Re: как повысить безопасность web-сервера?

[CuPoTKa <bofh@mignews.com>]

начать с засекьюривания самой машины (на дырявой машине засекьюриный 
апач сломают через что-нибудь другое). подразумевается что web server 
будет dedicated и ничего другого на нем не будет.
а потом заняться правильными настроеками апача (на сайте апача есть 
статья про секьюрити, но очень кратко-поверхностая), повыключать все 
ненужные модули (или точнее выключить все и потом включить только те 
которые нужно) и т.д. и т.п.
т.е. засекьюрить его максимально в стандартной установке, прежде чем 
ставить патчи на ядро.
а потом поставить grsec и в его усилиный chroot этот апач перенести.
потом добавить проверялку изменений файлов checksum какой-нибудь.
потом понести машину и поставить ее в dmz за натом (на внутренний ip), 
файрволом и IDSом.

и я думаю это будет безопасно ;)

Ilya wrote:
> День добрый!
> Возникла необходимость создания своего web-сервера. 
> Платформа - debian woody. Просто установить из коробки 
> апач, настроить, запустить - как-то все очень просто...
> Решил сделать дополнительные усилия по защите web-сервера:
> - использовать chroot для апача;
> - на стандартное ядро наложить какой-нибудь security-патч.
> 	И если с chroot все более или менее понятно, то вот со вторым
> пунктом не все очевидно. Сначало я было хотел использовать grSecurity,
> но после прочтения их мануалов, понял, что вещь хоть и хорошая,
> но очень сложная - не потяну.  Далее - знаменитый owl. Если я
> правильно понял авторов, они разрабатывают не только патч к 
> ядру, но и целых набор пакетов. Но мне не хотелось бы отходить
> от Debian, поэтому вопрос - возможно ли использование только 
> самого owl-патча без owl-пакетов и будет ли от него в таком виде
> польза?  Что посоветуете сделать еще? 
>
> С уважением, 
> Илья.
> г. Челябинск.