Re: Re: как повысить безопасность web-сервера?
В сообщении от 23 Октябрь 2004 16:32 Sergey V. Burchu написал:
> Sat, Oct 23, 2004 at 03:54:57PM +0600, Вы(Ilya) написали:
> > День добрый!
> > Возникла необходимость создания своего web-сервера.
> > Платформа - debian woody. Просто установить из коробки
> > апач, настроить, запустить - как-то все очень просто...
> > Решил сделать дополнительные усилия по защите web-сервера:
> > - использовать chroot для апача;
> > - на стандартное ядро наложить какой-нибудь security-патч.
> > И если с chroot все более или менее понятно, то вот со вторым
> > пунктом не все очевидно. Сначало я было хотел использовать grSecurity,
> > но после прочтения их мануалов, понял, что вещь хоть и хорошая,
> > но очень сложная - не потяну. Далее - знаменитый owl. Если я
> > правильно понял авторов, они разрабатывают не только патч к
> > ядру, но и целых набор пакетов. Но мне не хотелось бы отходить
> > от Debian, поэтому вопрос - возможно ли использование только
> > самого owl-патча без owl-пакетов и будет ли от него в таком виде
> > польза? Что посоветуете сделать еще?
> GrSec -- нормальная вещь для установки. Вообще это набор небольших по
> своей сути патчей для ядра. UserSpace утилита там нужна только для
> управления acl, все остальное можно спокойно зашить при компиляции или
> включить через sysctl. И ничего сложного я там не заметил. Правда я не
> использовал ACL вообще :)
т.е. использование acl в общем случае не обязательно? Вообще, как оно
в эксплуатации - насколько оперативно выходят grsec-патчи к ядру? Добавляет
ли помимо улучшений какие-нибудь проблемы/баги?
Вроде бы летом автор grsecurity хотел забросить свою работу из-за отсутствия
спонсора. Все обошлось?
> Так что мой совет -- попробуй с начала, если не получится, то будешь
> искать еще что-то. Хотя другие системы в этом смысле на мой взгляд
> посложнее будут...
RSBAC?
С уважением, Илья
г. Челябинск.
Reply to: