для него - тоже в рут. И так дальше и тому подобно...

Как с нуля коробку заводить.

Cообщить модератору | Наверх | ^

21. "Вообще-то просто лень"
Сообщение от ksp email on 11-Дек-05, 11:39 
Используйте mod_chroot + mod_suphp - и будет вам счастье :)

Дело то всего - переписать в chroot бинарник php-cgi, подмонтировать в chroot bind mount-ом /lib и /usr/lib, скопировать в chroot/etc несколько файлов из /etc... и получаете надежный хостинг, даже на Fedora Core, которую тут многие не любят.

Cообщить модератору | Наверх | ^

22. "Вообще-то просто лень"
Сообщение от Аноним on 11-Дек-05, 12:06 
mod_suphp - !!!! как впечатления ? есть проблемы со скриптами ?
Cообщить модератору | Наверх | ^

23. "Спасибо за совет"
Сообщение от Otto Katz Feldkurat on 11-Дек-05, 17:54 
ща взбодрюсь пивком и приступлю
Cообщить модератору | Наверх | ^

24. "С другой стороны"
Сообщение от Otto Katz Feldkurat on 12-Дек-05, 11:30 
Что в чруте, что не в чруте - если через дыру в приложении в /tmp залит руткит и в системе есть уязвимый для него сервис... Какая разница, из чрута или не из чрута руткит спам льёт?

Все-таки только mod_security поверх дыр плюс чистка дыр.

А чрут, так, упражение для.

Cообщить модератору | Наверх | ^

25. "С другой стороны"
Сообщение от uldus (ok) on 12-Дек-05, 11:57 
>него сервис... Какая разница, из чрута или не из чрута руткит
>спам льёт?

Если вы даете непривилегированным приложениям в вашем чруте делать bind() и connect(), тогда ой.

Cообщить модератору | Наверх | ^

28. "Ты что-ли :)"
Сообщение от Otto Katz Feldkurat on 12-Дек-05, 16:09 
сёдни в 10 утра мне Цы97 из Иджипта заливал?

Ща порутаю все апачи. Вечерком. Пока еще попробуй :)

Cообщить модератору | Наверх | ^

29. "Ты что-ли :)"
Сообщение от uldus (ok) on 12-Дек-05, 17:01 
>сёдни в 10 утра мне Цы97 из Иджипта заливал?
>Ща порутаю все апачи. Вечерком. Пока еще попробуй :)

Вы меня с кем-то путайте.

Cообщить модератору | Наверх | ^

30. "мало ли азарт"
Сообщение от Otto Katz Feldkurat on 12-Дек-05, 19:05 
от доброго webрута все-таки спасает только mod_security и Guardian\Snort.

Если дыра в приложении - до свидания. Хоть кол на голове вытеши, ибо webрут развивает совершенно законную с точки зрения HTTP деятельность.

Не буду рутать апачи - лень.

Cообщить модератору | Наверх | ^

31. "мало ли азарт"
Сообщение от uldus (ok) on 12-Дек-05, 19:10 
>от доброго webрута все-таки спасает только mod_security и Guardian\Snort.
>
>Если дыра в приложении - до свидания.

Вы забыли про дыры в mod_security или snort :-)

Cообщить модератору | Наверх | ^

32. "дыры в mod_security или snort :-) "
Сообщение от Otto Katz Feldkurat on 12-Дек-05, 20:29 
Ну, это не всякому даже и бразильцу по уму, хотя ребята они шустрые до немогу.

Чтобы достучаться до snort'a, нужен некий зловредный траф, который mod_security и Guardian'ом же и зарубается.

Это тебе не phpBB.

Cообщить модератору | Наверх | ^

33. "мало ли азарт"
Сообщение от ksp email on 13-Дек-05, 10:05 
Вот что спасет отца русской демократии (48 - apache uid):

iptables -A OUTPUT -o ! lo -m owner --uid-owner 48 -m state --state NEW -j DROP

Cообщить модератору | Наверх | ^

26. "С другой стороны"
Сообщение от Alexey (??) on 12-Дек-05, 13:34 
А вы всегда так /tmp маунтите, что оттуда можно выполнять программы?
Cообщить модератору | Наверх | ^

27. "Есть группа тачек"
Сообщение от Otto Katz Feldkurat on 12-Дек-05, 15:53 
ставленная не мной, в которой /tmp - директория в корневой фс.

Переразбивть аппаратные RAID на ходу - страшно. Да и лень.

А вы думаете, что есть люди, которые не знают, что такое noexec :)

Cообщить модератору | Наверх | ^

34. "Есть группа тачек"
Сообщение от konst email(??) on 19-Дек-05, 18:55 
>ставленная не мной, в которой /tmp - директория в корневой фс.
>
>Переразбивть аппаратные RAID на ходу - страшно. Да и лень.
>
>А вы думаете, что есть люди, которые не знают, что такое noexec
>:)
mount -bind /tmp с noexec - очень сложно?

Cообщить модератору | Наверх | ^

35. "Есть группа тачек"
Сообщение от playnet email on 23-Дек-05, 20:59 
>mount -bind /tmp с noexec - очень сложно?

Править fstab, зачем что-то переразбивать?
И зачем маунтить руками что-то...

Cообщить модератору | Наверх | ^

Удалить

Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру