Re: www-сервер.
On 2003.07.28 at 00:12:56 +0400, Andrey Nekrasov wrote:
> > > публично будет торчать apache 1.3 + php. плюс локальный mysql. Debian
> > > - Woody.
> > >
> > > вопрос такой: что обычно принято делать, так что-бы обезопасить
> > > сервер более-менее? желательно именно для Woody.
> > >
> > iptables
>
> глупая шутка. тогда совсем уж не включать сервер.
Это не шутка, это рекомендация заткнуть все сервесы кроме www и ssh,
особвенно mysql. Чтобы сервисы работали, но доступ был только с
локальной машины.
Файрволл на отдельно стоящем хостинговом сервере НУЖЕН.
> а вот если есть опыт запихивания apache & php & нужного им в chroot (или
> обоснование ненужности этого) или еще какие ценные советы - пиши.
Вопрос номер раз - а что есть на этой машине ценного, кроме www-сервера?
Ответ "ничего" является обоснованием того, что chroot не нужен.
Поскольку получив доступ ко всей файловой системе сервера сломать ничего
кроме того, что можно сломать, получив доступ в chroot будет нельзя.
Заметь, что mysql-ная база данных обязана быть из этого chroot доступна,
ведь с ней тоже www-сервер работает.
Так что следует в первую очередь читать документацию по php, на предмет
обеспечения безопасности оного, оторвать от mysql желание слушать по
tcp-ip, пусть общаяется только через unix-domain сокет,
запретить нафиг неанонимный ftp, использовать для обновления контента
rsync или cvs over ssh, или уж по крайней мере завести две
непересекающиеся группы аккаунтов - одним можно ssh, а другим можно ftp.
Если используется какие-то web-based средства редактирования сайта
(DAV, какая-нибудь CMS) то пользователей с правами редактора пускать
только по https.
> --
> И это тоже пройдет.
>
>
> --
> To UNSUBSCRIBE, email to debian-russian-request@lists.debian.org
> with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
>
Reply to: