Re: Re: как повысить безопасность web-сервера?
Sat, Oct 23, 2004 at 04:49:53PM +0600, Вы(Ilya) написали:
> > GrSec -- нормальная вещь для установки. Вообще это набор небольших по
> > своей сути патчей для ядра. UserSpace утилита там нужна только для
> > управления acl, все остальное можно спокойно зашить при компиляции или
> > включить через sysctl. И ничего сложного я там не заметил. Правда я не
> > использовал ACL вообще :)
> т.е. использование acl в общем случае не обязательно? Вообще, как оно
> в эксплуатации - насколько оперативно выходят grsec-патчи к ядру? Добавляет
> ли помимо улучшений какие-нибудь проблемы/баги?
Бывает по разному, если после выхода нового ядра(из-за критического
бага) я могу попробовать и сам наложить патч от предыдущей
версии. Иногда получается сразу, иногда после нескольких простеньких
правок. Если лень возиться или не хватает знаний для адаптации патча
то приходится ждать официального патча.
Официальный может выйти тож по разному :) Может и через пару недель.
А бывало так что exploit'ы для crit bug в ядре на grsec ядре не
работали вообще.. а было что и работали..
> Вроде бы летом автор grsecurity хотел забросить свою работу из-за отсутствия
> спонсора. Все обошлось?
Судя по наличию сайта и новой версии ему подкинули деньжат :)
> > Так что мой совет -- попробуй с начала, если не получится, то будешь
> > искать еще что-то. Хотя другие системы в этом смысле на мой взгляд
> > посложнее будут...
> RSBAC?
Их много, есть старые проекты, есть посвежее. GrSec из всех них самая
простая для система в использовании: в смысле поставил и не трогаю
ничего, потому как ACL не пользую :)
--
Burchu Sergey.
Reply to: