forum.lissyara.su

Добавлено: **2008-10-16 7:51:51**

......

Добавлено: **2008-10-17 11:49:07**

ProFTP писал(а): Отдельно стоит отметить, появление поддержки chroot для Unix-совместимых ОС, при старте apache будет выполнен переход в изолированное окружение, корневая директория которого задана через директиву ChrootDir. Новшество совместимо с MPM модулями prefork и worker.

Для секурности очень интересное нововведение.

Добавлено: **2008-10-17 16:04:31**

Ну и зачем оно, если apache не запускается от root?

Добавлено: **2008-10-17 17:51:36**

мастер-процесс - от кого?
апач слушает привелигированный порт. Он по любому от рута запускается.

Добавлено: **2008-10-18 8:19:23**

Допустим даже что какой то процесс выполняется от непривилегированного пользователя и его работа связана с возможностью удалённого доступа к нему. Теоритически если ломанут его, а потом воспользуются уязвимостью в ОС по повышению привилегий ...
В общем лучше даже вроде бы теоритические дырки прикрыть

Добавлено: **2008-10-18 16:01:05**

suexec, тоже, скрипты все от рута запускает, статья где-то давно была на opennet.ru про безопасность в старом апаче...

Добавлено: **2008-10-20 10:00:31**

А при чем тут запускается? Я имел ввиду работает то он не от рута, а от www

Добавлено: **2008-10-20 10:01:56**

Допустим даже что какой то процесс выполняется от непривилегированного пользователя и его работа связана с возможностью удалённого доступа к нему. Теоритически если ломанут его, а потом воспользуются уязвимостью в ОС по повышению привилегий ...
В общем лучше даже вроде бы теоритические дырки прикрыть

тогда лучше отключить комп от инета, тогда точно не взломают

Добавлено: **2008-10-20 11:01:24**

Код: Выделить всё

mail# ps -auxww | grep http
root      1036  0,0  0,6  6476  2968  ??  Ss   чт03      0:21,18 /usr/local/sbin/httpd
www      36408  0,0  0,6  6476  3004  ??  I    10:34     0:00,07 /usr/local/sbin/httpd
www      36409  0,0  0,6  6476  3184  ??  I    10:34     0:00,25 /usr/local/sbin/httpd
www      36410  0,0  0,6  6476  3184  ??  S    10:34     0:00,26 /usr/local/sbin/httpd
www      36411  0,0  0,6  6476  3184  ??  I    10:34     0:00,25 /usr/local/sbin/httpd
www      36412  0,0  0,6  6476  3180  ??  I    10:34     0:00,23 /usr/local/sbin/httpd
www      36413  0,0  0,6  6476  3180  ??  I    10:34     0:00,24 /usr/local/sbin/httpd
www      36417  0,0  0,6  6476  3188  ??  I    10:34     0:00,22 /usr/local/sbin/httpd
www      36418  0,0  0,6  6476  3184  ??  I    10:34     0:00,24 /usr/local/sbin/httpd
www      94871  0,0  0,6  6476  3176  ??  I    11:16     0:00,09 /usr/local/sbin/httpd
root     41599  0,0  0,2  3336  1056  p0  S+   12:01     0:00,01 grep http
mail#

Добавлено: **2008-10-20 11:03:14**

Alex_hha писал(а):
Допустим даже что какой то процесс выполняется от непривилегированного пользователя и его работа связана с возможностью удалённого доступа к нему. Теоритически если ломанут его, а потом воспользуются уязвимостью в ОС по повышению привилегий ...
В общем лучше даже вроде бы теоритические дырки прикрыть
тогда лучше отключить комп от инета, тогда точно не взломают

Правильно, или поставить винду и не парить себе мозг этими безопасностями, так же получается ?
P.S. На тему реальности вышесказанного Три уязвимости во FreeBSD

Добавлено: **2008-10-20 11:05:56**

сосбно - пофикшены все.
кто не обновился - сам виноват

))

Добавлено: **2008-10-20 11:26:04**

Правильно, или поставить винду и не парить себе мозг этими безопасностями, так же получается ?

слишком не увлекаться безопасностью, всегда должен быть паритет между безопасность/удобность, имхо. А то по вашей логике ВСЕ сервисы и демоны надо запускать в chroot? А вдруг в них найдут дырку...

Добавлено: **2008-10-20 12:00:46**

Alex_hha писал(а):
Правильно, или поставить винду и не парить себе мозг этими безопасностями, так же получается ?
слишком не увлекаться безопасностью, всегда должен быть паритет между безопасность/удобность, имхо. А то по вашей логике ВСЕ сервисы и демоны надо запускать в chroot? А вдруг в них найдут дырку...

Я больше поддерживаю паритет между безопасность/удобность. Но для тех кому первое важнее, думаю эта новость будет полезной для рассмотрения, а не всразу отметать

Ну и зачем оно, если apache не запускается от root?

Никто же не удивляется что named выполняющийся у нас от имени bind chroot- ится ?

Alex_hha писал(а):А то по вашей логике ВСЕ сервисы и демоны надо запускать в chroot? А вдруг в них найдут дырку...

Такой прямолинейной логики не вижу. Вижу что опасность может быть уменьшена, если усилия по обеспечению этого того стоит. Каждый выбирает сам. Если из ВСЕХ сервисов только пара открыта всему миру, то их только и надо, зачем все ?

Добавлено: **2008-10-20 14:15:13**

А вдруг из локалки взломают? Был у меня недавно перл:
Он: "Как запретить отправлять почту из командной строки без аутентификации?"
Я: Зачем тебе это надо?
Он: если взломают сервер, чотбы не рассылали спам

Тоже боролся за безопасность.

Никто же не удивляется что named выполняющийся у нас от имени bind chroot- ится ?

не везде, зависит от дистра/ос

Почему тогда тот же дырявый sendmail не запускают в chroot? Так что это не показатель.

forum.lissyara.su

Представлен релиз HTTP-сервера Apache 2.2.10

Представлен релиз HTTP-сервера Apache 2.2.10

Re: Представлен релиз HTTP-сервера Apache 2.2.10

Re: Представлен релиз HTTP-сервера Apache 2.2.10

Re: Представлен релиз HTTP-сервера Apache 2.2.10

Re: Представлен релиз HTTP-сервера Apache 2.2.10

Re: Представлен релиз HTTP-сервера Apache 2.2.10

Re: Представлен релиз HTTP-сервера Apache 2.2.10

Re: Представлен релиз HTTP-сервера Apache 2.2.10

Re: Представлен релиз HTTP-сервера Apache 2.2.10

Re: Представлен релиз HTTP-сервера Apache 2.2.10

Re: Представлен релиз HTTP-сервера Apache 2.2.10

Re: Представлен релиз HTTP-сервера Apache 2.2.10

Re: Представлен релиз HTTP-сервера Apache 2.2.10

Re: Представлен релиз HTTP-сервера Apache 2.2.10