Представлен релиз HTTP-сервера Apache 2.2.10
Добавлено: 2008-10-16 7:51:51
......
И один в поле воин, если он по-русски скроен
https://forum.lissyara.su/
Для секурности очень интересное нововведение.ProFTP писал(а): Отдельно стоит отметить, появление поддержки chroot для Unix-совместимых ОС, при старте apache будет выполнен переход в изолированное окружение, корневая директория которого задана через директиву ChrootDir. Новшество совместимо с MPM модулями prefork и worker.
тогда лучше отключить комп от инета, тогда точно не взломаютДопустим даже что какой то процесс выполняется от непривилегированного пользователя и его работа связана с возможностью удалённого доступа к нему. Теоритически если ломанут его, а потом воспользуются уязвимостью в ОС по повышению привилегий ...
В общем лучше даже вроде бы теоритические дырки прикрыть
Код: Выделить всё
mail# ps -auxww | grep http
root 1036 0,0 0,6 6476 2968 ?? Ss чт03 0:21,18 /usr/local/sbin/httpd
www 36408 0,0 0,6 6476 3004 ?? I 10:34 0:00,07 /usr/local/sbin/httpd
www 36409 0,0 0,6 6476 3184 ?? I 10:34 0:00,25 /usr/local/sbin/httpd
www 36410 0,0 0,6 6476 3184 ?? S 10:34 0:00,26 /usr/local/sbin/httpd
www 36411 0,0 0,6 6476 3184 ?? I 10:34 0:00,25 /usr/local/sbin/httpd
www 36412 0,0 0,6 6476 3180 ?? I 10:34 0:00,23 /usr/local/sbin/httpd
www 36413 0,0 0,6 6476 3180 ?? I 10:34 0:00,24 /usr/local/sbin/httpd
www 36417 0,0 0,6 6476 3188 ?? I 10:34 0:00,22 /usr/local/sbin/httpd
www 36418 0,0 0,6 6476 3184 ?? I 10:34 0:00,24 /usr/local/sbin/httpd
www 94871 0,0 0,6 6476 3176 ?? I 11:16 0:00,09 /usr/local/sbin/httpd
root 41599 0,0 0,2 3336 1056 p0 S+ 12:01 0:00,01 grep http
mail#
Правильно, или поставить винду и не парить себе мозг этими безопасностями, так же получается ?Alex_hha писал(а):тогда лучше отключить комп от инета, тогда точно не взломаютДопустим даже что какой то процесс выполняется от непривилегированного пользователя и его работа связана с возможностью удалённого доступа к нему. Теоритически если ломанут его, а потом воспользуются уязвимостью в ОС по повышению привилегий ...
В общем лучше даже вроде бы теоритические дырки прикрыть
слишком не увлекаться безопасностью, всегда должен быть паритет между безопасность/удобность, имхо. А то по вашей логике ВСЕ сервисы и демоны надо запускать в chroot? А вдруг в них найдут дырку...Правильно, или поставить винду и не парить себе мозг этими безопасностями, так же получается ?
Я больше поддерживаю паритет между безопасность/удобность. Но для тех кому первое важнее, думаю эта новость будет полезной для рассмотрения, а не всразу отметатьAlex_hha писал(а):слишком не увлекаться безопасностью, всегда должен быть паритет между безопасность/удобность, имхо. А то по вашей логике ВСЕ сервисы и демоны надо запускать в chroot? А вдруг в них найдут дырку...Правильно, или поставить винду и не парить себе мозг этими безопасностями, так же получается ?
Никто же не удивляется что named выполняющийся у нас от имени bind chroot- ится ?Ну и зачем оно, если apache не запускается от root?
Такой прямолинейной логики не вижу. Вижу что опасность может быть уменьшена, если усилия по обеспечению этого того стоит. Каждый выбирает сам. Если из ВСЕХ сервисов только пара открыта всему миру, то их только и надо, зачем все ?Alex_hha писал(а):А то по вашей логике ВСЕ сервисы и демоны надо запускать в chroot? А вдруг в них найдут дырку...
не везде, зависит от дистра/осНикто же не удивляется что named выполняющийся у нас от имени bind chroot- ится ?