https://www.opennet.me/openforum/vsluhforumID3/44464.html Анонсирован (http://www.apache.org/dist/httpd/Announcement2.2.html) выход релиза Apache 2.2.10. В новой версии устранена неопасная XSS (межсайтовый скриптинг) уязвимость (http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-2939) в модуле mod_proxy_ftp, внесено 18 изменений (http://www.apache.org/dist/httpd/CHANGES_2.2.10), затрагивающих такие модули как <br>mod_proxy_http, mod_ssl, mod_authn_alias, mod_charset_lite, mod_dav_fs, mod_cgid, mod_headers, mod_rewrite.<br><br><br>Отдельно стоит отметить, появление поддержки chroot для Unix-совместимых ОС, при старте apache будет выполнен переход в изолированное окружение, корневая директория которого задана через директиву ChrootDir. Новшество совместимо с MPM модулями prefork и worker.<br><br><br>В mod_proxy_balancer добавлен метод балансировки 'bybusyness', учитывающий загруженность бэкенда. В mod_rewrite появились 2 новые опции, управляющие отправкой Cookie: secure (cookie отправляется только по https) и HttpOnly (для активации возможности некоторых браузеров по блокирова https://www.opennet.me/openforum/vsluhforumID3/44464.html#34 Tue, 21 Oct 2008 08:12:12 GMT &gt;Пока что нет &#8212; пока что все сервера, где ставил Apache 2, <br><br>по моему скромному ИМХО эта вещь заслуживает быть награждена как лучший модуль для Apache. :)<br><br>&gt;были сугубо однозадачные, и поэтому не нуждались в suexec и ему <br>&gt;подобных. Собсно, я бы и Apache 2 не ставил, но разработчикам <br>&gt;надо mod_perl2&#8230; :) <br><br>а теперь представьте, что perl,что php, что любой cgi работает именно под тем пользовтелем, под которым он был создан и ничего для этого делать не надо.<br>автор маааленького модуля трахнул всех создателей suexec'ов вместе взятых<br>работает, правда, только под Линукс. но в этом ничего плохого нет<br> https://www.opennet.me/openforum/vsluhforumID3/44464.html#33 Tue, 21 Oct 2008 07:13:10 GMT &gt;&gt;Угу, Костыль v2.0 :)<br>&gt;<br>&gt;это замечательный костыль <br><br>Охотно верю.<br><br>&gt;&gt;Никто не спорит:). Правда, suexec придумали задолго до появления Apache 2.0&#8230; Кстати, <br>&gt;&gt;помните, сколько было в том костыле ошибок, при, казалось бы, простой <br>&gt;&gt;постановке задачи? <br>&gt;<br>&gt;вы, видимо, не пробовали. <br><br>Пока что нет &#8212; пока что все сервера, где ставил Apache 2, были сугубо однозадачные, и поэтому не нуждались в suexec и ему подобных. Собсно, я бы и Apache 2 не ставил, но разработчикам надо mod_perl2&#8230; :)<br> https://www.opennet.me/openforum/vsluhforumID3/44464.html#32 Tue, 21 Oct 2008 06:23:47 GMT &gt;Угу, Костыль v2.0 :)<br><br>это замечательный костыль<br><br>&gt;Никто не спорит:). Правда, suexec придумали задолго до появления Apache 2.0&#8230; Кстати, <br>&gt;помните, сколько было в том костыле ошибок, при, казалось бы, простой <br>&gt;постановке задачи? <br><br>вы, видимо, не пробовали.<br> https://www.opennet.me/openforum/vsluhforumID3/44464.html#31 Mon, 20 Oct 2008 21:53:49 GMT &gt;&gt;Если вы про всякие SELinux'ы и прочие systrace, то не волнуйтесь, я <br>&gt;&gt;в курсе. И ещё про многое другое тоже в курсе. Зато <br>&gt;&gt;вы, видимо, забыли, что все эти средства осложняют конфигурирование, сопровождение - <br>&gt;&gt;и взлом сервера, но отнюдь не гарантированно спасают от последнего. <br>&gt;<br>&gt;очевидно да. боже упаси от SELinux <br>&gt;<br>&gt;&gt;...