Представлен релиз HTTP-сервера Apache 2.2.10

[ProFTP]

......

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[freeman]

Отдельно стоит отметить, появление поддержки chroot для Unix-совместимых ОС, при старте apache будет выполнен переход в изолированное окружение, корневая директория которого задана через директиву ChrootDir. Новшество совместимо с MPM модулями prefork и worker.

Для секурности очень интересное нововведение.

[Alex_hha]

Ну и зачем оно, если apache не запускается от root?

[Alex Keda]

мастер-процесс - от кого?
апач слушает привелигированный порт. Он по любому от рута запускается.

[freeman]

Допустим даже что какой то процесс выполняется от непривилегированного пользователя и его работа связана с возможностью удалённого доступа к нему. Теоритически если ломанут его, а потом воспользуются уязвимостью в ОС по повышению привилегий ...
В общем лучше даже вроде бы теоритические дырки прикрыть

[ProFTP]

suexec, тоже, скрипты все от рута запускает, статья где-то давно была на opennet.ru про безопасность в старом апаче...

[Alex_hha]

А при чем тут запускается? Я имел ввиду работает то он не от рута, а от www

[Alex_hha]

Допустим даже что какой то процесс выполняется от непривилегированного пользователя и его работа связана с возможностью удалённого доступа к нему. Теоритически если ломанут его, а потом воспользуются уязвимостью в ОС по повышению привилегий ...
В общем лучше даже вроде бы теоритические дырки прикрыть

тогда лучше отключить комп от инета, тогда точно не взломают

[Alex Keda]

Код: Выделить всё

mail# ps -auxww | grep http
root      1036  0,0  0,6  6476  2968  ??  Ss   чт03      0:21,18 /usr/local/sbin/httpd
www      36408  0,0  0,6  6476  3004  ??  I    10:34     0:00,07 /usr/local/sbin/httpd
www      36409  0,0  0,6  6476  3184  ??  I    10:34     0:00,25 /usr/local/sbin/httpd
www      36410  0,0  0,6  6476  3184  ??  S    10:34     0:00,26 /usr/local/sbin/httpd
www      36411  0,0  0,6  6476  3184  ??  I    10:34     0:00,25 /usr/local/sbin/httpd
www      36412  0,0  0,6  6476  3180  ??  I    10:34     0:00,23 /usr/local/sbin/httpd
www      36413  0,0  0,6  6476  3180  ??  I    10:34     0:00,24 /usr/local/sbin/httpd
www      36417  0,0  0,6  6476  3188  ??  I    10:34     0:00,22 /usr/local/sbin/httpd
www      36418  0,0  0,6  6476  3184  ??  I    10:34     0:00,24 /usr/local/sbin/httpd
www      94871  0,0  0,6  6476  3176  ??  I    11:16     0:00,09 /usr/local/sbin/httpd
root     41599  0,0  0,2  3336  1056  p0  S+   12:01     0:00,01 grep http
mail#    

[freeman]

Допустим даже что какой то процесс выполняется от непривилегированного пользователя и его работа связана с возможностью удалённого доступа к нему. Теоритически если ломанут его, а потом воспользуются уязвимостью в ОС по повышению привилегий ...
В общем лучше даже вроде бы теоритические дырки прикрыть

тогда лучше отключить комп от инета, тогда точно не взломают

Правильно, или поставить винду и не парить себе мозг этими безопасностями, так же получается ?
P.S. На тему реальности вышесказанного Три уязвимости во FreeBSD

[Alex Keda]

сосбно - пофикшены все.
кто не обновился - сам виноват ))

[Alex_hha]

Правильно, или поставить винду и не парить себе мозг этими безопасностями, так же получается ?

слишком не увлекаться безопасностью, всегда должен быть паритет между безопасность/удобность, имхо. А то по вашей логике ВСЕ сервисы и демоны надо запускать в chroot? А вдруг в них найдут дырку...

[freeman]

Правильно, или поставить винду и не парить себе мозг этими безопасностями, так же получается ?

слишком не увлекаться безопасностью, всегда должен быть паритет между безопасность/удобность, имхо. А то по вашей логике ВСЕ сервисы и демоны надо запускать в chroot? А вдруг в них найдут дырку...

Я больше поддерживаю паритет между безопасность/удобность. Но для тех кому первое важнее, думаю эта новость будет полезной для рассмотрения, а не всразу отметать

Ну и зачем оно, если apache не запускается от root?

Никто же не удивляется что named выполняющийся у нас от имени bind chroot- ится ?

А то по вашей логике ВСЕ сервисы и демоны надо запускать в chroot? А вдруг в них найдут дырку...

Такой прямолинейной логики не вижу. Вижу что опасность может быть уменьшена, если усилия по обеспечению этого того стоит. Каждый выбирает сам. Если из ВСЕХ сервисов только пара открыта всему миру, то их только и надо, зачем все ?

[Alex_hha]

А вдруг из локалки взломают? Был у меня недавно перл:
Он: "Как запретить отправлять почту из командной строки без аутентификации?"
Я: Зачем тебе это надо?
Он: если взломают сервер, чотбы не рассылали спам



Тоже боролся за безопасность.

Никто же не удивляется что named выполняющийся у нас от имени bind chroot- ится ?

не везде, зависит от дистра/ос

Почему тогда тот же дырявый sendmail не запускают в chroot? Так что это не показатель.