Представлен релиз HTTP-сервера Apache 2.2.10

Обсуждение всяких разных новостей.
Аватара пользователя
ProFTP
подполковник
Сообщения: 3388
Зарегистрирован: 2008-04-13 1:50:04
Откуда: %&й
Контактная информация:

Представлен релиз HTTP-сервера Apache 2.2.10

Непрочитанное сообщение ProFTP » 2008-10-16 7:51:51

......
Pеrl FAQ
perl -e 'print join"",map $$_[rand@$_],([0..9,'a'..'z','A'..'Z'])x30'
ИзображениеИзображение

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
freeman
лейтенант
Сообщения: 734
Зарегистрирован: 2007-03-18 5:13:25

Re: Представлен релиз HTTP-сервера Apache 2.2.10

Непрочитанное сообщение freeman » 2008-10-17 11:49:07

ProFTP писал(а): Отдельно стоит отметить, появление поддержки chroot для Unix-совместимых ОС, при старте apache будет выполнен переход в изолированное окружение, корневая директория которого задана через директиву ChrootDir. Новшество совместимо с MPM модулями prefork и worker.
Для секурности очень интересное нововведение.
Остатся должен только один ...

Alex_hha
лейтенант
Сообщения: 755
Зарегистрирован: 2005-11-06 18:25:26
Контактная информация:

Re: Представлен релиз HTTP-сервера Apache 2.2.10

Непрочитанное сообщение Alex_hha » 2008-10-17 16:04:31

Ну и зачем оно, если apache не запускается от root?

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35308
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: Представлен релиз HTTP-сервера Apache 2.2.10

Непрочитанное сообщение Alex Keda » 2008-10-17 17:51:36

мастер-процесс - от кого?
апач слушает привелигированный порт. Он по любому от рута запускается.
Убей их всех! Бог потом рассортирует...

Аватара пользователя
freeman
лейтенант
Сообщения: 734
Зарегистрирован: 2007-03-18 5:13:25

Re: Представлен релиз HTTP-сервера Apache 2.2.10

Непрочитанное сообщение freeman » 2008-10-18 8:19:23

Допустим даже что какой то процесс выполняется от непривилегированного пользователя и его работа связана с возможностью удалённого доступа к нему. Теоритически если ломанут его, а потом воспользуются уязвимостью в ОС по повышению привилегий ...
В общем лучше даже вроде бы теоритические дырки прикрыть :)
Остатся должен только один ...

Аватара пользователя
ProFTP
подполковник
Сообщения: 3388
Зарегистрирован: 2008-04-13 1:50:04
Откуда: %&й
Контактная информация:

Re: Представлен релиз HTTP-сервера Apache 2.2.10

Непрочитанное сообщение ProFTP » 2008-10-18 16:01:05

suexec, тоже, скрипты все от рута запускает, статья где-то давно была на opennet.ru про безопасность в старом апаче...
Pеrl FAQ
perl -e 'print join"",map $$_[rand@$_],([0..9,'a'..'z','A'..'Z'])x30'
ИзображениеИзображение

Alex_hha
лейтенант
Сообщения: 755
Зарегистрирован: 2005-11-06 18:25:26
Контактная информация:

Re: Представлен релиз HTTP-сервера Apache 2.2.10

Непрочитанное сообщение Alex_hha » 2008-10-20 10:00:31

А при чем тут запускается? Я имел ввиду работает то он не от рута, а от www

Alex_hha
лейтенант
Сообщения: 755
Зарегистрирован: 2005-11-06 18:25:26
Контактная информация:

Re: Представлен релиз HTTP-сервера Apache 2.2.10

Непрочитанное сообщение Alex_hha » 2008-10-20 10:01:56

Допустим даже что какой то процесс выполняется от непривилегированного пользователя и его работа связана с возможностью удалённого доступа к нему. Теоритически если ломанут его, а потом воспользуются уязвимостью в ОС по повышению привилегий ...
В общем лучше даже вроде бы теоритические дырки прикрыть
тогда лучше отключить комп от инета, тогда точно не взломают :-D

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35308
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: Представлен релиз HTTP-сервера Apache 2.2.10