что такое, по-вашему, &#171;_правильные_ права на процессы <br>&gt;<br>&gt;mod_ruid <br><br>Угу, Костыль v2.0 :) При MaxRequestsPerChild равном единице проще сразу пользоваться CGI&#8230;<br><br>&gt;потому что если в www-директории пользователя лежит файл с чужими правами, смысла <br>&gt;защищаться уже нет <br><br>Никто не спорит:). Правда, suexec придумали задолго до появления Apache 2.0&#8230; Кстати, помните, сколько было в том костыле ошибок, при, казалось бы, простой постановке задачи? <br> https://www.opennet.me/openforum/vsluhforumID3/44464.html#30 Mon, 20 Oct 2008 19:20:31 GMT &gt;Если вы про всякие SELinux'ы и прочие systrace, то не волнуйтесь, я <br>&gt;в курсе. И ещё про многое другое тоже в курсе. Зато <br>&gt;вы, видимо, забыли, что все эти средства осложняют конфигурирование, сопровождение - <br>&gt;и взлом сервера, но отнюдь не гарантированно спасают от последнего. <br><br>очевидно да. боже упаси от SELinux<br><br>&gt;...что такое, по-вашему, &#171;_правильные_ права на процессы <br><br>mod_ruid<br>потому что если в www-директории пользователя лежит файл с чужими правами, смысла защищаться уже нет<br> https://www.opennet.me/openforum/vsluhforumID3/44464.html#29 Mon, 20 Oct 2008 16:06:14 GMT &gt;&gt; 1. chroot как средство обеспечения безопасности &#8212; это не спасение, а лишь средство уменьшения последствий успешной атаки.<br>&gt;<br>&gt;да. и в то же время обрезание всяких приятных возможностей типа вызова <br>&gt;программ ОС <br>&gt;кому-то оно, может, и не нужно... я ничего не имею против. но <br>&gt;на большинстве моих апачей мне chroot бы только мешал. <br><br>Вполне вас понимаю, кое-где мне тоже приходится его отключать. Просто возможности, приятные для вас, будут точно также приятны для взломщиков. Особенно вызов программ ОС. :)<br><br>&gt;а на серверах, где у меня действительно www для всех я предпочитаю <br>&gt;второе (см ниже) <br>&gt;<br>&gt;&gt; 2. Права на процессы не ставят. Их ставят на исполняемые файлы.<br>&gt;<br>&gt;вы сами не осознаете глубину своего морального падения :) <br><br>Если вы про всякие SELinux'ы и прочие systrace, то не волнуйтесь, я в курсе. И ещё про многое другое тоже в курсе. Зато вы, видимо, забыли, что все эти средства осложняют конфигурирование, сопровождение - и взлом сервера, но отнюдь не гарантированно спасают от последнего. https://www.opennet.me/openforum/vsluhforumID3/44464.html#28 Mon, 20 Oct 2008 15:02:38 GMT &gt;&gt;&gt;Ему это не нужно. Это нужно параноидальным сисадминам. <br>&gt;&gt;<br>&gt;&gt;Простите, когда ваш апач последний раз ломали (через mod_php, например)? <br>&gt;<br>&gt;Никогда. <br>&gt;При грамотной настройке, отключении всего ненужного и постоянного отслеживания уязвимостей и обновлении <br>&gt;вероятность сломать апач по причине ошибки в самом апаче очень мала. <br>&gt;Ломают чаще всего через дурно написанные скрипты. <br><br>Видите ли, то, что не нужно вам, вполне может быть нужно разработчикам, или ещё кому-то. Так что приходится балансировать. Ну а мудрость &#171;знать где упасть &#8212; можно и соломку подстелить&#187; ещё никто не отменял. :)<br><br>К слову, меня тоже пока что не ломали через Апач. Но это не значит, что не стоит пренебрегать дополнительными мерами защиты.<br> https://www.opennet.me/openforum/vsluhforumID3/44464.html#27 Fri, 17 Oct 2008 13:34:14 GMT &gt;да в век OpenVZ и XEN chroot очень важная фича... <br><br>Апач в век OpenVZ и XEN - выглядит слегка overbloated зачастую =).Например на VDS юзать оный достаточно дорого (RAM дофига надо).<br> https://www.opennet.me/openforum/vsluhforumID3/44464.html#21 Fri, 17 Oct 2008 08:16:16 GMT &gt; 1. chroot как средство обеспечения безопасности &#8212; это не спасение, а лишь средство уменьшения последствий успешной атаки.<br><br>да. и в то же время обрезание всяких приятных возможностей типа вызова программ ОС<br>кому-то оно, может, и не нужно... я ничего не имею против. но на большинстве моих апачей мне chroot бы только мешал.<br>а на серверах, где у меня действительно www для всех я предпочитаю второе (см ниже)<br><br>&gt; 2. Права на процессы не ставят. Их ставят на исполняемые файлы.<br><br>вы сами не осознаете глубину своего морального падения :)<br>