Форум русскоязычного сообщества Ubuntu


Автор Тема: Обеспечиваем безопасность инфраструктуры веб-сервера  (Прочитано 4618 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн haligali

  • Автор темы
  • Новичок
  • *
  • Сообщений: 17
    • Просмотр профиля
Всем форумчанам доброго времени суток. С установкой Apache2 и настройкой виртуальных хостов у меня проблем не возникло. Но вот когда пришлось взять напильник потоньше, возникли сложности. В частности меня интересуют вопросы безопасности Apache2. Вот довольно интересная статейка
(Нажмите, чтобы показать/скрыть)

Информация хоть и 2007 года, но ничего свежее я не нашел. В статье не указано на каком именно дистрибутиве проводилась настройка, а у меня на ubuntu desktop i386 10.10 возникла проблема при задании прав на файлы и директории. Например команда $ sudo /etc/apache2 -type d | xargs chmod 755 у меня не работает, просит ввести еще какие-то дополнительные параметры. Подскажите пожалуйста как это применить по отношению у ubuntu 10.10. Или киньте ссылкой, где можно почитать на эту тему. На окошках настроил бы все это быстро, а вот на ubuntu пересел недавно и с шелом еще пока не разобрался

Заранее спасибо за любое участие.

p.s. Кстати интересует мнение бывалых админов по поводу данной статьи и приведенных примеров, насколько они сейчас актуальны, какие существуют еще дыры (кроме криво написанного php кода) ну и т.д.
« Последнее редактирование: 28 Февраль 2011, 17:27:47 от haligali »
В мире все совсем не сложно, если самому не усложнять

Оффлайн xeon_greg

  • Активист
  • *
  • Сообщений: 981
    • Просмотр профиля
тут имеется в виду установить права на все директории в каталоге apache2  в 755 и след комманда установить права на все файлы в этой же директории в 644

Пользователь решил продолжить мысль 28 Февраль 2011, 17:36:49:
автор видимо пропустил find
и полная комманда должна быть такая
sudo find /etc/apache2 -type d | xargs chmod 755
sudo find /etc/apache2 -type f | xargs chmod 644
« Последнее редактирование: 28 Февраль 2011, 17:36:49 от xeon_greg »

Оффлайн haligali

  • Автор темы
  • Новичок
  • *
  • Сообщений: 17
    • Просмотр профиля
xeon_greg
Благодарствую.  Действительно, так работает!!! Для чего эти команды я и так знаю, а вот с синтаксисом у меня  проблема. Надо срочно где то ман по Shell-у нарыть.
В мире все совсем не сложно, если самому не усложнять

Оффлайн xeon_greg

  • Активист
  • *
  • Сообщений: 981
    • Просмотр профиля
:) нигде рыть не надо 
man bash

Оффлайн haligali

  • Автор темы
  • Новичок
  • *
  • Сообщений: 17
    • Просмотр профиля
xeon_greg
Оппа-ньки. Крута. Даже не знал. Обычно --help по команде набирал, но там инфы мало. Буду курить потихоньку.
В мире все совсем не сложно, если самому не усложнять

Оффлайн IP-2011

  • Новичок
  • *
  • Сообщений: 20
    • Просмотр профиля
Всем Привет!
Вот тоже занимаюсь этим вопросом...
Вернее пока только изучаю сервер, настройки, безопасность.
Так что сильно не пинайте если что не так... Я только учусь :)
Ну собственно по теме.
Вот ещё одна интересная статейка... И поновее.
(Нажмите, чтобы показать/скрыть)
Собственно заинтересовал mod-security
Ну и решил его поставить.
(Нажмите, чтобы показать/скрыть)
Ну а теперь собственно вопросы...
Кто пользует этот мод подскажите всё правильно ли я сделал???
Или что где пропустил?
P.S. Ubuntu 10.10
И ещё вопросы из предидущей статьи...
1 Разве индеец и так по умолчанию не от пользователя www-data запускается?
2 Зачем выставлять права 755 и 644 ????
Насколько я знаю и насколько у меня в Ubuntu  на эти папки и файлы и так эти права стоят...
Или я что-то не допонимаю????
И Администраторы со стажем и опытом поделитесь своим мнением по всему этому...
Насколько это всё эффективно и практично???
Увеличивает ли это всё безопасность на средний хотябы уровень???
Заранее благодарен за любые отзывы!

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 27317
    • Просмотр профиля
Ну во-первых по настройке - файл настройки апача всю жизнь писался наоборот.
Не IfModule - Include - настройки, а Include - IfModule - настройки.
Вместо засорения форума дурацкими статьями, могли бы просто ссылку дать.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн IP-2011

  • Новичок
  • *
  • Сообщений: 20
    • Просмотр профиля
Ну во-первых по настройке - файл настройки апача всю жизнь писался наоборот.
Не IfModule - Include - настройки, а Include - IfModule - настройки.
Вместо засорения форума дурацкими статьями, могли бы просто ссылку дать.

Спасибо!
 Тогда так должно что ли быть?
Include <IfModule security2_module> modsecurity/*.conf </IfModule>
Include <IfModule security2_module> modsecurity/base_rules/*.conf </IfModule>
Include <IfModule security2_module> modsecurity/optional_rules/*.conf </IfModule>

Include modsecurity.conf
Или можно вобще без Ifmodule ... /IfModule ?
2. Учту на будущие :)
Хотя специально взял под сполер статью...
А по поводу прав на папки /etc/apache2/ и вложеные в них файлы можете что-нибудь сказать?
И про юзера от которого запускается индеец?

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 27317
    • Просмотр профиля
Мда. Вы хоть в существующие конфиги апача гляньте...
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн IP-2011

  • Новичок
  • *
  • Сообщений: 20
    • Просмотр профиля
Мда. Вы хоть в существующие конфиги апача гляньте...
Вы это про что "Да" сказали?
Про include или про остальные вопросы?
1. Я в конфиги смотрю...
Если про include то там вобще у меня прописано без IfModule всё с дефолта поэтому и спросил...
т.е у меня с include всё вот так...
# Include all the user configurations:
Include httpd.conf

# Include ports listing
Include ports.conf
2. Например если Вы по поводу юзера от которого работает индеец,
то у меня например эта настройка выведена из файла конфигурации...
т.е. у меня так
User ${APACHE_RUN_USER}
Group ${APACHE_RUN_GROUP}
И все настройки вынесены в
Цитировать
# These need to be set in /etc/apache2/envvars
А там уже www-data .
Вот я и спрашиваю зачем описано ещё раз делать из мухи слона и вымучивать то что написано про юзера и права пользователя в первой статье...
P.S.
А про IfModule вы помойму не правы...
Лично у меня написано в конфигах так как я писал первый раз...
Вот пример из конфига...
<IfModule mpm_worker_module>
    StartServers          2
    MinSpareThreads      25
    MaxSpareThreads      75
    ThreadLimit          64
    ThreadsPerChild      25
    MaxClients          150
    MaxRequestsPerChild   0
</IfModule>

 

Страница сгенерирована за 0.328 секунд. Запросов: 24.