The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Подробности об улучшениях безопасности инфраструктуры Savannah

10.12.2010 13:02

Разработчики хостинга свободных проектов Savannah.gnu.org, недавно подвергшегося взлому, обобщили внесенные в настройки web-сервера изменения, направленные на повышение безопасности системы (а также сайтов gnu.org и nongnu.org):

  • С сервера удален mod_php;
  • Запрещена обработка страниц по символическим ссылкам;
  • Отключена поддержка SSI (Server Side Includes), за исключением основного сайта;
  • Запрещен запуск CGI-скриптов из SSI-вставок;
  • Доступ к mod_python разрешен только внутреннему скрипту new-savannah-project;
  • Для всех GNU-проектов в настройках Apache указано: 
    
  Options Indexes MultiViews Limit
  AllowOverride Indexes FileInfo Limit
  • Для всех не GNU-проектов в настройках Apache указано (отключен режим FileInfo, при котором в .htaccess допускалось использование слишком большого числа опций, среди которых Redirect и RedirectMatch): 
    
  Options Indexes Multiviews
  AllowOverride None


  1. Главная ссылка к новости (http://www.mail-archive.com/sa...)
  2. OpenNews: Взлом Savannah затронул и www.gnu.org. Хронология событий
  3. OpenNews: Хостинг Savannah.gnu.org взломан неизвестными злоумышленниками
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/28956-Savannah
Ключевые слова: Savannah, gnu, security
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (7) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (-), 18:52, 10/12/2010 [ответить]  
    		• –8 +/
    Лучше бы закрылы его. Во-первых, ничего ценого там не хостится, во-вторых, он гнушный, тормозной и дырявый.
     
  • 1.2, solardiz (ok), 19:58, 10/12/2010 [ответить]  
    		• +1 +/
    Вообще-то, было внесено гораздо больше изменений, даже я принял в этом небольшое участие (помог прикрутить passwdqc):

    http://savannah.gnu.org/maintenance/Compromise2010
    http://git.savannah.gnu.org/cgit/savane-cleanup.git/

    Конечно, много проблем (неоправданных рисков) еще остается...

     
     
  • 2.4, solardiz (ok), 21:42, 10/12/2010 [^] [^^] [^^^] [ответить]  
    		• +/
    Вот еще подробности по паролям: http://www.openwall.com/lists/announce/2010/12/10/2
     
  • 2.5, гы (?), 22:12, 10/12/2010 [^] [^^] [^^^] [ответить]  
    		• +/
    интересно а как они узнали что была SQL инъекция? т.е. стоял mod_security всё-таки и логи не потерли???
     
     
  • 3.7, solardiz (ok), 14:16, 11/12/2010 [^] [^^] [^^^] [ответить]  
    		• +/
    > интересно а как они узнали что была SQL инъекция?

    Анализировали логи. (Я сам логов не видел.)

    > т.е. стоял mod_security всё-таки

    Нет.

    > и логи не потерли???

    Да. Не потерли.

     

  • 1.3, б.б. (?), 20:02, 10/12/2010 [ответить]  
    		• +/
    Надеюсь, серьёзный аудит коснулся ВСЕХ проектов GNU, а не только того, который самый дырявый оказался?
     
  • 1.6, Аноним (-), 05:43, 11/12/2010 [ответить]  
    		• +/
    >С сервера удален mod_php;

    Бурные аплодисменты в зале! :)

     
     Добавить комментарий
    Имя:
    E-Mail:
    Текст:

    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей     		Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру