Страница 1 из 1

Представлен релиз HTTP-сервера Apache 2.2.10

Добавлено: 2008-10-16 7:51:51
ProFTP
......

Re: Представлен релиз HTTP-сервера Apache 2.2.10

Добавлено: 2008-10-17 11:49:07
freeman
ProFTP писал(а): Отдельно стоит отметить, появление поддержки chroot для Unix-совместимых ОС, при старте apache будет выполнен переход в изолированное окружение, корневая директория которого задана через директиву ChrootDir. Новшество совместимо с MPM модулями prefork и worker.
Для секурности очень интересное нововведение.

Re: Представлен релиз HTTP-сервера Apache 2.2.10

Добавлено: 2008-10-17 16:04:31
Alex_hha
Ну и зачем оно, если apache не запускается от root?

Re: Представлен релиз HTTP-сервера Apache 2.2.10

Добавлено: 2008-10-17 17:51:36
Alex Keda
мастер-процесс - от кого?
апач слушает привелигированный порт. Он по любому от рута запускается.

Re: Представлен релиз HTTP-сервера Apache 2.2.10

Добавлено: 2008-10-18 8:19:23
freeman
Допустим даже что какой то процесс выполняется от непривилегированного пользователя и его работа связана с возможностью удалённого доступа к нему. Теоритически если ломанут его, а потом воспользуются уязвимостью в ОС по повышению привилегий ...
В общем лучше даже вроде бы теоритические дырки прикрыть :)

Re: Представлен релиз HTTP-сервера Apache 2.2.10

Добавлено: 2008-10-18 16:01:05
ProFTP
suexec, тоже, скрипты все от рута запускает, статья где-то давно была на opennet.ru про безопасность в старом апаче...

Re: Представлен релиз HTTP-сервера Apache 2.2.10

Добавлено: 2008-10-20 10:00:31
Alex_hha
А при чем тут запускается? Я имел ввиду работает то он не от рута, а от www

Re: Представлен релиз HTTP-сервера Apache 2.2.10

Добавлено: 2008-10-20 10:01:56
Alex_hha
Допустим даже что какой то процесс выполняется от непривилегированного пользователя и его работа связана с возможностью удалённого доступа к нему. Теоритически если ломанут его, а потом воспользуются уязвимостью в ОС по повышению привилегий ...
В общем лучше даже вроде бы теоритические дырки прикрыть
тогда лучше отключить комп от инета, тогда точно не взломают :-D

Re: Представлен релиз HTTP-сервера Apache 2.2.10

Добавлено: 2008-10-20 11:01:24
Alex Keda

Код: Выделить всё

mail# ps -auxww | grep http
root      1036  0,0  0,6  6476  2968  ??  Ss   чт03      0:21,18 /usr/local/sbin/httpd
www      36408  0,0  0,6  6476  3004  ??  I    10:34     0:00,07 /usr/local/sbin/httpd
www      36409  0,0  0,6  6476  3184  ??  I    10:34     0:00,25 /usr/local/sbin/httpd
www      36410  0,0  0,6  6476  3184  ??  S    10:34     0:00,26 /usr/local/sbin/httpd
www      36411  0,0  0,6  6476  3184  ??  I    10:34     0:00,25 /usr/local/sbin/httpd
www      36412  0,0  0,6  6476  3180  ??  I    10:34     0:00,23 /usr/local/sbin/httpd
www      36413  0,0  0,6  6476  3180  ??  I    10:34     0:00,24 /usr/local/sbin/httpd
www      36417  0,0  0,6  6476  3188  ??  I    10:34     0:00,22 /usr/local/sbin/httpd
www      36418  0,0  0,6  6476  3184  ??  I    10:34     0:00,24 /usr/local/sbin/httpd
www      94871  0,0  0,6  6476  3176  ??  I    11:16     0:00,09 /usr/local/sbin/httpd
root     41599  0,0  0,2  3336  1056  p0  S+   12:01     0:00,01 grep http
mail#    

Re: Представлен релиз HTTP-сервера Apache 2.2.10

Добавлено: 2008-10-20 11:03:14
freeman
Alex_hha писал(а):
Допустим даже что какой то процесс выполняется от непривилегированного пользователя и его работа связана с возможностью удалённого доступа к нему. Теоритически если ломанут его, а потом воспользуются уязвимостью в ОС по повышению привилегий ...
В общем лучше даже вроде бы теоритические дырки прикрыть
тогда лучше отключить комп от инета, тогда точно не взломают :-D
Правильно, или поставить винду и не парить себе мозг этими безопасностями, так же получается ?
P.S. На тему реальности вышесказанного Три уязвимости во FreeBSD

Re: Представлен релиз HTTP-сервера Apache 2.2.10

Добавлено: 2008-10-20 11:05:56
Alex Keda
сосбно - пофикшены все.
кто не обновился - сам виноват =)))

Re: Представлен релиз HTTP-сервера Apache 2.2.10

Добавлено: 2008-10-20 11:26:04
Alex_hha
Правильно, или поставить винду и не парить себе мозг этими безопасностями, так же получается ?
слишком не увлекаться безопасностью, всегда должен быть паритет между безопасность/удобность, имхо. А то по вашей логике ВСЕ сервисы и демоны надо запускать в chroot? А вдруг в них найдут дырку... :-D

Re: Представлен релиз HTTP-сервера Apache 2.2.10

Добавлено: 2008-10-20 12:00:46
freeman
Alex_hha писал(а):
Правильно, или поставить винду и не парить себе мозг этими безопасностями, так же получается ?
слишком не увлекаться безопасностью, всегда должен быть паритет между безопасность/удобность, имхо. А то по вашей логике ВСЕ сервисы и демоны надо запускать в chroot? А вдруг в них найдут дырку... :-D
Я больше поддерживаю паритет между безопасность/удобность. Но для тех кому первое важнее, думаю эта новость будет полезной для рассмотрения, а не всразу отметать
Ну и зачем оно, если apache не запускается от root?
Никто же не удивляется что named выполняющийся у нас от имени bind chroot- ится ?
Alex_hha писал(а):А то по вашей логике ВСЕ сервисы и демоны надо запускать в chroot? А вдруг в них найдут дырку... :-D
Такой прямолинейной логики не вижу. Вижу что опасность может быть уменьшена, если усилия по обеспечению этого того стоит. Каждый выбирает сам. Если из ВСЕХ сервисов только пара открыта всему миру, то их только и надо, зачем все ? :)

Re: Представлен релиз HTTP-сервера Apache 2.2.10

Добавлено: 2008-10-20 14:15:13
Alex_hha
А вдруг из локалки взломают? Был у меня недавно перл:
Он: "Как запретить отправлять почту из командной строки без аутентификации?"
Я: Зачем тебе это надо?
Он: если взломают сервер, чотбы не рассылали спам

:-D

Тоже боролся за безопасность.
Никто же не удивляется что named выполняющийся у нас от имени bind chroot- ится ?
не везде, зависит от дистра/ос

Почему тогда тот же дырявый sendmail не запускают в chroot? Так что это не показатель.