Непрочитанное сообщение Alex Keda » 2008-10-20 11:01:24

Код: Выделить всё

mail# ps -auxww | grep http
root      1036  0,0  0,6  6476  2968  ??  Ss   чт03      0:21,18 /usr/local/sbin/httpd
www      36408  0,0  0,6  6476  3004  ??  I    10:34     0:00,07 /usr/local/sbin/httpd
www      36409  0,0  0,6  6476  3184  ??  I    10:34     0:00,25 /usr/local/sbin/httpd
www      36410  0,0  0,6  6476  3184  ??  S    10:34     0:00,26 /usr/local/sbin/httpd
www      36411  0,0  0,6  6476  3184  ??  I    10:34     0:00,25 /usr/local/sbin/httpd
www      36412  0,0  0,6  6476  3180  ??  I    10:34     0:00,23 /usr/local/sbin/httpd
www      36413  0,0  0,6  6476  3180  ??  I    10:34     0:00,24 /usr/local/sbin/httpd
www      36417  0,0  0,6  6476  3188  ??  I    10:34     0:00,22 /usr/local/sbin/httpd
www      36418  0,0  0,6  6476  3184  ??  I    10:34     0:00,24 /usr/local/sbin/httpd
www      94871  0,0  0,6  6476  3176  ??  I    11:16     0:00,09 /usr/local/sbin/httpd
root     41599  0,0  0,2  3336  1056  p0  S+   12:01     0:00,01 grep http
mail#    
Убей их всех! Бог потом рассортирует...

Аватара пользователя
freeman
лейтенант
Сообщения: 734
Зарегистрирован: 2007-03-18 5:13:25

Re: Представлен релиз HTTP-сервера Apache 2.2.10

Непрочитанное сообщение freeman » 2008-10-20 11:03:14

Alex_hha писал(а):
Допустим даже что какой то процесс выполняется от непривилегированного пользователя и его работа связана с возможностью удалённого доступа к нему. Теоритически если ломанут его, а потом воспользуются уязвимостью в ОС по повышению привилегий ...
В общем лучше даже вроде бы теоритические дырки прикрыть
тогда лучше отключить комп от инета, тогда точно не взломают :-D
Правильно, или поставить винду и не парить себе мозг этими безопасностями, так же получается ?
P.S. На тему реальности вышесказанного Три уязвимости во FreeBSD
Остатся должен только один ...

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35308
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: Представлен релиз HTTP-сервера Apache 2.2.10

Непрочитанное сообщение Alex Keda » 2008-10-20 11:05:56

сосбно - пофикшены все.
кто не обновился - сам виноват =)))
Убей их всех! Бог потом рассортирует...

Alex_hha
лейтенант
Сообщения: 755
Зарегистрирован: 2005-11-06 18:25:26
Контактная информация:

Re: Представлен релиз HTTP-сервера Apache 2.2.10

Непрочитанное сообщение Alex_hha » 2008-10-20 11:26:04

Правильно, или поставить винду и не парить себе мозг этими безопасностями, так же получается ?
слишком не увлекаться безопасностью, всегда должен быть паритет между безопасность/удобность, имхо. А то по вашей логике ВСЕ сервисы и демоны надо запускать в chroot? А вдруг в них найдут дырку... :-D

Аватара пользователя
freeman
лейтенант
Сообщения: 734
Зарегистрирован: 2007-03-18 5:13:25

Re: Представлен релиз HTTP-сервера Apache 2.2.10

Непрочитанное сообщение freeman » 2008-10-20 12:00:46

Alex_hha писал(а):
Правильно, или поставить винду и не парить себе мозг этими безопасностями, так же получается ?
слишком не увлекаться безопасностью, всегда должен быть паритет между безопасность/удобность, имхо. А то по вашей логике ВСЕ сервисы и демоны надо запускать в chroot? А вдруг в них найдут дырку... :-D
Я больше поддерживаю паритет между безопасность/удобность. Но для тех кому первое важнее, думаю эта новость будет полезной для рассмотрения, а не всразу отметать
Ну и зачем оно, если apache не запускается от root?
Никто же не удивляется что named выполняющийся у нас от имени bind chroot- ится ?
Alex_hha писал(а):А то по вашей логике ВСЕ сервисы и демоны надо запускать в chroot? А вдруг в них найдут дырку... :-D
Такой прямолинейной логики не вижу. Вижу что опасность может быть уменьшена, если усилия по обеспечению этого того стоит. Каждый выбирает сам. Если из ВСЕХ сервисов только пара открыта всему миру, то их только и надо, зачем все ? :)
Остатся должен только один ...

Alex_hha
лейтенант
Сообщения: 755
Зарегистрирован: 2005-11-06 18:25:26
Контактная информация:

Re: Представлен релиз HTTP-сервера Apache 2.2.10

Непрочитанное сообщение Alex_hha » 2008-10-20 14:15:13

А вдруг из локалки взломают? Был у меня недавно перл:
Он: "Как запретить отправлять почту из командной строки без аутентификации?"
Я: Зачем тебе это надо?
Он: если взломают сервер, чотбы не рассылали спам

:-D

Тоже боролся за безопасность.
Никто же не удивляется что named выполняющийся у нас от имени bind chroot- ится ?
не везде, зависит от дистра/ос

Почему тогда тот же дырявый sendmail не запускают в chroot? Так что это не показатель.