Личный блог Suvan`a.

Работая и играя с Linux... И что из этого иногда получается.

Apache

Apache в chroot-окружении.

Рубрики: Безопасность | Защита сервисов
Метки: | |
Дата: 06/08/2009 08:45:31
Подписаться на комментарии по RSS

     Создание структуры каталогов.

     Первый шаг - это создание необходимой для запуска Apache структуры каталогов. Предположим, что для chroot-окружений был создан каталог /chroot. Chroot-окружение Apache будет в каталоге /chroot/httpd. Создадим в данном каталоге необходимую структуру каталогов:

# mkdir -p /chroot/httpd/dev

# mkdir -p /chroot/httpd/etc

# mkdir -p /chroot/httpd/usr/bin

# mkdir -p /chroot/httpd/usr/sbin

# mkdir -p /chroot/httpd/usr/lib

# mkdir -p /chroot/httpd/usr/libexec

# mkdir -p /chroot/httpd/usr/local/apache/bin

# mkdir -p /chroot/httpd/usr/local/apache/logs

# mkdir -p /chroot/httpd/usr/local/apache/conf

# mkdir -p /chroot/httpd/usr/share/zoneinfо

# mkdir -p /chroot/httpd/var/www

# mkdir -p /chroot/httpd/tmp

# mkdir -p /chroot/httpd/lib

     В зависимости от дистрибутива и от способа установки Apache (из пакета или из исходных кодов) структура каталогов может отличаться. Владельцем всех каталогов должен быть root, права доступа 0755:

Далее...

Безопасность Apache: управление доступом.

Рубрики: Безопасность | Защита сервисов
Метки: | |
Дата: 29/07/2009 08:37:26
Подписаться на комментарии по RSS

Ранее был рассмотрен HTTP-доступ со стороны клиента, теперь посмотрим на него с другой стороны - со стороны сервера.

     Термины «авторизация» и «аутентификация» часто используются как взаимозаменяемые, но у каждого из них есть свое точное значение. Аутентификация - процесс проверки имени пользователя и пароля пользователя. А авторизация - это проверка полномочий пользователя: есть ли у данного пользователя права доступа к тому или иному объекту, к примеру файлу. Аутентификация часто (но не всегда) представляется первым шагом авторизации.

     Целевыми объектами авторизации, конечно же, являются файлы и каталоги сервера: к примеру, надо создать каталог, доступ к которому разрешен только сотрудникам компании. В данном каталоге будут находиться некоторые важные внутренние документы или же программы, доступные только для сотрудников. В данном случае доступно два метода контроля доступа: проверка имени пользователя/пароля и проверка IP-адреса.

     Начнем с доступа по IP-адресу.

Далее...

Безопасность Apache: сокрытие версии.

Рубрики: Безопасность | Защита сервисов
Метки: |
Дата: 28/07/2009 09:28:25
Подписаться на комментарии по RSS

     Если клиент отправит Web-серверу Apache запрос HEAD, то в ответ он получит заголовок ответа сервера, который содержит информацию об окружении, в котором он запущен. Проверить это довольно просто: можно запустить telnet и подключиться к Web-серверу на порт 80, затем надо ввести запрос HEAD / НТТР/1.0 и нажать Enter дважды:

Далее...

APACHE

Рубрики: Безопасность | Защита сервисов
Метки:
Дата: 27/07/2009 15:44:48
Подписаться на комментарии по RSS

Одним из самых популярных OpenSource-приложений представляется Web-сервер Apache. Apache сделал революцию в мире Web-серверов, став эталонным стандартом на Web-серверы - теперь Apache входит во все дистрибутивы Linux, FreeBSD, даже есть версии Apache для Windows.

     Apache без особых усилий дает возможность настроить обычный домашний компьютер, как Web-сервер. Но здесь есть опасность его использования: Apache устанавливается с файлом конфигурации, который дает возможноть сделать всего несколько изменений для запуска сервера, что не сказывается положительным образом на безопасности системы - ведь оставшиеся директивы остаются по умолчанию. К тому же в новых версиях Apache есть поддержка всевозможных расширений (модули), которые тоже требуют дополнительной настройки.

Далее...

ACL возможностей в LIDS.

Рубрики: Безопасность | Управление доступом
Метки: | | |
Дата: 10/07/2009 14:14:57
Подписаться на комментарии по RSS

Возможности.

     В ACL из предыдущей статье описано действие GRANT, предостав­ляющее возможность CAP SETUID. А возможности до этого и не рассматривались, поэтому самое время их рассмотреть.

     LIDS предоставляет расширенное применение возможностей (однако, как было отмечено до этого, модуль возможностей (capability security module) нужно отключить в ядре). Кроме стандартных возможностей Linux, LIDS дает две собственные возможности:

  • CAP_HIDDEN — процессы с установленной возможностью CAPHIDDEN не будут отображаться в /рrос, что позволяет скрыть процесс от программы ps, lsof и top.
  • CAP_INIT_KILL — если эта возможность выключена для демона, то он не будет получать KILL-сигналы.

Далее...